2016.12.28

유용하고 품질 우수한 '무료' 사이버보안 도구들

David Geer | CSO
생각보다 무료 정보 보안 도구들이 꽤 많은 편이다. 상당수는 의사결정자가 유료 버전을 구매하도록 유도하는 트라이얼 버전이다. 그러나 모든 기능을 갖춘 유틸리티들도 많다. 위협 인텔리전스 도구, 개발 단계에 보안을 구현하는데 도움을 주고, 침입 테스트(모의 해킹) 도구, 포렌식 도구 등이 이들 무료 도구의 주요 영역이다.


Credit: Alexander Baxevanis

위협 인텔리전스 도구로는 온라인 위협 인텔리전스(정보)를 수집/공유하는 에일리언볼트(AlienVault)의 OTX(Open Threat Exchange), 헤이라택시(Hailataxii), 사이먼아이오(Cymon.io)의 위협 정보 교환 도구 등이 대표적이다. 개발자들이 C/C++, 루비온레일즈(Ruby on Rails), 파이썬(Python) 등 다양한 언어로 개발한 소프트웨어 애플리케이션의 보안을 테스트할 수 있는 SAST(Static Application Security Testing) 도구도 다양하다.

침입 테스트 도구로는 앤맵 시큐리티 스캐너(Nmap Security Scanner), 광범위한 유용성을 자랑하는 와이어샤크(Wireshark) 네트워크 프로토콜 분석기가 있다. GRR 원격 포렌식 프레임워크, 오텁시(Autopsy), 슬루스킷(SleuthKit) 등은 포렌식 관련 도구다. 하드 드라이브와 스마트폰을 분석하는 도구들이다. 또 메모리 분석/포렌식용인 볼러틸리티 재단(Volatility Foundation)의 오픈소스 프레임워크가 있다.

위협 인텔리전스 도구들
위협 인텔리전스는 보안 업체가 자사의 감지 도구에서 특정 위협에 대한 서명을 생성할 때 이용하는 정보들로 구성되어 있다. 에일리언볼트는 OTX 서비스/커뮤니티를 제공하고 있다. 매일 400만의 위협 지표를 제공하는 140개 국가의 4만 7,000명이 제공하는 온라인 위협 인텔리전스를 공유할 수 있다. 이는 기업과 보안 업체들이 새 위협이 출현하는 즉시 이를 대비하도록 도움을 준다.

사이텍서비스(CyTech Service의 벤 코튼(Ben Cotton) CISSP이자 CEO는 "에일리언 OTX는 IoC(Indicators of Compromising) 공유에 유용하다"고 말했다. 이 업체는 잘 알려진 OPM의 정보 보안 침해 사고 대응에 참여했었다. OTX를 수신하는 보안 제품들은 새 IoC 감지 기능이 추가된다.

기타 주목할만한 인텔리전스 저장소들이 존재한다. 코튼은 "헤이라택시닷컴(Hailataxii.com)은 STIX 데이터를 대상으로 하는 오픈소스 저장소다"고 설명했다. STIX(Structured Threat Information eXpression)는 사이버보안 위협 정보를 교환할 수 있는 XML 언어다. 그리고 TAXII는 STIX 데이터를 공유하는 메커니즘이다.

사이먼아이오는 이센타이어(eSentire)가 제공하는 또 다른 위협 인텔리전스 통합 도구다. 이 업체 웹사이트에 따르면, 공개된 커뮤니티 구성원들이 발견한 악성 활동과 감염원인 웹 도메인과 IP 주소를 알려주는 평판 데이터베이스 기능을 한다.

사이먼과 이센타이어 웹사이트에 따르면, 사이먼은 매일 공개 입수가 가능한 산업계, 정부, 상업 위협 인텔리전스 피드, 바이러스 토털(VirusTotal), 피시탱크(Phishtank), 블랙리스트, 안티바이러스 업체의 소스 보고서, 이센타이어의 고유 인텔리전스 목록 등 180개 이상의 소스를 처리한다.

사이먼은 이런 정보를 이용해 악성코드, 피싱, 봇넷, 스팸을 추적한다. 그리고 매일 2만 개의 고유 IP를 데이터베이스에 추가한다. 사이먼에는 600만 개가 넘는 IP 주소, 3,370만 개의 보안 이벤트가 기록되어 있다. 코튼은 "사이먼아이오는 아주 유용하다. 에일리언볼트 OTX 및 헤일라텍시와 동일한 범주라고 판단한다"고 말했다.

