콘텐츠로 이동

프록시 캡처

Trace Eagle의 프록시 캡처 모듈은 컴퓨터, 휴대폰, 그리고 LAN상의 다른 기기가 보내는 네트워크 요청을 완전하고, 명확하며, 복호화된 형태로 볼 수 있게 합니다. 그저 보기만 하는 것이 아니라 편집하고, 가로채고, 재전송하고, 비교하고, 발신지까지 추적할 수 있습니다.

“또 하나의 프록시 캡처 도구”와의 근본적인 차이는 이것입니다. 일반 프록시 도구는 “프록시 설정 + 중간자 복호화”라는 단 하나의 경로만 가집니다. 프록시를 무시하는 프로그램, 인증서 피닝을 쓰는 앱, Java / Python 프로그램, 사설 바이너리 프로토콜, 트래픽 특성에 민감한 애플리케이션을 만나는 순간 사실상 막혀 버립니다. Trace Eagle은 이런 사각지대를 하나씩 메웁니다. 프록시를 무시하는 프로그램도 캡처하고, 인증서 피닝을 쓰는 앱도 복호화하고, 사설 포맷도 재구성하고, 시스템 잡음에 파묻힌 플로우도 누가 보냈는지 짚어내며, 트래픽 특성에 민감한 애플리케이션에 대해서는 트래픽을 그대로 유지해 정상 동작을 방해하지 않으면서 높은 충실도로 관찰합니다.

플로우 목록: 모든 요청이 메서드, 상태, 호스트/경로, 유형, 크기, 발신 프로세스를 실시간으로 표시


1. 일반 프록시 캡처 도구와 무엇이 다른가

섹션 제목: “1. 일반 프록시 캡처 도구와 무엇이 다른가”

같은 프록시 캡처라도 차이는 “요청을 볼 수 있느냐”가 아니라 어려운 상황을 만났을 때도 작업을 이어갈 수 있느냐, 그리고 더 깊이 볼 수 있느냐에 있습니다.

상황 일반 프록시 캡처 도구 Trace Eagle
프로그램이 시스템 프록시를 무시함 (많은 클라이언트, 백그라운드 서비스, 직접 연결 트래픽) 캡처 불가, 완전히 놓침 투명 프록시: 앱 설정이 필요 없음. 프록시를 무시하는 프로그램, 직접 연결 트래픽, 머신이 핫스팟/게이트웨이 역할을 할 때 전달되는 트래픽까지 캡처하며, 프로세스 단위로 정밀하게 범위를 지정할 수 있음
앱이 인증서 피닝을 사용함 오류 / 연결 불가 / 포기해야 함 한 번의 클릭으로 대상 앱의 인증서 검증을 해제해 캡처 인증서를 신뢰하게 하고 복호화를 이어감. 건드리고 싶지 않은 사이트는 정밀하게 통과시킴
Java, Python 같은 프로그램 시스템 인증서를 설치해도 소용없고 복호화 불가 완전한 인증서 커버리지: 일반 프록시가 복호화하지 못하는 이런 프로그램도 여기서는 복호화됨
HTTP/3 (QUIC) 트래픽 지원이 약해 대부분 볼 수 없음 필요에 따라 세 단계에서 선택: 다운그레이드 캡처, 충실한 통과(고충실도), 또는 실제 복호화
사설 / 바이너리 프로토콜, 압축·암호화된 봉투 읽을 수 없는 쓰레기 더미 자동 압축 해제, 다양한 포맷 자동 인식, 그리고 프레이밍 규칙이나 JS 스크립트를 통한 커스텀 디코딩
여러 프로세스가 뒤섞여 어느 것이 트래픽을 보냈는지 알 수 없음 IP / 도메인만 보고 추측해야 함 모든 플로우에 발신 앱 / 프로세스가 표시됨. 호스트를 클릭하면 전체 프로필도 조회
상대가 누구이고 클라이언트가 무엇인지 식별하고 싶음 없음 호스트를 클릭해 귀속 / 인증서 / 지리 프로필을 보고, 각 연결의 **클라이언트 지문(JA3/JA4)**을 확인
트래픽 특성에 민감한 애플리케이션 중간자 프록시가 트래픽 특성을 바꿔, 관찰한 것이 더 이상 실제 트래픽이 아니게 되고 대상을 방해할 수 있음 여러 고충실도 모드: 트래픽을 특성 변경 없이 그대로 유지해 대상 앱을 방해하지도, 분석하려는 실제 링크를 놓치지도 않음
접속 방식 / 병렬 작업 사실상 프록시만, 단일 세션 프록시 + 직접 NIC 캡처 + 투명 캡처 + 모바일 직접 연결, 여러 세션을 병렬로, 여러 포트를 서로 간섭 없이

요컨대 일반 도구는 “프록시 캡처”를 하지만, Trace Eagle은 어떤 상황에서든 “캡처하고, 복호화하고, 이해하고, 누가 누구에게 보냈는지 아는” 일을 합니다.


