프로세스별 캡처
프로그램 하나의 트래픽만 보고 싶은데, “전역 프록시를 바꾸고, 인증서를 설치하고, 캡처 후 모든 것을 복원하는” 번거로움은 겪고 싶지 않으신가요? 실행 명령을 알려 주면 도구가 프로그램을 대신 실행해 그 하나만 캡처하고 실행하는 순간부터 평문을 보여 주며, 시스템의 다른 소프트웨어에는 간섭이 전혀 없습니다. 프로그램 하나를 캡처하는 가장 가볍고 깔끔한 방법입니다.
1. 프록시 캡처와 무엇이 다른가
섹션 제목: “1. 프록시 캡처와 무엇이 다른가”프로그램 하나를 프록시로 잡는다는 것은 보통 시스템 프록시를 바꾸고, 그 프로그램을 위해 인증서를 설치하고, 나중에 모든 것을 복원하는 일을 뜻하며, 조심하지 않으면 다른 소프트웨어에 영향을 줄 위험이 있습니다. 프로세스별 캡처는 이 모든 것을 건너뜁니다.
| 프로그램 하나를 프록시로 잡기(전통 방식) | 프로세스별 캡처 | |
|---|---|---|
| 시스템 전역 프록시 | 바꿔야 하고, 후에 복원해야 함 | 건드리지 않음 |
| 인증서 설치 | 설치해야 하고, 프로그램이 신뢰해야 함 | 필요 없음 |
| 다른 소프트웨어에 대한 영향 | 있을 수 있음(전역 프록시가 번짐) | 간섭 제로(이 프로그램 하나에만 영향) |
| 평문 보기 | 프로그램이 인증서를 신뢰할 때만 | 실행하는 순간부터 평문(흔한 프로그램은 자동 복호화) |
| 캡처 후 정리 | 프록시 복원 / 인증서 제거 필요 | 그냥 중지, 복원할 것 없음 |
요컨대 프록시 캡처는 “머신 전체”를 건드리지만, 프로세스별 캡처는 “이 프로그램 하나”만 건드립니다. 프로그램 하나가 무엇을 보내는지 깔끔하게 보고 싶다면, 이것이 가장 수고가 적은 방법입니다.
2. 강점이 빛나는 지점
섹션 제목: “2. 강점이 빛나는 지점”- 이 프로그램 하나만 캡처, 침입 제로: 시스템 프록시를 바꾸지도, 인증서를 설치하지도, NIC를 건드리지도 않습니다. 실행한 프로그램만 캡처됩니다. 시스템의 다른 소프트웨어는 전혀 영향받지 않으며, 캡처 후 정리할 것도 없습니다.
- 실행하는 순간부터 평문, 넓은 커버리지: 브라우저, Electron 방식 데스크톱 앱, Node, Python, 데스크톱 Java, 그리고 흔한 암호화 라이브러리를 쓰는 명령줄 도구는 모두 명령 하나로 실행하는 순간 평문을 보여 주며, 프로그램에 설정할 것도 설치할 인증서도 없습니다.
- 자식 프로세스 자동 추적: 프로그램이 내부적으로 생성하는 자식 프로세스도 함께 캡처되어 놓치는 것이 없습니다.
- 언제든 준비 완료: 스크립트를 디버깅하거나 API를 검증하려면, 명령을 입력하고 캡처를 시작하면 됩니다. 프록시를 설정하고 인증서를 설치하는 것보다 훨씬 빠릅니다.
3. 사용하는 법
섹션 제목: “3. 사용하는 법”“실행 명령”에 실행하고 싶은 명령(예: python3 app.py)을 입력하면, 도구가 그것을 실행해 그 트래픽만 캡처합니다. 원클릭 예시 세 가지가 내장되어 있어, 하나를 클릭하면 자동으로 채워지고, 필요에 따라 편집하면 됩니다.
- 브라우저 예시: 별도의 깨끗한 브라우저 창을 실행하고(평소에 쓰는 브라우저는 건드리지 않음) 곧바로 캡처합니다. HTTP/3 (QUIC)는 이미 일반 연결로 되돌아가도록 설정되어 있어 캡처가 쉽고 복호화가 가능합니다.
- Python 예시: 명령 하나로 요청을 보내고 평문을 봅니다.
- 명령줄 예시: 명령줄에서 보낸 HTTPS 요청이 즉시 캡처됩니다.

