사이버 공격자들에게 중소기업이란? 쉽고 짭짤한 ‘수익 셔틀’
중소기업에 도움 줄 만한 각종 보안 및 디지털 변혁 툴 모음
[보안뉴스 문가용 기자] 리스크가 크지도 않은데 수익성도 나쁘지 않은 투자처가 있다면 어떻게 하겠는가? 사기라는 가능성을 배제한다면 솔깃하지 않을 수 없다. 아니, 투자를 하지 않으면 오히려 바보 취급 받아도 할 말이 없는 조건이다. 요즘 사이버 공격자들에게 있어 이러한 투자처가 생겼으니 바로 중소기업들이다.
ⓒ iclickart
예산이 빠듯해 보안책 마련에 한계가 있을 수밖에 없어 공격자가 갖는 리스크는 매우 낮고, 대기업과 마찬가지로 민감한 정보들을 적지 않게 가지고 있기 때문에 공격 성공 시 얻는 이득이 마냥 작지만은 않다. 게다가 대기업과 협력관계에 있다면 대기업으로 가는 통로가 되어주기도 한다. 그래서 요즘 중소기업을 목표로 한 랜섬웨어도 나오고 있고, 미국 FTC는 중소기업의 보안 해결을 위한 웹 서비스를 개설하기도 했다.
중소기업은 왜 쉬운 공격처가 됐을까? 크게 두 가지인데, 하나는 자신들이 공격 대상이라는 자각이 부족해서다. ‘은행도 있고 대기업도 있는데 굳이 우리 회사를 공격하겠어?’라는 생각이 경계심을 낮춘다. 공격을 받은 경험이 실제로 전무하거나 공격을 받아도 까맣게 모르기 때문이다. 두 번째는 돈이 없어서다. 사업을 진행하는 데 들어가는 비용도 여유롭지 않은 상황에서 보안에 적지 않은 돈을 투자한다는 게 쉽지 않은 일임은 분명하다. 그래서 본지는 중소기업들이 무료나 저가에 사용할 수 있는 여러 가지 툴들을 수집해보았다.
1. 정보보안 전반에 특화된 툴들
엔맵(Nmap)
엔맵은 네트워크 매퍼(Network Mapper)의 준말로 무료로 풀린 오픈소스 보안 스캐너다. 포트를 스캐닝 하는 기능도 가지고 있으며, 네트워크를 탐색하는 툴이기도 하다. 호스트나 서비스 업타임을 모니터링 하거나 서비스 업그레이드 스케줄과 네트워크 인벤토리를 관리하는 직원들이 많이 사용하기도 한다. 엔맵은 처리되지 않은 IP 패킷(raw IP packet)을 활용해 호스트, 애플리케이션 이름, 버전, OS 등을 파악한다.
엔맵은 네트워크를 찾아내고, 그 네트워크에 어떤 것들이 작동하고 있는지 파악하는 데에 유용한 툴이며, 인벤토리를 목적으로도 강력한 기능을 발휘한다. 그러나 사용이 마냥 간편한 것만은 아니라, 제대로 활용하려면 공부를 좀 해야 한다. 대형 네트워크에서 활용되는 것을 목적으로 만들어졌으며, 모든 OS에서 사용 가능하다.
시큐리티 어니언(Security Onion)
시큐리티 어니언은 네트워크 보안 툴을 모아놓은 번들로, 네트워크 보안 모니터링, 로그 관리, 위협 사냥, 침입 탐지 등을 수행할 수 있다. 브로(Bro), 스노트(Snort), 수리카타(Suricata), 오섹(OSSEC), Sgiul, 스쿼트(Squert), 엑스플리코(Xplico) 등의 툴들이 번들 안에 들어 있다. 이 툴들 중 일부는 아래에 추가적으로 설명된다.
네트워크 모니터링이나 포렌식, 침입 탐지와 같은 기능을 수행하고자 한다면 꽤나 쓸만하며, 실제 이 툴을 처음 설치해 이것저것 가지고 놀아보는 것만으로도 네트워크 보안 현황에 대한 지식이 쌓이는 걸 경험할 수 있을 정도라고 전문가들은 말한다. 대기업에 준할 정도로 보안에 신경을 쓰는 기업들도 자주 활용하는 툴로, 기업의 크기에 상관없이 훌륭한 성능을 발휘한다. 다만 사용법을 익히는 데에 시간이 걸릴 수 있다.
