932. 스니핑(Sniffing) 탐지 기술

⚠️ 이 문서는 해커가 네트워크에 조용히 잠입하여 다른 사람들의 비밀번호와 통신 내용을 몰래 엿듣는 도청(Sniffing) 행위를 잡아내기 위해, 해커 랜카드의 특수한 상태(Promiscuous Mode)를 찔러보고 시간차를 분석하는 능동적 보안 진단 기술들을 다룹니다.

핵심 인사이트 (3줄 요약)

  1. 본질: 해커가 네트워크 패킷을 몰래 도청(Sniffing)하려면, 랜카드(NIC)를 자신에게 오지 않은 패킷까지 전부 빨아들이는 **'난잡 모드(Promiscuous Mode)'**로 강제 전환해야만 한다.
  2. 가치: 스니퍼는 패킷을 "듣기만" 하므로 네트워크에 흔적(로그)을 남기지 않아 방화벽으로 잡기 어렵다. 따라서 네트워크 관리자는 엉뚱한 가짜 패킷(가짜 MAC 등)을 던져보고 누가 반응하는지 살펴보는 탐정 같은 함정 수사로 도청자를 색출해 낸다.
  3. 기술 기법: ARP Ping 테스트를 통한 비정상 응답 유도, DNS Lookup 모니터링, 그리고 ICMP 패킷 응답 시간차(네트워크 지연) 분석 등이 대표적인 탐지 메커니즘이다.

Ⅰ. 개요: 조용한 도청자 (Context & Necessity)

정상적인 컴퓨터의 랜카드(NIC)는 허브나 스위치에서 날아오는 수많은 패킷 중, **"목적지가 내 MAC 주소인 것"**만 받아들이고 나머지는 쓰레기통에 버린다(Drop).

하지만 해커가 와이어샤크(Wireshark) 같은 스니핑 도구를 켜면, 랜카드의 설정을 **'Promiscuous Mode(난잡 모드 / 무차별 수신 모드)'**로 바꿔버린다. 이제 랜카드는 목적지가 내가 아니어도 네트워크에 떠돌아다니는 모든 패킷을 CPU로 올려보내서 남의 카톡 내용이나 비밀번호를 훔쳐본다.

문제는 도청 행위 자체가 패킷을 쏘는 게 아니라 그저 '수신'만 하는 수동적(Passive) 공격이라, 스위치나 방화벽 장비에 알람이 뜨지 않는다는 점이다. 보이지 않는 유령을 잡기 위해 엔지니어들은 특수한 '함정 패킷'을 설계했다.

📢 섹션 요약 비유: 우체국에서 정상적인 사람은 자기 이름이 적힌 편지만 가져갑니다. 하지만 도청자(Promiscuous Mode)는 남의 이름이 적힌 편지까지 다 뜯어봅니다. 경비원(탐지기)은 이 도청자를 잡기 위해 "가짜 이름"이 적힌 함정 편지를 던져보고, 누가 그 가짜 편지에 반응하는지 몰래 지켜봅니다.

Ⅱ. 스니핑 3대 탐지 기법 (함정 수사)

1. ARP Ping (가짜 MAC 주소 테스트)

  • 가장 대표적이고 확실한 방법이다.
  • 정상적인 기기는 IP는 맞지만, MAC 주소가 이상한 패킷이 오면 랜카드 하드웨어 단에서 버려버린다. (CPU까지 안 올라감)
  • 하지만 Promiscuous 모드에 빠진 해커의 PC는 랜카드가 모든 패킷을 위(OS)로 올려보낸다. OS는 "어? IP가 내 거네? 대답해야지!" 하고 응답(ARP Reply)을 보내버린다.
  • 즉, 네트워크에 가짜 MAC 주소(FF:FF:FF:FF:FF:FE 등)를 조합한 ARP 핑을 뿌렸을 때, 대답을 하는 PC가 있다면 100% 도청자다. (가짜 편지를 뜯어본 범인 검거)

2. DNS 역방향 조회 (Reverse DNS Lookup) 감시

  • 해커의 스니퍼 프로그램은 훔쳐본 IP 주소가 어떤 사이트인지 보기 편하게 하려고(142.250... -> google.com), 내부적으로 IP를 도메인으로 바꾸는 **역방향 DNS 쿼리(PTR 레코드)**를 미친 듯이 DNS 서버로 보낸다.
  • 관리자는 사내 DNS 서버 로그를 감시하다가, 유독 특정 PC가 역방향 DNS 쿼리를 비정상적으로 많이 쏘고 있다면 그 PC를 도청자(스니퍼)로 의심할 수 있다.

