프라이버시, DAD 악용한 서비스거부 공격, NS 메시지 위장 공격 등


[보안뉴스= 지승구 KISA 인터넷침해대응센터  책임연구원] IPv6 시대의 새로운 보안이슈는 우선 프라이버시 문제가 있을 수 있다.
 
자동 주소 설정에 사용되는 인터페이스 주소에는 사용 중인 기기의 종류를 판별할 수 있는 식별 값, 제조사, 모델번호 등이 포함되어 있기 때문에 IPv6 주소를 통해 사용자의 의사와 상관없이 공격자에게 사용 중인 하드웨어의 특정 정보를 제공하는데 쓰일 가능성이 존재한다.
 
IPv6 주소의 하드웨어 ID 부분을 이용해 네트워크에 존재하는 각 장치들의 활동을 추적할 수 있다.

그리고 DAD(Duplicate Address Detection)를 악용한 서비스거부 공격의 가능성도 배제할 수 없다. 자동주소 설정기능을 이용해 IPv6 주소를 생성하는 모든 노드들은 DAD 메커니즘을 이용하여 주소의 유효성 여부를 검증받아야 한다. 일반적으로 부팅 시 자동으로 가장 먼저 생성되는 링크 로컬 주소를 검증하기 위해 DAD가 처음으로 실행된다.

만약 링크 로컬 주소의 DAD 검사가 통과하면 이후 동일 인터페이스 카드 ID로 생성되는 다른 IPv6 주소는 DAD 검사를 수행할 필요 없이 유일함을 보장 받는다. RFC2462에서는 할당된 IPv6 주소가 DAD 검사에 실패했을 때 그 주소를 사용할 수 없음을 명시하고 있다. 이를 악용하여 사용자는 DAD 검사가 실패하도록 계속해서 고의적인 메시지를 전송함으로써 서비스거부 공격을 발생시킬 수 있다.

NS(Neighbor Solicitation)/NA(Neighbor Advertisement) 메시지 위장 공격도 가능하다. 악의적인 사용자는 IPv4의 ARP(Address Resolution Protocol) 스푸핑 공격과 유사하게 NS/NA 메시지 내의 Source link-layer 옵션과 Target link-layer 옵션에 저장될 링크 계층 주소를 조작하여 이 메시지를 수신한 노드들이 해당 메시지에 저장된 링크 계층 주소를 기반으로 네이버 캐시 엔트리를 변경하도록 유도할 수 있다. 이를 통해서 패킷 전달 경로를 우회하도록 만들 수 있다.

또한, NUD(Neighbor Unreachability Detection) 실패 유도 공격도 가능하다. NUD 메커니즘은 악의적인 사용자가 자신의 공격을 계속해서 유효한 상태로 만드는 데 악용될 수 있다. 즉 NS(Ne ighbor Solicitation)/NA(Neighbor Advertisement) 위장 공격에서 설명한 것처럼 공격자는 링크 상에 존재하지 않는 주소로 Victim 호스트의 네이버 캐시 엔트리를 생성하도록 할 수 있으며, 이 경우 Victim 호스트는 해당 패킷이 존재하지 않는 호스트로 전달되어 어떠한 응답 패킷도 받을 수 없는 상태가 되기 때문에 NUD 메커니즘을 수행하게 된다.

정상적인 경우 NUD 과정은 실패하게 되기 때문에 Victim 호스트에 불법으로 생성된 네이버 캐시 엔트리는 삭제될 것이다. 그러나 공격자는 Victim 호스트가 수행하는 NUD 과정에 개입해 또 다시 링크 계층 주소가 위장된 NA 패킷으로 응답함으로써 NS/NA 메시지 위장 공격이 계속해서 유효한 상태로 유지되도록 유도할 수 있다.

라우터 위장 공격의 경우 공격 호스트는 로컬 링크 상의 노드들에게 위장된 패킷을 전송함으로써 자신이 네트워크 내의 라우터인 것처럼 위장할 수 있다. 네트워크 내의 호스트들이 공격 호스트를 디폴트 라우터로 설정하도록 함으로써 전송되는 모든 트래픽이 공격 호스트로 우회하여 전달되도록 한다. 이는 패킷 전달 경로 우회 공격에 해당된다. 만약 공격 호스트가 해당 트래픽을 중간에서 모두 차단한다면 노드들의 정상적인 패킷 전송이 불가능해지기 때문에 서비스 거부 공격을 유발하는 데 악용될 수도 있다.

디폴트 라우터 삭제 공격도 있을 수 있다. RFC2461에 의하면 IPv6에서는 노드의 디폴트 라우터 리스트에 등록된 라우터가 한 개도 존재하지 않을 경우 자신이 속한 네트워크에서 패킷을 전송할 때 라우터가 필요하지 않은 것으로 인식하기 때문에 모든 노드들이 1홉 내의 on-link 상에 존재한다고 간주한다.

