네트워크 허점을 구석구석! 무료 취약점 스캐너 6종

Network World

네트워크와 웹사이트를 설치해 관리할 때 적용시켜야 할 기본적인 보안 대책들을 알고 있을 것이다. 그러나 혼자서 모든 취약점을 파악해 대비하기란 불가능하다.



자동으로 보안 감사를 할 수 있도록 하는 등의 기능을 하는 취약점 스캐너는 IT 보안에서 아주 중요하다. 네트워크와 웹사이트가 수만 가지의 보안 위험 중 하나 이상에 노출되었는지 스캔을 하고, 우선시 패치해야 할 대상을 알려준다. 또 취약점과 취약점을 바로잡는 방법에 관한 정보를 제공한다. 일부 스캐너의 경우 자동 패칭 기능을 제공하기도 한다.

비싼 취약점 스캐너와 보안 감사 툴도 있지만, 무료로 이용할 수 있는 제품과 서비스도 있다. 또 특정 취약점만 조사하는 제품이나 더 넓은 범위에서 IT 보안을 점검하는 제품들이 있다. 무료지만 유용하게 활용할 수 있는 취약점 스캐너 6종을 소개한다.

1. 오픈VAS(OpenVAS)
오픈 VAS(Vulnerability Assessment System)는 GNU GPL(General Public License)로 라이선싱 받은 기술들로 대부분이 구성된 무료 네트워크 보안 스캐너 플랫폼이다. 몇몇 리눅스 패키지나 다운로드 가능한 테스트/평가용 버츄얼 어플라이언스(VA)로 주요 기술들이 구성돼 있다. 스캐너 자체는 윈도우용이 아니지만 윈도우용 클라이언트를 제공하기도 한다.

오픈VAS에서 가장 중요한 기술 요소는 리눅스에서만 실행시킬 수 있는 보안 스캐너다. NVT(Network Vulnerability Test)로부터 매일 업데이트되는 피드를 수신해 스캐닝하는데, 그 수가 3만 3,000개 이상이다.

오픈VAS 매니저(Manager)는 스캐너 제어와 정보 제공을 담당한다. 오픈VAS 관리자(Administrator)는 명령줄 형식의 인터페이스를 제공하며, 풀 서비스 데몬(Service Daemon)으로 사용자 관리 및 피드 관리 기능을 제공한다.

GUI나 CLI 기반 클라이언트들도 있다. GSA(Greenbone Security Assistant)는 웹 기반 GUI를 제공한다. GSD(Greenbone Security Desktop)는 리눅스와 윈도를 포함해 다양한 OS에서 실행되는 Qt 기반의 데스크탑 클라이언트다. 그리고 오픈VAS CLI는 명령줄 인터페이스를 갖고 있다.

 


오픈 VAS는 아주 쉽게, 그리고 빠르게 설치해 사용할 수 있는 스캐너는 아니다. 그러나 무료 스캐너 가운데 가장 기능이 풍부하고, 폭넓게 사용할 수 있는 IT 보안 스캐너다. 수만 가지의 취약점을 검사하고, 동시에 스캔 작업을 처리할 수 있으며, 스캔 일정을 수립할 수도 있다. 또 스캔 결과에 대한 긍정 오류 관리 및 노트 기능을 제공한다. 하지만 최소한 핵심 기술 요소로 리눅스를 사용하는 환경이어야 한다.

2. 레티나 CS 커뮤니티(Retina CS Community)
레티나 CS 커뮤니티는 마이크로소프트와 어도비, 파이어폭스 등 써드파티 애플리케이션을 대상으로 최도 256개 IP까지는 무료로 취약점을 검사하고, 패칭을 제공한다. 또 모바일 장치, 웹 애플리케이션, 가상화 애플리케이션, 서버, 프라이빗 클라우드의 취약점 검사를 지원한다. 이 밖에 취약점, 설정 관련 문제, 누락된 패치 등을 조사한다.

그리고 패칭 기능을 제공한다. 한편 레니타 네트워크 커뮤니티(Retina Network Community) 취약점 스캐닝 기능을 제공하는 소프트웨어인데, 레티나 CS 커뮤니티 소프트웨어에 앞서 별개로 설치해야 한다.

