Wireshark로 패킷을 분석하다 보면 다음과 같은 항목을 자주 보게 됩니다.
처음 보면 “이게 무슨 시간이지?” 하고 당황할 수 있습니다. 이번 글에서는 Epoch Arrival Time이 무엇인지, 사람이 읽을 수 있는 시간으로 어떻게 변환하는지, 그리고 Wireshark에서 시간 표시 형식을 바꾸는 방법까지 정리해보겠습니다.
Epoch Time이란 무엇인가?
Epoch Time은 유닉스 시간(Unix Time) 이라고도 부르며, 기준 시점은 다음과 같습니다.
1970년 1월 1일 00:00:00 (UTC)
이 시점부터 몇 초가 지났는지를 숫자로 표현한 것이 바로 Epoch Time입니다.
예를 들어,
의 의미는 다음과 같습니다.
-
1,771,995,781초가 지났고
-
.100347000은 소수점 이하 초 (마이크로초 단위)
즉, 매우 정밀한 시간 정보를 담고 있습니다.
실제 시간으로 변환하면?
1771995781.100347000 을 UTC 기준으로 변환하면:
2026년 2월 25일 16:23:01.100347 (UTC)
한국 시간(KST, UTC+9) 기준으로는:
2026년 2월 26일 01:23:01.100347 (KST)
Wireshark는 기본적으로 시스템 또는 설정에 따라 UTC 또는 로컬 시간 기준으로 표시됩니다.
Wireshark에서 시간 표시 형식 바꾸는 방법
Wireshark는 시간 표시 방식을 다양하게 변경할 수 있습니다.
변경 방법
-
상단 메뉴 → View
-
Time Display Format
-
원하는 형식 선택
주요 옵션 설명
| 옵션 | 설명 |
|---|---|
| Date and Time of Day | 실제 날짜와 시간 표시 |
| UTC Date and Time of Day | UTC 기준 날짜 및 시간 |
| Seconds Since Beginning of Capture | 캡처 시작 후 경과 시간 |
| Epoch Time | 유닉스 시간(초 단위 숫자) |
패킷 분석 목적에 따라 적절한 형식을 선택하면 분석이 훨씬 수월해집니다.
왜 Epoch Time을 사용할까?
Epoch Time은 다음과 같은 장점이 있습니다.
-
시스템 간 시간 비교가 쉽다
-
로그 분석 자동화에 유리하다
-
타임존 영향을 받지 않는다
-
보안 분석 및 포렌식에 필수적
특히 서버 로그, 방화벽 로그, IDS/IPS 로그 등과 대조 분석할 때 매우 유용합니다.
실무에서 자주 쓰는 변환 방법
– Windows Powershell(윈도우 파워쉘) : [datetime]::UnixEpoch.AddSeconds(1771995781)
Wireshark에서 보이는 Epoch Arrival Time은 단순한 숫자가 아니라 정확한 패킷 도착 시각을 나타내는 표준 시간 형식입니다. 네트워크 분석, 보안 관제, 포렌식 업무를 한다면 반드시 이해하고 있어야 하는 기본 개념이니 잘 숙지해두시면 언젠간 도움이 될 것입니다.