Switch Jamming 공격 기법과 보안 대응 방안

by

Switch Jamming이란?

Switch Jamming은 네트워크 보안 공격 기법 중 하나로, 위조된 MAC 주소를 지속적으로 네트워크에 전송하여 스위치의 주소 테이블(MAC Address Table)을 오버플로우 시키는 방식으로 작동합니다. 이 공격이 성공하면 스위치는 정상적인 MAC 주소 학습 기능을 상실하고, 결국 모든 패킷을 브로드캐스트 방식으로 전송하게 됩니다. 이를 이용하여 공격자는 네트워크 내의 트래픽을 스니핑(Sniffing)할 수 있습니다.

Switch Jamming 공격 원리

  1. MAC 주소 오버플로우

    • 일반적으로 스위치는 학습한 MAC 주소를 MAC Address Table에 저장합니다. 하지만 해당 테이블에는 저장 가능한 주소의 개수에 제한이 있습니다.

    • 공격자는 위조된 다량의 MAC 주소를 지속적으로 네트워크에 유입하여 이 테이블을 가득 채웁니다.

  2. 스위치의 브로드캐스트 전환

    • MAC Address Table이 가득 차면, 스위치는 새로운 MAC 주소를 저장하지 못하고 모든 트래픽을 브로드캐스트 모드로 전환합니다.

    • 이로 인해 공격자는 해당 네트워크 내의 모든 트래픽을 감지할 수 있는 환경을 조성하게 됩니다.

  3. 스니핑 공격 수행

    • 공격자는 Wireshark 등의 네트워크 모니터링 도구를 사용하여 전송된 패킷을 가로채고, 민감한 정보를 탈취할 수 있습니다.

Switch Jamming 공격의 영향

  • 네트워크 성능 저하: 모든 트래픽이 브로드캐스트로 처리되면서 대역폭을 소모하여 네트워크 성능이 급격히 저하됩니다.

  • 데이터 탈취 위험: 공격자가 민감한 데이터를 가로챌 가능성이 높아지며, 계정 정보, 비밀번호, 금융 데이터 등이 유출될 수 있습니다.

  • 서비스 장애: 네트워크 내의 트래픽이 정상적으로 흐르지 못하게 되어 서비스 운영이 어려워질 수 있습니다.

Switch Jamming 공격 방어 방법

  1. Port Security 설정

    • 스위치 포트에서 학습할 수 있는 MAC 주소의 개수를 제한하는 기능을 활성화하여 임의의 MAC 주소가 지속적으로 학습되지 않도록 설정합니다.

    • 예를 들어, Cisco 스위치에서는 다음과 같은 명령어를 사용할 수 있습니다:

      switch(config-if)# switchport port-security
switch(config-if)# switchport port-security maximum 10
switch(config-if)# switchport port-security violation restrict

    • 허용된 MAC 주소 외의 다른 MAC 주소가 감지되면 자동으로 차단하는 기능을 활성화할 수도 있습니다.

  2. Dynamic ARP Inspection (DAI) 활성화

    • DAI를 설정하면 ARP 스푸핑과 MAC 주소 변조 공격을 탐지하고 차단할 수 있습니다.

    • Cisco 스위치에서 DAI를 활성화하는 방법:

      switch(config)# ip arp inspection vlan 10

  3. BPDU Guard 및 Root Guard 활성화

    • BPDU Guard는 네트워크에 불법적인 스위치가 연결되는 것을 방지합니다.

    • Root Guard를 사용하면 악의적인 사용자가 STP(Spanning Tree Protocol)를 변경하여 네트워크를 중단시키는 것을 방지할 수 있습니다.

    • 설정 예시:

      switch(config-if)# spanning-tree bpduguard enable
switch(config-if)# spanning-tree guard root

  4. 네트워크 모니터링 및 로그 분석

    • 네트워크 트래픽을 지속적으로 모니터링하여 의심스러운 MAC 주소의 증가를 감지하고, 이상 징후가 발생할 경우 즉시 대응할 수 있도록 합니다.

    • SNMP(Simple Network Management Protocol) 및 SIEM(Security Information and Event Management) 솔루션을 활용하면 더욱 효율적으로 감시할 수 있습니다.

  5. 802.1X 인증 사용

    • 네트워크에 연결된 장치의 신원을 인증하여 무단 기기의 접속을 방지합니다.

    • RADIUS 서버와 연동하여 네트워크 접근을 제어할 수 있습니다.

    • 예시 설정:

      switch(config)# aaa new-model
switch(config)# aaa authentication dot1x default group radius
switch(config)# dot1x system-auth-control

  6. MAC Address Sticky 기능 사용

    • 특정 포트에 학습된 MAC 주소를 고정하여 불법적인 MAC 주소가 유입되는 것을 방지할 수 있습니다.

    • 예시 설정:

      switch(config-if)# switchport port-security mac-address sticky

  7. VLAN 세분화 및 트래픽 제한

    • VLAN을 활용하여 네트워크를 분리함으로써 공격자의 범위를 제한할 수 있습니다.

    • ACL(Access Control List)을 활용하여 특정 트래픽을 제한할 수도 있습니다.

  8. 네트워크 장비의 최신 패치 적용

    • 스위치 및 네트워크 장비의 펌웨어를 최신 버전으로 유지하여 보안 취약점을 최소화해야 합니다.

결론

Switch Jamming 공격은 네트워크 보안에 심각한 위협을 가하는 공격 기법으로, 스위치의 정상적인 동작을 방해하고 트래픽을 탈취하는 데 악용됩니다. 이를 방어하기 위해서는 Port Security 설정, Dynamic ARP Inspection, BPDU Guard 등의 보안 기능을 적극 활용하고, 네트워크 모니터링을 철저히 수행해야 합니다. 또한 802.1X 인증, MAC Address Sticky 기능, VLAN 분리 등의 방법을 적용하여 네트워크의 보안성을 한층 강화해야 합니다. 기업 및 기관에서는 이러한 공격에 대비하여 네트워크 인프라를 강화하고 보안 정책을 지속적으로 개선해야 합니다.

MQTT란? IoT 환경에서 최적화된 경량 메시지 프로토콜

1 thought on “Switch Jamming 공격 기법과 보안 대응 방안”

  1. Pingback: ECB(Electronic Codebook) 블록 암호 운용 방식 이해하기 – carinfo

Leave a Comment