SIP 신호에서 은밀한 데이터 전송 기법

초록

본 논문은 VoIP 호출의 신호 단계에서 SIP 및 SDP 메시지를 이용한 은폐 채널(steganographic covert channel) 기법들을 조사하고, 기존 방법에 새로운 변형을 제시한다. 각 기법별 전송 가능한 비트 수를 계산하고, 전형적인 IP 전화 통화에서 신호 메시지당 전송 가능한 총 데이터 양을 추정한다.

상세 분석

본 연구는 SIP/SDP 프로토콜이 가진 구조적 여유 공간을 활용한 은폐 채널을 체계적으로 분류한다. 먼저 전송 계층(IP, TCP, UDP) 헤더의 미사용 혹은 옵션 필드에 데이터를 삽입하는 전통적인 네트워크 스테가노그래피를 검토한다. IP 헤더의 식별자(ID), 플래그, 옵션 필드 등은 패킷당 32비트 이상을 숨길 수 있어, VoIP 트래픽 전반에 걸쳐 지속적인 데이터 흐름을 제공한다. 이어서 SIP 메시지 자체의 필드—Via의 branch 토큰, From/To 헤더의 tag, Call‑ID, CSeq, Max‑Forwards, Contact 등—가 무작위 문자열로 구성되어야 함을 이용한다. 특히 SIP 표준이 토큰 길이와 내용에 엄격한 제한을 두지 않으므로, 각 토큰에 수십 바이트까지 비밀 데이터를 삽입할 수 있다. 예를 들어, branch 토큰은 “z9hG4bK” 접두사 뒤에 임의 문자열을 붙일 수 있어 64비트 이상을 은닉 가능하고, Call‑ID는 “random@host” 형태이므로 로컬 파트와 도메인 파트를 모두 활용한다.

보안 메커니즘인 S/MIME을 이용한 스테가노그래피도 제안한다. SIP 메시지 본문을 PKCS#7 형태로 암호화·서명할 때 사용되는 경계(boundary) 문자열과 서명 블록 자체를 변조함으로써 추가적인 비밀 데이터를 전달한다. 이 경우 전송량은 선택된 해시 알고리즘(SHA‑1, SHA‑256 등)의 출력 길이에 따라 달라지며, 서명 검증을 포기하는 대신 높은 은폐성을 얻는다.

SDP 부분에서도 유사한 기법이 적용된다. v, o, s, t, k 필드가 SIP에 의해 무시되거나 선택적이므로, 이들 필드에 임의 데이터를 삽입해도 세션 설정에 영향을 주지 않는다. 특히 o 필드의 세션 식별자는 32비트 무작위 값으로 구성될 수 있어, 매 INVITE·200 OK 교환 시마다 수십 비트를 추가로 전송할 수 있다.

또한 비가시 문자(공백, 탭) 삽입, 헤더 순서 재배열, 대소문자 변형 등 애플리케이션 레벨의 은폐 기법도 논의한다. 이러한 방법들은 패킷 크기 변화를 일으키지 않으며, SIP 파서가 허용하는 범위 내에서 자유롭게 적용 가능하다.

마지막으로 논문은 실제 VoIP 호출 시 평균 5개의 신호 메시지가 양방향으로 교환된다는 가정 하에, 각 메시지당 활용 가능한 은폐 필드 수와 비트 수를 합산해 전체 전송 가능량을 추정한다. 결과적으로 일반적인 통화 한 세션당 수백 바이트에서 수 킬로바이트 수준의 비밀 데이터를 전송할 수 있음을 보여준다. 이는 미국 국방부가 정의한 100 bps 이상을 “위험” 수준으로 보는 정책에 충분히 도달할 수 있는 수준이며, 보안 감시 체계가 놓치기 쉬운 위협임을 강조한다.