Credit: Alexander Baxevanis
위협 인텔리전스 도구로는 온라인 위협 인텔리전스(정보)를 수집/공유하는 에일리언볼트(AlienVault)의 OTX(Open Threat Exchange), 헤이라택시(Hailataxii), 사이먼아이오(Cymon.io)의 위협 정보 교환 도구 등이 대표적이다. 개발자들이 C/C++, 루비온레일즈(Ruby on Rails), 파이썬(Python) 등 다양한 언어로 개발한 소프트웨어 애플리케이션의 보안을 테스트할 수 있는 SAST(Static Application Security Testing) 도구도 다양하다.
침입 테스트 도구로는 앤맵 시큐리티 스캐너(Nmap Security Scanner), 광범위한 유용성을 자랑하는 와이어샤크(Wireshark) 네트워크 프로토콜 분석기가 있다. GRR 원격 포렌식 프레임워크, 오텁시(Autopsy), 슬루스킷(SleuthKit) 등은 포렌식 관련 도구다. 하드 드라이브와 스마트폰을 분석하는 도구들이다. 또 메모리 분석/포렌식용인 볼러틸리티 재단(Volatility Foundation)의 오픈소스 프레임워크가 있다.
위협 인텔리전스 도구들
위협 인텔리전스는 보안 벤더가 자사의 감지 도구에서 특정 위협에 대한 서명을 생성할 때 이용하는 정보들로 구성되어 있다. 에일리언볼트는 OTX 서비스/커뮤니티를 제공하고 있다. 매일 400만의 위협 지표를 제공하는 140개 국가의 4만 7,000명이 제공하는 온라인 위협 인텔리전스를 공유할 수 있다. 이는 기업과 보안 벤더들이 새 위협이 출현하는 즉시 이를 대비하도록 도움을 준다.
사이텍서비스(CyTech Service의 벤 코튼(Ben Cotton) CISSP이자 CEO는 "에일리언 OTX는 IoC(Indicators of Compromising) 공유에 유용하다"고 말했다. 이 업체는 잘 알려진 OPM의 정보 보안 침해 사고 대응에 참여했었다. OTX를 수신하는 보안 제품들은 새 IoC 감지 기능이 추가된다.
기타 주목할만한 인텔리전스 저장소들이 존재한다. 코튼은 "헤이라택시닷컴(Hailataxii.com)은 STIX 데이터를 대상으로 하는 오픈소스 저장소다"고 설명했다. STIX(Structured Threat Information eXpression)는 사이버보안 위협 정보를 교환할 수 있는 XML 언어다. 그리고 TAXII는 STIX 데이터를 공유하는 메카니즘이다.
사이먼아이오는 이센타이어(eSentire)가 제공하는 또 다른 위협 인텔리전스 통합 도구다. 이 업체 웹사이트에 따르면, 공개된 커뮤니티 구성원들이 발견한 악성 활동과 감염원인 웹 도메인과 IP 주소를 알려주는 평판 데이터베이스 기능을 한다.
사이먼과 이센타이어 웹사이트에 따르면, 사이먼은 매일 공개 입수가 가능한 산업계, 정부, 상업 위협 인텔리전스 피드, 바이러스 토털(VirusTotal), 피시탱크(Phishtank), 블랙리스트, 안티바이러스 벤더의 소스 보고서, 이센타이어의 고유 인텔리전스 목록 등 180개 이상의 소스를 처리한다.
사이먼은 이런 정보를 이용해 악성코드, 피싱, 봇넷, 스팸을 추적한다. 그리고 매일 2만 개의 고유 IP를 데이터베이스에 추가한다. 사이먼에는 600만 개가 넘는 IP 주소, 3,370만 개의 보안 이벤트가 기록되어 있다. 코튼은 "사이먼아이오는 아주 유용하다. 에일리언볼트 OTX 및 헤일라텍시와 동일한 범주라고 판단한다"고 말했다.
개발 단계 동안 보안을 구현하는 개발 도구들
개발자들이 개발 단계에서 소프트웨어 애플리케이션을 테스트할 수 있는 다양한 SAST 도구들이 있다. 시지탈(Cigital) 수석 컨설턴트는 미라 수바로
는 "가장 인기있는 자바(Jav) 도구는 파인드벅스(FindBugs)와 PMD다"고 말했다.
