초대형 IP 패킷을 이용한 은닉 통신 기법

초록

본 논문은 IP 패킷의 크기 초과 처리 메커니즘(IP 단편화, PMTUD, PLPMTUD)을 활용한 새로운 네트워크 스테가노그래피 기법을 제안한다. IPv4·IPv6 모두에 적용 가능한 두 가지 신규 방법과 기존 방법의 두 가지 확장을 소개하고, 전송‑수신 동기화가 용이하도록 단편화가 어떻게 활용되는지 분석한다. 또한 제안된 기법들의 탐지 가능성을 평가하고 방어 방안을 논의한다.

상세 분석

논문은 먼저 IP 계층에서 발생하는 ‘오버사이즈 패킷’ 처리 과정을 상세히 정리한다. IPv4에서는 전통적인 IP 단편화가, IPv6에서는 경로 MTU 탐색(PMTUD)과 패킷화 계층 PMTUD(PLPMTUD)가 각각 표준 메커니즘으로 정의된다. 이러한 메커니즘은 송신자가 패킷 크기를 조절하거나, 라우터가 MTU 초과 시 ICMP 메시지를 반환하거나, 송신 측에서 점진적으로 패킷 크기를 늘려가며 최적 MTU를 찾는 과정을 포함한다. 저자는 이러한 흐름이 ‘정상적인 트래픽 변동’으로 보이기 때문에, 은닉 채널을 삽입하기에 이상적인 캔버스가 된다고 주장한다.

새로 제안된 두 가지 스테가노그래피 방법은 (1) ‘단편 헤더 필드 변조’를 이용한 비트 삽입과, (2) ‘PMTUD 플래그/시퀀스 조작’을 통한 데이터 전송이다. 첫 번째 방법에서는 IP 단편화 과정에서 발생하는 ‘Fragment Offset’, ‘More Fragments(MF)’ 플래그, 그리고 ‘Identification’ 필드에 의도적으로 비정상적인 값을 삽입한다. 예를 들어, 동일한 Identification 값을 가진 여러 조각을 의도적으로 재사용하거나, MF 플래그를 비정상적인 패턴으로 토글함으로써 수신자는 이러한 패턴을 미리 공유된 키와 매핑해 비밀 데이터를 복원한다. 이 방식은 기존 단편 재조합 로직에 큰 영향을 주지 않으면서도, 조각 간의 미세한 차이를 은닉 채널로 활용한다는 점에서 혁신적이다.

두 번째 방법은 PMTUD 과정에서 발생하는 ICMP ‘Fragmentation Needed’ 메시지와 그에 대한 송신 측의 재전송 크기 조정을 이용한다. 송신자는 의도적으로 MTU 초과 패킷을 전송하고, 수신자는 ICMP 메시지의 ‘Next-Hop MTU’ 필드에 숨겨진 비트를 삽입한다. 이후 송신자는 이 값을 해석해 비밀 데이터를 추출한다. PLPMTUD의 경우, 송신 측이 패킷 크기를 단계적으로 증가시키는 과정에서 ‘Probe’ 패킷에 포함된 옵션 필드(예: IPv6의 Hop-by-Hop 옵션)를 변조해 은닉 데이터를 전달한다. 이러한 접근은 정상적인 경로 탐색 흐름에 섞여 있기 때문에, 네트워크 모니터링 시스템이 쉽게 이상 징후를 포착하기 어렵다.

기존 스테가노그래피 기법의 확장은 ‘단편 재조합 타이밍 변조’와 ‘ICMP 재전송 간격 조절’ 두 가지이다. 전자는 여러 조각이 도착하는 순서를 의도적으로 지연시켜, 수신자가 특정 순서 패턴을 비밀 키와 매핑하도록 만든다. 후자는 ICMP 재전송 시 발생하는 ‘Retransmission Timeout(RTO)’ 값을 변조해 은닉 비트를 전송한다. 두 방법 모두 기존 프로토콜 동작을 크게 변경하지 않으면서도, 시간 기반 채널을 활용한다는 점에서 차별성을 가진다.

탐지 측면에서는 통계적 패턴 분석, 헤더 필드 값 분포 검사, 그리고 플로우 레벨의 타이밍 분석이 제안된다. 저자는 실험을 통해 단편 헤더 변조가 평균 2% 이하의 비정상 비율을 보이며, PMTUD 기반 채널은 5~10ms 수준의 미세한 타이밍 변동만을 발생시킨다고 보고한다. 따라서 기존 IDS/IPS가 기본적인 임계값을 초과하지 않는 한 탐지가 어려울 것으로 결론짓는다.

전체적으로 이 논문은 IP 계층의 ‘오버사이즈 패킷 처리’ 메커니즘을 은닉 통신의 새로운 전선으로 전환시키는 창의적인 접근을 제시한다. 특히 IPv4와 IPv6 모두에 적용 가능한 설계와, 동기화 요구를 최소화하는 단편화 활용 방식은 실무적 위협 모델에 큰 영향을 미칠 수 있다. 향후 방어 측면에서는 헤더 필드의 무작위화, ICMP 메시지의 정밀 검증, 그리고 플로우 기반 타이밍 정규화가 필요하다는 점을 강조한다.