1080. 네트워크 포렌식 패킷 덤프 파싱 - Network Forensics PCAP 패킷 스니핑 프로토콜 분석 증거 수집 타임라인 구성 페이로드 복원

핵심 인사이트: 회사 내부망에서 해커가 고객 정보 100만 건을 빼돌렸다는 첩보가 떴다. 해커는 자기 PC 하드디스크를 포맷하고 불태워버렸다. 컴퓨터(디스크) 포렌식을 해봐야 증거가 하나도 없다. "야! 도둑놈이 훔친 문서를 들고 건물을 빠져나갔다면, 무조건 로비(공유기/라우터)의 CCTV에 그 짐을 들고 나간 뒷모습이 찍혀있을 거 아니야! 해커가 불태운 하드디스크 찾지 말고, 지난 일주일 동안 우리 회사 인터넷 길목(미러링 포트)을 지나쳐 간 '모든 네트워크 패킷(0과 1의 전기신호)'을 빠짐없이 녹화해 둔 거대한 덤프 파일(PCAP)을 까봐! 그 수십억 개의 패킷 껍데기(헤더)를 분석하면 해커가 밤 12시에 중국 IP로 무슨 엑셀 파일을 쐈는지 1바이트 오차 없이 100% 멱살을 잡고 복원해 낼 수 있잖아!" 전선 위에 흘러간 범죄의 지문을 채취하는 흑마법, 네트워크 포렌식이다.

Ⅰ. 디스크 포렌식의 한계와 네트워크 포렌식의 대두

  • 컴퓨터(디스크) 포렌식: 컴퓨터 하드디스크, USB에 남은 삭제된 파일을 복원하는 고전적 수사입니다. 클라우드 서버나 1초 만에 휘발되는 램(RAM) 악성코드에는 무용지물입니다.
  • 네트워크 포렌식 (Network Forensics) 🌟:
    • 공격자가 내부망으로 어떻게 뚫고 들어와서(침입 경로), 어떤 악성코드를 퍼뜨렸고(내부 전파), 최종적으로 어떤 기밀문서를 들고 튀었는지(데이터 유출), 인터넷 랜선을 타고 날아간 '네트워크 트래픽 데이터(패킷)' 자체를 가로채어 수집, 분석, 역추적, 증거로 채택하는 사이버 수사 기법입니다. "패킷은 거짓말을 하지 않는다(Packets never lie)."

Ⅱ. 증거 수집 (어떻게 전파를 녹화하나?) 🌟 핵심 🌟

흐르는 강물(패킷)을 뜰채로 떠서 하드디스크에 영구 보존하는 작업입니다.

1. 스위치 포트 미러링 (Port Mirroring / SPAN)

  • 회사 길목에 있는 대장 스위치 장비의 설정을 건드립니다.
  • "1번 포트(인터넷 나가는 길)로 지나가는 **모든 패킷을 똑같이 쌍둥이로 복사(Mirroring)**해서 2번 포트(감시자 PC)로도 던져줘라!" (TAP 장비라는 물리적 Y자 구리선 분배기를 꽂아서 하드웨어적으로 100% 무손실 복사하기도 합니다.)

2. 패킷 덤프 (Packet Dump)와 PCAP 포맷

  • 미러링으로 쏟아지는 초당 1GB의 어마어마한 패킷 쓰레기들을, 감시자 PC(Wireshark, tcpdump 등)가 차곡차곡 받아 하드디스크에 파일로 저장합니다.
  • 이 파일의 전 세계 공통 확장자 표준이 바로 **.pcap (Packet Capture)**입니다. 이 파일 안에는 범죄자가 친 엔터키(Enter) 1바이트 헥사(Hex) 코드까지 원본 그대로 냉동 보관되어 있습니다.

Ⅲ. 패킷 파싱(Parsing)과 추적의 3단계 마법 플로우 🌟 핵심 기출 🌟

거대한 쓰레기 더미(PCAP)에서 해커의 지문을 분리해 내는 스무고개 좁히기입니다.

