LLMNR과 IPv6: 정의, 공공 Wi-Fi의 위험 및 비활성화 방법

마지막 업데이트 : 28/10/2025
저자 : 이삭
  • LLMNR 및 IPv6 트래픽(DHCPv6, ICMPv6)은 로컬 네트워크에 나타나며 제어되지 않으면 공용 Wi-Fi에서 악용될 수 있습니다.
  • IPv6는 IPv4보다 우선합니다. RA, SLAAC 및 터널(6to4, ISATAP, Teredo)은 관리하지 않으면 공격 표면이 확장됩니다.
  • 사용하지 않을 때 IPv6를 비활성화하고 LLMNR을 제한하면 MITM 공격과 사칭이 줄어듭니다. VPN 신뢰할 수 없는 네트워크에서는 중요합니다.

Windows 11에서 내 Wi-Fi 네트워크에 연결된 장치 수를 확인하는 방법

커피숍이나 공항과 같은 개방형 네트워크에서는 컴퓨터가 백그라운드에서 "통신"을 시작하여 서비스를 검색하고 이름을 확인합니다. 이러한 메커니즘 중 하나가 LLMNR이며, 시스템에 IPv6가 활성화되어 있는 경우 이 프로토콜과 관련된 패킷도 표시됩니다. 둘 다 게이트웨이가 될 수 있습니다 모니터링되지 않거나 적절하게 구성되지 않으면 기회주의적 공격이 발생할 수 있습니다.

여기서의 목표는 LLMNR이 네트워크와 어떤 관련이 있는지, IPv6와 어떻게 교차하는지, 그리고 공용 Wi-Fi에 연결하는 경우 노출 영역을 줄이는 것이 왜 좋은지 설명하는 것입니다. 당신은 장점, 실제 위험 및 실용적인 단계를 보게 될 것입니다 사용하지 않을 때 IPv6를 확인하고 비활성화하는 방법과 트래픽 캡처에 LLMNR이 나타나는 이유와 이로 인해 문제가 발생하지 않도록 방지하는 방법을 알아봅니다.

LLMNR의 간략한 설명과 귀하가 보는 트래픽과의 관계

LLMNR(Link-Local Multicast Name Resolution)은 주로 장비에서 사용하는 방법입니다. Windows DNS가 응답하지 않을 때 로컬 네트워크의 이름을 확인합니다. 로컬 링크를 통해 멀티캐스트 모드로 작동하여 근처 호스트가 응답할 수 있도록 합니다. 공용 네트워크에서는 "누구나" 공격자가 될 수 있습니다. 응답을 스푸핑하고 트래픽을 리디렉션하려는 시도입니다. Wireshark 캡처에서는 LLMNR 메시지가 DHCPv6 및 ICMPv6와 함께 나타나는 것이 일반적입니다. 이는 "탐색" 통신으로, 확인되지 않으면 제3자가 연결을 가로챌 수 있습니다.

시스템에서 IPv4보다 IPv6를 우선시하면 상황이 복잡해집니다. 왜냐하면 시스템은 먼저 AAAA 레코드와 IPv6 경로를 사용하여 해결하려고 시도하기 때문입니다. IPv6를 사용하지 않지만 활성화되어 있고 모니터링되지 않는 경우여러분은 자신도 모르게 공격 벡터를 더 추가하고 있으며, LLMNR은 신뢰할 수 없는 네트워크에서 문제를 예고하는 노이즈 신호 중 하나가 될 수 있습니다.

IPv6: 설계상의 우선순위와 보안에 미치는 영향

현재 시스템은 가능한 경우 IPv6를 우선시합니다. Windows에서 다음을 실행하여 이를 확인할 수 있습니다. netsh interface ipv6 show prefixpolicies, 여기서 볼 수 있는 것은 IPv6 우선순위가 더 높습니다 IPv4로 전환합니다. 또한 URL을 입력할 때 브라우저는 먼저 AAAA 레코드를 확인하려고 시도하고 실패할 경우에만 A 레코드로 이동하여 추가 쿼리와 확인을 수행합니다.

