'상용 이상의 오픈소스 IDS'··· 시큐리티 어니언의 이해

CSO
과거 리눅스 초창기에 으레 들리는 불평이 있었다. 무료지만 지원이 전혀 없어서 리눅스 시스템을 운영하려면 높은 몸값의 고급 시스템 관리자를 채용해야 한다는 것이었다. 그러나 오늘날 리눅스는 데스크톱 시장을 제외하고 거의 모든 분야를 휩쓸고 있다.



이 같은 경향이 기업 침입 탐지, 네트워크 모니터링, 로그 관리 분야로 확산하려 하고 있다. 벤처 캐피탈이 돈을 대는 터무니 없이 비싼 보안 제품과 정 반대편에 무료인 '시큐리티 어니언(Security Onion)' 리눅스 배포판이 부상하고 있다. 시큐리티 어니언은 기업이 원하는 기능을 정확히 수행하지는 않을 가능성이 크다. 그렇다면 결국 기업에 약간의 조율을 직접 해야 한다. 또한, 이를 운영하기 위해서는 '당연히' 유능한 보안 인력이 필요하다.

시큐리티 어니언은 해가 갈수록 계속 정교해지고 있다. 시큐리티 어니언을 커스터마이징하고 전개하고 유지 보수할 수 있을 만큼 두꺼운 개발자층을 보유한 기업이라면 충분히 도입을 고려할만하다.

시큐리티 어니언의 구성
시큐리티 어니언은 침입 탐지 시스템(IDS), 보안 모니터링 및 로그 관리 솔루션이다. ‘기업의 보안 계층을 간소화하라(Peel back the layers of security in your enterprise)’는 재치 있는 표어와 함께, 전면적 패킷 캡처 기능, 네트워크 기반 및 호스트 기반 침입 탐지 시스템(NIDS and HIDS)을 아우르고, 나아가 막대한 양의 데이터를 감당하기 위한 강력한 인덱싱, 검색, 시각화, 분석 툴을 포함한다.

시큐리티 어니언의 작동 원리
시큐리티 어니언의 작동 원리를 이해하려면 ELK 스택이라는 용어를 알아야 한다. 시큐리티 어니언은 기본적으로 일래스틱서치(Elasticsearch), 로그 스태시(Logstash) 및 키바나(Kibana) 스택으로 구성되고, 여기에 수많은 다른 기술과 솔루션이 추가된다. 아울러 OSSEC에서 파생된 와저 HIDS(Wazuh HIDS), 스노트(Snort), 수리카타(Suricata) 규칙 기반 NIDS, 분석 중심의 NIDS 지크(Zeek, or Bro) 등도 포함한다.

로그스태시는 모든 로그를 수집하고, 일래스틱서치는 로그에 색인을 달아 검색을 용이하게 만들고, 키바나는 안전한 보안 운영 센터(SOC)로부터 상황을 시각화하고 분석한다. 키바나는 전체 패킷 캡처로 전환해 의심스러운 보안 사례를 상세히 조사하는 기능도 담당한다.

위협 신호(IoCs)를 파악하기 위해 상세히 조사해야 할 데이터가 여전히 많으므로 시큐리티 어니언에는 스귈(Sguil) 그리고 이와 유사한 브라우저 기반 툴인 스쿼트(Squert))가 딸려 있고, SOC 애널리스트는 이를 이용해 스노트, 수리카타, 와저 경보를 한 곳에서 한꺼번에 조회할 수 있다. 경보로부터 연관 패킷 캡처로 전환할 수도 있다.

선택지가 너무 많아 결정을 내리기가 어려울 정도라면, 시큐리티 어니언 웹사이트에서 ‘사용하기 쉬운 셋업 마법사’를 통해 다수의 분산 센서를 몇 분 만에 구축할 수 있다. 물론 구체적인 환경은 기업마다 다를 것이다(시큐리티 어니언의 개발자는 (당연한 말이지만) 감사 가능한 무료 소프트웨어를 고수하고, 벤더 록-인이나 반복적인 연례 수수료를 피하고 싶은 사람을 위해 유료 자문 서비스도 제공한다).

