네트워크

'고르고 고른' 네트워크·보안 전문가용 필수 리눅스 툴 10가지

Steve Zurier | Network World 2022.04.13
리눅스 오픈소스 보안 툴을 10가지만 고르기는 쉽지 않다. 특히 네트워크 및 보안 전문가가 사용할 수 있는 툴의 수는 수십, 수백 개에 이른다. 네트워크 터널링, 스니핑, 스캔, 매핑 등의 모든 작업, 그리고 와이파이, 웹 애플리케이션, 데이터베이스 서버 등 모든 환경마다 다양한 툴이 있다. 
 
ⓒ Getty Images Bank

여기 정리한 필수 리눅스 보안 툴 목록은 전문가 그룹의 조언을 받았다. 레드햇 제품 보안 부문 부사장 빈센트 대넌, 블루브래킷(BluBracket) 제품 성장 책임자 케이시 비슨, 블루브래킷 보안 자문 위원 앤드루 슈미트, 헌트리스(Huntress) 선임 보안 연구원 존 해몬드 등이다. 목록에 포함된 툴 대부분은 무료 오픈소스다. 유료 툴은 버프 스위트 프로(Burp Suite Pro)와 메타스플로잇 프로(Metasploit Pro), 2가지인데 모두 엔터프라이즈 취약점 평가 및 침투 테스트 프로그램에서 필수적인 툴로 통한다. 
 

에어크랙-ng : 와이파이 네트워크 보안 

에어크랙-ng(Aircrack-ng)는 무선 네트워크 및 와이파이 프로토콜의 보안 테스트를 위한 툴 모음이다. 보안 전문가의 네트워크 관리, 해킹, 침투 테스트에 사용되며 주로 다루는 부분은 다음과 같다. 
 
  • 모니터링 : 서드파티 툴을 사용한 심층 처리를 위해 패킷 캡처 및 텍스트 파일로 데이터 내보내기  
  • 공격 : 리플레이 공격, 인증 철회, 패킷 주입을 통한 가짜 액세스 포인트 
  • 테스트 : 와이파이 카드와 드라이버 기능 확인 
  • 크랙 : WEP 및 WPA SPSK(WPA 1과 2) 

에어크랙-ng 웹사이트에 따르면 모든 툴은 명령줄이므로 폭넓은 스크립팅이 가능하다. 주로 리눅스에서 사용하지만 윈도우, 맥OS, 프리BSD, 오픈BSD, 넷BSD와 솔라리스, 심지어 이컴스테이션(eComStation) 2에서도 작동한다. 

비용 : 무료 오픈소스 소프트웨어 
 

버프 스위트 프로 : 웹 앱 보안 

버프 스위트 프로페셔널(Burp Suite Professional)은 온라인 웹사이트 보안을 평가하는 데 사용하는 웹 애플리케이션 테스트 모음이다. 로컬 프록시 솔루션으로 작동하면서 보안 전문가가 웹 서버와 브라우저 사이의 웹 요청(HTTP/웹소켓)과 응답을 해독, 관측, 조작, 반복할 수 있게 해준다. 

수동으로 사이트를 크롤링하면서 사이트 구조를 살펴보고 잠재적인 취약점을 확인할 수 있게 해주는 패시브 스캐너가 함께 제공된다. 또한, 프로 버전은 더 심층적인 취약점 탐지가 가능한 매우 유용한 액티브 웹 취약점 스캐너도 제공한다. 버프 스위트는 플러그인을 통해 확장할 수 있고 보안 전문가가 직접 개발해 기능을 향상할 수 있다. 프로 버전에는 강력한 플러그인이 포함돼 있다. 전체적으로 버프는 매우 유용한 웹 공격 툴이다. 

비용 : 프로 버전의 가격은 399달러다. 애플리케이션 개발팀에서 사용할 수 있는, 여러 동시 스캔이 가능한 엔터프라이즈 버전도 있다. 
 

임패킷 : 네트워크 프로토콜 침투 테스트 

시큐어오스(SecureAuth)에서 개발한 임패킷((Impacket)은 네트워크 프로토콜과 서비스의 침투 테스트를 위한 필수적인 툴 모음으로, 네트워크 프로토콜을 다루기 위한 파이썬 클래스로 구성돼 있다. 패킷, SMB1-3, MSRPC 같은 일부 프로토콜은 프로토콜 구현 자체에 대한 저수준 액세스를 제공하는 데 초점을 둔다. 보안 전문가는 패킷을 처음부터 새로 구성하거나 원시 데이터에서 파싱된 패킷을 구성할 수 있다. 객체 지향 API는 프로토콜의 심층적인 계층을 쉽게 다룰 수 있게 해준다. 임패킷은 다음 프로토콜을 지원한다. 
 