Windows에서 IPv6가 활성화되어 있는지 확인하려면 시작 버튼, 제어판, '네트워크 및 공유 센터'로 이동하세요. 그곳에서 '로컬 영역 연결'에 접근하여 '속성'을 클릭하세요. 콘솔을 열고 실행할 수도 있습니다. ipconfig데이터 중에서 '링크: 로컬 IPv6 주소'(링크-로컬)를 볼 수 있는데, 이는 프로토콜로 작동을 시작하도록 자동으로 구성된 IP FE80::입니다.

호환성은 널리 퍼져 있지만 구성은 고르지 않음

PC를 넘어 네트워크에 연결되는 거의 모든 것이 IPv6를 지원합니다. 방화벽, IDS, 스니퍼, 휴대폰, 태블릿, 여러 제조업체의 네트워크 장비 등이 그 예입니다. Cisco 장치는 전체 지원을 제공합니다 그의 iOS 15. 실제 어려움은 일반적으로 기술적 호환성이 아니라 IPv6 트래픽에 대한 구체적인 구성 및 모니터링이 부족하다는 점입니다. 이는 "IPv4만 사용하는" 네트워크에서도 악용 가능한 격차를 발생시킵니다.

  OpenVPN을 사용하여 VPN을 안전하고 완벽하게 설정하는 방법

장치가 있다는 사실만으로도 적절한 구성 없이 "IPv6 지원" 이로 인해 공격 경로가 크게 증가하고, 관리자와 사용자가 알아차리지 못하는 공격 경로가 많습니다. 따라서 어떤 IPv6 기능이 활성화되어 있고 현재 상태를 확인하는 것이 좋습니다.

IPv6의 진정한 장점

IPv6는 인터넷에 사실상 무제한의 주소 공간을 제공하기 위해 만들어졌습니다. IPv6의 장점 중 하나는 다음과 같습니다. 장치당 하나의 공용 IP 주소NAT 변환을 피하고, IPv4보다 더 유연한 자체 구성 방법(DHCPv6 및 SLAAC)을 통합하여 배포 속도를 높입니다.

이 프로토콜은 또한 다음을 제공합니다. 향상된 이동성 및 기본 지원 스마트폰과 같은 기기의 경우, 이를 통해 더욱 원활한 네트워크 변경과 위치 독립적인 알림이 가능합니다. IPsec을 통해 보안을 자연스럽게 강화할 수 있으며, 간소화된 헤더는 패킷 처리 효율을 높여줍니다. 플러그 앤 플레이 방식은 기기를 네트워크에 통합하는 과정을 간소화합니다.

왜 그는 아직 책임을 맡지 않았나요?

장애물 중 하나는 다음과 같습니다. IPv6는 IPv4와 직접 호환되지 않습니다.따라서 공존을 위해서는 듀얼 스택 아키텍처, 변환 메커니즘 또는 터널링이 필요합니다. 두 프로토콜을 병렬로 사용하여 마이그레이션하는 아이디어는 타당해 보였지만, 아직 완전한 전환은 이루어지지 않았으며 단기적으로는 예상되지 않습니다.

처음에는 채택이 크게 증가했지만 속도가 느려지고 예상 수준에 도달하지 못했습니다.실제로 IPv4 주소는 여전히 100차 시장(조직에 재판매하는 브로커)을 통해 구입할 수 있다는 점도 도움이 되지 않으며, 이로 인해 모든 환경에서 IPv6를 도입하려는 인센티브가 지연됩니다.

그 사이 운영자와 조직은 인프라를 계속 업그레이드하고 있으며 만약 IoT IPv6를 향해 나아가고 있습니다. 하지만 IPv4는 계속해서 "충분히 잘 작동"합니다.당분간은 채택이 완료되지 않을 것으로 예상하는 것이 합리적입니다.

