이 같은 경향이 기업 침입 탐지, 네트워크 모니터링, 로그 관리 분야에도 확산되고 있다. 벤처 캐피탈이 돈을 대는 터무니 없이 비싼 보안 제품과 정 반대편에 무료인 '시큐리티 어니언(Security Onion)' 리눅스 배포판이 부상하고 있다. 시큐리티 어니언은 기업이 원하는 기능을 정확히 수행하지는 않을 가능성이 크다. 그렇다면 결국 기업에 약간의 조율을 직접 해야 한다. 또한, 이를 운영하기 위해서는 '당연히' 유능한 보안 인력이 필요하다.
시큐리티 어니언은 해가 갈수록 계속 정교해지고 있다. 시큐리티 어니언을 커스터마이징하고 전개하고 유지 보수할 수 있을 만큼 두꺼운 개발자층을 보유한 기업이라면 충분히 도입을 고려할만하다.
시큐리티 어니언의 구성
시큐리티 어니언은 침입 탐지 시스템(IDS), 보안 모니터링 및 로그 관리 솔루션이다. ‘기업의 보안 계층을 간소화하라(Peel back the layers of security in your enterprise)’는 재치 있는 표어와 함께, 전면적 패킷 캡처 기능, 네트워크 기반 및 호스트 기반 침입 탐지 시스템(NIDS and HIDS)을 아우르고, 나아가 막대한 양의 데이터를 감당하기 위한 강력한 인덱싱, 검색, 시각화, 분석 툴을 포함한다.
시큐리티 어니언의 작동 원리
시큐리티 어니언의 작동 원리를 이해하려면 ELK 스택이라는 용어를 알아야 한다. 시큐리티 어니언은 기본적으로 일래스틱서치(Elasticsearch), 로그 스태시(Logstash) 및 키바나(Kibana) 스택으로 구성되고, 여기에 수많은 다른 기술과 솔루션이 추가된다. 아울러 OSSEC에서 파생된 와저 HIDS(Wazuh HIDS), 스노트(Snort), 수리카타(Suricata) 규칙 기반 NIDS, 분석 중심의 NIDS 지크(Zeek, or Bro) 등도 포함한다.
로그스태시는 모든 로그를 수집하고, 일래스틱서치는 로그에 색인을 달아 검색을 용이하게 만들고, 키바나는 안전한 보안 운영 센터(SOC)로부터 상황을 시각화하고 분석한다. 키바나는 전체 패킷 캡처로 전환해 의심스러운 보안 사례를 상세히 조사하는 기능도 담당한다.
위협 신호(IoCs)를 파악하기 위해 상세히 조사해야 할 데이터가 여전히 많으므로 시큐리티 어니언에는 스귈(Sguil) 그리고 이와 유사한 브라우저 기반 툴인 스쿼트(Squert))가 딸려 있고, SOC 애널리스트는 이를 이용해 스노트, 수리카타, 와저 경보를 한 곳에서 한꺼번에 조회할 수 있다. 경보로부터 연관 패킷 캡처로 전환할 수도 있다.
선택지가 너무 많아 결정을 내리기가 어려울 정도라면, 시큐리티 어니언 웹사이트에서 ‘사용하기 쉬운 셋업 마법사’를 통해 다수의 분산 센서를 몇 분 만에 구축할 수 있다. 물론 구체적인 환경은 기업마다 다를 것이다(시큐리티 어니언의 개발자는 (당연한 말이지만) 감사 가능한 무료 소프트웨어를 고수하고, 벤더 록-인이나 반복적인 연례 수수료를 피하고 싶은 사람을 위해 유료 자문 서비스도 제공한다).
그러나, 오늘날 SOC에서 큰 문제는 막대한 양의 긍정 오류(false positives)다. 시큐리티 어니언을 이용하면 네트워크 및 디바이스상의 모든 것을 검사할 수 있다. 시각화와 분석 역시 가능하다. 회사의 SOC는 긍정 오류 비율을 극복할 수 있을까? 기업 보안 팀은 분주하고 경보로 시끄러운 실무 환경이라면 시큐리티 어니언을 전개할 것인지 결정하기 전에 긍정 오류 문제를 진지하게 검토할 필요가 있다.
시큐리티 어니언은 솔루션 설명서에서 보안 모니터링은 제품이 아니라 프로세스이고, 제품에 많은 돈을 지출한다고 해서 보안 우려가 마술처럼 사라지지 않는다고 주장한다. 업체는 “자동화와 이벤트 상관성 분석은 인텔리전스를 강화할 수 있고, 긍정 오류와 진짜 악성 신호를 선별하는 과정에 도움을 줄 수 있지만, 인간 지성이나 의식을 대체하지는 못한다. 시큐리티 어니언은 만능이 아니므로 단순히 설치 후 방치하면 안전해지지 않는다. 이는 어떤 툴이든 마찬가지다. 이런 솔루션을 찾고 있다면 세상에는 없다"라고 지적했다.
시큐리티 어니언의 다음 신기능
시큐리티 어니언은 현재 활발히 개발 중이다. 데비안 패키지에서 벗어나 도커를 이용해 RHEL/센트OS 시스템을 더 원활하게 지원할 계획이다. 정말 흥미로운 것은 신종 하이브리드 헌터(Hybrid Hunter) 소프트웨어 알파 릴리즈였다. 여기에는 오픈소스 사고 대응 플랫폼인 ‘더 하이브(The Hive)’가 포함된다.
일단 시큐리티 어니언의 하이브리드 헌터 코드가 실무에 투입될 정도가 되면, 하이브를 통합해 SOC 애널리스트가 키바나에 있는 이벤트를 능동적 사건 대응 사례로 격상시키게 할 수 있다. 물론, 하이브는 오픈소스 위협 정보 공유 플랫폼인 MISP 프로젝트와 이미 통합됐다. 기본적으로, MISP는 어느 조직이든 IoCs를 공유하도록 설정할 수 있는 바이러스 토탈의 무료 버전이다.
로 패킷 캡처(raw packet capture)부터 인덱싱, 검색, 시각화, 분석, 사건 대응, 그리고 궁극적으로 위협 정보 공유에 이르기까지, 인공 지능을 내세운 값비싼 상용 보안 제품과 비교할 때 오픈소스 대체물은 이제 거의 손색이 없어 보인다. 실제로 그렇다. 시큐리티 어니언은 현란한 마케팅이 없고, ‘만능’이라고 주장하지 않으며 분명히 약간의 버그가 있고, 기업에서 사용하려면 커스터마이징이 필수다. 그러나 보안 인력을 늘려 시큐리티 어니언을 전개하고 유지 보수하는 것이 장기적으로 더 저렴하고, 더 효율적임이 드러날 것이다.
시큐리티 어니언은 가동하기 쉬운 무료 오픈소스 IDS다. 직원 및 학생을 위한 탁월한 교육 툴이고, 자체 IDS 및 모니터링 시스템을 전개하고 유지할 용의와 자원을 가진 기업에 적절하다. 최소한 연간 수십만 달러의 솔루션을 평가해야 한다면 시큐리티 어니언이 충분한 벤치마크 상대가 될 것이다. ciokr@idg.co.kr
함께 보면 좋은 콘텐츠
Sponsored
Surfshark
“유료 VPN, 분명한 가치 있다” VPN 선택 가이드
ⓒ Surfshark VPN(가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 위험 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 서프샤크 VPN은 구독 요금제 가입 후 7일간의 무료 체험을 제공하고 있다. ⓒ Surfshark 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN ⓒ Surfshark 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.