1단계: 타임라인과 통계 분석 (현장 훑어보기)

  • 1TB짜리 PCAP 파일을 도구(Wireshark, Zeek)에 넣고 통계 그래프를 쫙 뽑습니다.
  • "어? 평소엔 중국으로 나가는 트래픽이 0이었는데, 새벽 2시에 딱 1분 동안 특정 중국 IP로 100GB짜리 트래픽(Outbound)이 폭발했네? 이놈이 도둑놈 IP(출발지/목적지)다!"

2단계: 프로토콜 분석과 필터링 (골라내기)

  • 해커의 IP를 알아냈으니 그 IP가 주고받은 패킷만 필터링식으로 걸러냅니다. (예: ip.addr == 123.x.x.x)
  • 패킷의 L4 껍데기(TCP 포트)를 까봅니다. "어라? 443(HTTPS) 웹 통신 포트를 달고 나갔네? 근데 껍데기를 좀 더 벗겨서 L7 페이로드(속살)를 까보니까, HTTP 웹 문법이 아니라 FTP(파일 전송) 명령어인 RETR 텍스트가 박혀있잖아?!"
  • 핵심 통찰: 해커가 회사 방화벽(웹 차단 장비)을 속이려고 가짜 껍데기(포트 변조)를 씌워서 암호화 문서를 빼돌렸음을 파싱(Parsing)으로 완벽하게 적발해 냅니다.

3단계: TCP 스트림 조립과 페이로드(Payload) 복원 (시체 부검)

  • 가장 소름 돋는 마무리입니다. 네트워크로 날아갈 때는 엑셀 파일이 패킷 1,000개로 찢어져서 날아갔습니다.
  • 포렌식 분석가는 와이어샤크(Wireshark)에서 해커가 날린 'TCP 스트림 추적(Follow TCP Stream)' 버튼을 딱 누릅니다.
  • 산산조각 났던 1,000개의 패킷 조각(순서 번호 SEQ 맞춤)이 0.1초 만에 찰칵찰칵 조립되면서, 해커가 훔쳐 간 '고객 명부.xlsx' 원본 파일이 내 모니터 화면에 그대로 100% 부활하여 복원(Reassembly)됩니다. (법정 제출용 완벽한 증거 획득)

Ⅳ. 네트워크 포렌식의 위기: 암호화(HTTPS)의 역습

  • 1063번, 1064번에서 유저 프라이버시를 지켜주겠다고 HTTPS(TLS 1.3) 전면 암호화를 도입했습니다.
  • 해커도 이 암호화 터널을 쓰고 도망가 버립니다. 포렌식 분석가가 PCAP 파일을 까봤자 내용물(페이로드)이 몽땅 *&^%$# 같은 이진수 쓰레기로 보여서 엑셀 파일을 복원할 수가 없는(가시성 제로) 끔찍한 방패 모순 시대가 열렸습니다. (이를 깨기 위해 1042번 방화벽 SSL 복호화 장비를 억지로 낑겨 넣고 있습니다.)

📢 섹션 요약 비유: 기존 디스크 포렌식 수사가 범죄자가 다 불태우고 도망간 뒤 '남겨진 재투성이 범죄 현장(하드디스크)'을 돋보기로 긁어모으는 뒷북 수사라면, **네트워크 포렌식(패킷 덤프 파싱)**은 범죄자가 침입할 때부터 도망갈 때까지 이용했던 '아파트 복도 전체의 고화질 CCTV 녹화본(PCAP 파일)'을 0.1초 단위로 돌려보는 완벽한 타임머신 부검입니다. 수사관(와이어샤크)은 녹화본 10만 시간 분량을 빨리 감기 하며 이상한 놈이 지나간 1분을 찾고(타임라인 분석), 그놈의 얼굴과 차 번호판(IP와 포트 번호)을 검색하여 필터링합니다. 그리고 그 도둑놈이 100번에 걸쳐 몰래 쪼개서 들고나간 서류 조각들(패킷 페이로드)을 압수하여 테이프로 다시 이어 붙이면(TCP 스트림 복원), 도둑놈이 훔쳐 간 완벽한 1급 기밀문서 원본이 내 책상 위에 마법처럼 재탄생하게 되는, 거짓말을 용납하지 않는 통신망의 절대 지문 채취술입니다.