필요하지 않은 경우 IPv6를 비활성화해야 하는 이유

귀하의 운영자가 IPv6를 배포하지 않았거나 일부 보안 프로그램은 이를 제대로 처리하지 못합니다.비호환성, 오류 또는 성능 저하가 발생할 수 있습니다. 네트워크에서 IPv6를 구현하지 않은 환경에서는 예상치 못한 상황을 방지하기 위해 IPv6를 비활성화하는 것이 더 현명할 수 있습니다.

필요성이 의심되거나 중단이나 이상한 동작이 발생하는 경우 해당 기능을 비활성화하는 것이 유효한 옵션입니다. 언제든지 다시 활성화할 수 있다는 점을 명심하세요.그러니 돌이킬 수 없는 결정은 아닙니다. 하지만 나중에 특정 서비스를 이용하시는 데 필요할 수도 있다는 점을 명심하세요.

IPv6 비활성화의 단점

  • IPv4 부족지금은 영향을 받지 않을 수도 있지만, IP 주소 고갈 문제가 악화되면 IPv6를 비활성화하는 것이 방해가 될 수 있습니다.
  • 네트워크 효율성IPv6는 라우팅과 특정 작업을 단순화하도록 설계되었습니다. IPv6를 끄면 특정 시나리오에서 성능이 저하될 수 있습니다.
  • 새로운 기술최신 제품 중 다수는 IPv6 중심입니다. 이를 무시하면 기능이 제한되거나 일부 기능이 사용되지 않을 수 있습니다.
  • 보안 및 NATIPv6는 개선 사항(예: IPsec의 자연스러운 사용)을 통합하고 NAT에 대한 강한 종속성을 피합니다. IPv4는 번역에 더 많이 의존합니다. 주소 제한을 넘기 위해.

"고스트" 터널과 프로토콜 우선 순위

Windows 탐색기에서 휴대폰 저장소에 액세스하는 방법

Windows에서 컴퓨터 관리를 열고 '장치 관리자'(숨겨진 장치 표시)로 이동한 후 '네트워크 어댑터'를 확장하면 6to4, ISATAP 및 Teredo가 표시됩니다. 이는 "당신의 등 뒤에서" IPv4를 통해 IPv6 터널을 생성합니다.당신이 알아차리지 못한 사이에 이미 터널이 설치되어 있을 수도 있습니다.

  삼성 인터넷 PC 베타 버전 출시: 윈도우용 브라우저

프로토콜 기본 설정도 역할을 합니다. 다음을 확인하세요. netsh interface ipv6 show prefixpolicies: 시스템은 IPv6를 우선시합니다 그리고 URL을 작성할 때는 A보다 AAAA를 먼저 확인하려고 시도합니다. 이러한 "예비 시도"는 시간과 리소스를 소모하며, 무엇보다도 누군가 IPv6 환경을 조작할 경우 공격 경로를 열어줍니다.

자동 구성: SLAAC, RA 및 주소

자체 구성에는 두 가지 형태가 있습니다. 상태 저장(DHCPv6)서버가 매개변수를 전달하는 곳 무국적(SLAAC), 그 중 라우터 네트워크가 광고되고 장치가 자동으로 구성됩니다. 링크 로컬 주소가 FE80::인 장치는 글로벌 또는 사이트 IPv6 주소 없이는 라우팅하지 않습니다. 이것이 라우터가 라우터 광고(RA) 메시지를 전송하여 접두사와 게이트웨이를 표시하는 이유입니다.

