좋음 나쁨 추함 WiFi 스테가노그래피 평가

초록

본 논문은 “이동 관찰자” 개념을 도입해 네트워크 스테가노그래피의 은폐성을 ‘좋음·나쁨·추함’ 세 단계로 평가한다. Wi‑Fi(802.11) 프로토콜을 사례로 삼아 기존 은닉 기법들을 정리하고, 제안된 평가 프레임워크와 이를 기반으로 한 탐지 시스템 MoveSteg의 설계 원리를 설명한다.

상세 분석

논문은 먼저 스테가노그래피의 핵심 목표인 ‘탐지 회피’를 정량화하기 위해 관찰자의 위치와 관점이 변할 때 은폐성 수준이 어떻게 달라지는지를 모델링한다. ‘이동 관찰자(moving observer)’는 네트워크 트래픽을 다양한 지점(클라이언트, AP, 백본 등)에서 동시에 혹은 순차적으로 모니터링하는 가상의 존재로 정의된다. 이 관찰자는 패킷 헤더, 타이밍, 전송 전력, 프레임 순서 등 다차원적인 메타데이터를 분석한다.

세 가지 은폐성 등급은 다음과 같이 구분된다.

1. 좋음(Good): 관찰자가 어느 위치에 있든 은닉된 데이터와 정상 트래픽을 통계적으로 구분할 수 없는 수준. 즉, 변조된 필드가 정상 범위 내에 머물고, 트래픽 패턴에 눈에 띄는 이상이 없으며, 탐지 알고리즘의 ROC 곡선이 무작위와 동일하다.
2. 나쁨(Bad): 특정 관찰 지점에서만 은닉 흔적이 드러난다. 예를 들어, AP 근처에서는 전송 전력 변조가 감지되지만 클라이언트 측에서는 정상으로 보이는 경우다. 이는 은닉 기법이 네트워크 경로에 따라 변형되거나 손실되는 특성을 반영한다.
3. 추함(Ugly): 대부분의 관찰 지점에서 쉽게 탐지된다. 변조된 필드가 프로토콜 규격을 벗어나거나, 타이밍 간격이 비정상적으로 일정해지는 등 명백한 이상이 발생한다.

Wi‑Fi 스테가노그래피 사례에서는 프레임 헤더의 ‘Duration/ID’ 필드, ‘Sequence Control’ 번호, 그리고 물리 계층의 전송 전력(Power Control) 등을 변조한다. 논문은 각 기법을 ‘좋음·나쁨·추함’ 기준에 따라 실험적으로 분류하고, 변조 강도와 탐지 민감도 사이의 트레이드오프를 정량화한다. 특히, 전송 전력 변조는 거리 의존성이 강해 이동 관찰자 모델에서 ‘나쁨’에 해당하지만, 헤더 필드 변조는 프로토콜 검증 로직에 의해 쉽게 차단될 경우 ‘추함’으로 전락한다.

MoveSteg 탐지 시스템은 다중 관찰자 데이터를 실시간으로 융합한다. 각 관찰자는 로컬 특징(패킷 손실률, 전송 전력 변동, 타임스탬프 간격 등)을 추출하고, 중앙 서버는 베이지안 네트워크를 이용해 관찰자 간 상관관계를 모델링한다. 이를 통해 단일 관찰자 기반 탐지보다 높은 검출률을 달성한다는 실험 결과가 제시된다. 또한, 시스템은 ‘좋음’ 수준의 은닉을 식별하기 위해 머신러닝 기반 이상 탐지 모델을 적용하고, ‘나쁨’ 수준에서는 관찰자 간 차이를 강조하는 가중치 조정 메커니즘을 도입한다.

핵심 인사이트는 다음과 같다. 첫째, 은닉 기법의 평가에 절대적인 기준이 아니라 관찰자의 위치와 시점에 따라 달라지는 상대적 기준을 적용해야 한다는 점. 둘째, 다중 관찰자 데이터를 통합하면 기존 단일 포인트 탐지의 한계를 극복할 수 있다. 셋째, Wi‑Fi와 같은 무선 프로토콜은 물리 계층 변수(전력, 채널 상태)까지 포함한 다차원 변조가 가능하므로, 평가 프레임워크가 이러한 변수를 포괄하도록 설계돼야 한다.