> For the complete documentation index, see [llms.txt](https://docs.cooku222.kr/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.cooku222.kr/security/papers/digital-forensics/undefined.md). # 와이어샤크를 이용한 네트워크 프린터의 통신상 보안 취약점 진단 \*본 글의 모든 내용, 그림, 표 출처는 논문 원문에 있습니다. 논문 : 와이어샤크를 이용한 네트워크 프린터의 통신상 보안 취약점 진단, 대전대학교 정보보안학과, 조영복 *** 키오스크의 탄생 -> 과거의 1:1 PC - 프린터기 통신에서 현재 1:N으로 확장됨 (TCP/IP 통신 기반) \=> 이 과정에서 네트워크의 취약점을 공격해 중요한 원문 문서를 탈취하는 경우가 발생함 TCP/IP 통신이란? 인터넷에서 사용되는 통신 규약의 모음(총 1\~4계층으로 분화하는데, 네트워크 접근 계층, 인터넷 계층, 전송 계층, 응용 계층) *** #### 네트워크 프린터의 통신상 보안 취약점 진단 **네트워크 프린터 통신** * 컴퓨터와 프린터는 TCP/IP 통신을 함 * PC(컴퓨터) -> 인쇄 문서 스풀링(Simultaneous Peripheral Operation On - Line, 컴퓨터 시스템에서 중앙처리장치와 입출력장치가 독립적으로 동작함으로써 중앙처리장치에 비해 주변장치의 처리속도가 느려서 발생하는 대기시간을 줄이기 위한 기법) -> 송신 **\* 송신할 때 쓰이는 방법** * LPR/LPD 서비스 : TCP/IP 인쇄 서비스, 515 Port 사용, RFC 1179에 규정 * RAW 방식 : 문서가 네트워크로 연결된 프린터로 전송되기 전에 번역되는 방식, Windows OS or 표준 TCP/IP을 사용 안 함, 9100 포트 적용 **IPP(Internet Printing Protocol) 프로토콜** : 631번 port(Well-known port), TCP/IP를 사용하는 인터넷 및 인트라넷상의 인쇄 작업의 전송 감시 그리고 관리를 위한 표준 * 통신을 위해서 필요한 것 : HTTP 서버 JavaTM, SSL이 요구됨 + 보안을 위해 IPPS(Inpatient Prospective Payment System, IPPS) * TLS(Transport Layer Security): 인터넷 커뮤니케이션을 위한 개인 정보와 데이터 무결성을 제공하는 보안 프로토콜 * 패킷 스니핑의 위험과 외부 공격으로부터 차단을 할 수 있음 * 다만, IPP를 지원하지 않는 프린터도 있어서 보편적인 해결책이 될 수는 없음
**IEEE(Institute of Electrical and Electronics Engineers) P2600** \- IEEE 조직에서 복합기를 대상으로 사용자 데이터, 시스템 관리 데이터, 물리적 자원, 복합기에 적용된 펌웨어 등 복합기 자산을 정의하고 중요도에 따라서 운영 방식을 제공

