SCTP를 이용한 은밀한 데이터 전송 기법 전면 분석

초록

본 논문은 차세대 전송 계층 프로토콜인 SCTP의 구조적 특성을 활용한 다양한 스테가노그래피 기법을 체계적으로 제시한다. 다중 홈링·다중 스트리밍 등 SCTP 고유 기능을 이용해 숨은 정보를 교환할 수 있는 모든 가능한 위치를 도출하고, 각 기법별 탐지 방지 대책을 논의한다. 이를 통해 RFC5062가 다루지 못한 새로운 위협 시나리오를 보완하고, 효과적인 스테가노스코프 개발을 위한 가이드라인을 제공한다.

상세 분석

SCTP는 전통적인 TCP·UDP와 달리 다중 홈링(multi‑homing)과 다중 스트리밍(multi‑streaming)이라는 두 가지 핵심 메커니즘을 제공한다. 다중 홈링은 하나의 연결이 여러 IP 주소를 통해 동시에 전송될 수 있게 하며, 다중 스트리밍은 하나의 연결 안에 여러 논리적 스트림을 병렬로 운용한다. 이러한 구조적 특성은 기존 프로토콜에서는 불가능했던 새로운 스테가노그래피 채널을 만든다. 논문은 먼저 SCTP 패킷 헤더와 옵션 필드, 청크(chunk) 구조, 그리고 연결 설정 단계(Init, Init‑Ack, Cookie‑Echo 등)를 세부적으로 분석한다. 각 필드가 갖는 비트‑레벨 자유도와 동적 변동성을 기준으로 “숨김 가능 영역”을 12가지로 구분하고, 각각에 대해 정보 삽입 방법을 설계한다. 예를 들어, 초기화 청크의 Initiate Tag와 Advertised Receiver Window Size는 연결 성립 시점에 교환되지만 값의 범위가 넓어 통계적 이상 감지를 어렵게 만든다. 또, 다중 홈링 주소 리스트에 포함되는 IP 주소 순서나 패딩 바이트를 변조함으로써 비트 수준의 비밀 데이터를 전송할 수 있다. 다중 스트리밍에서는 스트림 식별자(Stream Identifier)와 순서 번호(SSN)를 의도적으로 뒤섞어, 수신 측에서 정상적인 재조합 로직을 이용해 숨은 비트를 복원한다. 청크 타입별 플래그 비트(예: U‑bit, B‑bit, E‑bit)와 전송된 데이터의 길이 필드 역시 변조 가능 영역으로 제시된다. 논문은 각 기법에 대해 가능한 탐지 회피 전략—예를 들어, 정상 트래픽 패턴과 일치하도록 값의 분포를 사전 학습하거나, 패킷 재전송 시점에 무작위성을 부여하는 방법—을 제시하고, 대응 방안으로는 통계 기반 이상 탐지, 헤더 정합성 검사, 그리고 SCTP 구현 단계에서 옵션 검증 강화 등을 제안한다. 전체적으로 이 연구는 SCTP가 제공하는 구조적 자유도를 정량화하고, 이를 악용한 은밀 통신 시나리오를 구체화함으로써 향후 네트워크 보안 정책 및 IDS/IPS 설계에 중요한 참고 자료가 된다.