수리카타(Suricata)
오픈소스 툴로 완전 무료다. 네트워크 위협 탐지에 특화되어 있다. 보통 실시간 침입 탐지, 즉각적인 침투 방지, 네트워크 모니터링을 할 때 주로 활용된다. 수리카타는 무료이긴 하지만 소유권 자체는 열린 정보 보안 재단(Open Information Security Foundation, OISF)이라는 단체에 있다. OISF는 수리카타에 대한 지원을 꾸준히 하고 있기도 하다.
수리카타는 이미 꽤나 많은 기업들이 사용하고 있다. 이들이 말하는 수리카타의 장점은 강력한 기능을 여럿 가지고 있으며, 안정적이고 완성도가 매우 높은 소프트웨어라는 것이다. 또한 꾸준한 업데이트를 통한 기능 향상도 빼놓을 수 없는 수리카타의 장점이다. 최근엔 속도마저 빨라졌다고 한다.
브로(Bro)
브로는 유닉스에 기반을 둔 오픈소스 프레임워크로, 네트워크 내에서 벌어지는 활동들을 모니터링하는 데에 유용하다. 소프트웨어뿐만 아니라 파일 유형, 기기들까지 모니터링해준다. 로렌스버클리국립연구소(Lawrence Berkeley National Laboratory)에서 시그니처 기반의 탐지 기법을 탈피하고자 연구를 하던 과정에서 만들어진 툴이다. 모든 트래픽을 모니터링 하게 해주며, 제로데이 공격이 발생한 후 각종 히스토리 관련 데이터를 분석하는 기능도 가지고 있다. 공격을 막기 위해 블랙홀 라우터를 만들기도 한다.
수리카타처럼 브로 역시 네트워크에 기반을 두고 작동하는 툴이다. 하지만 브로는 정보를 파싱(parsing)한다는 점에서 수리카타와 다르다. 브로는 트래픽의 행동 패턴에 집중하고 수리카타는 패킷 내부를 들여다본다는 것도 차이점이다. 보편성 면에서는 브로가 한 수 위라고 보는 전문가들이 많다.
pfSense
무료, 오픈소스 소프트웨어로 방화벽과 라우터의 기능을 수행한다. 웹 인터페이스는 사용자에게도 매우 친절한 편이다. 다만 pfSense를 사용한다고 해서 방화벽 기기가 없어져도 된다는 건 아니다. pfSense는 어디까지나 일반 방화벽의 ‘소프트웨어’ 기능만을 보충해주는 것이기 때문이 방화벽이 반드시 있어야 한다. 또한 pfSense와 보유하고 있는 방화벽을 잘 맞춰서 초기 설정을 해두어야 제대로 된 기능을 발휘한다.
몰로크(Moloch)
몰로크 역시 오픈소스 툴로 패킷 캡처링, 색인화(indexing), 데이터베이스 관련 기능에 특화되어 있다. 네트워크 트래픽을 저장하고 색인화 함으로써 현존하는 보안 인프라를 확장시키는 역할을 한다. 비슷한 기능을 하는 기존 보안 솔루션을 대체할 수 있을 정도는 아니지만 표준 PCAP 포맷으로 구성되어 있는 인프라의 든든한 지원자 역할은 할 수 있다.
예를 들어, 보안 사건이 발생해 이에 대한 연구 및 조사를 해야만 할 때 관련된 통신의 패킷 정보를 모두 가지고 있다면 크게 도움이 되는데, 몰로크가 숨은 공신이 될 수 있다는 것이다. 하지만 몰로크 역시 네트워크의 트래픽 상태나 양에 따라 어느 정도 조절이나 환경설정이 필요하다.
쿡쿠 샌드박스(Cuckoo Sandbox)
무료 툴로, 멀웨어 분석 기능을 가지고 있다. 네트워크에서 분리된 고립된 환경에서 멀웨어를 실행했을 때 어떤 일이 일어나는가를 관찰한 후, 그 자료를 바탕으로 실제적이고 구체적인 위협 데이터를 추출해낸다. 샌드박스 솔루션 중에서도 그 기능이 매우 강력한 편이며, 멀웨어를 실제로 실행시켜보고 분석한다는 점에서 굉장히 혁신적이라는 평을 받고 있다. 윈도우, OS X, 리눅스, 안드로이드 환경에서 작동이 가능하다. 다만 사용법이 간단치 않고, 어느 정도 경험을 쌓아야 진정한 활용이 가능하다는 단점이 있다.