장치가 접두사(예: 2001:2000:a:b::/64)가 있는 AR을 수신하면 IPv6 주소가 생성됩니다. 이는 EUI-64(다음에서 파생됨)를 사용하여 수행할 수 있습니다. ) 또는 대부분의 현대 시스템에서와 같이 무작위 식별자를 사용하여 프라이버시 향상실제로 동일한 인터페이스는 여러 개의 공용 IPv6 주소를 동시에 가질 수 있습니다. 하나는 탐색을 위한 무작위 주소이고 다른 하나는 제어된 액세스를 위한 안정적인 주소입니다.

RA당 누적할 수 있는 주소 수에는 엄격한 제한이 없습니다(접두사 제외). 이를 통해 서비스 거부 공격이 가능합니다. 주소 테이블에 악성 광고를 흘려보냄으로써, 노드가 처음 연결될 때 이러한 매개변수에 대한 멀티캐스트 라우터 요청(RSO) 요청을 전송하고, IPv6가 활성화된 모든 라우터가 응답합니다.

Windows에서 노출을 줄이려면 라우터 감지를 비활성화할 수 있습니다. netsh interface ipv6 set interface "Local Area Connection" routerdiscovery=disabled. 근처에 누가 있는지 보는 것도 유용합니다.netsh interface ipv6 show neighbors수십 개의 장치가 공유 환경에 자주 나타나는 경우입니다. 스크린샷에는 DHCPv6, LLMNR, ICMPv6가 표시되어 있습니다. 이는 신뢰할 수 없는 네트워크에서 필터링되어야 하는 "잡음이 많은" 트래픽입니다.

제어 없이 IPv6를 활성화한 경우 특정 위험

"사용하지 않더라도" 영향을 미칠 수 있는 IPv6 공격이 있습니다. 예를 들어, 이웃 광고 스푸핑 (IPv4의 ARP 스푸핑과 동일) 공격자는 중간에 위치하여 진행 중인 트래픽을 읽거나 수정할 수 있습니다.

또 다른 경우는 SLAAC 스푸핑팀을 속여 공격자를 통과하도록 합니다. 또한 DHCPv6 악성이 공격에서는 가짜 서버가 공격자의 게이트웨이를 전달합니다. 후자의 IPv4 버전이 알려져 있지만, 공용 Wi-Fi에서는 VPN을 사용하는 것이 필수입니다. 그리고 여러분이 모르는 사이에 해당 설정이 여러분에게 영향을 미치는 것을 방지합니다.

세분화: FE80::가 별도의 네트워크에서 재생되는 이유

IPv4에서 서브넷 마스크는 동일한 네트워크에 있는 호스트를 정의합니다. 예를 들어, 255.255.255.0을 사용하면 192.168.1.10과 192.168.1.254가 네트워크를 공유합니다. 192.168.1.10 및 192.168.66.254는 그렇지 않았습니다.따라서 라우터 없이는 "볼" 수 없습니다.

IPv6는 게임을 바꿉니다. 서브넷이 다르더라도 링크 로컬 주소 FE80:: IPv4를 사용하면 두 장치가 동일한 물리적 세그먼트를 공유하는 경우 링크 수준에서 서로 연결할 수 있으므로 "IPv4에서만" 고립에 대한 일부 기대가 깨집니다.

  UniGetUI: 한 번의 클릭으로 Windows에 소프트웨어 설치 및 업데이트

IPv6 서브넷의 경우 다음 예를 살펴보세요. 2001:A:B:C:D:E:F:1234/126과 2001:A:B:C:D:E:F:1235/126은 동일한 네트워크에 있지만(처음 126비트가 일치함), 2001:A:B:C:D:E:F:1238/126은 다른 네트워크에 있습니다. 그럼에도 불구하고, 링크된 인터페이스 간의 FE80::에 대한 ping 이 방식은 글로벌 하위 네트워크 외부에서 작동하고 로컬 링크에 의존하기 때문에 효과적입니다.