그러나, 오늘날 SOC에서 큰 문제는 막대한 양의 긍정 오류(false positives)다. 시큐리티 어니언을 이용하면 네트워크 및 디바이스상의 모든 것을 검사할 수 있다. 시각화와 분석 역시 가능하다. 회사의 SOC는 허위 긍정 비율을 극복할 수 있을까? 기업 보안 팀은 분주하고 경보로 시끄러운 실무 환경이라면 시큐리티 어니언을 전개할 것인지 결정하기 전에 허위 긍정 문제를 진지하게 검토할 필요가 있다.

시큐리티 어니언은 솔루션 설명서에서 보안 모니터링은 제품이 아니라 프로세스이고, 제품에 많은 돈을 지출한다고 해서 보안 우려가 마술처럼 사라지지 않는다고 주장한다. 업체는 “자동화와 이벤트 상관성 분석은 인텔리전스를 강화할 수 있고, 긍정 오류와 진짜 악성 신호를 선별하는 과정에 도움을 줄 수 있지만, 인간 지성이나 의식을 대체하지는 못한다. 시큐리티 어니언은 만능이 아니므로 단순히 설치 후 방치하면 안전해지지 않는다. 이는 어떤 툴이든 마찬가지다. 이런 솔루션을 찾고 있다면 세상에는 없다"라고 지적했다.
 
---------------------------------------------------------------
오픈소스 인기기사
->칼럼 | 오픈소스는 당신이 생각하는 그런 커뮤니티가 아니다
->핵심 오픈소스 SW 재단 8곳, 그리고 그들이 중요한 이유
->'이런 사람 꼭 있다' 오픈소스 프로젝트에서 만날법한 11가지 유형
->구글 고(Go)의 위력을 입증하는 오픈소스 프로젝트 10가지
->미약한 취미에서 창대한 협업 프로젝트로 '리눅스의 어제와 오늘'
->오픈소스의 두 얼굴··· 탁월한 가치, 만만치 않은 맹점
->무료 오픈소스 SW만으로 기업을 운영하는 방법
->'탐욕도 동력!'··· 돈 벌어주는 오픈소스의 비밀
->오픈소스 소프트웨어를 사용하지 않는 7가지 이유
---------------------------------------------------------------

시큐리티 어니언의 다음 신기능
시큐리티 어니언은 현재 활발히 개발 중이다. 데비안 패키지에서 벗어나 도커를 이용해 RHEL/센트OS 시스템을 더 원활하게 지원할 계획이다. 정말 흥미로운 것은 신종 하이브리드 헌터(Hybrid Hunter) 소프트웨어 알파 릴리즈였다. 여기에는 오픈소스 사고 대응 플랫폼인 ‘더 하이브(The Hive)’가 포함된다.

일단 시큐리티 어니언의 하이브리드 헌터 코드가 실무에 투입될 정도가 되면, 하이브를 통합해 SOC 애널리스트가 키바나에 있는 이벤트를 능동적 사건 대응 사례로 격상시키게 할 수 있다. 물론, 하이브는 오픈소스 위협 정보 공유 플랫폼인 MISP 프로젝트와 이미 통합됐다. 기본적으로, MISP는 어느 조직이든 IoCs를 공유하도록 설정할 수 있는 바이러스 토탈의 무료 버전이다.

로 패킷 캡처(raw packet capture)부터 인덱싱, 검색, 시각화, 분석, 사건 대응, 그리고 궁극적으로 위협 정보 공유에 이르기까지, 인공 지능을 내세운 값비싼 상용 보안 제품과 비교할 때 오픈소스 대체물은 이제 거의 손색이 없어 보인다. 실제로 그렇다. 시큐리티 어니언은 현란한 마케팅이 없고, ‘만능’이라고 주장하지 않으며 분명히 약간의 버그가 있고, 기업에서 사용하려면 커스터마이징이 필수다. 그러나 보안 인력을 늘려 시큐리티 어니언을 전개하고 유지 보수하는 것이 장기적으로 더 저렴하고, 더 효율적임이 드러날 것이다.

시큐리티 어니언은 가동하기 쉬운 무료 오픈 소스 IDS다. 직원 및 학생을 위한 탁월한 교육 툴이고, 자체 IDS 및 모니터링 시스템을 전개하고 유지할 용의와 자원을 가진 기업에 적절하다. 최소한 연간 수십만 달러의 솔루션을 평가해야 한다면 시큐리티 어니언이 충분한 벤치마크 상대가 될 것이다. ciokr@idg.co.kr