[정보보호개론] Session Hijacking 공격

세션 하이재킹 공격은 세션을 가로채서 공격하는 방법입니다. 세션은 사용자와 컴퓨터 또는 컴퓨터 간 연결상태가 활성화 된 상태를 위해 사용하는 방법입니다. 클라이언트-서버 간 연결되어 있거나 사용자가 특정 컴퓨터에 로그인되어 있는 상태들을 말합니다. 이러한 세션을 가로채서 공격하는 방법입니다.

이 중 TCP 세션 하이재킹의 경우 공격자가 공격대상자의 세션을 하이재킹함으로서 본인이 세션을 유지하고 있도록 하는 방법입니다. TCP 세션 하이재킹은 TCP가 가진 고유한 취약점을 이용하게 됩니다. TCP는 클라이언트-서버간 통신 시 패킷의 연속성을 보장하기 위해 시퀀스 넘버를 사용합니다. 각 패킷에 번호를 붙여 패킷의 순서를 알 수 있도록 하는 것이죠. 클라이언트, 서버에 잘못된 시퀀스 넘버를 전달함으로서 연결된 세션에 혼란을 준 뒤 그 틈을 이용해 중간에 끼어들어가는 방식입니다. 중간에 끼어들어가 클라이언트 - 공격자 - 서버 의 순서로 모든 패킷이 공격자를 지나가도록 하는 방법입니다. 공격자는 서버에게 RST 패킷을 전달하여 연결을 리셋하고, 다시 3-Way handshaking을 통해 서버와 연결됩니다.

위 방법을 이용해 공격자는 클라이언트가 열어놓은 세션을 하이재킹 할 수 있습니다. 특히 텔넷 등의 취약한 프로토콜은 쉽게 하이재킹 당할 수 있습니다. SSH와 같은 인증 수준이 좀 더 높은 프로토콜을 사용하는 것을 추천드립니다.

감사합니다.