운영 체제별로 IPv6를 비활성화하는 방법

Windows

'설정 > 네트워크 및 인터넷 > 고급 네트워크 설정 > 기타 네트워크 어댑터 옵션'으로 이동하세요. 사용 중인 네트워크 어댑터의 '속성'을 열고 '인터넷 프로토콜 버전 6(TCP/IPv6)'의 선택을 해제하세요. 확인을 누르면 완료됩니다.나중에 필요하면 다시 선택하기만 하면 됩니다.

macOS

열기 단말기 그리고 다음을 실행합니다: networksetup -listallnetworkservices 서비스를 식별하려면 다음을 사용하여 상태를 확인하세요. networksetup -getv6networkserviceenabled 'Wi‑Fi'. 비활성화하려면 다음을 사용하세요. networksetup -setv6off 'Wi‑Fi'Off 모드로 유지되는지 확인하고 원할 때마다 다시 활성화하세요. networksetup -setv6automatic 'Wi‑Fi'.

Linux

sysctl을 편집하세요 sudo nano /etc/sysctl.conf 그리고 이렇게 덧붙인다: net.ipv6.conf.all.disable_ipv6 = 1 y net.ipv6.conf.default.disable_ipv6 = 1. 변경 사항을 적용합니다 sudo sysctl -p 그리고 상태를 확인하세요 /proc/sys/net/ipv6/conf/all/disable_ipv6.

Windows에서 유용한 검사 및 "정리"

제어권을 얻으려면 '컴퓨터 관리 > 장치 관리자'를 열고 '보기 > 숨김 장치 표시'를 활성화한 다음 '네트워크 어댑터'를 확장하세요. 해당되는 경우 6to4, ISATAP 및 Teredo를 비활성화합니다. 필요하지 않은 경우 이렇게 하면 IPv4를 통해 예기치 않은 터널이 설정되는 것을 방지할 수 있습니다.

라우터 검색을 비활성화하는 명령도 기억하세요. netsh interface ipv6 set interface "Local Area Connection" routerdiscovery=disabled. 이로 인해 예상치 못한 AR이 느려집니다. 스위치가 제어 없이 멀티캐스트를 허용한다면 누구나 공개 네트워크에서 브로드캐스트할 수 있습니다.

공공 Wi-Fi의 모범 사례

공유 환경에서는 항상 안정적인 VPN을 사용하고 불필요한 검색 서비스를 차단하세요. IPv6를 사용하지 않는 경우 일시적으로 끄세요. 앞서 보여드린 것처럼 비정상적인 활동이 의심되는 경우 스니퍼로 트래픽을 모니터링하세요. 과도한 LLMNR, DHCPv6, ICMPv6 사용은 공격자가 악용할 수 있는 "노이즈"가 있다는 단서가 될 수 있습니다.

도메인이나 로컬에서 Windows 컴퓨터를 관리하는 경우 이름 멀티캐스트 확인(LLMNR)을 비활성화하면 개방형 네트워크에서 사칭 위험이 크게 줄어듭니다. LLMNR 비활성화와 IPv6 강화를 결합합니다. (AR 없음, 터널 없음, 필요하지 않은 자동 구성 없음) 공격 벡터를 최소화합니다.

문서 및 리소스

매뉴얼이나 기술 데이터 시트에서 일반적으로 볼 수 있는 링크와 유사한 몇 가지 링크를 포함했습니다. LLMNR에 특별히 초점을 맞춘 것은 아니지만, 이는 문서화의 전형적인 예입니다. PDF 기술 지원 환경에 연결됨:

공용 Wi-Fi 네트워크에 연결하는 경우 검색 및 자동 구성의 "노이즈"를 줄이는 것이 보안에 유리합니다. 필요하지 않으면 IPv6를 끄고 LLMNR을 제한하거나 비활성화하세요. RA, 가짜 DHCPv6 또는 조작된 이웃 광고로 인해 문제가 발생하지 않도록 예방하세요. IPv6를 실제로 사용하려는 경우 IPv4와 동일한 심각성으로 활성화하고 관리하세요.