3. 네트워크 지연 감지 (Ping Time / Latency 분석)

  • 정상 PC는 자신에게 온 패킷만 처리하므로 CPU가 여유롭다.
  • 도청자의 PC는 남의 패킷까지 수만 개를 전부 열어보고 분석(소프트웨어 처리)하느라 CPU와 OS 네트워크 스택에 엄청난 부하가 걸린다.
  • 관리자가 엄청난 양의 더미 데이터(Ping)를 해당 대역에 쏟아부은 뒤, 각 PC에 Ping을 때려본다. 유독 응답 시간(응답성 시간차)이 심각하게 느려지거나 패킷을 흘리는(Drop) PC가 있다면, 그 PC가 지금 남의 패킷을 엿듣느라 헥헥대고 있다는 증거다.
┌─────────────────────────────────────────────────────────────────────────────────┐
│           스니핑(Promiscuous Mode) 탐지 - ARP 핑 함정 시각화                    │
├─────────────────────────────────────────────────────────────────────────────────┤
│                                                                                 │
│ [ 탐지기 (보안 담당자) ] : "가짜 MAC 주소(FF:FF...FE)로 ARP 핑 쏜다!"           │
│     │                                                                           │
│     ▼                                                                           │
│  일반 PC A (정상)                               해커 PC B (도청 중!)            │
│  (랜카드 설정: 정상 모드)                  (랜카드: Promiscuous 모드)           │
│                                                                                 │
│ "어? 내 MAC 주소 아니네? 휙 버려~"     "MAC이 뭐든 일단 OS로 다 올려!"          │
│  (랜카드 칩에서 조용히 버려짐)               (OS: 어? IP는 내꺼네? 대답해야지)  │
│                                                                                 │
│   ❌ (침묵, 대답 없음)                    🚨 "저 여기 있습니다!!" (응답함)      │
│                                                                                 │
│             [ 탐지기: "잡았다 요놈! B가 도청하고 있구나!" ]                     │
└─────────────────────────────────────────────────────────────────────────────────┘

Ⅲ. 스니핑의 방어와 허브 vs 스위치 구조

탐지 이전에 아예 도청 자체를 어렵게 만드는 인프라 설계가 필수적이다.

  1. 더미 허브(Hub)의 폐기 및 스위치(Switch) 사용
    • 옛날의 '더미 허브'는 A가 B에게 보내는 패킷을 무식하게 C, D에게도 다 뿌렸다 (브로드캐스트). 스니핑의 천국이었다.
    • 최신 **L2 스위치(Switch)**는 MAC 주소 테이블을 기억하고, A가 B에게 보내면 B 포트로만 패킷을 쏴준다. 해커 C는 물리적으로 패킷을 아예 받을 수 없어 도청이 원천 차단된다.
  2. ARP 스푸핑 방어 (Dynamic ARP Inspection, DAI)
    • 스위치 환경에서도 해커는 공유기인 척 속이는 'ARP 스푸핑(Spoofing)'을 통해 패킷을 강제로 자기 쪽으로 끌어온다. 이를 막기 위해 L2 스위치에 DAI 설정을 걸어 가짜 ARP 패킷을 차단해야 한다.
  3. 암호화 통신 (가장 강력한 무기)
    • 아무리 엿들어도 내용을 못 보게 만드는 것이 궁극의 방어다. HTTP 대신 HTTPS(TLS), FTP 대신 SFTP, 텔넷 대신 SSH를 써서 패킷을 도청하더라도 깨진 외계어만 보이게 만들어야 한다.

Ⅳ. 결론

"보이지 않는 적은 그들의 식탐(과도한 수신)으로 흔적을 남긴다." 네트워크 관리자에게 스니퍼(도청자)는 투명 망토를 입은 도둑과 같다. 하지만 투명 망토를 입고 모든 음식을 주워 먹으려다 보니(Promiscuous 모드), 위장된 독사과(가짜 ARP)에 무심코 반응하거나 소화불량(Ping 지연)에 걸려 자신의 위치를 드러내고 만다. 스니핑 탐지 기술은 프로토콜의 표준 규격과 랜카드 하드웨어의 미세한 동작 차이를 역이용한 해킹의 안티테제이며, 창과 방패의 치열한 심리전을 보여주는 대표적 사례다.

📌 관련 개념 맵

  • 선행 공격 원리: 스니핑 (Sniffing), ARP 스푸핑 (ARP Spoofing)
  • 네트워크 장비 차이: 허브 (Hub - 브로드캐스트) vs 스위치 (Switch - 유니캐스트)
  • 랜카드 핵심 설정: 프러미스큐어스 모드 (Promiscuous Mode - 난잡 모드)
  • 방어 체계 전략: 통신 암호화 (TLS, IPsec), 스위치 포트 보안 (Port Security, DAI)

👶 어린이를 위한 3줄 비유 설명

  1. 교실에서 선생님이 "철수야 이 사탕 먹어" 하고 던지면, 정상적인 친구들은 자기 이름이 안 불렸으니 가만히 있어요.
  2. 하지만 나쁜 도청자 친구는 누가 불리든 상관없이 하늘에 날아다니는 사탕(패킷)을 다 훔쳐서 주머니(Promiscuous 모드)에 넣으려고 하죠.
  3. 이걸 눈치챈 선생님이 "아무도 아닌 사람 이 가짜 사탕 먹어!" 하고 던졌는데, 나쁜 친구가 본능적으로 그걸 받아먹으면서(ARP 응답) "아하! 네가 여태 다 훔쳐 먹고 있었구나!" 하고 딱 걸리는 거랍니다.