아파치 스팟(Apache Spot)
요즘 한창 이슈가 되고 있는 머신 러닝을 한 번 맛보고 싶다면 아파치 스팟이 답이다. 비교적 최신 툴로, 기업 내 네트워크 환경 전체를 샅샅이 뒤져 특정 위협을 찾아내는 데에 특화되어 있다. 오픈소스 프로젝트이지만 머신 러닝 알고리즘에 기반을 두고 있으며, 위협 탐지와 지속적인 수사, 복구 작업을 향상시키는 데에 목적을 두고 있다. 자매품으로는 – 역시 오픈소스 – 아파치 스파크(Apache Spark)가 있다.
메타스플로잇(Metasploit)
메타스플로잇은 침투 테스트용 소프트웨어로 유명 보안 전문가인 HD 무어(HD Moore)가 직접 개발했으며, 보안 전문업체인 래피드7(Rapid7)이 지원하고 있다. 자동화된 침투 테스트를 실행하기 때문에 공격적인 보안을 하는 팀에게 적절한 툴이다. 기업 내 활동하고 있는 사람, 작업 프로세스, 사용되는 기술 등을 시험해봄으로써 복잡한 사이버 공격의 잠재적인 영향력을 가늠할 수 있도록 해준다. 실제 공격과 같은 걸 실행해, 가상의 피해를 입게 한다는 것이다.
메타스플로잇은 보안 커뮤니티에서 가장 큰 주목을 받고 있는 무료 툴 중 하나로, 여러 보안 엔지니어들이 주로 가시성 확대를 위해 메타스플로잇을 활용하고 있다. 래피드7은 메타스플로잇 프로(Metasploit Pro)라는 유료 툴을 판매하고 있는데, 이것과 그냥 메타스플로잇은 다른 툴이니 헷갈리지 말 것.
오섹(OSSEC)
호스트 기반 침입 탐지 시스템으로, 로그 분석, 무결성 확인, 윈도우 레지스트리 모니터링, 툴킷 탐지, 시간 기반 경보, 능동적인 대응 등 다양한 기능을 수행할 수 있다. 리눅스, OpenBSD, FreeBSD, OS X, Solaris, 윈도우 등 다양한 OS와 호환이 되며, 크로스플랫폼 아키텍처를 가지고 있어 여러 시스템을 편리하게 모니터링하고 관리하게 해준다.
2. 네트워크 모니터링에 특화된 툴들
그라운드워크 모니터 코어(GroundWork Monitor Core)
네트워크 내 존재하는 모든 기기, 가상 기기, 애플리케이션을 끊임없이 주시하는 툴이다. 시간, 장소, 유형 등 여러 항목으로 정보를 쪼개서 살펴볼 수 있기도 하다. 또한 최근 화두가 되고 있는 API 기술에 기반을 두고 있기 때문에 다이내믹한 기반구조에도 적용이 가능하다는 장점이 있다. 한 마디로 미래지향적인 툴이기 때문에 미리 구해서 익혀볼만 하다는 것이다.
옵저비움(Observium)
SNMP에 기반을 둔 네트워크 모니터링 플랫폼으로 자동화 기능이 특장점이다. 각종 네트워크 장비 및 OS와의 뛰어난 호환성 역시 옵저비움의 커다란 장점이라고 꼽힌다. 시스코, 윈도우, 리눅스, HP, 델, FreeBSD, 주니퍼, 브로케이드, 넷스케일러, 넷앱 등 정말 많은 브랜드와 호환되기 때문에 사실상 거의 모든 환경에서 사용이 가능하다.
자빅스(Zabbix)
수천~수만 개의 서버, 가상 기기, 네트워크 기기 등으로부터 수집한 수백~수천만 건의 정보를 실시간으로 모니터링 할 수 있도록 설계되었다. 여기서 말하는 ‘정보’란, 모든 플랫폼의 에이전트, 유효성, 성능, 기능성, SLA 리포팅, 에이전트 없는 모니터링 현황 등을 포함한다.
나지오스(Nagios)와 갱글리아(Ganglia)
나지오스는 강력한 대기업용 호스트, 서비스, 애플리케이션 및 네트워크 모니터링 프로그램으로, NIX 호스트 상에서 돌아가며, 윈도우 애플리케이션, 리눅스 애플리케이션, 유닉스 애플리케이션, 웹 애플리케이션을 관찰할 수 있다. 갱글리아는 확장 가능한 분산형 모니터링 시스템으로, 데이터를 표현하는 데에는 XML을, 데이터 전송에는 XDR을, 데이터 저장과 시각화에는 RRDtool을 활용한다.
앵그리 IP 스캐너(Angry IP Scanner)
빠르고 사용성이 매우 좋은 네트워크 스캐너로 윈도우, 리눅스, 맥 환경 모두에서 사용 가능하다. 확장성도 훌륭하고, 다양한 목적으로 활용이 가능하다. 하지만 기본은 네트워크 모니터링 및 관리. 갑작스레 네트워크 모니터링 임무를 맡은 자에게 가장 추천해줄 만한 툴이다. 그러나 조금은 기초적인 성능만을 가지고 있다.
