네트워크

'쓸수록 매력적인' 무료 네트워크 취약점 스캐너 5선

Eric Geier | Network World 2021.03.12
네트워크와 웹사이트를 설치하고 관리할 때 나름대로 기본적인 보안 조치를 하는 것은 혼자 할 수도 있다. 그러나 모든 취약점을 다 따라잡고 잡아내는 것은 절대 혼자 할 수 없다.
 
ⓒ Getty Images Bank

이때 도움이 되는 것이 취약점을 검사해 주는 취약점 스캐너(vulnerability scanner)다. 보안 감사 기능을 자동화하는 것은 물론 IT 보안에 중요한 일익을 담당한다. 취약점 스캐너는 사용자의 네트워크와 웹사이트에서 최대 수천 가지 다양한 보안 위험을 검사해 먼저 패치해야 할 것을 알려 준다. 취약점과 단계별 해결법도 제시하고, 패칭 프로세스까지 자동화하는 제품도 있다.

취약점 스캐너와 보안 감사 도구는 상당히 비싸지만 무료로 사용할 수 있는 방법도 있다. 무료인 만큼 특정 취약점만 살펴보거나 검사 가능한 호스트 개수가 제한되기도 하지만, 일부 제품은 광범위한 IT 보안 검사를 지원하기도 한다.
 

네서스 에센셜

테너블(Tenable)에서 나온 네서스 에센셜(Nessus Essentials)(구 네서스 홈(Nessus Home))은 IP 주소를 한 번에 16개까지 검사한다. 7일 동안 무료로 체험 가능한 전문가 에디션은 IP 검사가 무제한이고 규정 준수 검사나 컨텐츠 감사, 실시간 결과 등을 추가로 지원하고, 네서스 가상 어플라이언스(VA)를 사용할 수 있다.

네서스 에센셜은 윈도우와 맥OS, 그리고 다양한 리눅스/유닉스 배포판에서 사용할 수 있다. 어떤 검사 유형이 포함돼 있는지(호스트 검색 및 취약점 검사) 웹 GUI에서 쉽게 확인할 수 있다. 전문가 에디션에서 이용 가능한 검사 유형(모바일 장치용 취약점 검사와 규정 준수 검사)도 표시되는데 실제 사용은 할 수 없다.

무료 버전에서는 자동 검사를 한 번만 예약할 수 있지만 전문가 에디션에서는 이런 제한이 없다. 또한, 이메일 알림, 검색 설정, 평가 및 보고 환경설정, 고급 설정 등도 구성할 수 있다. 특정 취약점 또는 악용점과 플러그인도 검토하는 것도 가능하다. 검사를 실행한 후에는 각 호스트에서 발견된 내용을 대략 볼 수 있고 취약점과 해결 방법을 자세히 알려준다.

정책을 활용해 사용자 정의 템플릿을 만들 수도 있다. 검색 도중에 어떤 동작을 수행할지 정의하는 템플릿이다. 또한, 플러그인 규칙을 활용해 원하는 플러그인의 강도를 숨기거나 바꿀 수 있다. 전체적으로 네서스 에센셜은 완성도가 높고 사용하기 쉽다. 반면 한 번에 검색할 수 있는 IP 주소가 16개로 제한되므로, 대기업에서는  쓰기 힘들다.
 

넥스포즈 커뮤니티 에디션

래피드7(Rapid7)에서 나온 넥스포즈 커뮤니티 에디션(Nexpose Community Edition)은 네트워크, 운영체제, 웹 애플리케이션, 데이터베이스, 가상 환경을 검사한다. 유효 기간은 1년이며 그 후에는 라이선스를 새로 신청해야 한다. 30일 동안 상용 버전을 무료로 체험해 볼 수 있다.

넥스포즈는 윈도우, 리눅스 또는 가상 머신에 설치해 사용할 수 있고, 웹 기반 GUI를 제공한다. 넥스포즈 웹 포털을 통해 사이트를 만들어 검사하고자 하는 IP나 URL을 정의하고 환경 설정과 검사 일정을 선택할 수 있다. 검사된 자산에 대해 필요한 모든 인증 정보를 확인할 수도 있다.

사이트 검사가 끝나면 자산과 취약점 목록이 표시된다. OS와 소프트웨어 정보를 비롯한 자산 내역과 취약점 및 해결 방법을 자세히 볼 수 있다. 정책 설정을 선택하면 원하는 규정 준수 표준을 정의하고 추적할 수 있다. 넥스포즈 커뮤니티 에디션은 필요한 기능을 모두 지원하고 설치하기 쉬운 취약점 스캐너다.
 

오픈VAS

오픈VAS(취약점평가시스템)는 리눅스 기반 네트워크 보안 스캐너 플랫폼이다. 대부분 구성요소가 GNU GPL로 공개돼 있다. 완전히 무료로 사용할 수 있는 것은 그린본 소스 에디션(Greenbone Source Edition) (GSE)이고, 상용 버전은 그린본 보안 관리자(GSM)로 14일 동안 무료로 사용할 수 있다.

오픈VAS의 기본 구성요소인 보안 스캐너는 리눅스에서만 실행할 수 있지만, 윈도우 내 가상 머신 상에서도 쓸 수 있다. 실제 검사 작업을 수행하면 8만 5,000개가 넘는 네트워크 취약점 테스트에 대한 업데이트를 매일 받을 수 있다. 스캐너 기능에는 약간씩 차이가 있지만 각 에디션마다 제공되는 피드의 차이에 가깝다.