2. 유연한 접속 방식 (두 가지 로컬 접속 모드)

섹션 제목: “2. 유연한 접속 방식 (두 가지 로컬 접속 모드)”

트래픽이 캡처에 어떻게 들어오는지는 상황에 따라 다릅니다. 세션 툴바의 **“프록시 로컬” → 톱니바퀴 “접속 설정”**에서 두 가지 접속 모드 중 하나를 선택할 수 있습니다.

  • 전통 프록시(시스템 프록시 사용, 고전적 캡처): 원클릭 접속. 브라우저, 명령줄, 대부분의 앱이 자동으로 프록시를 거칩니다. 중지 후에는 자동으로 복원되므로 정상적인 인터넷 사용이 보장되며, 비정상 종료에 대비한 복구 방편도 있습니다. 한계: 앱이 시스템 프록시를 사용하지 않으면 캡처할 수 없습니다.
  • 투명 프록시(모든 트래픽): 일반 도구의 사각지대: 앱 설정이 필요 없습니다. **모든 로컬 트래픽(직접 연결 트래픽과 머신이 핫스팟/게이트웨이 역할을 할 때 전달되는 트래픽 포함)**을 캡처할 수 있습니다. 시스템 프록시를 사용하지 않는 앱도 똑같이 캡처됩니다. 앱/프로세스 단위로 정밀하게 범위를 지정해 몇몇 프로그램만 캡처할 수 있습니다. 모바일에서는 루트 인증서만 설치하면 되고, 프록시를 손으로 설정할 필요가 없습니다.

접속 설정: 두 가지 접속 모드인 전통 프록시 / 투명 프록시가, 3단계 HTTP/3 처리인 다운그레이드 캡처 / 충실한 통과 / 실제 복호화와 짝을 이룸

LAN 기기 캡처: 휴대폰/태블릿/다른 컴퓨터의 프록시를 이 머신으로 가리키면 캡처할 수 있으며, 원클릭 인증서 설치 안내(iOS/macOS 구성 프로파일, QR 스캔으로 설치)를 제공합니다.

상위 프록시 연결: 캡처 세션 자체가 그 위에 다른 상위 프록시를 연결할 수 있습니다(이 머신의 캡처를 회사 프록시, 점프 호스트, 기타 2차 프록시로 이어 줌). 이 링크는 투명하며 복호화에 영향을 주지 않습니다.


점점 더 많은 앱이 HTTP/3를 채택하고 있으며, 일반 도구는 여기서 자주 무너집니다. “접속 설정”에서 다음을 선택할 수 있습니다.

  • 차단(다운그레이드 캡처): HTTP/3를 HTTP/2로 다운그레이드해 캡처 가능하게 시도합니다(일부 앱은 이를 지원하지 않습니다).
  • 무시(충실한 통과): 복호화하지 않고 그대로 전달합니다. 고충실도이며 프로그램의 데이터 요청을 방해하지 않습니다.
  • 복호화(실제 H3 중간자): 실제로 캡처·복호화하여 일반 HTTPS처럼 평문을 봅니다.

전통 프록시는 “차단 / 무시”를 지원합니다. “복호화”는 투명 프록시 모드에서 사용해야 합니다.


4. 복호화 능력: “인증서만 설치하면 되는” 것 그 이상

섹션 제목: “4. 복호화 능력: “인증서만 설치하면 되는” 것 그 이상”

일반 도구의 복호화는 “시스템 인증서 하나 설치 + 프록시 중간자”로, 조금만 방어가 있어도 실패합니다. Trace Eagle은 여러 수단의 조합입니다.