개발 단계 동안 보안을 구현하는 개발 도구들
개발자들이 개발 단계에서 소프트웨어 애플리케이션을 테스트할 수 있는 다양한 SAST 도구들이 있다. 시지탈(Cigital) 수석 컨설턴트는 미라 수바로
는 "가장 인기 있는 자바(Jav) 도구는 파인드벅스(FindBugs)와 PMD다"고 말했다.

수바로는 "상당수는 개발자 IDE용 플러그인이 있다. 애플리케이션을 더 안전하게 개발할 수 있도록 도움을 준다."고 덧붙였다. 이 밖에도 파이썬, 루비온레일즈, C/C++, 자바스크립트(JavaScript), .NET용 도구들이 있다.

침입/PEN 테스트 도구들
침입 테스트 도구는 해커에 앞서 보안 취약점을 찾도록 도움을 주는 도구다. 보안 전문가들이 많이 사용하는 오픈소스 도구는 고든 리온(Gordon Lyon)이 포트 스캔과 네트워크 취약점을 찾기 위해 개발한 침입 테스트 도구인 앤맵이다. 코튼은 "모든 무료 오픈소스 스캐너 도구의 '조상'격인 앤맵은 네트워크 취약점 분석에 효과적인 도구다. 큰 네트워크를 스캔할 수 있지만, 보안 사고에 대응하는 기능은 포함되어 있지 않다"고 설명했다.

제랄드 콤스가 최초 개발했으며, 다양한 용도로 유용한 와이어샤크 네트워크 프로토콜 분석 도구 또한 인기 있는 무료 침입 테스트 도구다. 리버베드(Riverbed)가 이를 지원하고 있다. 코튼은 "아마 최고의 네트워크 패킷 스니핑 분석 도구일 것이다"고 강조했다. 그러나 와이어샤크는 100MB 이상의 파일을 캡처할 수 없다.

포렌식 도구들
포렌식 도구는 과거 발생한, 또는 진행 중인 보안 사고를 조사할 때 이용하는 도구다. 구글이 무료로 배포하는 오픈 소스 GRR 원격 포렌식 프레임워크는 GRR 파이썬 서버와 파이썬 에이전트 간 대화로 그 즉시 사고에 대응한다.

윈도우와 리눅스, OS X 시스템에서 시스템 메모리에 대한 포렌식에 GRR 에이전트를 이용할 수 있다. 아주 좋은 도구이지만, GRR을 전사적으로 적용할 때를 중심으로 확장성에 문제가 있다. 코튼은 "무료 GRR로는 10대 정도의 머신이 적당하다"고 설명했다.

브라이언 캐리어(Brian Carrier)와 @stake 등 다양한 개발자가 개발했으며, 함께 이용할 경우가 많은 오텁시와 슬루스킷 포렌식 제품은 컴퓨터 하드 드라이브, 스마트폰, 드라이브 이미지를 분석하는 도구다. 윈도우, 리눅스, 맥 버전이 있다. 코튼은 "1~2대의 컴퓨터에는 아주 좋은 포렌식 도구다. 그러나 전체 네트워크로 확대하는 것은 힘들다"고 지적했다.

메모리 분석 도구인 볼러틸리티 재단의 오픈소스 프레임워크는 "휘발성 스토리지(RAM) 데이터를 사용하는 시스템의 런타임 상태를 분석하는" 분석/포렌식 도구다.

베스티지 디지털 인베스티게이션(Vestige Digital Investigations)의 그렉 켈리는 볼러틸리티에 대해 "윈도우 메모리, 프로세스, 개방된 포트, 네트워크 연결의 덤프 정보를 캡처한다. 또한 메모리에서 실행되는 악성코드를 탐지하는 데 도움을 주는 논리가 장착되어 있다"고 설명했다.

코튼은 "메모리 분석에 추천하고 싶은 도구다. 단점은 분석 전에 메모리 이미지를 생성해야 하는 것이다. 그래야 메모리 덤프, 활성 RAM의 이미지를 캡처해 볼러틸리티를 통해 실행시키고 분석할 수 있다. 볼러틸리티는 오프라인 메모리 포렌식의 기준을 제시하는 도구다"고 설명했다.

