본문 바로가기
study

Evil Twin Attack

by ms-eo 2025. 11. 18.

공격자들이 가짜 Wi-Fi 핫스팟을 이용해 데이터를 훔치는 방법을 알아보자.

사람을 직접적으로 때리는 물리적인 공격도 존재하지만, 요즘 시대엔 휴대폰, 태블릿, 노트북 등 기기를 통한 공격이 주로 많이 행해진다.

무선 Network(WIFI 등)에 접속하려면 Access Point라고 불리는 Hot Spot에 먼저 접속해야한다.

특정 Access Point와 동일한 이름을 가진 가짜 Access Point를 구축해서 가짜 Access Point에 접속한 무선 WiFi 사용자를 대상으로 악성 행위를 수행하는 공격을 Evil Twin Attack이라고 한다.

Evil Twin

공격자가 가자 와이파이 Access Point를 설치해 놓은 경우, 피해자가 그 Access Point에 접속하여 무선 인터넷을 사용하는 경우는, 개인정보가 공격자에게 노출이 될 수 있다.

공격자의 가짜 Wi-Fi Access Point가 진짜 Wi-Fi Access Point와 동일한 Access Point 이름을 가지고 있기 때문에 Evil Twin Access Point라고 한다.

Evil Twin Access Point에 접속한 피해자는 2가지 유형의 공격을 당할 가능성이 존재한다.

  1. 피해자의 Network Traffic을 가로채기 때문에, 중간자 공격 즉, Man In The Middle(MITM) Attack을 수행할 수 있다. 따라서, 공격자는 Evil Twni을 통하여 피해자의 로그온 정보나 개인 정보를 도청할 수 있다.
  2. Access Point에 접속하는 경우, 도메인 주소에 대응되는 IP 주소를 알기 위해 DNS 서버를 이용하므로, 공격자가 만든 피싱 사이트로 접속을 유도할 수 있다. 해당 피싱 사이트에 접속한 경우, 로그온 정보 등 민감한 정보가 공격자에게 넘어간다. 공격자는 피해자의 의심을 피하기 위해, 기술적인 이유로 사이트 접속이 끊어졌다는 메시지를 보내고, 이후에 피해자가 다시 접속을 시도하면 이번에는 진짜 사이트에 대한 IP 주소를 보내, 진짜 사이트로 접속하도록 한다.

Evil Twin Attack

공격 방법은 아래와 같다.

  1. 공격자는 Wi-Fi Access Point가 많이 설치되어 있는 공공장소에 가짜 Wi-Fi Access Point를 설치한다. 보통 공공장소에는 동일한 Access Point 이름(SSID, Wi-Fi 이름)이 여러 개 존재하므로, 사람들이 의심을 많이 하지 않기 때문이다.
  2. 진짜 Access Point가 Captive Portal Page를 운영한다면, 공격자는 가짜 Captive Portal Page를 생성한다. 이를 통해 공격자는 접속한 사용자에게 기본적인 질문을 한 후, 인터넷에 접속을 하게 해준다. 유료 Wi-Fi인 경우는 사용자의 ID와 Password를 요구하기도 한다.
  3. 피해자가 Evil Twin Access Point에 접속해야 한다. 이렇게 하기 위해서는 두 가지 방법이 존재한다.
    • 진짜 Access Point보다 더 강력한 무선 신호를 보내야 한다. 가장 자연스러운 방법은 Evil Twin Access Point가 진짜 Access Point 보다 피해자에 더 가까이 위치하게 하는 것이다. 무선 Wi-Fi를 지원하는 Device는 한번 접속한 Access Point 의 SSID를 기억하고 있기 때문에, 공격자가 동일한 SSID를 가진 Evil Twin Access Point를 구성하여 보다 강한 전파를 보내면, 피해자는 Evil Twin Access Point를 자신이 접속한 적이 있는 Access Point로 인식하고 접속을 하게 된다. 자동 연결 기능을 사용하고 있으면, Evil Twin Access Point 반경에 들어서면 자동으로 접속하게 된다.
    • 진짜 Access Point와 접속한 사용자 사이에 방해 패킷을 보내서 접속을 disconnect시킨다. 그러면 다시 접속을 시도하게 되고, 따라서 Evil Twin Access Point에 접속할 가능성이 생기는 것이다.

Evil Twin Attack 방지

  1. 비밀번호가 필요 없는 개방형 Wi-Fi 네트워크는 절대 신뢰 금지
  2. 사용하지 않을 때는 Wi-Fi 끄기
  3. 공공 Wi-Fi 네트워크를 사용할 땐 은행 계좌나 중요한 서비스 연결 금지
  4. HTTPS를 지원하는 사이트에만 접근하기
  5. VPN 사용하기
  6. 기억하는 네트워크 목록을 수시로 정리하기
  7. 기기가 알려주는 경고 또는 메시지 무시하지 말기. 뭔가 이상한 것이 감지되었기 때문에 알려주는 것이다.

'study' 카테고리의 다른 글

DDoS (분산 서비스 거부) 공격  (0) 2025.11.18
국내 사이트 대상 DDoS 공격  (0) 2025.11.18
CrowdStrike Falcon 제품으로 인한 Windows 시스템 비정상 종료 (블루스크린) 관련 조치  (0) 2025.11.18
다크웹 사이트 접속 방법  (0) 2025.11.18
APT 문서형 악성코드 분석  (0) 2025.11.18

관련글

티스토리툴바