  • 원클릭 HTTPS 복호화: 내장 인증서 시스템으로, 한 번 설치하면 지속적으로 복호화됩니다.
  • 완전한 인증서 커버리지 설치: 한 번의 클릭으로 시스템 인증서를 어디에나 적용합니다. 시스템 인증서를 설치해도 일반 프록시가 복호화하지 못하는 Java, Python 같은 프로그램도 여기서는 복호화됩니다.
  • 인증서 피닝 해제(피닝 제거): 피닝을 사용해 원래라면 오류를 내며 연결을 거부하는 앱에 대해, 한 번의 클릭으로 인증서 검증을 해제하고 복호화를 이어갑니다.
  • 화이트리스트 / 허용 목록 / 차단 목록: 화이트리스트는 지정한 도메인만 복호화하고 나머지는 그대로 통과시킵니다. 허용 목록은 엄격하게 검증되는 사이트를 복호화 없이 그대로 통과시켜 오류를 피합니다. 차단 목록은 통과시키고 싶지 않은 도메인을 아예 폐기합니다.

복호화 범위 설정: 블랙리스트 / 화이트리스트 전환, 허용 목록, 차단 목록, 그리고 상위 프록시와 커스텀 DNS


5. 다중 세션 / 다중 프록시 병렬

섹션 제목: “5. 다중 세션 / 다중 프록시 병렬”
  • 여러 캡처 세션을 동시에 엽니다. 각각은 독립된 탭으로 개별적으로 시작/중지/전환할 수 있습니다.
  • 세션은 완전히 격리됩니다: 독립된 플로우 목록, 상세 정보, 선택 상태, 설정을 가지며, 여러 프록시 세션이 각기 다른 포트에서 수신 대기하며 동시에 동작할 수 있습니다.
  • 프록시, 직접 NIC 캡처, 투명 캡처, 모바일 직접 연결을 동시에 실행하고 상황에 맞게 조합할 수 있으며 서로 영향을 주지 않습니다.

프로토콜 지원 능력
HTTP / HTTPS 완전한 요청-응답 파싱, 평문 조회
HTTP/2 네이티브 파싱, HTTP/1.1과 일관된 조회 경험
HTTP/3 (QUIC) 세 단계 중 선택: 다운그레이드 캡처 / 충실한 통과 / 실제 복호화(위 참고)
WebSocket 송수신 메시지를 프레임 단위로 표시(text/binary/ping/pong, 방향 표시 포함)
Server-Sent Events (SSE) 이벤트 스트림을 이벤트 단위로 표시
gRPC / protobuf .proto 없이도 필드 구조를 해석
원시 TCP / UDP 비 HTTP 커스텀 프로토콜의 원시 데이터도 캡처
SOCKS5 접속에 같은 포트를 공유. CONNECT와 UDP ASSOCIATE 모두 지원하며, SOCKS 트래픽도 복호화 / 통과 가능

7. 고충실도 관찰: 대상을 방해하지 않고 트래픽 특성을 바꾸지 않기

섹션 제목: “7. 고충실도 관찰: 대상을 방해하지 않고 트래픽 특성을 바꾸지 않기”

일반 중간자 프록시는 네트워크 요청의 특성을 바꾸며, 그 결과 관찰한 것이 더 이상 앱의 실제 트래픽이 아니게 되고 대상 앱의 정상 동작에 영향을 줄 수 있습니다. 트래픽 특성에 민감한 애플리케이션(예: 일관성 검사를 위해 네트워크 요청 데이터 지문에 의존하는 서비스)에서는 이것이 대상을 방해하는 동시에 분석을 왜곡합니다.

Trace Eagle은 캡처 과정을 최대한 “투명”하게, 실제 링크에 최대한 가깝게 유지하기 위해 여러 충실도 단계를 제공합니다. 충실한 관찰(실제 클라이언트에 가장 가까운 방식으로 관찰해 트래픽 특성 변경을 최소화), 지문 재구성(트래픽을 재작성해야 할 때에도 일관된 클라이언트 지문 유지), 고정 클라이언트 프로필(트래픽 특성을 표준 클라이언트의 것으로 복원: 데스크톱 Chrome / Firefox / Safari, 모바일 Safari, 또는 무작위 프로필)이 그것입니다. “H3 무시(충실한 통과)“와 결합하면, 트래픽 특성에 민감한 애플리케이션이라도 그 정상 동작을 방해하지 않으면서 충실하게 캡처·분석할 수 있습니다.


8. 프로세스 귀속과 정밀 필터링

섹션 제목: “8. 프로세스 귀속과 정밀 필터링”
  • 누가 보냈는지 한눈에: 모든 플로우에 발신 앱/프로세스가 표시되어, 붐비는 환경에서도 대상을 빠르게 짚어냅니다. IP/도메인만 보여 주는 일반 도구로는 얻을 수 없는 정보입니다.
  • 관심 있는 것만 캡처: 투명 프록시와 결합해 앱/프로세스 단위로 캡처 범위를 정밀하게 지정하고 잡음을 차단합니다.