IEEE P2600에서는 환경별 자산, 위협, 보안 요구사항의 특성 반영한 지침

**인쇄 데이터 포맷** * 하나로 통일된 표준이 존재하지 않음, 각 프린터 제조사별로 보유하는 독자적인 언어들이 존재 * PJL(Printer Job Language) : 프린터 언어 변환, 작업 분리, 환경 명령, 상태 되읽기, 장치 관리 및 파일 체계 명령과 같은 작업 수준 제어 * PCL(Printer Command Language) : 출력할 문서의 폰트, 그래픽, 색상 등 정보를 통해 이미징 작업을 수행
**공격 분류** * 출력을 위한 파일을 복사하는 경우 : 파일 유출 시기/ 유출 경로/ 유출 예상 -> 와이어샤크(오픈 소스 패킷 분석 -> 한 번에 전송되는 정보의 단위를 볼 수 있는 툴이라고 생각하면 된다) 를 통해 패킷 캡쳐 + 소스 파일을 공격자 임의로 변경하여 출력물의 무결성이 훼손 * 제3자가 출력해서 발생하는 공격 * 해당 논문이 제공하는 솔루션 : 네트워크 프린터의 통신상 취약점을 실험을 통해 증명하고 보안 요구사항 및 필요성을 제시
**네트워크 프린터 환경** 통신 메커니즘 인쇄 요청 * 인쇄 문서에 관한 정보를 프린터가 해석할 수 있는 언어(PCL, PJL, Post Script 등)로 기록 * 운영체제에서 제공하는 스풀링을 거침 * SPL 파일을 생성하여 네트워크를 통해 프린터에 패킷 단위로 전송
**ARP Spoofing** \*통신하는 두 PC사이에 중간자 공격으로 MAC Address를 속이는 공격 실행 * 네트워크 프린터에서 생성된 ARP reply 프레임을 와이어샤크를 이용해 캡처함
과정) 외부 공격자가 인쇄 작업 패킷을 전송하여 강제로 출력 명령을 내려 프린터의 자원을 고갈시키는 방법을 통해 프린터를 마비시킴 인쇄 작업 패킷에 악성코드 삽입 -> 연산에 시간을 많이 투자하게 하는 명령 제시(RIP(Raster Image Processor)에서 연산 발생) Post Script 명령어 + %! {} loop 명령을 추가하여 패킷을 전송 -> 무한 루프(loop) (서비스 거부 공격) ->프린터의 악성코드에 대한 취약성과 네트워크를 통해서 프린터에게 악성코드를 쉽게 전송함 + 메타데이터의 변경을 통해 그 대상을 쉽게 획득 가능
ARP 프로토콜의 ARP Request와 ARP Reply 동작 -> 주소결정 프로토콜로 사용됨 ARP Request -> Broadcast 방식 : 송신 호스트가 전송한 데이터가 네트워크에 연결된 모든 호스트에 전송되는 방식

최종 목적 * ARP 사용하는 호스트 B(여기서 B는 객체로 분류됨) -> MAC 주소(물리적 주소라고도 함) 탈취 * 호스트 B : ARP Reply 패킷을 호스트 A에게 Unicast(고유주소로 식별된 하나의 네트워크 목적지에 1:1로 One-to-one traffic or Message를 전송하는 방식)로 전달

\*호스트 A는 Reply 패킷을 받음 * ARP 캐쉬 테이블에 호스트 B의 MAC 주소를 저장하고, ARP 캐쉬 테이블은 가장 마지막에 전달된 ARP Reply 패킷을 기준으로 갱신되어 ARP Protocol의 구조적인 특징 = ARP Spoofing 공격 (온라인 사기범이 신원을 숨기고 사칭하는 모든 경우를 의미함) **보안 위험성 실험**

네트워크 프린터를 이용시 제공되는 문서함을 캡 쳐하고 문서함에서 파일을 전송 시 발생되는 패킷을 캡처

Raw 형태로 송신되는 패킷을 와이어샤크로 덤프한 뒤 문서편집기로 실행한 사진

해당 사진에서 얻을 수 있는 정보 * 출력하는 문서 파일명과 출력 명령을 내린 사용자 ID등이 보임 * 크롬에서 제공되는 editThisCookie를 이용해 추출된 덤프파일에서 다양한 사용자 정보를 확인할 수 있음 * 공격자는 메타 정보 기반의 문서 권한의 불법적 획득이 가능하게 됨

0x000005C0부터 파일의 끝까지 PCL로 문서의 페이지 정보, 문자, 글꼴, 이미지, 색상 등 출력에 사용되는 모든 정보들이 기록됨

* PCL로 기록되어 있는 바이너리 형태의 내용들이지만 PCL Converter 프로그램을 이용하면 바이너리로 존재하는 패킷을 원본 문서로 복원 할 수 있음

