패킷 분석기, 프로토콜 분석기 또는 네트워크 분석기라고도 알려진 패킷 스니퍼는 네트워크 트래픽 모니터링에 사용되는 하드웨어 또는 소프트웨어입니다. 스니퍼는 네트워크된 컴퓨터와 더 큰 규모의 인터넷뿐만 아니라, 네트워크상의 컴퓨터를 통해 전송되는 데이터 패킷 스트림을 검사하는 방식으로 작동합니다. 이러한 패킷은 특정 머신을 대상으로 하며 해당 머신으로 주소가 지정되지만, '무차별 모드'에서 패킷 스니퍼를 사용할 경우에는 목적지와 관계없이 IT 전문가, 최종 사용자 또는 악의적인 침입자가 모든 패킷을 탐지할 수 있습니다. 스니퍼를 설정하는 방식은 두 가지입니다. 첫째, '필터되지 않은 상태'에서는 가능한 모든 패킷을 캡처해 추후 검사할 수 있도록 로컬 하드 드라이브에 기록합니다. 다음으로 '필터된 상태' 모드의 경우, 분석기는 특정 데이터 요소를 포함한 패킷만 캡처합니다.
패킷 스니퍼는 유선 및 무선 네트워크 모두에서 사용할 수 있으며, 네트워크 보안 프로토콜로 얼마나 많은 것을 '확인할 수 있는지'에 따라 효용성이 달라집니다. 유선 네트워크에서는 모든 연결된 머신의 패킷에 스니퍼가 액세스할 수도 있는데, 네트워크 스위치의 배치에 따라 제한될 가능성도 존재합니다. 무선 네트워크에서는 스니퍼 대부분이 한 번에 한 채널만 검사할 수 있지만, 여러 무선 인터페이스를 사용할 경우에는 이 기능이 확대될 수 있습니다.
확산 및 위험 요소
스니퍼를 사용하면 사용자가 방문하는 웹사이트, 사이트에서 보는 내용, 이메일의 내용과 목적지, 다운로드한 파일의 세부 사항 등 거의 모든 정보를 캡처할 수 있습니다. 프로토콜 분석기는 기업에서 직원의 네트워크 사용을 추적할 때 종종 사용되며, 많은 유명 바이러스 백신 소프트웨어 패키지 또한 이를 포함하고 있습니다. 외부 스니퍼는 들어오는 네트워크 트래픽을 검사하여 악성 코드의 특정 요소를 찾아내 컴퓨터 바이러스 감염을 방지하고 맬웨어 확산을 막는 데 도움을 줍니다.
하지만 이러한 분석기는 악의적인 목적으로도 사용될 수 있음에 유의해야 합니다. 사용자에게 웹사이트로부터 악성 코드가 포함된 이메일의 첨부 파일이나 감염된 파일을 다운로드하게끔 유도한다면, 기업 네트워크에 비인가된 패킷 스니퍼가 설치될 가능성이 있습니다. 패킷 스니퍼가 설치되면 전송된 모든 데이터를 기록하고 C&C(command and control) 서버로 전송하여 추가 분석 진행이 가능해집니다. 이렇게 되면 해커가 패킷 인젝션이나 중간자 공격을 시도할 가능성이 생겨, 전송하기 전 암호화되지 않은 모든 데이터가 손상될 수도 있습니다.
패킷 스니퍼를 적절히 사용할 경우에는 네트워크 트래픽을 지우고 맬웨어 감염을 차단하는 데 도움이 되지만, 악의적인 사용을 방지하려면 지능형 보안 소프트웨어를 갖추어야 함을 염두에 두어야 합니다.
