cio

글: Michelle Drolet | CSO | 2018.10.26

 

 

기업이라면 침입탐지시스템(Intrusion Detection System, IDS)를 사용해 네트워크를 모니터링하고 의심스러운 활동을 신고하거나 잠재적인 악성 트래픽을 자동으로 막아야 한다. 이번 기사에서는 5가지 최고의 오픈소스 IDS를 살펴보자.
 

Credit: Getty Images Bank

사이버보안 전문가로서 공격자가 네트워크에 액세스하는 것을 막으려고 노력하지만 모바일 기기, 분산된 팀, IoT(Internet of Things)의 등장으로 기하급수적으로 늘어난 경계를 보호하는 것은 쉽지 않다. 불편한 진실은 공격자가 가끔은 내부에 들어올 것이라는 점과 이 공격을 발견하는 데 오래 걸릴수록 데이터 유출 비용은 증가한다는 것이다. 강력한 사고 대응 계획의 일환으로 견고한 IDS를 사용함으로써 침해의 잠재적 피해를 줄일 수 있다.

IDS는 일반적으로 2가지로 분류할 수 있다. 알려진 악의적인 트래픽 패턴과 경고를 검색하는 시그니처 기반의 IDS가 있으며, 시그니처가 아닌 표준과의 편차를 표시하기 위한 기준선을 보는 비정상 행위 기반의 IDS가 있다.

데이터와 시스템을 보호하려면 내부 서버에서 데이터센터, 퍼블릭 클라우드 환경에 이르기까지 네트워크에 IDS를 배포하는 것이 중요하다. IDS는 내부자 위협과 하루종일 넷플릭스 스트리밍을 즐기거나 페이스북 메신저를 통해 채팅하는 등의 직원의 태만 행동을 적발할 수 있다. 다행히도 살펴볼 만한 오픈소스 IDS가 많이 있으며, 그 가운데 5가지를 알아보자.

1. 스노트(Snort)
스노트는 IDS의 사실상 표준으로 매우 가치있는 도구다. 이 리눅스 유틸리티는 배포하기 쉽고 침입 시도와 로깅에 대한 네트워크 트래픽을 모니터링하고 침입 시도가 탐지됐을 때 특정 행동을 수행하도록 구성할 수 있다. 가장 널리 배포된 IDS 도구 가운데 하나이며, 침입 방지 시스템(Intrusion Prevention System, IPS) 역할도 한다. 

스노트는 1998년으로 거슬러 올라간다. 그리고 매우 활동적이고 유익한 커뮤니티가 큰 지원을 제공한다. 여기에는 GUI와 관리 콘솔이 없지만 스노비(Snorby)나 베이스(Base)와 같은 다른 오픈소스 툴을 사용하면 그 차이를 좁힐 수 있다. 스노트가 제공하는 높은 수준의 사용자 정의는 많은 조직에게 좋은 선택지가 된다.

스노트를 사용하고 싶지 않다면 수리카타(Suricata)가 강력한 대안이다.

2. 브로(Bro)
트래픽을 일련의 이벤트로 변환하는 분석 엔진으로 구동되는 브로는 의심스러운 시그니처와 비정상적 행위를 탐지할 수 있다. 브로 스크립트(Bro-Script)를 사용하면 정책 엔진에 대한 작업을 만들 수 있으므로 더 많은 작업을 자동화하려는 사람이라면 누구에게나 효용성이 있다. 

예를 들어, 이 도구는 네트워크에 있는 의심스러운 파일을 자동으로 다운로드하고 분석을 위해 보내고, 문제가 되는 것이 발견되면 관련 사용자에게 알리고, 소스를 블랙리스트에 올리고, 다운로드한 기기를 종료할 수 있다.

브로의 단점은 가중치를 최대로 끌어내기 위한 가파른 학습 곡선에 있으며 설정하는 것이 복잡할 수 있다는 것이다. 그러나 커뮤니티가 점점 더 성장해 많은 도움을 제공하고 있다. 브로는 다른 침입 탐지 도구가 놓칠 수 있는 예외와 패턴을 탐지할 수 있다.

3. 키스멧(Kismet)
무선IDS의 표준인 키스멧은 대부분의 기업에서 필수적인 도구다. 와이파이 및 블루투스를 포함한 무선 프로토콜에 초점을 맞추고 직원이 실수로 쉽게 생성할 수 있는 무단 액세스 포인트를 추적한다. 기본 네트워크 또는 구성 간격을 탐지할 수 있으며, 채널을 도약할 수 있지만 네트워크를 검색하는 데 오랜 시간이 걸리고 최상의 결과를 얻으려면 범위가 제한적이다. 

키스멧은 안드로이드와 iOS를 포함한 여러 플랫폼에서 실행되지만 윈도우 지원은 제한적이다. 추가 도구를 위해 통합하기 위한 다양한 API가 있으며, 작업 효율을 위해 다중 스레드 패킷 디코딩을 제공한다.
 

4. 오섹(OSSEC)
호스트 기반 IDS 또는 HIDS를 살펴본다면 오섹을 찾게 된다. 오섹은 가장 완벽한 기능의 HIDS다. 확장성이 뛰어나 윈도우, 리눅스, 맥OS, 솔라리스(Solaris) 등 대부분의 주요 운영체제에서 실행된다. 분석을 위해 중앙 서버에 경고 및 로그를 전송하는 클라이언트 서버 아키텍처가 있다. 

이는 호스트 시스템이 오프라인 상태로 되거나 완전히 해킹당한 경우에도 경고가 진행된다는 걸 의미한다. 또한 이 아키텍처를 사용하면 여러 에이전트를 중앙에서 관리할 수 있으므로 배포가 간편해진다.

작은 인스톨러이기 때문에 한번 실행하고 나면 시스템 자원에 미치는 영향이 미비하다. 또한 사용자 정의가 가능하며 실시간 자동적으로 작동하도록 구성할 수 있다. 오섹은 커다란 커뮤니티를 보유하고 있으며, 이를 통해 많은 자원을 활용할 수 있다. 중앙 서버이기 때문에 잠시 멈추는 경우, 삼하인 랩(Samhain Labs)을 호스트 기반의 대안으로 고려해 볼 수 있지만 에이전트로부터 여러 출력 방법을 제공한다.

5. 오픈 DLP(Open DLP)
데이터 유출 방지(Data Loss Prevention, DLP)는 오픈DLP의 목표다. 데이터베이스나 파일 시스템에서 데이터를 검색하는 동안 데이터를 검사할 수 있다. 오픈 DLP는 조직과 관련된 주요 데이터를 검색해 해당 데이터의 무단 복사 및 전송을 발견한다. 이는 악의적인 내부자 또는 무능한 직원이 자신이 해서는 안되는 데이터를 보내는 행위들을 발견하는데 유용하다. 윈도우에서는 잘 작동할뿐만 아니라 리눅스도 지원하며 에이전트를 통해 또는 에이전트리스 도구로 배포할 수 있다. 

지금까지 설명한 우수한 무료 오픈소스 침입 탐지 도구는 전체 목록은 아니지만 시작하기 좋은 선택지가 될 것이다. editor@itworld.co.kr  
 

※ 본 내용은 한국IDG(주)(http://www.itworld.co.kr)의 저작권 동의에 의해 공유되고 있습니다.
Copyright ⓒCIO Korea. 무단전재 및 재배포 금지

[원문출처 : http://www.ciokorea.com/news/39971]

맨 위로
맨 위로