무료 보안 소프트웨어를 활용하기
모든 오픈소스 프로젝트, 트라이얼 버전까지 포함하면 무료 도구는 수없이 많다. 지금까지 소개한 것은 일부에 불과하다. 직접 테스트나 조사를 하면 1~2가지 취약한 부분을 없애고, 기능과 특징을 비교하고, 유료 도구의 가치를 판단하는데 도움이 될 것이다. editor@itworld.co.kr  

2016.12.28

유용하고 품질 우수한 '무료' 사이버보안 도구들

David Geer | CSO
생각보다 무료 정보 보안 도구들이 꽤 많은 편이다. 상당수는 의사결정자가 유료 버전을 구매하도록 유도하는 트라이얼 버전이다. 그러나 모든 기능을 갖춘 유틸리티들도 많다. 위협 인텔리전스 도구, 개발 단계에 보안을 구현하는데 도움을 주고, 침입 테스트(모의 해킹) 도구, 포렌식 도구 등이 이들 무료 도구의 주요 영역이다.


Credit: Alexander Baxevanis

위협 인텔리전스 도구로는 온라인 위협 인텔리전스(정보)를 수집/공유하는 에일리언볼트(AlienVault)의 OTX(Open Threat Exchange), 헤이라택시(Hailataxii), 사이먼아이오(Cymon.io)의 위협 정보 교환 도구 등이 대표적이다. 개발자들이 C/C++, 루비온레일즈(Ruby on Rails), 파이썬(Python) 등 다양한 언어로 개발한 소프트웨어 애플리케이션의 보안을 테스트할 수 있는 SAST(Static Application Security Testing) 도구도 다양하다.

침입 테스트 도구로는 앤맵 시큐리티 스캐너(Nmap Security Scanner), 광범위한 유용성을 자랑하는 와이어샤크(Wireshark) 네트워크 프로토콜 분석기가 있다. GRR 원격 포렌식 프레임워크, 오텁시(Autopsy), 슬루스킷(SleuthKit) 등은 포렌식 관련 도구다. 하드 드라이브와 스마트폰을 분석하는 도구들이다. 또 메모리 분석/포렌식용인 볼러틸리티 재단(Volatility Foundation)의 오픈소스 프레임워크가 있다.

위협 인텔리전스 도구들
위협 인텔리전스는 보안 업체가 자사의 감지 도구에서 특정 위협에 대한 서명을 생성할 때 이용하는 정보들로 구성되어 있다. 에일리언볼트는 OTX 서비스/커뮤니티를 제공하고 있다. 매일 400만의 위협 지표를 제공하는 140개 국가의 4만 7,000명이 제공하는 온라인 위협 인텔리전스를 공유할 수 있다. 이는 기업과 보안 업체들이 새 위협이 출현하는 즉시 이를 대비하도록 도움을 준다.

사이텍서비스(CyTech Service의 벤 코튼(Ben Cotton) CISSP이자 CEO는 "에일리언 OTX는 IoC(Indicators of Compromising) 공유에 유용하다"고 말했다. 이 업체는 잘 알려진 OPM의 정보 보안 침해 사고 대응에 참여했었다. OTX를 수신하는 보안 제품들은 새 IoC 감지 기능이 추가된다.

기타 주목할만한 인텔리전스 저장소들이 존재한다. 코튼은 "헤이라택시닷컴(Hailataxii.com)은 STIX 데이터를 대상으로 하는 오픈소스 저장소다"고 설명했다. STIX(Structured Threat Information eXpression)는 사이버보안 위협 정보를 교환할 수 있는 XML 언어다. 그리고 TAXII는 STIX 데이터를 공유하는 메커니즘이다.

사이먼아이오는 이센타이어(eSentire)가 제공하는 또 다른 위협 인텔리전스 통합 도구다. 이 업체 웹사이트에 따르면, 공개된 커뮤니티 구성원들이 발견한 악성 활동과 감염원인 웹 도메인과 IP 주소를 알려주는 평판 데이터베이스 기능을 한다.

사이먼과 이센타이어 웹사이트에 따르면, 사이먼은 매일 공개 입수가 가능한 산업계, 정부, 상업 위협 인텔리전스 피드, 바이러스 토털(VirusTotal), 피시탱크(Phishtank), 블랙리스트, 안티바이러스 업체의 소스 보고서, 이센타이어의 고유 인텔리전스 목록 등 180개 이상의 소스를 처리한다.

사이먼은 이런 정보를 이용해 악성코드, 피싱, 봇넷, 스팸을 추적한다. 그리고 매일 2만 개의 고유 IP를 데이터베이스에 추가한다. 사이먼에는 600만 개가 넘는 IP 주소, 3,370만 개의 보안 이벤트가 기록되어 있다. 코튼은 "사이먼아이오는 아주 유용하다. 에일리언볼트 OTX 및 헤일라텍시와 동일한 범주라고 판단한다"고 말했다.

