SCTP 스테가노그래피 위협과 방어 전략

초록

본 논문은 차세대 전송 계층 프로토콜인 SCTP의 다중 홈 및 다중 스트림 기능을 이용한 새로운 스테가노그래피 기법들을 제시하고, 이러한 기법이 네트워크 보안에 미치는 위험성을 분석한다. 또한 RFC 5062에서 다루지 못한 위협을 보완하기 위한 탐지 및 차단 방안을 제안한다.

상세 요약

SCTP는 전통적인 TCP와 UDP의 한계를 보완하기 위해 설계된 전송 계층 프로토콜로, 다중 홈(multi‑homing)과 다중 스트림(multi‑streaming)이라는 두 가지 핵심 메커니즘을 제공한다. 다중 홈은 하나의 SCTP 연관(association)이 여러 IP 주소를 통해 동시에 통신할 수 있게 하여 경로 장애 시 자동 전환을 가능하게 하고, 다중 스트림은 하나의 연관 안에서 독립적인 데이터 스트림을 다수 생성함으로써 헤드‑오브‑라인(Head‑of‑Line) 블로킹을 최소화한다. 이러한 구조적 특성은 스테가노그래피 공격자가 은밀히 데이터를 삽입하거나 변조할 수 있는 새로운 채널을 제공한다.

논문에서 제시된 주요 은닉 방법은 크게 헤더 기반, 청크 기반, 그리고 전송 순서 기반으로 구분된다. 헤더 기반 방법은 SCTP 공통 헤더의 Reserved 비트, Verification Tag, 그리고 체크섬 필드에 비트 수준의 비밀 정보를 삽입한다. 특히 Reserved 비트는 표준에서 사용되지 않으므로 탐지가 어려우며, Verification Tag는 매 연결마다 무작위로 생성되기 때문에 변조가 눈에 띄지 않는다. 청크 기반 방법은 DATA 청크의 Stream Identifier(SID)와 Payload Protocol Identifier(PPI)를 변조하거나, INIT/INIT‑ACK 청크의 초기 시퀀스 번호(ISN)를 이용해 은밀한 메시지를 전송한다. 다중 스트림 특성을 활용하면 동일 연관 내에서 서로 다른 스트림에 각각 다른 은닉 데이터를 배치함으로써 트래픽 패턴을 정상적인 다중 스트림 사용과 구분하기 어렵게 만든다.

전송 순서 기반 기법은 SCTP가 제공하는 순서 보장 옵션을 악용한다. 송신자는 의도적으로 패킷 재전송 타이밍을 조절하거나, 다중 홈을 이용해 서로 다른 경로를 통해 동일 데이터를 중복 전송함으로써 경로 선택 정보 자체를 비밀 채널로 활용한다. 예를 들어, 특정 경로를 선택할 때마다 사전에 정의된 비트 패턴을 매핑해 두면, 수신자는 경로 선택 로그를 분석해 은닉 메시지를 복원할 수 있다.

이러한 스테가노그래피 기법들은 기존 네트워크 모니터링 툴이 주로 TCP/UDP 헤더와 플로우 통계에 초점을 맞추는 점을 이용한다. SCTP 트래픽 자체가 아직 널리 배포되지 않았고, 표준화된 IDS/IPS 시그니처가 부족하기 때문에 탐지가 더욱 어려워진다. 논문은 이러한 위험성을 정량적으로 평가하기 위해 실험 환경에서 다양한 SCTP 구현(BSD, Linux, Cisco IOS) 위에 은닉 채널을 구축하고, 패킷 손실률, 지연, 그리고 탐지 회피율을 측정하였다. 결과는 대부분의 경우 0.1% 이하의 오버헤드로 은닉 데이터를 전송할 수 있음을 보여주며, 기존 보안 장비가 이를 탐지하지 못함을 확인한다.

대응 방안으로는 Reserved 비트와 Verification Tag의 무작위성을 검증하는 통계적 분석, 청크 필드 값의 정상 범위와 빈도 모델링, 그리고 다중 홈 경로 선택 로그의 이상 탐지를 제안한다. 또한, SCTP 구현 단계에서 이러한 필드에 대한 강제 검증 로직을 삽입하고, RFC 5062에 명시된 보안 권고사항에 스테가노그래피 방지를 위한 추가 조항을 포함시킬 것을 권고한다.