보안

중소기업을 위한 오픈소스 침입 탐지 시스템 5선

Michelle Drolet | CSO 2020.11.17
기업이 코로나19 팬데믹과 씨름하면서 수많은 직원이 전통적인 경계가 설정된 사무실에서 벗어난 환경에서 일하고 있다. 이들은 집에서 일하면서 승인되지 않은 디바이스, 승인되지 않은 소프트웨어와 안전하지 않은 와이파이를 사용해 데이터와 네트워크 리소스에 액세스한다.
 
ⓒ Getty Images Bank

연구 결과 미국 기업의 거의 50%가 코로나 관련 공격을 받아 비즈니스에 피해를 입은 것으로 나타났다. 침입 탐지 시스템(Intrusion Detection Systems, IDS)의 필요성이 드러나는 수치다.

이름에서 알 수 있듯이 IDS는 네트워크에서 수상한 행동을 모니터링하고 발생 시 경보를 보낸다. IDS는 맬웨어(트로이 목마, 백도어, 루트킷 등)를 감지할 수 있으며, 사용자를 속여 민감한 정보를 발설하도록 하는 소셜 엔지니어링 공격(중간자 공격 및 피싱 등)도 감지할 수 있다. 또한 악의적 내부자를 탐지하는 데도 도움이 된다.

IDS는 크게 시그니처 기반과 이상 현상 기반, 두 그룹으로 나뉜다.

시그니처 기반 IDS는 알려진 악의적 시그니처를 스캔하고 발견 시 경보를 발령한다. 맬웨어 시그니처는 빠르게 진화하므로 시그니처 기반 IDS는 최신 시그니처로 주기적으로 업데이트해야 한다.

이상 현상 기반 IDS는 비정상적인 행동이나 패턴을 감지하는 데 초점을 둔다. 이상 현상 기반 IDS는 네트워크를 염탐하는 사이버 범죄자를 찾는 데 효과적이며, 여러 번의 로그인 시도 실패 등 비정상으로 간주할 수 있는 모든 것을 식별한다.

대기업은 대부분 엔터프라이즈급 IDS 기술과 솔루션을 도입했겠지만, 중소기업에도 사용자와 내부 서버, 퍼블릭 클라우드 환경을 보호하기 위해 침입 탐지 시스템을 구축하는 것이 중요하다. 예산이 충분하지 않다면 오픈소스 침입 탐지 툴에 관심을 가져볼 만하다.
현재 시장에서 가장 우수한 5가지 오픈소스 침입 탐지 시스템을 소개한다.
 

스노트(Snort)

스노트는 가장 오래된 IDS이며, 오픈소스 세계에서 사실상의 표준 IDS로 통한다. GUI는 없지만 폭넓은 맞춤 설정이 가능하므로 기업 조직을 위한 IDS로 적합하다. 스노트를 사용해서 버퍼 오버플로우, 스텔스 포트 스캔, CGI 공격, OS 핑거프린팅 시도와 같은 다양한 공격을 감지할 수 있다. 

또한 활발한 스노트 커뮤니티에서 열정적인 소스 개발자들의 지원을 받을 수 있다. 스노트는 리눅스, 윈도우, 페도라, 센트OS, 프리BSD용으로 제공된다. 인터페이스는 사용자 친화적이라고 할 수 없지만 스노바이(Snorby), 베이스(BASE), 스퀼(Squil), 앤벌(Aanval) 등 스노트가 수집한 데이터를 심층적으로 분석할 수 있는 여러 애플리케이션이 있다.
 

지크(Zeek)

예전 이름이 브로(Bro)였던 지크는 일반 트래픽 분석에 초점을 둔 강력한 네트워크 모니터링 툴이다. 전통적인 시그니처에 의존하지 않는 영역별 언어를 사용하므로 정책 엔진을 위한 작업을 직접 설계할 수 있다. 예를 들어 자동으로 의심스러운 파일을 다운로드해서 분석을 위해 전송하고 발견된 사항이 있는 경우 관련 기관에 알리고 소스를 블랙리스트에 올리고 파일을 다운로드한 디바이스를 종료하도록 툴을 구성할 수 있다. 

