실습 경험 + 위협 탐지 과정으로 푸는 결
학부 네트워크 보안 실습 과목에서 Wireshark로 패킷을 직접 캡처하고 분석한 경험이 있습니다. 실습 환경이었지만 의도적으로 구성된 비정상 트래픽을 탐지하는 과제였고, 저는 특정 포트에서 짧은 간격으로 반복 전송되는 패턴을 발견했습니다. 처음엔 단순 재전송인 줄 알았는데, 목적지 IP가 계속 바뀌고 있다는 것을 보고 포트 스캔 시도로 판단했습니다.
대응 방안으로는 해당 IP를 출발지 기준으로 필터링하고, 발생 시각과 빈도를 기록하는 방식을 썼습니다. 실제 환경이었다면 방화벽 규칙에 추가하는 단계까지 갔겠지만, 실습이라 탐지와 기록까지만 했습니다. 어려웠던 점은 정상 트래픽과 비정상 트래픽이 섞여 있어서 임계값을 어디에 잡느냐였습니다. 처음엔 너무 낮게 잡아서 정상 연결도 걸렸고, 3번 조정한 뒤에야 정확하게 분리됐습니다.
이 경험으로 트래픽 패턴을 볼 때 단건보다 시계열 흐름으로 보는 습관이 생겼습니다.