오늘 끝나면
네트워크 스니핑
- ✓네트워크 스니핑의 핵심 문제를 한 문장으로 설명한다
- ✓오른쪽 실습에서 네트워크이 어떻게 움직이는지 관찰한다
- ✓다음 강의와 이어지는 한계를 말할 수 있다
실습 미션
패킷을 엿보다 — 평문은 다 읽힘 이 문장이 실제로 무슨 뜻인지 실습에서 한 번 손으로 확인한다.
성공 조건
- □실습의 기본값을 먼저 관찰
- □입력값이나 모드를 한 번 이상 바꿔 결과 비교
- □왜 결과가 바뀌었는지 한 문장으로 설명
화이트해킹 · 13
네트워크
스니핑
네트워크에 흐르는 패킷을 그냥 엿보는 것.
평문(HTTP·FTP)은 비밀번호까지 다 읽힘.
방어는 하나 — 전송을 암호화하는 것.
패킷은 공용 복도를 지나감
데이터는 한 번에 안 감. 작게 쪼갠 패킷으로 줄지어 흐름.
그 패킷은 공용 복도를 지나감.
같은 와이파이 · 같은 스위치 · 같은 회선 — 남의 패킷도 같은 길을 탐.
내 손편지를 공용 우편함에 흘려보내는 셈임.
스니핑은 그 복도에 귀를 대는 일임.
내 카드로 안 온 패킷도 받아서 들여다보는 것 / 무차별 수신 모드임.
공격하는 게 아니라 그냥 듣기만 함 — 그래서 들켜도 흔적이 거의 없음.
내 카드로 안 온 패킷까지 받음 = 무차별 수신
패킷은 봉투 + 알맹이
패킷 한 장은 두 부분임. 겉봉투(헤더)와 알맹이(페이로드).
헤더는 봉투 겉면임 / 어디서 어디로 · 무슨 규약으로 가는지.
페이로드는 안에 든 편지임 / 진짜 내용 — 입력한 글자·비밀번호·파일.
스니퍼는 두 부분을 다 읽으려 함.
봉투만 봐도 누가 누구랑 통신하는지 드러남(메타데이터).
알맹이까지 평문이면 비밀번호가 그대로 손에 들어옴 / 다음 장에서 봄.
src 203.0.113.7 → dst 198.51.100.4
proto HTTP · port 80
암호화돼도 보임 (라우팅용)
user=kim pass=spring2026!
평문이면 이게 그대로 읽힘
평문은 가로채면 다 읽힌다
오래된 규약은 알맹이를 암호화 안 함. 보내는 그대로 회선에 흐름.
HTTP는 로그인 글자를 평문으로 보냄.
FTP·텔넷은 아이디·비밀번호를 글자 그대로 흘림.
가로채면 복호화도 필요 없음 — 그냥 읽으면 됨.
쿠키도 새나감.
세션 쿠키 한 줄을 주우면 그 사람 로그인 상태를 통째로 훔침(세션 하이재킹).
그래서 공용 와이파이에서 평문 사이트에 로그인하면 그 자리에서 털릴 수 있음.
스니퍼로 직접 엿봄
오른쪽에서 직접 해봄. 같은 가상 트래픽을 평문/암호화로 바꿔 가며 스니핑함.
평문(HTTP·FTP)으로 두고 스니핑을 켜면 알맹이가 다 읽힘.
비밀번호·쿠키가 글자 그대로 떠오름 / 내용 유출.
암호화(HTTPS)로 바꾸면 같은 패킷을 가로채도 알맹이가 난수 덩어리임.
봉투(어디로 가는지)는 여전히 보임 — 알맹이만 못 읽음.
이 차이 하나가 스니핑 방어의 전부임.
203.0.113.7 → 198.51.100.4
•••••• (안 엿보는 중)
203.0.113.7 → 192.0.2.9
•••••• (안 엿보는 중)
203.0.113.7 → 198.51.100.4
•••••• (안 엿보는 중)
공격자는 같은 와이파이만 타면 흐르는 패킷을 그냥 봄.
방어 = 전송 암호화
복도를 막을 순 없음. 그래서 가로채도 못 읽게 알맹이를 암호화함.
웹은 HTTPS / 파일은 SFTP·FTPS / 원격은 SSH.
망 전체를 감싸려면 VPN으로 터널을 통째로 암호화함.
어느 쪽이든 알맹이는 회선에서 난수로 보임.
그래도 봉투(누가 누구랑·언제)는 남음 / 암호화가 메타데이터까지 다 가리진 않음.
그래서 방어는 겹으로 — 평문 규약 끄기 · HTTPS 강제(HSTS) · 공용 와이파이는 VPN.
요지는 하나 — 평문을 회선에 내보내지 않는 것.
Q. 네트워크 스니핑 방어의 핵심은? (네트워크 끄기 · 전송 암호화 · 비밀번호 길게 · 백신 설치)
정답은 전송 암호화(HTTPS·VPN)임.복도를 지나는 패킷은 어차피 가로채짐 — 막을 수 없음.
그래서 가로채도 못 읽게 알맹이를 암호화함.
비밀번호 길이·백신은 스니핑 자체를 못 막음 / 평문이면 길어도 그대로 읽힘.
그대로 읽힘
난수 덩어리 — 못 읽음