스위치 환경에서의 공격과 스니핑

스위치 환경에서의 공격과 스니핑은 “원래는 보이지 말아야 할 패킷을 어떻게 보이게 만들 것인가”가 핵심이다. 허브와 달리 스위치는 목적지 MAC 주소에 따라 패킷을 특정 포트로만 전달하기 때문에, 기본 상태에서는 스니핑이 어렵다. 그래서 공격자는 스위치의 동작 원리를 교란하거나, 자신을 중간자 위치로 만들거나, 스위치를 허브처럼 동작하게 만드는 방식을 사용한다.

가장 대표적인 방법이 ARP Spoofing(ARP Poisoning)이다. 공격자는 피해자와 게이트웨이 양쪽에 거짓 ARP 응답을 보내 IP–MAC 매핑을 속인다. 그 결과 피해자와 게이트웨이는 서로 직접 통신한다고 생각하지만, 실제로는 모든 트래픽이 공격자를 거쳐 가게 된다. 이 방식은 스위치 환경에서 가장 현실적이고 많이 사용되는 스니핑 방법이며, 이후 패킷 도청, 세션 하이재킹, 패킷 변조까지 이어질 수 있다.

두 번째는 MAC Flooding이다. 스위치는 MAC 주소와 포트를 매핑한 MAC 테이블을 유지한다. 공격자는 가짜 MAC 주소를 수천 개 만들어 대량으로 전송해 이 테이블을 가득 채운다. 테이블이 포화되면 스위치는 더 이상 정상적인 매핑을 하지 못하고, 허브처럼 모든 포트로 패킷을 브로드캐스트하는 상태로 동작할 수 있다. 이때 공격자는 스니핑 도구로 다른 사용자의 트래픽을 수집한다. 즉, 스위치를 강제로 허브처럼 만드는 공격이다.

세 번째는 Port Mirroring(SPAN) 악용이다. 이는 원래 관리자가 트래픽 분석을 위해 특정 포트의 트래픽을 다른 포트로 복제하는 기능이다. 공격자가 스위치 관리 권한을 탈취하거나 설정 오류를 이용해 미러링을 활성화하면, 특정 서버나 사용자 트래픽을 그대로 복사해 볼 수 있다. 이는 내부자 공격이나 관리 권한 탈취 시에 현실적인 위협이 된다.

네 번째는 DHCP Spoofing과의 연계 공격이다. 공격자가 가짜 DHCP 서버를 만들어 피해자에게 잘못된 게이트웨이 정보를 전달한다. 피해자는 공격자를 게이트웨이로 인식하게 되고, 결과적으로 모든 트래픽이 공격자를 거쳐 간다. 이 역시 중간자 공격 형태의 스니핑으로 이어진다.

정리하면 스위치 공격과 스니핑의 핵심 흐름은 이렇다.
스위치는 원래 스니핑이 어렵다.
그래서 공격자는 ARP Spoofing으로 중간자가 되거나, MAC Flooding으로 스위치를 무력화하거나, 관리 기능을 악용한다.
결과적으로 패킷 도청, 세션 탈취, 트래픽 조작이 가능해진다.

반드시 기억해야 할 연결 관계는 다음이다.
스위치 환경 스니핑 → ARP Spoofing
스위치를 허브처럼 만듦 → MAC Flooding
중간자 공격 → 스니핑 + 세션 하이재킹