콘텐츠로 이동

시스템 레벨 캡처

어떤 대상은 내부에서 평문을 읽어내는 것조차 허용하지 않습니다. macOS 기본 앱과, 특히 완강하고 깊숙이 숨겨진 애플리케이션은 외부의 모든 간섭을 시작 전부터 차단합니다. 시스템 레벨 캡처는 프로그램 내부에서 실행하지 않고 시스템의 하위 계층에서 관찰합니다. 일반 도구로는 근처에도 갈 수 없는 이런 대상마저 평문이 그대로 드러납니다. 본체 캡처 방식이 쥐고 있는 마지막 카드입니다.

이 문서는 macOS를 다룹니다. Windows에서는 시스템 네트워크 스택을 거치는 시스템 프로그램(.NET / PowerShell 등)에 대해 동등한 기능이 있습니다. 본체 애플리케이션 레벨 캡처를 참고하세요.


1. “다른 도구가 닿지 못하는 곳”을 봅니다

섹션 제목: “1. “다른 도구가 닿지 못하는 곳”을 봅니다”

macOS 기본 앱, 시스템 서비스, 혹은 그 완강하고 깊숙이 숨겨진 애플리케이션이 서버와 무슨 이야기를 주고받는지 보고 싶으신가요? 보통은 어디서나 벽에 부딪힙니다. 프록시 캡처는 차단당하고(인증서를 거부하고 그냥 오류를 냄), 프로그램 내부에서 평문을 읽는 것은 시스템 보호에 막히며, NIC에서 잡히는 것은 암호문뿐입니다. 시스템 레벨 캡처는 이들이 주고받는 평문을 읽어낼 수 있는 몇 안 되는 방법 중 하나입니다.

본체 캡처 방식은 하나씩 더 멀리 나아가며, 이 방식이 가장 끝에 자리합니다.

대상 NIC / 프로세스별 애플리케이션 레벨 캡처 본체 시스템 레벨 캡처
일반 프로그램 ✅ (과함)
인증서 피닝 / 커스텀 암호화 🔒 암호문 ✅ 평문 ✅ 평문
완강하거나 극도로 숨겨진 애플리케이션 🔒 / ❌ ❌ 간섭 거부 평문
기본 앱 / 시스템 서비스 🔒 / ❌ ❌ 간섭 거부 평문

앞선 어떤 방법으로도 대상을 처리할 수 없을 때, 이 방식에 넘기세요.


2. 무엇이 시스템 앱까지 닿게 하는가

섹션 제목: “2. 무엇이 시스템 앱까지 닿게 하는가”
  • 프로그램 내부에서 실행하지 않음: 기본 앱과 완강한 애플리케이션은 프로그램 내부에서 실행되는 모든 간섭을 차단하므로, 애플리케이션 레벨 캡처가 이들에는 통하지 않습니다. 시스템 레벨 캡처는 다른 각도를 택합니다. 주입 없음, 프로그램 변경 없음, 인증서 없음. 시스템의 하위 계층에서 대역 외(out-of-band)로 읽어내므로 이 보호로는 막을 수 없습니다.
  • 인증서를 건드리지 않음: 중간자 역할을 하지 않고 인증서를 건드리지 않으므로 인증서 피닝이 아예 적용되지 않습니다. 이런 애플리케이션의 인증서 검증이 아무리 엄격해도 영향을 줄 수 없습니다.
  • 다른 곳이 닿지 못하는 계층에 도달: macOS 기본 앱, App Store, 각종 시스템 서비스는 시스템의 하위 레벨 네트워크 채널을 거치는데, 이곳이 바로 앞선 모든 캡처 방식의 공통 사각지대입니다. 시스템 레벨 캡처는 정확히 이 계층을 커버하여 그들의 평문을 남김없이 드러냅니다.

3. 어떤 대상을 처리할 수 있는가

섹션 제목: “3. 어떤 대상을 처리할 수 있는가”
  • 기본 앱과 시스템 서비스: App Store, 시스템 구성 요소, 백그라운드 서비스 등 macOS 자체 프로그램의 네트워크 교환.
  • 완강하고 깊숙이 숨겨진 애플리케이션: 트래픽을 깊이 감추고 외부의 모든 간섭을 거부하는 서드파티 프로그램.
  • 일반 프로그램: 물론 이것도 처리할 수 있지만 과합니다. 일반 프로그램이라면 앞선 방법들이 더 간단합니다.

  1. 대상 선택: 드롭다운에서 실행 중인 프로그램을 고르거나, 프로그램 경로 / 이름을 입력합니다.
  2. 선택적으로 “실행 순간”을 캡처: 도구가 먼저 프로그램을 종료한 뒤 다시 실행하게 하여 실행 초기 트래픽까지 담습니다(인증 / 핸드셰이크의 상당수가 바로 그 순간에 일어납니다).
  3. 캡처를 시작하고 프로그램이 주고받는 평문을 확인합니다.

새 세션 · 본체 시스템 레벨 캡처: 실행 중인 프로그램을 선택하거나(경로 / 이름 입력) 시스템 하위 계층에서 대역 외로 그 평문 교환을 관찰합니다. “대상 재시작”을 체크하면 실행 초기까지 커버합니다

실시간 결과: 시스템 하위 계층에서 대상 프로그램을 대역 외로 관찰하여 HTTPS 교환이 평문으로 완전히 복원되고, 상세 보기에는 “복호화됨”이 표시되며, 요청과 응답이 하나씩 나란히 정렬됩니다


5. 캡처 이후: 읽고 디코딩할 수 있습니다

섹션 제목: “5. 캡처 이후: 읽고 디코딩할 수 있습니다”

하위 계층에서 읽어낸 평문은 다른 모든 캡처 방식과 동일한 처리를 거칩니다.

  • 여러 보기 모드: 구조화, 텍스트 정리, 헥스, 자동 감지가 있으며, 송신 측과 수신 측을 각각 독립적으로 전환할 수 있습니다. 데이터 보기 및 디코딩을 참고하세요.
  • 자동 압축 해제 및 감지: gzip / brotli / deflate / zstd(여러 겹으로 쌓인 것 포함)를 자동으로 압축 해제하고, JSON, XML, protobuf / gRPC 등을 자동으로 감지하여 정리합니다.

6. 네 가지 본체 캡처 방식 중 선택하는 법

섹션 제목: “6. 네 가지 본체 캡처 방식 중 선택하는 법”
상황 무엇을 쓸 것인가
macOS 기본 앱, 완강한 애플리케이션(다른 방법으로 닿지 못함) 본체 시스템 레벨 캡처(이 문서)
이미 실행 중인 프로그램 / 인증서 피닝 / 프록시를 받지 않음 / 커스텀 암호화 본체 애플리케이션 레벨 캡처
명령으로 시작할 수 있는 일반 프로그램(브라우저 / 스크립트 / CLI) 본체 프로세스별 캡처
이 기기의 모든 트래픽이나 비 HTTP 트래픽을 보고 싶음 본체 NIC 캡처

관련: 프록시 캡처 · 본체 애플리케이션 레벨 캡처 · 데이터 보기 및 디코딩