지크는 유닉스, 리눅스, 프리BSD, 맥 OS X에서 실행되며 의심스러운 시그니처와 이상 현상을 탐지할 수 있다. 유명 대학, 슈퍼컴퓨팅 센터, 연구소 및 많은 오픈 사이언스 커뮤니티에서 지크의 사용자 커뮤니티를 지원한다. 
 

OSSEC

OSSEC는 오픈소스 호스트 기반 IDS로, 로그 분석과 파일 무결성 모니터링, 윈도우 레지스트리 모니터링, 중앙집중화된 정책 시행, 루트킷 탐지, 실시간 경보 및 능동적 대응 기능을 수행한다. OSSEC는 리눅스, 오픈BSD, 프리BSD, 맥OS, 솔라리스, 윈도우를 포함한 모든 주요 운영체제에서 실행된다. 클라이언트/서버 아키텍처를 사용하며, 호스트 시스템이 완전히 침해된 경우에도 분석을 위해 경보와 로그를 중앙 서버로 전송한다. 

OSSEC 설치 프로그램은 극히 가볍고(1MB 미만), 분석의 대부분이 서버에서 실행되므로 CPU 사용량이 매우 낮다. 이 아키텍처의 또 다른 장점은 관리자가 하나의 서버에서 모든 에이전트를 중앙 관리할 수 있는 사용 편의성이다.
 

수리카타(Suricata)

수리카타는 견고한 네트워크 위협 탐지 엔진으로, 실시간 침입 탐지, 인라인 침입 차단(IPS), 네트워크 보안 모니터링(NSM), 오프라인 pcap 처리 등을 지원한다. 수리카타의 아키텍처는 스노트와 다르지만, 동작은 스노트와 비슷하고 동일한 시그니처를 사용할 수 있다. 

스노트는 싱글 스레드 방식이므로 한 번에 하나의 CPU만 사용할 수 있지만, 수리카타는 멀티 스레드 애플리케이션으로 가용한 모든 CPU를 활용할 수 있다. 또한 하드웨어 가속 기술을 내장해 네트워크 트래픽 검사에 그래픽 카드의 성능을 이용할 수 있다. 수리카타는 리눅스, 프리BSD, 오픈BSD, 맥OS/맥 OS X, 윈도우용으로 제공되며 커뮤니티 지원도 충실하다.
 

시큐리티 어니언(Security Onion)

시큐리티 어니언은 위협 참지, 침입 탐지, 엔터프라이즈 보안 모니터링 및 로그 관리를 위해 설계된 오픈소스 툴이다. 이 툴의 흥미로운 점은 스노트, 키바나(Kibana), 지크, 와저(Wazuh), 사이버셰프(CyberChef), 네트워크마이너(NetworkMiner), 수리카타, 로그스태시(Logstash)와 같은 다른 보안 툴의 기능을 결합한다는 점이다. 따라서 매우 포괄적이고 다방면에 유용하며 IT 보안의 거의 모든 측면에 대응한다. 

여러 툴을 설정하고 다루는 과정은 복잡해질 수 있지만, 시큐리티 어니언은 설정 과정을 간소화하는 직관적인 설정 마법사를 제공한다. 단, 일부 툴의 기능이 중복되고 툴을 오가는 탐색이 번잡하다는 단점이 있다.

2020년 침해 사건의 28%는 소규모 기업에서 발생했다. 따라서 SMB는 디지털 인프라와 재택 근무 직원을 보호하는 데 더욱 유의해야 한다. 자원에 여유가 없는 상황에서 효과적인 보안 솔루션을 찾고 있다면, 오픈소스 보안 소프트웨어가 방어를 위한 좋은 선택이 될 수 있다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.