* 이 경우, 네트워크 게이트는 지속적으로 reply 프레임을 전송하게 됨. * ARP 스푸핑 공격 탐지를 어렵게 할 뿐 아니라 오버헤드를 발생하는 문제점 발생

* 중간자 공격과 같은 네트워크 공격에 의해 패킷 스니핑을 통해 피해자의 네트워크 프린터 전송 패킷을 확보하\ 면 공격자는 원본 형태의 문서로 변환시킬 수도 있으며, 패킷을 덤프 후 동일한 모델의 프린터에 전송시켜 피해자의 출력 문서를 공격자가 출력 할 수도 있다는 위협이 발생함 * 네트워크 프린터에서 사용되는 문서의 쿠키 정보 일부만 수정하여도 공격자에게 문서 접근권한이 넘어가게 되어 임의의 문서 수정이 가능하게 됨.
**실험 결과**

위 실험에서는 표 2의 실험에 적용된 장비들의 사양으로 공격자 PC에 Kali linux 운영체제를 설치하여 공격을 진행 * 피해자의 PC는 실제로 가장 많이 사용되는 운영체제인 Windows10을 설치하여 실험을 진행

실험에 사용된 기기들의 IP 주소와 MAC 주소를 기술한 것으로 공격자와 피해자, 프린터의 IP주소와 MAC 주소를 확인할 수 있음. * 스푸핑을 진행하였을 때 IP주소와 매칭된 MAC 주소의 변경을 확인 가능. * ARP Spoofing을 공격을 받은 피해자의 ARP Cache Table을 나타냄. ARP 테이블에서 게이트웨이와 프린터의 MAC address가 공격자의 MAC address로 변조되어 있는 것을 확인할 수 있음. * 프린터로 전송되어야 할 패킷이 공격자에게 전송 * 공격자는 자신에게 전달된 패킷을 프린터를 이용해 출력이 가능하게 됨

공격자에게 전달되고 있는 피해자가 프린터에게 전송중인 패킷 스트림으로 이 패킷 스트림을 통해 공격자가 획득 가능한 정보는 보여주고 있음

공격자가 획득한 패킷을 캡쳐한 내용으로 공격자는 탈취한 패킷을 다시 프린터에 전송하여 출력이 가능함 * 패킷을 이용해 원본 문서를 이미지로 복원하여 문서 내용을 탈취할 수 있게 됨. * 원본 문서로 복원이 가능함을 실험을 통해 보임.

* 무결성 파괴 * 네트워크 프린터의 통신상 보안 취약점을 고려할 때, 기업, 학교, 관공서 등 다양한 기관에서 네트워크 프린터를 사용하는 경우 간단한 패킷 스니핑, 쿠키 정보, 메타데이터 유출만으로도 문서의 내용이 유출 당할 수 있음 * 서버에서 한번 사용한 쿠키 정보의 재사용이 출력하고자 하는 문서의 취약점을 가중시킴 * 각 기관에서 네트워크 프린터를 이용하는 경우 위와 같은 공격을 방지하기 위해서는 반드시 내부 망에서 발생되는 중간자 공격에 대한 보안 방지책이 요구된다. *** Raw 통신을 안전하게 사용하기 위해선 IP주소와 MAC 주소의 정적 관리가 요구됨 네트워크 프린터의 환경별 요구사항을 정리하고 문제점을 제시하며 이에 따른 대응방안에 대한 연구가 지속되어야 함. 네트워크 프린터에서 지속적으로 ARP 스푸핑 공격을 탐지할 수 있는 보안프로그램 개발이나 네트워크 및 공격자의 식별정보를 위한 로그정보 저장이나 메타데이터 보안 등 다양한 연구가 지속되어야 함. --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.cooku222.kr/security/papers/digital-forensics/undefined.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.