  • 이더넷, 리눅스 
  • IP, TCP, UDP, ICMP, IGMP, ARP 
  • IPv4 및 IPv6 
  • NMB 및 SMB1, SMB2, SMB3 
  • 다양한 전송에서 MSRPC 버전 5: TCP, SMB/TCP, SMB/NetBIOS 및 HTTP 
  • 일반, NTLM 및 커버로스(Kerberos) 인증, 암호/해시/티켓/키 사용 
  • TDS(MSSQL) 및 LDAP 프로토콜 구현 일부 

비용 : 사용자가 시큐어오스의 툴임을 명시하는 조건으로 무료로 쓸 수 있다. 임패킷은 약간 수정된 아파치 소프트웨어 라이선스에 따른다. 보안 전문가는 여기서 내용을 검토하고 공식 아파치 소프트웨어 라이선스와 비교할 수 있다. 
 

메타스플로잇 : 익스플로잇 감지를 위한 슈퍼 툴 

메타스플로잇(Metasploit)은 래피드(Rapid7)의 익스플로이테이션 프레임워크로 일반적인 침투 테스트와 취약점 평가에 사용되며 보안 전문가 사이에서는 알려진 거의 모든 익스플로잇의 작동 버전이 포함된 '슈퍼 툴'로 통한다. 보안 전문가가 네트워크와 엔드포인트에서 취약점을 스캔(또는 NMAP 스캔 결과를 가져옴)한 다음 가능한 익스플로이테이션을 자동으로 수행해 시스템을 점유할 수 있게 해준다. 

최근 래피드7 블로그에 따르면 인증 정보 캡처는 많은 보안 테스터의 플레이북에서 중요한 초기 단계에 속한다. 메타스플로잇은 몇 년 전부터 보조, 서버, 캡처 기능 아래의 프로토콜별 모듈을 통해 이를 촉진해왔다. 보안 전문가는 이러한 각 모듈을 개별적으로 시작하고 구성할 수 있고, 이 프로세스의 효율성을 높여주는 캡처 플러그인도 있다. 

비용 : 래피드7의 상용 지원이 포함된 메타스플로잇 프로는 연간 1만 2,000달러부터지만 무료 버전도 있다. 
 

NCAT : 네트워크 연결 탐침 

NMAP을 만든 회사에서 만든 NCAT은 인기 있는 NETCAT의 뒤를 잇는 툴이다. 명령줄에서 네트워크를 통해 데이터를 읽고 쓰는 과정을 편리하게 해주지만 SSL 암호화와 같은 기능을 추가하기도 한다. 많은 보안 전문가가 피해 및 공격 시스템으로부터 임의의 데이터를 송수신하기 위해 TCP/UDP 클라이언트와 서버를 호스팅하는 데 있어 NCAT이 중요한 역할을 한다고 평가한다. 또한 리버스 셸을 설정하거나 데이터를 추출하는 용도로도 인기가 있다.

NCAT은 NMAP 프로젝트용으로 작성됐으며 지금은 쪼개진 NETCAT 제품군의 정점에 위치한다. 다른 앱 및 사용자로의 네트워크 연결을 실행하기 위한 안정적인 백엔드 툴로 설계됐다. NCAT은 IPv4 및 IPv6에서 동작하며 여러 NCAT을 체인으로 연결한다. 또한 TCP, UDP 및 SCTP 포트를 다른 사이트로 리디렉션하는 기능을 제공하며 SSL을 지원한다. 

비용 : 무료 오픈소스 툴 
 

NMAP : 네트워크 스캔 및 매핑 

NMAP은 원격 기기에서 액세스할 수 있는 포트를 발견하는 명령줄 네트워크 스캔 툴이다. 많은 보안 전문가가 NMAP을 이 목록의 툴 중에서도 가장 중요하고 효과적인 툴로 꼽았다. 매우 강력해 침투 테스터에게는 필수적이다.

NMAP의 대표적인 기능은 네트워크 범위에서 활성 서버를 스캔한 다음 운영체제와 서비스, 버전 탐색을 위해 이 서버의 모든 포트를 스캔하는 기능이다. 그런 다음 발견한 모든 서비스를 대상으로 NMAP의 스크립팅 엔진을 통해 부가적인 자동 취약점 탐지 및 익스플로이테이션을 수행한다. NMAP은 IP 필터, 방화벽, 라우터 및 기타 장애물이 산재한 네트워크의 지도를 작성하기 위한 십여 가지의 고급 기술을 지원한다. 여기에는 많은 TCP 및 UDP 포트 스캔 메커니즘, OS 탐지, 버전 탐지, 핑 스윕이 포함된다. 보안 전문가는 지금까지 NMAP을 사용해 수많은 시스템의 대규모 네트워크를 스캔해왔다.

