SMTP 트래픽으로 위장한 SOCKS5 프록시, 과연 효과 있을까?

커뮤니티에서는 SMTP 트래픽으로 위장하는 방식의 근본적인 취약점을 지적한다. 대량의 아웃바운드(Outbound) SMTP 트래픽은 스팸(Spam) 또는 데이터 유출(Data Exfiltration) 시도로 간주될 수 있으며, 트래픽 패턴 분석(Traffic Pattern Analysis)을 통해 쉽게 탐지될 수 있다는 것이다. 특히, 일반적인 SMTP 트래픽과 달리 프록시 트래픽은 양방향 데이터 흐름(Bidirectional Data Flow)을 보이며, 이는 DPI(Deep Packet Inspection) 시스템에 의해 쉽게 식별될 수 있다.

SMTP 프로토콜 선택의 부적절성에 대한 비판이 제기된다. SMTP는 주거 네트워크(Residential Network)에서 가장 많이 필터링되는 프로토콜 중 하나이며, SMB(Server Message Block) 또한 유사한 제약을 받는다. 따라서, SMTP 대신 HTTPS와 같이 다양한 트래픽 패턴(Traffic Pattern)을 가지는 프로토콜을 활용하는 것이 더 효과적일 수 있다는 의견이 제시된다. HTTPS 트래픽의 방대함(Vastness)은 숨겨진 터널을 탐지하는 것을 더욱 어렵게 만든다.

STARTTLS를 사용하는 다른 프로토콜에도 유사한 기술을 적용할 수 있다는 의견이 제시된다. STARTTLS는 보안 연결을 설정하기 위한 일반적인 메커니즘이며, 다양한 프로토콜에서 사용된다. 따라서, SMTP 외에도 다른 프로토콜(Other Protocols)을 활용하여 DPI 방화벽을 우회하는 프록시를 구현할 수 있다. 이는 네트워크 환경(Network Environment)에 따라 사용자에게 다양한 선택지를 제공할 수 있다.