3. 데이터 저장과 관련된 솔루션들
세상의 모든 기업들은 그 크기와 상관없이 소중한 정보를 어디엔가 저장하고 있다. 사이버 범죄자들이 노리는 것 역시 결국엔 이 소중한 데이터들이다. 그러니 저장을 잘 하는 것이 보안의 기본이며 첫 단추라고 볼 수 있다. 무료이거나 저가형인 저장 솔루션들로는 다음과 같은 것들이 있다.
삼바(Samba)
안정성, 보안성, 속도 측면에서 꽤나 좋은 모습을 보여주고 있는 무료 툴로, SMB/CIFS 프로토콜을 사용하는 모든 클라이언트(즉 도스, 윈도우, OS/2, 리눅스 등) 거의 전부와 호환된다. 어쩌면 스토리지 방면에서 가장 많이 사용되고 있는 솔루션으로, 스토리지 기기들 중에서도 자체적으로 삼바 솔루션을 탑재한 채 등장한 것들이 점점 늘어나고 있는 추세다.
세프(Ceph)와 FreeNAS
세프는 확장이 용이하고 안정성이 뛰어난 솔루션으로, 분산형 개체 스토어(distributed object store)이자 파일 시스템이라고 볼 수도 있다. 대용량의 데이터를 다룰 때 장점을 발휘하는 편이며, 블록 스토리지(block storage) 방식과도 호환성이 좋다. FreeNAS는 거의 모든 플랫폼에 설치가 가능하며 복제, 데이터 보호, 암호화, 파일 공유, 스냅샷 등의 기능을 제공한다. 사용자에게 굉장히 친절한 인터페이스까지도 갖추고 있다. 플러그인 시스템도 강력하다.
오픈미디어볼트(OpenMediaVault)
일종의 무료 NAS 솔루션으로 데비안(Debian)으로 구축되었으며 SSH, SMB/CIFS, (S)FTP, RSync, DAAP 미디어 서버, BitTorrent 클라이언트와 같은 다양한 서비스를 제공한다. 하지만 더 강력한 건 플러그인 시스템으로, 사용자가 필요할 때마다 필요하게 각종 기능을 추가시킬 수도 있다. 한 마디로 유연성이 매우 뛰어난 스토리지 솔루션이라고 볼 수 있다.
기타 : 오픈파일러(Openfiler), ZFS, 러스터(Lustre)
SAN(storage area network)과 NAS(network attached storage)를 모두 사용하고 싶다면 오픈파일러가 답이다. ZFS는 확장성과 데이터 무결성에 특화되어 있다. 러스터는 대용량 데이터 저장에 장점을 나타낸다. 페타바이트 단위의 데이터와 수만 개의 노드를 처리하는 데에도 얼마 걸리지 않는다.
4. 부록 1 : 클라우드에 관하여
디지털 트랜스포메이션, 즉 디지털 변혁이라는 과제를 떠안고 있는 대부분의 기업들에게 있어 가장 먼저 머릿속에 떠오르는 것 중 하나는 클라우드다. 사실 클라우드로의 이주로부터 디지털 변혁이 시작된다고 해도 무방할 정도다. 디지털 변혁이 아니더라도, ‘언젠가 클라우드 환경에서 모든 일들이 이뤄지는 미래’는 누구나 인정하고 있는 부분이기도 하다.
하지만 아직 ‘정말 사무실 바깥으로 데이터를 내보내고 저장해도 될까? 안전할까?’하는 의구심이 완벽히 걷혀진 건 아니다. 그러니 많은 기업들이 이러지도 저러지도 못하는 상태에 봉착해 있는 형국이다. 그 어느 누구라도 ‘클라우드로 안심하고 오세요’라고 보장하기도 힘든 상황인 것도 맞다. 그렇다면 일단 시험을 위해서라도 클라우드로 옮겨봄직한 디지털 자산에는 어떤 것들이 있을까?
스토리지 백업
이게 무슨 헛소리야, 라는 반문이 들리는 듯 하다. 소중한 데이터를 사무실 밖으로 내보낼 결단을 내리기 힘든 기업들에게 백업 데이터를 클라우드로 내보내보라니? 하지만 여기서 말하는 스토리지 백업은 기업 내 저장되어 있는 모든 민감 데이터를 전부 아우르는 게 아니다. 사이버 공격이나 정전 사태가 발생해도 서비스가 끊이지 않고 시장에 제공될 수 있도록 하기 위한 최소한의 데이터 및 운영 시스템을 말하는 것이다. 사이버 공격이 갈수록 심해지고 있는 때에 이러한 장치가 어차피 필요하니, 클라우드도 시험해볼 겸 백업 계획을 세워보는 것도 나쁘지 않은 생각일 것이다.