캡처 중인 다른 프로그램도 HTTP/3를 쓴다면, 세션 수준의 “HTTP/3 차단”을 켜서 일반 연결로 되돌아가게 하세요. 마찬가지로 캡처가 쉬워지고 복호화가 가능해집니다.
4. 평문 보기: 되는 것과 다른 방법이 필요한 것
섹션 제목: “4. 평문 보기: 되는 것과 다른 방법이 필요한 것”- 흔한 프로그램: 실행하는 순간부터 평문. 브라우저, Electron 앱, Node, Python, 데스크톱 Java, 그리고 흔한 암호화 라이브러리를 쓰는 명령줄 도구는 실행 후 별도의 단계 없이 곧바로 평문을 보여 줍니다.

- 일부 프로그램은 복호화되지 않음(캡처는 되지만 암호문만): 특수한 암호화 라이브러리를 쓰는 특정 프로그램은 이 방법으로 평문이 나오지 않습니다. 가장 대표적인 것은 macOS 내장
curl(그리고 같은 시스템 암호화 라이브러리에 기반한 도구들)이며, 순수 Go로 작성된 일부 프로그램도 마찬가지입니다.명령줄에서 보낸 HTTPS의 평문을 보려면 “Python 예시”가 가장 확실합니다. 또는 OpenSSL 기반
curl로 전환하세요. - 프록시 설정을 완전히 무시하는 프로그램: 이 방법으로는 그 트래픽을 캡처할 수 없습니다.
이런 “방어가 강화된” 또는 특수한 프로그램은 애플리케이션 계층 캡처로 전환하세요. 프로그램 내부에서 직접 평문을 읽어, 인증서 피닝, 자체 암호화, 시스템 암호화 라이브러리를 모두 다룰 수 있습니다.
5. 캡처 후: 이해하고, 디코딩하기
섹션 제목: “5. 캡처 후: 이해하고, 디코딩하기”캡처한 데이터는 다른 모든 캡처 방식과 동일한 처리를 거치며, 똑같이 쉽게 이해하고 디코딩할 수 있습니다.
- 여러 조회 방식: 구조화, 정돈된 텍스트, 16진수, 자동 감지. 방향별로 독립적으로 전환할 수 있습니다. 자세한 내용은 검사와 디코딩을 참고하세요.
- 자동 압축 해제와 감지: gzip / brotli / deflate / zstd(여러 겹으로 쌓인 것 포함)를 자동으로 압축 해제하고, JSON, XML, 폼, protobuf / gRPC 등을 자동 감지해 정돈합니다.
- 커스텀 코덱: 사설 / 자체 프로토콜에 대해서는 짧은 스크립트를 작성해 읽는 법을 가르칩니다. 자세한 내용은 커스텀 프로토콜 디코딩을 참고하세요.
6. 네 가지 로컬 캡처 방식 중 고르기
섹션 제목: “6. 네 가지 로컬 캡처 방식 중 고르기”| 나의 상황 | 무엇을 쓸까 |
|---|---|
| 명령으로 실행할 수 있는 일반 프로그램(브라우저 / 스크립트 / CLI) | 프로세스별 캡처(이 페이지, 가장 수고가 적음) |
| 머신의 모든 트래픽, 비 HTTP 트래픽, 또는 프로그램이 네트워크에서 하는 모든 일을 보고 싶다 | NIC 캡처 |
| 이미 실행 중이거나 / 인증서 피닝을 쓰거나 / 프록시를 무시하거나 / 자체 암호화를 쓰거나 / 시스템 암호화 라이브러리를 쓰는 프로그램 | 애플리케이션 계층 캡처 |
| macOS 시스템 내장 앱 / 다루기 까다로운 앱 | 시스템 수준 캡처 |
7. 대표적인 사용 사례
섹션 제목: “7. 대표적인 사용 사례”- 스크립트 디버깅 / API 검증: Python / Node 스크립트를 작성했고 그것이 정확히 무엇을 주고받는지 보고 싶다면, 명령을 입력해 곧바로 평문을 봅니다.
- 프로그램 하나만 지켜보기: 시스템 설정을 바꾸거나 다른 소프트웨어에 영향을 주지 않고, 이 프로그램 하나가 누구와 대화하는지만 봅니다.
- 깨끗한 브라우저 세션 캡처: 예시를 사용해 별도의 브라우저 창을 실행하면, 평소 브라우저의 모든 플러그인과 탭에서 오는 잡음이 없습니다.
관련: 프록시 캡처 · 애플리케이션 계층 캡처 · 검사와 디코딩