레티나 CS 커뮤니티는 윈도우 서버 2008 이후 버전에 설치가 가능하다. 단 설치에 앞서 .Net 프레임워크 3.5가 설치되어 있고, IIS가 활성화되어 있어야 하며, 마이크로소프트 SQL 2008 이후 버전이 설치되어 있어야 한다. 또 도메인 컨트롤러(Domain Controller)나 스몰 비즈니스 서버(Small Business Servers) 설치는 지원하지 않는다.

소프트웨어를 설치하고 나면, 레티나 네트워크 커뮤니티 컴포넌트용 GUI 프로그램과 레티나 CS 커뮤니티 컴포넌트용 웹 기반 GUI가 구현된다. 여러 사용자 프로파일을 지원하기 때문에, 업무에 맞춰 검사를 할 수 있다.

다양한 스캔 및 리포트 탬플릿 가운데 선택을 해서 검사를 할 수 있다. 또 IP 범위를 지정해 스캔을 하거나, 스마트 선택 기능을 사용할 수도 있다. 또 스캔 자산에 필요한 크레덴셜(Credential)을 제공할 수 있다. 이메일과 경고 등 보고 방법 등을 선택하기 위해서다.

 
 

 

레티나 CS 커뮤니티는 상용 제품과 서비스를 공급하는 벤더가 공급하는 훌륭한 무료 제품이다. 최대 256개 IP와 다양한 자산을 대상으로 스캔과 패칭을 할 수 있다. 그러나 일부 소규모 사업에게는 시스템 요건이 부담이 될지도 모르겠다. 윈도우 서버가 필요하기 때문이다.


3. MBSA(Microsoft Baseline Security Analyzer)
MBSA(Microsoft Baseline Security Analyzer)는 윈도우 데스크톱과 서버에서 로컬 및 리모트 스캔을 하면서 누락된 서비스 팩, 보안 패치, 흔한 보안 설정 실수 등을 조사한다. 2.3 릴리스부터는 윈도우 8.1, 윈도우 8, 윈도우 서버 2012 R2, 윈도우 서버 2012도 지원한다.

MBSA는 상대적으로 사용하기 쉬운 툴이다. 먼저 리스트에서 컴퓨터 이름을 선택하거나 IP 주소를 지정해 한 대의 윈도우 머신을 선택해 스캔할 수 있다. 여러 머신을 스캔할 경우, 전체 도메인을 선택하거나, IP 주소 범위를 지정하면 된다. 이후 윈도우, IIS, SQL 관리 취약점, 취약한 비밀번호, 윈도우 업데이트 등 스캔 대상을 선택할 수 있다.

스캔이 끝나면, 스캔한 윈도우 머신 별로 전반적인 보안 등급, 세부적인 검사 결과 등이 수록된 보고서를 확인할 수 있다. 각 항목을 클릭하면, 취약점이 발견되었을 경우 스캔 대상에 대한 정보와 취약점 해결 방법을 자세히 알 수 있다. 또 향후 참조를 할 수 있도록 자동으로 보고서가 저장된다. 클립보드로 복사를 하거나, 인쇄할 수도 있다.

 
 

MBSA는 사용하기 쉬운 무료 툴이지만, 고급 윈도우 설정, 드라이버, 마이크로소프트 이외의 소프트웨어, 네트워크에 특정적인 취약점 스캔 기능은 뛰어나지 않다는 점에 유념할 필요가 있다. 그렇지만 일반적인 보안 위험을 찾아 경감할 때 아주 유용한 툴이다.
 

4. 넥스포즈 커뮤니티 에디션(Nexpose Community Edition)

넥스포즈 커뮤니티 에디션은 네트워크, 운영 시스템, 웹 애플리케이션, 데이터베이스, 가상 환경을 스캔할 수 있는 툴이다. 그러나 커뮤니티 에디션에는 한 번에 32개 IP까지만 스캔을 할 수 있다는 제약이 있다. 그리고 1년 후에는 새 라이선스를 신청해야 한다. 상용 에디션이지만 7일간 시험적으로 무료 사용할 수 있는 트라이얼 버전도 있다.

