프로토콜 채널을 이용한 은밀한 데이터 전송

초록

본 논문은 기존의 저장형 은닉 채널에 새로운 변형인 ‘프로토콜 채널’을 제안한다. 이는 네트워크 패킷의 헤더에 사용되는 프로토콜 종류를 전환함으로써 1~2비트의 비밀 정보를 전송한다. 일반 트래픽과 구분이 어려워 탐지가 힘들지만, 패킷 손실·분할·동기화 문제 등 실용적 한계도 존재한다.

상세 분석

논문은 은닉 채널을 크게 타이밍 채널과 저장 채널로 구분하고, 저장 채널 중에서도 헤더 필드 자체를 이용하는 새로운 방식을 제시한다. 핵심 아이디어는 동일 네트워크 내에서 허용되는 여러 프로토콜(예: ICMP, ARP, TCP, UDP 등)을 선택적으로 사용해 비트 값을 매핑하는 것이다. 예를 들어 ICMP을 ‘0’, ARP를 ‘1’로 정의하면, “0011”이라는 4비트 시퀀스를 ICMP, ICMP, ARP, ARP 순서의 패킷으로 전송한다. 이렇게 하면 전송되는 패킷은 정상 트래픽과 형태가 동일해 IDS나 방화벽이 쉽게 탐지하기 어렵다.

프로토콜 종류가 많을수록 한 패킷당 전송 가능한 비트 수가 증가한다. 두 종류만 사용할 경우 1비트, 네 종류면 2비트가 전송 가능하다. 저대역폭이지만, 압축·인코딩(예: 7비트 ASCII를 6비트로 변환)과 결합하면 짧은 비밀번호나 키와 같은 민감 정보를 충분히 전달할 수 있다.

하지만 이 방식은 몇 가지 근본적인 제약을 가진다. 첫째, 패킷당 전송되는 비트가 1~2비트에 불과해 신뢰성 정보를 삽입하기 어렵다. 따라서 전송 중에 정상 트래픽이 동일 프로토콜을 사용해 삽입되면 수신 측이 채널을 오동기화할 위험이 있다. 둘째, IP 분할(fragmentation)이나 패킷 손실이 발생하면 동일 비트가 중복되거나 누락되어 채널이 파괴된다. 논문은 IPv4의 “More Fragments” 플래그를 이용해 분할 패킷을 식별하는 방안을 제시하지만, 손실에 대한 근본적인 복구 메커니즘은 제시되지 않는다.

탐지 측면에서는 비정상적인 프로토콜 사용 빈도가 증가하면 이상 징후로 포착될 수 있다. 그러나 공격자는 흔히 사용되는 프로토콜만 선택하고, 트래픽 패턴을 교묘히 조절함으로써 탐지를 회피한다. 또한, 전송된 모든 패킷을 기록하고 비트 매핑 방식을 역추적해야 복원 가능하므로, 실시간 복구는 사실상 불가능에 가깝다.

결론적으로 프로토콜 채널은 기존 저장형 은닉 채널에 비해 탐지 난이도가 높지만, 동기화 유지와 신뢰성 확보라는 실용적 문제를 안고 있다. 향후 연구는 오류 정정 코드 도입, 다중 채널 동시 사용, 그리고 트래픽 흐름 분석 기반 탐지 기법 개발에 초점을 맞춰야 할 것이다.