메신저 앱
IT 시대가 되면서 소통의 수단도 다양하게 발전해왔다. 영상 컨퍼런싱은 물론 소셜 미디어 등 새로운 형태의 소통 기술이 계속해서 등장하고 있다. 업무 환경에서 널리 사용되고 있는 메시지 서비스로는 오피스 365 익스체인지(Office 365 Exchange), 스카이프 포 비즈니스(Skype for Business), 지메일 포 비즈니스(Gmail for Business), 아마존 워크메일(Amazon Workmail) 등이 있는데, 이미 이러한 유명 메신저 앱들은 공공 클라우드로의 이식이 활발하게 이루어지고 있다. 심지어 공공 클라우드에 기반을 둔 메신저 앱의 보안이 인하우스 메신저 앱 보안보다 훨씬 강력하다는 게 업계 중론이기도 하다.
고객 관리 기능
고객정보는 매우 중요하고 민감한 정보다. 이거 유출되기 시작하면 끝없는 소송에 휘말려들고, 기업들은 대부분 엄청난 벌금을 물게 된다. 그러니 클라우드를 생각할 때 고객정보 만큼은 최우선 고려사항이 되지 않는 게 보통이다. 하지만 여기서 말하는 건 고객 관리 업무를 하는 데에 필요한 자질구레한 데이터나 앱, 작업 프로세스 등이다. 고객의 카드정보나 개인정보를 의미하는 게 아니다. 고객과의 상담 내역, 주문 결제 및 배송 현황 등 고객 관리 업무를 하는 데 있어 반드시 필요하나 민감하지 않은 자산들이 분명히 존재한다. 클라우드의 편리함과 안전함을 실험해볼 수 있는 좋은 기회를 줄 것이다.
5. 부록 2 : 무료 클라우드 관리 툴
오픈스택(OpenStack)
데이터센터에 설치될 수 있는 소프트웨어로, OpenStack API나 대시보드를 통해 컴퓨팅 자산, 스토리지, 네트워킹 자산을 수집하고 관리할 수 있도록 해준다.
클라우드스택(CloudStack)
가상 기기들로 구성된 대형 네트워크를 관리하는 데에 특화되었으며, 일부 공공 클라우드 벤더들이 이미 적극 활용하고 있다. 심지어 사설 클라우드에서도 활용하는 사례가 점점 늘어나고 있다.
유칼립투스(Eucalytus)
앱과 데이터를 이주시켜 사설 클라우드 혹은 하이브리드 클라우드 환경을 쉽게 구축할 수 있도록 해주는 툴이다. 아마존 웹 서비스와도 호환된다.
시네포(Synnefo)
일종의 클라우드 인프라 스택으로 Network, Image, Volume, Storage라는 네 가지 서비스를 제공한다. 구글 가네티(Google Ganetti), 오픈스택(OpenStack), KVM을 관리하기도 한다.
포스 클라우드(FOSS-Cloud)
사설 클라우드나 공공 클라우드를 구축할 때 사용할 수 있는 툴로, 가상화, 클라우드 데스크톱, 서비스형 인프라(IaaS), 서비스형 플랫폼(PaaS), 서비스형 소프트웨어(SaaS) 기능을 제공한다.
openQRM
사설, 공공, 하이브리드 서비스형 인프라(IaaS) 클라우드를 만들고 관리하는 데 도움을 주기 위해 개발됐다. 특히 데이터센터 관리 시스템과의 연계성이 좋아 사용자가 편리하게 업무를 수행할 수 있도록 해준다.
도커(Docker)
어쩌면 가장 널리 쓰이고 있으며, 가장 유명한 클라우드 관련 오픈소스 툴이다. 분산형 애플리케이션들을 쉽고 빠르게 만들고 배포하고 운영하게 도와준다. 또한 개발자들이 환경을 자유롭게 정의할 수 있도록 해주며, IT 운영에 유연성을 더해준다. 개발자들에게는 자유로움을, 관리자에겐 빠른 대응능력을 제공해준다고 알려져 있다.
[국제부 문가용 기자(globoan@boannews.com)]
[출처] http://www.boannews.com/media/view.asp?idx=54707&page=1&kind=4#