수바로는 "상당수는 개발자 IDE용 플러그인이 있다. 애플리케이션을 더 안전하게 개발할 수 있도록 도움을 준다."고 덧붙였다. 이 밖에도 파이썬, 루비온레일즈, C/C++, 자바스크립트(JavaScript), .NET용 도구들이 있다.
침입/PEN 테스트 도구들
침입 테스트 도구는 해커에 앞서 보안 취약점을 찾도록 도움을 주는 도구다. 보안 전문가들이 많이 사용하는 오픈소스 도구는 고든 리온(Gordon Lyon)이 포트 스캔과 네트워크 취약점을 찾기 위해 개발한 침입 테스트 도구인 앤맵이다. 코튼은 "모든 무료 오픈소스 스캐너 도구의 '조상'격인 앤맵은 네트워크 취약점 분석에 효과적인 도구다. 큰 네트워크를 스캔할 수 있지만, 보안 사고에 대응하는 기능은 포함되어 있지 않다"고 설명했다.
제랄드 콤스가 최초 개발했으며, 다양한 용도로 유용한 와이어샤크 네트워크 프로토콜 분석 도구 또한 인기있는 무료 침입 테스트 도구다. 리버베드(Riverbed)가 이를 지원하고 있다. 코튼은 "아마 최고의 네트워크 패킷 스니핑 분석 도구일 것이다"고 강조했다. 그러나 와이어샤크는 100MB 이상의 파일을 캡처할 수 없다.
포렌식 도구들
포렌식 도구는 과거 발생한, 또는 진행 중인 보안 사고를 조사할 때 이용하는 도구다. 구글이 무료로 배포하는 오픈 소스 GRR 원격 포렌식 프레임워크는 GRR 파이썬 서버와 파이썬 에이전트간 대화로 그 즉시 사고에 대응한다.
윈도우와 리눅스, OS X 시스템에서 시스템 메모리에 대한 포렌식에 GRR 에이전트를 이용할 수 있다. 아주 좋은 도구이지만, GRR을 전사적으로 적용할 때를 중심으로 확장성에 문제가 있다. 코튼은 "무료 GRR로는 10대 정도의 머신이 적당하다"고 설명했다.
브라이언 캐리어(Brian Carrier)와 @stake 등 다양한 개발자가 개발했으며, 함께 이용할 경우가 많은 오텁시와 슬루스킷 포렌식 제품은 컴퓨터 하드 드라이브, 스마트폰, 드라이브 이미지를 분석하는 도구다. 윈도우, 리눅스, 맥 버전이 있다. 코튼은 "1~2대의 컴퓨터에는 아주 좋은 포렌식 도구다. 그러나 전체 네트워크로 확대하는 것은 힘들다"고 지적했다.
메모리 분석 도구인 볼러틸리티 재단의 오픈소스 프레임워크는 "휘발성 스토리지(RAM) 데이터를 사용하는 시스템의 런타임 상태를 분석하는" 분석/포렌식 도구다.
베스티지 디지털 인베스티게이션(Vestige Digital Investigations)의 그렉 켈리는 볼러틸리티에 대해 "윈도우 메모리, 프로세스, 개방된 포트, 네트워크 연결의 덤프 정보를 캡처한다. 또한 메모리에서 실행되는 악성코드를 탐지하는데 도움을 주는 논리가 장착되어 있다"고 설명했다.
코튼은 "메모리 분석에 추천하고 싶은 도구다. 단점은 분석 전에 메모리 이미지를 생성해야 하는 것이다. 그래야 메모리 덤프, 활성 RAM의 이미지를 캡처해 볼러틸리티를 통해 실행시키고 분석할 수 있다. 볼러틸리티는 오프라인 메모리 포렌식의 기준을 제시하는 도구다"고 설명했다.
무료 보안 소프트웨어를 활용하기
모든 오픈소스 프로젝트, 트라이얼버전을 포함시킬 경우, 무료 도구는 수없이 많다. 지금까지 소개한 것은 일부에 불과하다. 직접 테스트나 조사를 하면 1~2가지 취약한 부분을 없애고, 기능과 특징을 비교하고, 유료 도구의 가치를 판단하는데 도움이 될 것이다. editor@itworld.co.kr
Sponsored
Surfshark
“유료 VPN, 분명한 가치 있다” VPN 선택 가이드
ⓒ Surfshark VPN(가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 위험 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 서프샤크 VPN은 구독 요금제 가입 후 7일간의 무료 체험을 제공하고 있다. ⓒ Surfshark 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN ⓒ Surfshark 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.