공격자는 위 사실을 악용하여 서비스거부 공격을 수행한 후 노드의 디폴트 라우터 리스트에 어떠한 엔트리도 존재하지 않도록 만듦으로써 Victim 호스트들이 자신이 통신하고자 하는 모든 노드가 on-link 상에 존재하는 것처럼 착각하도록 유도할 수 있다.

리다이렉트 메시지 위장 공격도 가능하다. 일반적으로 호스트들은 라우터로부터 리다이렉트 메시지를 받았을 경우 해당 메시지의 소스 주소가 자신이 메시지를 전송했던 라우터의 링크 로컬 주소와 일치하는지의 여부를 검사하여 해당 메시지의 유효성 여부를 검사한다. 즉 받은 리다이렉트 메시지의 소스 주소가 전송된 메시지의 목적지 주소(라우터 링크 로컬 주소)와 일치한다면 해당 리다이렉트 메시지는 유효한 것으로 간주된다. 패킷내용 변조에 대한 검증절차가 없기 때문에 이를 악용한 리다이렉트 메시지 위장 공격이 가능하다.

파라미터 위장 공격도 있을 수 있다. 라우터에 의해서 주기적으로 전송되는 RA(Router Advertisement) 메시지 내에는 통신을 위해 필요한 여러 값을 설정하는 데 필요한 파라미터들을 포함하고 있다. 다른 RA 메시지 위장 공격들과 마찬가지로 이 파라미터들 역시 공격 호스트의 의도에 따라 다른 값들로 변경될 수 있으며 이는 해당 RA 메시지를 수신하는 네트워크 내의 모든 호스트들에게 영향을 미칠 수 있다.

IPv6 보안 취약점 대응방안으로는 우선 IPv6 침입탐지 및 차단 기술 관점에서 보면 RFC3041의 프라이버시 확장기법 및 DAD에 대한 대응 방안으로 방화벽의 접근 제어 리스트에 프라이버시 확장 기법에 의해 변경되는 IP가 반영될 수 있도록 지원, DAD가 서비스 거부 공격에 악용될 수 있으므로 이 기법에 관여되는 모든 패킷을 IPsec의 AH 헤더를 이용한 인증 후 사용할 수 있도록 하거나 DAD 패킷 모니터링 기능을 방화벽 및 침입탐지/차단 시스템에서 지원할 수 있도록 하는 방법이 있다.

ND 메커니즘 및 주소 자동 설정 관련 대응 방안으로는, ND 메커니즘과 주소 자동 설정 메커니즘은 IPv6 프로토콜이 정상적으로 동작하기 위해 반드시 필요한 매우 중요한 구성 요소임에도 불구하고 여러 보안 공격에 악용될 수 있기 때문에 해당 메커니즘을 수행하는 데 필요한 메시지의 신뢰성을 보장하는 방안이 요구된다. 따라서 이 메커니즘을 안전하게 실행하기 위해 SEND를 사용하거나 방화벽 및 침입 탐지/차단 시스템에서 해당 메커니즘을 수행하는 데 필요한 메시지에 대한 모니터링 및 관리를 위한 기능 지원이 필요하다.

IPv6 확장 헤더 관련 대응 방안으로는, 라우팅 확장 헤더를 이용하여 트래픽 필터링 정책 우회 및 추적 우회 가능성을 차단하기 위해서 경유 경로상에 존재하는 호스트도 필터링 정책에서 처리할 수 있도록 지원 필요, 패킷 필터링 정책 우회, fragment overlapping, 서비스 거부 공격에 사용될 가능성을 차단하기 위해서 IPv6 확장 헤더가 포함된 모든 패킷의 용도를 검사할 수 있는 패킷 필터링, 침입탐지/차단 규칙에 대한 지원이 필요하다.

방화벽, 침입탐지/차단 시스템 관점에서 보면 방화벽에서는 어떠한 확장 헤더 등이 통과하고 처리 되어야 하는지 처리할 수 있도록 지원, 보더 라우터에서는 내부망에서 사용될 IPv6 주소 필터링 규칙 정의 지원, ICMPv4 및 ICMPv6 패킷(Type 2, 4, 130-136)에 대한 필터링 지원, 1280 옥텟 이하의 모든 프래그먼트 부분은 폐기, IPv6 지원 인그레스 필터링, 터널링 및 IPv4/IPv6 전환 메커니즘에 사용되는 프로토콜 및 포트번호 처리 지원이 필요하다.

또한 이와 더불어 보안 강화가 필요한 중요한 시스템의 경우는 static ND 엔트리를 정의하여 사용하거나 BGP, IS-IS 등 라우팅 프로토콜상에 인증 및 보안 메커니즘 사용, OSFPv4, RIPng 등에 IPsec 사용, 6to4와 같은 동적 터널링보다는 정적인 터널링을 사용하는 방법이 필요하다.
[글_지승구 KISA 인터넷침해대응센터  책임연구원(eleca@kisa.or.kr)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>