[지디넷코리아]네트워크 분석에 있어 스니핑(Sniffing)과 스푸핑(Spoofing)이라는 유명한 기법이 있다. 스니핑은 자기 컴퓨터에서 나가거나 들어오는 패킷을 분석해 그 결과를 출력하는 기법을 말하며, 스푸핑은 자기 컴퓨터로 오지 못하는 패킷을 의도적으로 자기 컴퓨터에 경유하게끔 하는 기법을 말한다. 스니핑에 대해서는 많은 곳을 통해 소개되어 왔기 때문에 이번 호에는 스푸핑에 대해 중점적으로 설명하고자 한다.

스푸핑의 원리
<그림 1>처럼 스푸핑은 LAN 상에서 송신부의 패킷을 송신과 관련없는 다른 호스트에게 가지 않도록 하는 스위칭 기능을 마비시키거나 속여서 자기 컴퓨터에게 그 패킷(엄격히 말해 패킷은 전송 계층의 데이터를 말하지만 본 연재에서는 편의상 일반적인 네트워크 데이터를 패킷이라 칭하겠음)이 오도록 처리하는 것을 말한다.

이 경우 송신부에서 내 컴퓨터로 오는 패킷을 다시 수신부로 전송해야 하는데 이를 릴레이(Relay)라 한다. 릴레이를 하지 않으면 송신부와 수신부 사이에 네트워크가 마비된 것처럼 되어 버리기 때문에 반드시 릴레이를 해 주어야 한다.

그리고 릴레이를 할 경우 내 컴퓨터에서 그 패킷을 변조할 수도 있는데, 이는 TCP나 UDP 계층에서 자체적인 프로토콜의 인증 과정의 절차로 인해 수신부에서 패킷을 포기(drop)하므로, 스푸핑에 있어 패킷의 변조는 지양하기를 바란다.


<그림 1> 스푸핑의 적용 효과
Mac 주소의 역할과 ARP 통신
같은 LAN 안에서도 많은 컴퓨터가 존재할 수 있고, 하나의 송신부에서 하나의 수신부로 전송돼야 하는 하나의 패킷이 LAN 상의 모든 컴퓨터로 전송될 필요는 없다. 따라서 컴퓨터의 네트워크의 중간에서 이를 관리하는 네트워크 노드(node)가 있어 각각의 패킷들이 어느 쪽으로 가야할 지 관리하고 이를 수행하는 장치가 있는데, 이를 스위칭 허브(switching hub)라 한다(그 외에도, 이 기능을 할 수 있는 여러 가지 네트워크 장비가 있지만 편의상 스위칭 허브만을 얘기하도록 한다).

스위칭 허브는 수신부 Mac 주소만을 살펴보고 패킷이 어느 쪽으로 가야할 지를 알고 있다. 여기에 사용되는 주소가 바로 Mac 주소라는 것이다. Mac 주소는 6바이트의 길이를 가지고 있으며, 자세한 형식은 지난 호를 참조하기 바란다. 참고로 Mac 주소 통신은 같은 LAN 안에서 이뤄지는 통신만을 말하며, 바깥(다른 LAN에 있는, 즉 같은 게이트웨이를 사용하지 않는 컴퓨터)으로 벗어나면 Mac 주소 통신을 할 수가 없다.


<그림 2> 스위칭 허브의 역할

<그림 3> ARP 통신 흐름도
<그림 3>은 192.168.10.1 컴퓨터 A가 192.168.10.2 컴퓨터 B로 IP 통신을 하기 전에 상대방 컴퓨터의 Mac 주소를 알아내는 ARP(Address Resolution Protocol)의 흐름도를 보여주고 있다. 이 경우 컴퓨터 A는 모든 컴퓨터에 ‘어떤 컴퓨터가 192.168.10.2 IP를 사용하고 있느냐’고 물어봐야 하며(ARP Request), 이중 B가 ‘내가 바로 192.168.10.2 IP를 사용하고 있다’고 응답하게 된다(ARP Reply). <그림 3>에서 요청(Request)과 응답(Reply)를 보내기 전후에 A, B, C의 컴퓨터에서 상대방 컴퓨터의 Mac 주소를 알게 되는 순서를 살펴보자.

	A	B	C
처음 상태
ARP 요청 후		192.168.10.1 - A	192.168.10.1 - A
ARP 응답 후	192.168.10.2 - B	192.168.10.1 - A	192.168.10.1 - A

<표 1> 각각의 컴퓨터가 알고 있는 상대방 컴퓨터의 Mac 주소 캐시 테이블