플로우 상세: 연결과 발신 프로세스, TLS 및 연결 지문(JA3/JA4), 복호화 상태, 그리고 자동으로 파싱된 요청 내용이 한 화면에


9. 더 강력한 동반 기능들 (각각 별도의 문서)

섹션 제목: “9. 더 강력한 동반 기능들 (각각 별도의 문서)”

캡처한 뒤의 “이해, 추적, 재작성, 재전송, 부하 테스트”는 각각 깊이가 있어 별도 문서에서 자세히 다룹니다.

능력 한 문장으로 상세
검사와 디코딩 5가지 조회 모드 + 자동 압축 해제/인식/정돈 + 인라인 미디어 미리보기 + 사설 프로토콜 프레이밍/스크립트 디코딩 검사와 디코딩
호스트 상세 아무 호스트나 클릭하면 귀속(ASN/조직/등록) + 지리 지도 + DNS + TLS 인증서 확인 + 웹 기술 스택 호스트 상세
재작성 규칙과 브레이크포인트 가로채기 단순 규칙으로 클릭만으로 요청 편집, 스크립팅 불필요 + 브레이크포인트로 하나씩 손으로 편집 + 복잡한 상황을 위한 스크립트/플러그인 방편 재작성 규칙과 브레이크포인트 가로채기
요청 구성과 재전송 원클릭 재전송/편집 후 재전송 + 요청 컴포저 + 동적 값 서명 + 컬렉션/환경 + 코드 생성 요청 구성과 재전송
요청 비교(Diff) 두 요청/응답을 나란히 줄 단위로 비교, 세션과 발신지를 넘나들며 어디가 다른지 한눈에 요청 비교
세션 재전송과 부하 테스트 일련의 요청을 순서대로 일괄 재전송. 하나를 우클릭하면 “이 요청 부하 테스트”, 실시간 처리량과 지연 백분위수 제공 세션 재전송과 부하 테스트

가볍지만 요긴한 능력도 하나 있습니다.

  • 연결 지문(JA3 / JA4): 아무 HTTPS 연결이나 그 클라이언트 TLS 지문(원본 문자열이 있는 JA3, JA4, 원클릭 복사)을 볼 수 있습니다. IP/UA에 따라 바뀌지 않으며, 클라이언트 유형을 식별하고 트래픽 추적 및 보안 분석을 돕는 데 쓰입니다.

  • API 연동 디버깅: 목(mock)으로 데이터를 만들고, 프로덕션 엔드포인트를 로컬/테스트 환경으로 전달합니다.
  • 모바일 캡처: 휴대폰 앱의 HTTPS 요청을 캡처해 엔드포인트를 분석하고 문제를 진단합니다.
  • 어려운 상황 공략: 프록시를 무시하거나, 인증서 피닝을 쓰거나, Java / Python으로 작성된 프로그램을 투명 프록시 + 피닝 제거 + 완전한 인증서 커버리지로 처리합니다.
  • 사설 프로토콜 분석: 프레이밍 규칙이나 스크립트로 바이너리/커스텀 프로토콜의 구조를 해석합니다.
  • 장애 진단: 요청이 무엇을 보냈고 서버가 무엇을 반환했는지 명확히 보고, 매개변수/반환/교차 출처 문제를 짚어냅니다.
  • 약한 네트워크 테스트 / 부하 테스트: 규칙으로 열악한 네트워크를 시뮬레이션하고, 부하 테스트로 엔드포인트의 용량을 평가합니다.
  • 보안 감사 / 자산 인벤토리: 외부로 나가는 통신을 검토하고, 민감 정보 유출을 확인하고, 인증서를 검증하며, 호스트 프로필로 상대의 귀속을 파악합니다.
  • 고충실도 분석: 트래픽 특성에 민감한 애플리케이션에 대해, 트래픽을 그대로 유지하고 그 동작을 방해하지 않으면서 충실하게 캡처·분석합니다.

프록시 캡처는 Trace Eagle의 데이터 수집 능력의 일부입니다. 프록시 방식 외에도 이 제품은 직접 NIC 캡처, 모바일 기기 직접 연결 등 다른 캡처 방식을 지원하며, 상황에 맞게 유연하게 조합할 수 있습니다.