비용 : 무료 오픈소스 툴 
 

프록시체인스 : 네트워크 터널링 

네트워크 터널링에서 사실상의 표준으로 통하는 프록시체인스(ProxyChains)는 보안 전문가가 자신의 공격 리눅스 시스템에서 다양한 침해된 시스템을 통해 프록시 명령을 실행해 네트워크 경계와 방화벽을 가로질러 이동하고 탐지를 회피할 수 있게 해준다. 리눅스 운영체제를 사용해 네트워크에서 ID를 숨기고자 할 때 사용한다. 프록시체인스는 침투 테스터의 TCP 트래픽을 TOR, SOCKS, HTTP 프록시를 통해 라우팅한다. NMAP과 같은 TCP 정찰 툴과 호환되며 TOR 네트워크가 기본적으로 사용된다. 보안 전문가는 프록시체인스를 사용해 방화벽과 IDS/IPS 탐지를 피할 수 있다. 

비용 : 무료 오픈소스 툴 
 

리스폰더 : DNS 시스템에 대한 공격 시뮬레이션 

리스폰더(Responder)는 NBT-NS(NetBIOS Name Service), LLMNR(Link-Local Multicast Name Resolution) 및 mDNS(multicast DNS) 포이즈너로, 침투 테스터가 DNS 서버에서 발견된 기록이 없을 때 이름 확인 프로세스 중에 인증 정보 및 기타 데이터를 훔치기 위한 공격을 시뮬레이션하는 데 사용된다. 

리스폰더의 최신 버전(v 3.1.1.0)은 IPv6을 기본적으로 완벽히 지원하므로 보안 전문가는 IPv4와 IPv6 네트워크에 더 많은 공격을 수행할 수 있다. 그동안 리스폰더가 IPv6를 지원하지 않아 특히 IPv6 전용 네트워크 또는 IPv4/IPv6 혼합 네트워크에서도 여러 공격 경로를 놓쳤음을 고려하면 중요한 부분이다. 게다가 IPv6이 이제 윈도우에서 선호되는 네트워크 스택이 되었으므로, 그 중요성이 더 도드라진다. 

비용 : 무료 오픈소스 소프트웨어 
 

sqlmap : 데이터베이스 서버에서 SQL 주입 결함 탐색 

sqlmap은 데이터베이스 서버를 점유하는 데 사용 가능한 SQL 주입 결함을 탐지 및 악용하는 프로세스를 자동화하는 오픈소스 침투 테스트 툴이다. 강력한 탐지 엔진이 포함돼 있으며 데이터베이스 핑거프린팅, 기반 파일 시스템 액세스, 범위 외 연결을 통해 운영체제에서 명령 실행하기를 포함한 다양한 침투 테스트용 기능을 제공한다. 

보안 전문가는 모든 주요 SQL 백엔드를 상대로 한 SQL 발견 및 주입 공격을 자동화하는 점이 유용하다고 평가한다. 마이SQL, 오라클, 포스트그레SQL, 마이크로소프트 SQL 서버, 마이크로소프트 액세스, IBM DB2, SQ라이트(SQLite), 파이어버드, 사이베이스, SAP 맥스DB, HSQLDB를 포함한 폭넓은 데이터베이스 서버를 지원한다. 또한 부울 기반 블라인드, 시간 기반 블라인드, 오류 기반, 스택 쿼리, 대역 외 등 다양한 종류의 SQL 주입 공격을 지원한다. 

비용 : 무료 오픈소스 소프트웨어 
 

와이어샤크 : 인기 있는 네트워크 프로토콜 분석기 

와이어샤크(Wireshark)는 1998년에 처음 나온 네트워크 프로토콜 분석기, 또는 일반적인 용어로 네트워크 인터페이스 스니퍼이며 최신 버전은 3.6.3이다. 

와이어샤크를 사용해 기기의 네트워크 활동을 관찰해 어느 기기와 통신하는지(IP 주소), 통신하는 이유가 무엇인지를 알아볼 수 있다. 일부 오래된 네트워크 토폴로지의 경우 다른 기기에서 오는 네트워크 요청이 보안 전문가 기기의 네트워크 인터페이스를 통과하므로 자체 트래픽만이 아닌 전체 네트워크 트래픽을 관측할 수 있다. 보안 전문가는 와이어샤크가 네트워크를 악용하는 데 사용할 DNS 서버 및 다른 서비스가 어디에 있는지 알아보기 위한 유용한 툴이라고 평가한다. 와이어샤크는 윈도우, 맥OS, 리눅스, 유닉스를 포함한 대부분 컴퓨팅 플랫폼에서 실행된다. 

비용 : 무료 오픈소스 소프트웨어 

editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.