개발 단계 동안 보안을 구현하는 개발 도구들
개발자들이 개발 단계에서 소프트웨어 애플리케이션을 테스트할 수 있는 다양한 SAST 도구들이 있다. 시지탈(Cigital) 수석 컨설턴트는 미라 수바로
는 "가장 인기 있는 자바(Jav) 도구는 파인드벅스(FindBugs)와 PMD다"고 말했다.

수바로는 "상당수는 개발자 IDE용 플러그인이 있다. 애플리케이션을 더 안전하게 개발할 수 있도록 도움을 준다."고 덧붙였다. 이 밖에도 파이썬, 루비온레일즈, C/C++, 자바스크립트(JavaScript), .NET용 도구들이 있다.

침입/PEN 테스트 도구들
침입 테스트 도구는 해커에 앞서 보안 취약점을 찾도록 도움을 주는 도구다. 보안 전문가들이 많이 사용하는 오픈소스 도구는 고든 리온(Gordon Lyon)이 포트 스캔과 네트워크 취약점을 찾기 위해 개발한 침입 테스트 도구인 앤맵이다. 코튼은 "모든 무료 오픈소스 스캐너 도구의 '조상'격인 앤맵은 네트워크 취약점 분석에 효과적인 도구다. 큰 네트워크를 스캔할 수 있지만, 보안 사고에 대응하는 기능은 포함되어 있지 않다"고 설명했다.

제랄드 콤스가 최초 개발했으며, 다양한 용도로 유용한 와이어샤크 네트워크 프로토콜 분석 도구 또한 인기 있는 무료 침입 테스트 도구다. 리버베드(Riverbed)가 이를 지원하고 있다. 코튼은 "아마 최고의 네트워크 패킷 스니핑 분석 도구일 것이다"고 강조했다. 그러나 와이어샤크는 100MB 이상의 파일을 캡처할 수 없다.

포렌식 도구들
포렌식 도구는 과거 발생한, 또는 진행 중인 보안 사고를 조사할 때 이용하는 도구다. 구글이 무료로 배포하는 오픈 소스 GRR 원격 포렌식 프레임워크는 GRR 파이썬 서버와 파이썬 에이전트 간 대화로 그 즉시 사고에 대응한다.

윈도우와 리눅스, OS X 시스템에서 시스템 메모리에 대한 포렌식에 GRR 에이전트를 이용할 수 있다. 아주 좋은 도구이지만, GRR을 전사적으로 적용할 때를 중심으로 확장성에 문제가 있다. 코튼은 "무료 GRR로는 10대 정도의 머신이 적당하다"고 설명했다.

브라이언 캐리어(Brian Carrier)와 @stake 등 다양한 개발자가 개발했으며, 함께 이용할 경우가 많은 오텁시와 슬루스킷 포렌식 제품은 컴퓨터 하드 드라이브, 스마트폰, 드라이브 이미지를 분석하는 도구다. 윈도우, 리눅스, 맥 버전이 있다. 코튼은 "1~2대의 컴퓨터에는 아주 좋은 포렌식 도구다. 그러나 전체 네트워크로 확대하는 것은 힘들다"고 지적했다.

메모리 분석 도구인 볼러틸리티 재단의 오픈소스 프레임워크는 "휘발성 스토리지(RAM) 데이터를 사용하는 시스템의 런타임 상태를 분석하는" 분석/포렌식 도구다.

베스티지 디지털 인베스티게이션(Vestige Digital Investigations)의 그렉 켈리는 볼러틸리티에 대해 "윈도우 메모리, 프로세스, 개방된 포트, 네트워크 연결의 덤프 정보를 캡처한다. 또한 메모리에서 실행되는 악성코드를 탐지하는 데 도움을 주는 논리가 장착되어 있다"고 설명했다.

코튼은 "메모리 분석에 추천하고 싶은 도구다. 단점은 분석 전에 메모리 이미지를 생성해야 하는 것이다. 그래야 메모리 덤프, 활성 RAM의 이미지를 캡처해 볼러틸리티를 통해 실행시키고 분석할 수 있다. 볼러틸리티는 오프라인 메모리 포렌식의 기준을 제시하는 도구다"고 설명했다.

무료 보안 소프트웨어를 활용하기
모든 오픈소스 프로젝트, 트라이얼 버전까지 포함하면 무료 도구는 수없이 많다. 지금까지 소개한 것은 일부에 불과하다. 직접 테스트나 조사를 하면 1~2가지 취약한 부분을 없애고, 기능과 특징을 비교하고, 유료 도구의 가치를 판단하는데 도움이 될 것이다. editor@itworld.co.kr  

X