재전송을 이용한 은닉 통신 기법

본 논문은 네트워크 스테가노그래피 분야에서 재전송 메커니즘을 활용한 새로운 은닉 기법인 RSTEG(Retransmission Steganography)을 제안한다. 서론에서는 스테가노그래피의 분류 체계를 재정의하고, 기존 방법들이 패킷 내용(MP), 패킷 순서·지연(MS), 하이브리드(HB) 세 축으로 나뉘는 점을 설명한다. 특히 재전송을 은닉 채널로 이용하는 시도는 거의 없으며, 이를 보완하기 위해 RSTEG을 고안하였다. RSTEG의 핵심 아이디어는 수신자가 정상적인 ACK를 의도적으로 누락함으로써 송신자가 재전송을 수행하도록 유도하고, 재전송되는 패킷의 페이로드에 은닉 데이터를 삽입하는 것이다. 이 과정은 기존 프로토콜 동작을 크게 변경하지 않으며, 네트워크 장비는 재전송을 오류 복구로 인식한다. 논문은 이를 구현하기 위한 네 가지 통신 시나리오를 제시한다. 1) 시나리오 1: 송신자(SS)와 수신자(SR)가 직접 협업하는 가장 단순한 형태. 정상적인 연결을 유지하면서 특정 패킷에 대해 ACK를 누락하고, 재전송 시 은닉 데이터를 삽입한다. 2) 시나리오 2: 중간 노드가 SS 역할을 수행하고, SR이 수신자에 위치한다. 중간 노드는 원본 페이로드를 복제·보관하고, 재전송 패킷이 도착하면 은닉 데이터를 삽입한다. 3) 시나리오 3: SR이 중간 노드이며, 송신자는 일반적인 역할을 수행한다. SR은 패킷을 가로채어 ACK를 누락시키고, 재전송 패킷에 은닉 데이터를 삽입한다. 4) 시나리오 4: SS와 SR 두 개의 중간 노드가 협력해 은닉 데이터를 삽입·복원한다. 이 경우 원본 페이로드를 복제·보관하고, 재전송 패킷에 은닉 데이터를 삽입한 뒤, 최종 수신자에게 원본을 복원해 전달한다. 시나리오 2~4는 중간 노드가 트래픽 경로에 존재하므로 탐지가 더욱 어려워진다. 특히 중간 노드가 패킷을 복제·보관하고 재전송 시점에만 변조하기 때문에, 전통적인 패킷 변조 탐지 기법으로는 식별이 힘들다. 다음으로 논문은 TCP 프로토콜에 RSTEG을 적용하는 방법을 상세히 설명한다. TCP의 주요 재전송 메커니즘인 RTO, Fast Retransmit/Recovery, SACK을 모두 활용할 수 있다. RTO 기반 재전송은 타이머 만료에 따라 발생하므로, 은닉 데이터를 삽입할 시점을 정밀하게 제어해야 한다. Fast Retransmit은 중복 ACK를 이용해 재전송을 트리거하므로, 중복 ACK를 의도적으로 생성하거나 억제함으로써 은닉 채널을 제어할 수 있다. SACK은 손실된 세그먼트만 재전송하므로, 은닉 데이터 삽입 시 손실된 세그먼트를 선택적으로 활용한다. RSTEG 구현을 위해 송신자와 수신자는 사전에 공유한 비밀 키(Steg‑Key)를 사용한다. 은닉 데이터를 삽입할 세그먼트를 선택할 때, TCP 헤더의 시퀀스 번호와 체크섬을 결합한 해시 함수를 통해 식별자(IS)를 생성한다. 또한 제어 비트(CB)를 추가해 재전송 요청 세그먼트와 은닉 데이터가 포함된 세그먼트를 구분한다. 이렇게 하면 정상적인 TCP 세그먼트와 구분되지 않으며, 네트워크 장비는 정상적인 흐름으로 인식한다. 시뮬레이션에서는 실제 인터넷 트래픽을 모델링해 RSTEG의 스테가노그래픽 대역폭과 재전송 비율에 미치는 영향을 평가한다. 결과는 RTO 기반 재전송에서 약 5 bps, Fast Retransmit에서는 12 bps, SACK 기반에서는 20 bps 정도의 은닉 데이터 전송이 가능함을 보여준다. 동시에 전체 재전송 비율을 7 % 이하로 유지하면 기존 네트워크 성능 저하가 미미하다. 은닉 데이터 양을 늘리면 재전송 비율이 상승하고, 이는 패킷 손실률 증가와 탐지 위험을 초래한다. 따라서 은닉 데이터 전송량을 동적으로 조절하고, 네트워크 혼잡 상황을 실시간으로 모니터링하는 것이 필요하다. 보안 분석에서는 RSTEG이 정상적인 재전송 흐름을 악용하므로 기존의 재전송 기반 이상 탐지 시스템으로는 탐지가 어려울 수 있음을 지적한다. 탐지를 위해서는 재전송 패턴의 통계적 분석, 재전송 요청 세그먼트와 실제 데이터 변조 여부를 교차 검증하는 방법이 필요하다. 또한 중간 노드가 은닉 데이터를 삽입·추출하는 경우, 해당 노드의 트래픽 로그와 패킷 변조 흔적을 포렌식적으로 분석해야 한다. 결론에서는 RSTEG이 프로토콜 레이어를 그대로 유지하면서 은닉 채널을 제공하는 효율적인 방법임을 강조한다. 그러나 은닉 데이터 양과 재전송 빈도 사이의 트레이드오프를 신중히 관리해야 하며, 실시간 네트워크 모니터링과 동적 전송 제어가 필수적이다. 향후 연구 과제로는 다중 경로 환경에서의 RSTEG 적용, 다른 전송 계층 프로토콜(예: SCTP, DCCP)으로의 확장, 그리고 탐지 회피를 위한 적응형 전송 전략 개발이 제시된다.