스니핑(Sniffing)

스니핑(Sniffing)은 네트워크를 흐르는 패킷을 몰래 가로채서 내용이나 메타데이터를 분석하는 행위다. 핵심은 통신에 직접 개입하지 않고 ‘엿본다’는 점이다.

네트워크에서는 여러 장비가 같은 매체를 공유하거나(과거 허브 환경), 스위치 환경에서도 특정 조건이 맞으면 패킷이 다른 장비로 전달될 수 있다. 스니핑은 이 틈을 이용해 아이디, 비밀번호, 세션 정보, 쿠키, 파일 내용 등을 수집한다. 통신 자체를 망가뜨리기보다는 정보 수집(정찰)에 목적이 있다.

스니핑은 크게 두 환경으로 나뉜다.
허브(Hub) 환경에서는 모든 패킷이 모든 포트로 전달되므로 비교적 쉽게 스니핑이 가능하다.
스위치(Switch) 환경에서는 원래 목적지 MAC으로만 패킷이 전달되지만, 공격자는 ARP 스푸핑/ARP 포이즈닝을 통해 자신을 중간자로 만들어(MITM) 패킷을 가로챈다.

보안적으로 중요한 포인트는 암호화 여부다. 평문 통신(예: HTTP, FTP, Telnet)은 스니핑에 매우 취약하다. 반대로 HTTPS, SSH, SFTP처럼 암호화된 프로토콜은 패킷을 가로채도 내용을 해독하기 어렵다(키 탈취나 인증서 위조가 없는 한).

대표적인 스니핑 도구로는 Wireshark, tcpdump 등이 있다.

대응 방법은 명확하다.
첫째, 암호화 통신 사용(HTTPS, SSH, VPN).
둘째, 스위치 보안 기능 적용(ARP 검사, 포트 보안).
셋째, 네트워크 이상 징후 탐지(IDS/IPS).
넷째, 중요 구간에서의 물리적·논리적 접근 통제.

스니핑은 패킷 도청 행위다.
주 목적은 정보 수집이다.
스위치 환경에서는 ARP 스푸핑과 함께 사용된다.
암호화가 가장 효과적인 대응이다.