오픈VAS 매니저(Manager)는 스캐너를 제어하고 정보를 제공한다. 오픈VAS 관리자(Administrator)는 명령줄 인터페이스를 제공한다. 전체 서비스 데몬 역할을 할 수 있어 사용자 관리 및 피드 관리 기능을 제공한다.

GUI 또는 CLI 역할을 할 수 있는 클라이언트가 몇 가지 있지만,  그린본 보안 어시스턴트(GSA)는 웹 기반 GUI를 제공한다. 그린본 보안 데스크톱(GSD)은 Qt 기반 데스크톱 클라이언트로, 리눅스와 윈도우를 비롯한 다양한 OS에서 실행된다. 오픈VAS CLI는 명령줄 인터페이스를 제공한다.

오픈VAS는 설치 및 사용의 편이성과 속도 면에서 최고의 스캐너는 아니지만 무료로 구할 수 있는 것 중에서는 가장 기능이 풍부하고 광범위한 IT 보안 스캐너다. 수천 가지 취약점을 검사하고 동시 검사와 예약 검사를 지원한다. 또한, 검사 결과에 대한 기록 및 위양성 관리 기능을 제공한다. 단, 적어도 기본 구성요소에는 리눅스가 필요하다.
 

퀄리스 커뮤니티 에디션

퀄리스 커뮤니티 에디션(Qualys Community Edition)을 사용하면 퀄리스 클라우드 에이전트(Qualys Cloud Agent)로 자산을 최대 16개까지 감시할 수 있다. 취약점 관리 도구로 내부 IP를 최대 16개까지, 외부 IP는 3개까지 검사할 수 있고, 웹 애플리케이션 검사 기능으로 URL을 1개 검사할 수 있다.

처음에 웹 포털을 통해 접근한 후에 본인의 내부 네트워크에 검사를 실행하는 경우에는 가상 머신을 다운로드한다. 퀄리스 상용 버전을 30일 동안 무료로 사용할 수도 있다.

퀄리스는 TCP/UDP 포트, 비밀번호 무차별 대입, 숨겨진 악성코드에 대한 취약점 탐지, 누락된 패치, SSL 문제와 기타 네트워크 관련 취약점 등 다양한 검색 유형을 지원한다. 퀄리스가 탐지 기능 확대를 위해 호스트에 로그인할 수 있도록 인증 세부정보를 미리 설정할 수도 있다.

웹 GUI를 보면 검사 방법이 단계별로 나와 있다. 검사할 IP 주소를 입력하고 가상 스캐너를 다운로드하거나 로컬 네트워크 검사인 경우에는 물리적 스캐너를 설정한 후 검사 설정을 구성하는 단계가 포함된다. 검사를 완료하면 전체 채점표, 패치, 고심각도, 결제카드업계(PCI), 실행 보고서 등 다양한 종류의 보고서를 볼 수 있다.

퀄리스는 검사 가능한 자산과 IP가 16개로 제한되기 때문에 대기업 환경에서는 유용하지 않을 수 있다. 대기업에서 일상적인 사용에는 다른 솔루션을 사용하고 퀄리스는 소규모 네트워크나 세그먼트용으로 실행하는 방법도 있다.
 

매니지엔진 취약점 관리자

매니지엔진(ManageEngine) 취약점 관리자는 최대 25대의 윈도우 또는 맥OS 컴퓨터에서 모든 기능을 사용할 수 있는 무료 버전을 제공한다. 여기서 살펴본 다른 스캐너와 달리 주로 컴퓨터 검사와 감시용으로 설계된 제품이지만, 웹 서버용으로 제공하는 검사 기능도 있다.

유료 버전을 30일 동안 무료로 사용할 수 있으며 매니지엔진 취약점 관리자와 통합 가능한 일반 컴퓨터 감시 기능을 더 많이 제공하는 데스크톱 센트럴(Desktop Central) 역시 30일 동안 무료로 사용할 수 있다.

매니지엔진 취약점 관리자의 서버 부분은 윈도우 기기에만 설치할 수 있지만, 웹 GUI는 어떤 기기에서든 접속해 사용할 수 있다. 다른 스캐너와 달리 매니지엔진 취약점 관리자는 사용자가 검사하고자 하는 시스템에 엔드포인트 에이전트 소프트웨어를 추가해야 하며 윈도우, 맥OS, 리눅스 시스템에 사용할 수 있다.

엔드포인트 에이전트를 설치하고 나면 탐지된 항목이 소프트웨어 및 제로데이(zero-day) 취약점, 시스템 및 서버 구성 오류, 고위험 소프트웨어, 포트 감사별로 분류해 표시한다. 항목마다 자세한 설명과 문제 해결 방법도 알려준다. 패치의 관리 및 푸시도 가능하고, 설치된 OS, IP 주소, 마지막 재부팅 시간 등 기본 컴퓨터 사양과 통계수치도 볼 수 있다.

매니지엔진 취약성 관리자는 적어도 컴퓨터 시스템용으로는 훌륭한 장기 취약점 감시 솔루션이다. 단, 소프트웨어 에이전트를 설치해야 하므로 일회성 검사에는 적합하지 않을 수 있다.

매니지엔진은 무료 버전을 제공하고, 유료 버전도 30일 동안 무료로 사용할 수 있다. 매니지엔진 취약점 관리자와 통합 가능한 일반 컴퓨터 감시 기능을 더 많이 제공하는 데스크톱 센트럴(Desktop Central) 역시 30일 동안 무료로 써볼 수 있다. editor@itworld.co.kr
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.