넥스포즈는 윈도우, 리눅스, 가상 머신에 설치할 수 있으며, 웹 기반 GUI를 제공한다. 웹 포털에 사이트를 만들어, 스캔하고 싶은 IP나 URL을 지정하고, 스캔 방법과 일정을 정하고, 스캔 자산에 필요한 크리덴셜을 제공할 수 있다.

사이트 스캔을 마치면 자산과 취약점 리스트를 확인할 수 있다. 여기에는 OS와 소프트웨어에 관한 정보, 취약점과 해결 방법 등에 대한 자세한 정보가 나와있다. 원하는 컴플라이언스 기준을 규정해 추적 관리할 수 있는 기능도 제공한다. 다양한 각도의 보고서를 생성해 내보내기 할 수도 있다.

 
 
 

넥스포즈 커뮤니티 에디션은 쉽게 설정해 사용할 수 있으며, 완전한 기능을 갖춘 취약점 스캐너다. 그러나 네트워크 환경이 클 경우 32개라는 IP 수의 제약이 실용적이지 못할 수 있다.


5. 시큐어체크(SecureCheq)

시큐어체크는 윈도우 데스크톱과 서버를 로컬 스캔해 CIS, ISO, COBIT 기준에 입각한 고급 윈도우 설정에 취약점이 있는지를 조사하는 툴이다. OS 강화, 데이터 보호, 커뮤니케이션 보안, 사용자 계정 활동, 감사 로깅 등 일반적인 설정 관련 실수 검색에 초점이 맞춰져 있다. 그러나 무료 버전은 20여 설정으로 스캔이 제한된다. 풀 버전이 지원하는 설정 수의 1/4에 불과하다.

시큐어체크 사용은 간단하다. PC를 스캔하고 나면, 설정 리스트 및 '패스(Passed)'나 '페일(Failed)' 결과를 확인할 수 있다.

설정을 클릭하면 취약점, 취약점에 대한 정보, 취약점 해결 방법에 대한 참조 정보가 있는 링크를 볼 수 있다. 애플리케이션 자체에서는 검사 결과를 저장할 수 없지만 인쇄하거나, OVAL XML 파일로 저장할 수 있다.

 
 
 

시큐어체크는 사용하기 쉽고, 고급 설정을 스캔할 수 있는 툴이다. 그러나 일부 공통 윈도우 취약점과 네트워크 기반 위협을 감지하지 못한다. 하지만 MBSA를 보완하는 툴로 사용하면 유용하다. MBSA로 기본 위협을 스캔한 이후, 시큐어체크로 고급 취약점을 스캔하는 것이다.

6. 퀄리스 프리스캔(QualysFreeScan)

퀄리스 프리스캔은 인터넷이나 로컬 서버 또는 머신에 연동된 URL이나 IP를 최대 10개까지 무료 스캔할 수 있는 툴이다. 처음에는 퀄리스 웹 포털에 접속해야 한다. 이후 내부 네트워크를 대상으로 스캔하기 위해서는 가상 머신 소프트웨어를 다운로드 받으면 된다.

퀄리스 프리스캔은 몇 가지 스캔 형식을 지원한다. 숨은 맬웨어, SSL 문제, 기타 네트워크 관련 취약점 검사 등이다. OWASP는 웹 애플리케이션의 취약점을 감사하는 기능이다. 패치 투스데이(Patch Tuesday)는 누락된 소프트웨어 패치를 스캔해 설치할 수 있도록 도움을 준다. SCAP는 컴퓨터 설정이 NIST(National Institute of Standards and Technologies)의 SCAP(Security Content Automation Protocol)에 부합하는지 점검한다.


처음에는 인터넷을 매개체로 한 온라인 스캔 툴로 보일 수 있다. 그러나 로컬 IP를 입력해 스캔하면, VM웨어나 버츄얼박스(VirtualBox) 이미지를 통해 가상 스캐너를 다운로드 받을 수 있다. 이를 이용하면 로컬 네트워크를 스캔할 수 있다. 스캔이 끝나면, 위협이나 패치 별 인터랙티브 보고서를 확인할 수 있다.

 

 
 

퀄리스 프리스캔은 10차례까지만 무료 스캔을 할 수 있다. 정기적으로 사용할 수 있는 툴은 아니라는 이야기다. 매일 사용을 위해서라기보다는 재확인을 위해 가끔 실행시키기에 적당하다. ciokr@idg.co.kr