실제 적용된 LACK: 손실 오디오 패킷 은폐 기법 평가

초록

본 논문은 IP 전화 서비스에서 RTP 패킷을 고의로 지연시켜 손실 패킷으로 만든 뒤, 해당 패킷의 페이로드에 비밀 데이터를 삽입하는 LACK(Lost Audio Packets steganography) 기법을 구현하고 실험적으로 평가한다. 다양한 코덱(G.711, G.729A 등)에서의 스테가노그래픽 대역폭과 음성 품질 저하 정도를 측정하여, LACK가 실용적인 은닉 통신 수단이 될 수 있음을 입증한다.

상세 분석

LACK는 RTP 기반 VoIP 통화에서 “지연된 패킷은 재구성에 사용되지 않는다”는 특성을 이용한다. 송신 측(Alice)은 음성 스트림 중 하나의 RTP 패킷을 선택해 페이로드를 비밀 메시지 비트열로 교체하고, 그 패킷을 의도적으로 지연시킨다. 수신 측(Bob)이 LACK을 인식하고 있으면 지연된 패킷을 버리지 않고 페이로드를 추출한다. 이때 추가적인 패킷을 생성하지 않으므로 네트워크 트래픽 자체는 변하지 않는다.

논문은 LACK의 세 가지 핵심 특성을 정의한다. 첫째, 스테가노그래픽 대역폭은 코덱 종류와 패킷 손실 허용 범위에 따라 달라진다. 예를 들어 G.711은 20 ms 패킷당 160 byte 페이로드를 제공하므로, 1 %~5 % 수준의 손실을 허용하면 초당 수백 비트의 은닉 채널을 확보할 수 있다. 둘째, 탐지 회피성은 네트워크에서 자연스럽게 발생하는 패킷 손실과 지연 스파이크를 활용해 의도적 손실을 숨긴다. 통계적 분석, 호출 시간 분포, 혹은 활성 워든(active warden)의 RTP 헤더 검사 등을 통해 탐지를 시도할 수 있지만, 적절한 지연값과 손실 비율을 유지하면 탐지 확률을 크게 낮출 수 있다. 셋째, 스테가노그래픽 비용은 음성 품질(QoS) 저하로 측정한다. 지연된 패킷이 실제로 음성 재구성에 사용되지 않으므로, 손실률이 코덱의 허용 한계를 초과하면 MOS 점수가 감소한다.

LACK 구현 시 고려해야 할 요소는 크게 엔드포인트, 네트워크, LACK 자체의 세 그룹으로 나뉜다. 엔드포인트 측면에서는 코덱 선택, RTP 페이로드 크기, 수신 측 지터 버퍼 크기(고정 vs 적응형)가 핵심이다. 지터 버퍼가 60~120 ms 범위이므로, 의도적 지연 dL(t)는 이 값을 초과하도록 설계해야 한다. 네트워크 측면에서는 평균 지연 dN(t), 패킷 손실 확률 pN(t), 지터 변동성을 실시간으로 측정해 dT(t) ≥ tB(t) 조건을 만족하도록 조정한다. LACK 자체 파라미터인 삽입 비율 IR(비트/초)과 의도적 지연 횟수는 탐지 회피와 음성 품질 사이의 트레이드오프를 결정한다.

실험에서는 LACK 프로토타입을 구축해 G.711, G.729A, G.723.1 등 주요 코덱에 대해 다양한 손실 비율(0.5 %5 %)을 적용하였다. 결과는 다음과 같다. (1) 코덱별 허용 손실 한계 내에서 LACK은 평균 1.2 kbps2.5 kbps의 스테가노그래픽 대역폭을 제공한다. (2) MOS 점수는 손실 비율이 2 % 이하일 때 4.0 이상을 유지했으며, 5 %에 근접하면 3.5 이하로 급격히 감소한다. (3) 활성 워든이 RTP 시퀀스와 타임스탬프만을 검사할 경우, 지연된 패킷을 무조건 삭제하면 정상 통화 품질이 크게 저하되어 서비스 거부 공격과 동일한 효과를 낼 수 있다. 따라서 LACK을 탐지하려면 패킷 손실 통계와 호출 지속시간을 종합적으로 분석해야 한다.

결론적으로, LACK은 기존 VoIP 인프라에 최소한의 변경만으로 은닉 채널을 제공할 수 있는 실용적인 방법이다. 코덱 선택과 지터 버퍼 관리, 네트워크 상태 모니터링을 적절히 결합하면 탐지 위험을 낮추면서도 충분한 대역폭을 확보할 수 있다. 다만, 대규모 배포 시 네트워크 정책(예: QoS 제한, 활성 워든)과 암호화된 RTP(SRTP) 사용 여부가 보안·운용 측면에서 중요한 변수로 작용한다.