[정보처리기사 실기 이론] 세션 하이재킹(Session Hijacking) 개념 | 탐지 방법

 

🧩 세션 하이재킹이란?

📌 개념

• 케빈 미트닉이 사용했던 공격 방법 중 하나로 TCP 세션 관리 취약점을 이용한 공격기법.
• 웹사이트에 로그인한 사용자의 세션을 가로채서,
  공격자가 그 사람인 척 접속하는 공격이다.

---

📦 비유

“놀이공원에서 친구가 줄 서 있는 걸 보고,
뒤에서 몰래 줄에 껴들어 표 없이 입장하는 것”

• 서버는 이미 로그인한 사람이니까 정상 사용자로 착각하게 된다.

 

🧩 탐지 방법

탐지방법	의미	예시	관련 공격
비동기화 상태	TCP 시퀀스 번호 어긋남	메시지 순서가 꼬임	세션 하이재킹, MITM
ACK 패킷 비율 이상	ACK만 반복되거나 없음	대화 중 "응, 응..."만 계속	세션 탈취, 세션 간섭
특정 세션에서 패킷 유실·재전송 증가 탐지	패킷 손상·지연	편지를 여러 번 보내야 도착	중간자 공격, 세션 간섭
기대하지 않은 접속의 리셋 탐지	세션이 갑자기 끊김	전화선이 끊김	공격자가 세션 강제 종료 후 탈취 시도

 

✅ 1. 비동기화 상태 탐지 (Desynchronization Detection)

📌 개념

• 통신하는 두 장치(TCP 클라이언트와 서버)의 시퀀스 번호나 세션 상태 정보가 서로 어긋난 상태를 말한다.
• 세션 하이재킹 시 공격자는 정확한 시퀀스 번호를 알지 못해 클라이언트와 서버 간 상태가 비정상적으로 된다.

📦 예시

원래는 메시지 순서가 1→2→3→4가 되어야 하는데,
공격자가 중간에 끼어들면서 순서가 뒤틀려 2→5→3→4가 되는 상황이다.

🧠 왜 중요할까?

• 이런 **순서 어긋남(Desync)**은 자연스럽게 발생하지 않기 때문에
  **세션 탈취 또는 중간자 공격(MITM)**을 의심할 수 있는 강력한 신호다.

---

✅ 2. ACK 패킷 비율 모니터링 (Monitoring ACK Ratio)

📌 개념

• TCP 통신에서 ACK(응답 확인) 패킷은 매우 중요하다.
• 정상적인 통신에서는 데이터 → ACK → 데이터 → ACK 패턴이 유지된다.
• 그런데 세션을 탈취하거나 간섭하는 공격자가 등장하면, ACK 없이 데이터만 쏟아지거나
  혹은 ACK만 계속 반복적으로 오는 비정상 패턴이 나타날 수 있다.

📦 예시

“대화에서 A가 계속 말하는데 B가 ‘응, 응, 응...’만 하고 아무 말도 안 하는 느낌”
→ 비정상 대화 상태로 볼 수 있다.

🧠 왜 중요할까?

• ACK 비율이 비정상적이면, 세션에 제3자가 개입했거나 네트워크가 공격받고 있다는 신호일 수 있다.

---

✅ 3. 특정 세션에서 패킷 유실 및 재전송 증가 탐지

📌 개념

• 세션 하이재킹이나 MITM 공격이 발생하면,
  패킷이 중간에 도착하지 않거나, 손상되어 재전송 요청이 늘어날 수 있다.
• 또한 공격자가 가짜 패킷을 보내거나 정상 흐름을 차단하면 전송 실패율이 올라간다.

📦 예시

원래 편지가 하루 만에 오는데, 중간에서 누가 몰래 편지를 훔쳐보고 다시 보내면서
편지가 자꾸 늦게 오거나 여러 번 보내야 도착하는 상황이다.

🧠 왜 중요할까?

• 일정 세션에서만 유독 패킷 유실률과 재전송률이 높다면,
  세션을 가로채려는 시도가 있다는 강력한 경고 신호로 볼 수 있다.

---

✅ 4. 기대하지 않은 접속의 리셋 탐지 (Unexpected TCP Reset Detection)

📌 개념

• TCP 연결을 강제로 끊는 방식 중 하나가 RST(Reset) 패킷이다.
• 공격자는 세션을 탈취하거나 방해하기 위해 정상 세션에 RST 패킷을 보냄으로써 연결을 끊어버릴 수 있다.
• 만약 사용자가 끊지 않았는데 의도치 않은 RST 패킷이 자주 발생하면,
  공격자가 세션을 종료시키고 그 자리를 노리는 것으로 볼 수 있다.

📦 예시

누군가가 몰래 전화선을 잘라버려서 통화가 갑자기 끊기는 것과 같다.

🧠 왜 중요할까?

• 정상적인 종료는 FIN 패킷을 통해 순차적으로 이루어지지만,
  RST는 비정상적이거나 공격적인 종료 방식이므로 주의 깊게 봐야 한다.