최근 ARP Spoofing으로 피해가 속출하고 있다. 우리 대학에서도 이미 여러차례 피해사례로 네트워크에 커다란 피해를 주고 있다. 이번 ARP Spoofing의 경우 자신의 시스템 외에 동일 네트워크 내에 있는 다른 사용자에게 피해를 확산시키므로 주의를 해야 한다.
ARP Spoofing은 지난 6월 23일 최초 발견된 악성코드로 중국에서 제작된 것으로 판단되고 있다. 진단명 Win-Trojan/ARPSoofer.11701로 국내에 심각한 피해를 입히고 있는 것으로 알려졌다.
주로 해킹된 후 악성코드 다운로드가 삽입된 홈페이지에 접속을 할 경우 감염되고 일단 해킹 된 홈페이지에 접속을 해 감염이 될 경우 2차 감염으로 인한 피해도 클 것으로 예상된다.
2차 피해는 주로 요즘 이동식 저장장치로 많이 사용하는 USB를 통해서 전파가 되거나 취약한 패스워드를 사용하는 PC에 악성코드를 삽입, 이 후 악성코드에 password dictionary가 내장되어 내부에서 전파된다.
ARP Spoofing의 공격기법은 자신의 MAC Address를 타 시스템의 Mac Address로 위조하여 타 시스템으로 향하는 트래픽을 감염된 시스템으로 유도한다.
이로 인하여 데이터 절취가 이루어지고 또한 내부의 통신장애를 유발한다. 최근에 발생된 ARP Spoofing의 경우 인터넷과 특정 내부 application 서버로 통신이 안되거나 시스템의 모든 폴더에 winsock32.dll이라는 파일이 자동으로 생성이 된다.
다른 감염 증상으로 오피스와 한글과 같은 exe 확장자를 가진 파일이 실행 시킬 때 오류가 생기기도 한다. 또한 내부 호스트 파일(C:\\Windows\\System32\\Drivers\\etc\\hosts 파일이 최근 변경)이 변조되기도 한다.
ARP Spoofing 예방법과 재확산 방지 방법
ARP Spoofing을 막기 위해서는 운영체제 및 백신 엔진을 최신 상태로 유지해야 한다. 특히 불필요한 웹사이트는 접속을 하지 않는 것이 좋고 각 서버의 로그인 password를 복잡하게 바꾸길 업계는 권고한다.
가급적 공유폴더 생성을 자제하고 꼭 필요한 경우 적절한 권한 설정을 하고 디스크의 전체파일을 주기적으로 수동검사를 하는 것이 좋다. 만약 감염된 시스템이 존재하는 경우에는 또 다시 변조가 될 수 있으므로 감염된 시스템을 찾아서 근본적인 조치를 취해야 한다.