오픈소스 도구를 활용한 웹 모의해킹과 침해대응

오픈소스 도구를 활용한 웹 모의해킹과 침해대응 - 석동현 , 김경원 , 양민철 , 조정원 , 박승우 , 김승록

직접적으로 보안 장비나 솔루션을 다룰 수 없는 현실적 제약이 있는 사람들을 위한 책이라 할 수 있다. 오픈 소스를 통해서 보안 솔루션에 감각을 익힐 수 있도록 도와주는 안내서다. 국내에서 잘 알려지지 않은 OWASP-ZAP과 시큐리티 어니언을 소개한다. 보안 전문가가 되려는 사람들은 처음에 방향을 잡지 못해 애를 먹는 경우가 상당히 많은데 이 책이 좋은 길잡이가 될 것이라 생각한다. 

이 책의 첫인상은 친절함이다. 나 같은 보안에 전문지식이 없는 사람도 이해하기 쉽게 설명한다. 책 끝에서도 느껴지는 친절함. 보안 입문서로써 더할나위 없이 훌륭하다.

본인은 보안 전문가가 아니며 보안 분야에서 일하고 있지도 않기 때문에 이 책에 대한 이해와 비판을 심도있게 할 수 없다. 하지만 웹 개발자로써 알아야 할 내용이 많기에 간략하게 요약해 본다.

OWASP-ZAP에서 설명하는 몇가지는 다음과 같다.

• 포트 스캔 : 서버가 사용하는 모든 포트를 스캔하는 기능.
• 스파이더 : 크롤링으로 웹 사이트의 디렉터리와 페이지를 탐색하는 기능. 스파이더는 ZAP에서 제공해주는 설정으로 자동 탐색할 수 있지만 너무 광범위하기 때문에 시스템에 영향을 미칠 수 있어 이 부분은 수동적으로 검색해주는 것도 좋다고 한다. 보안 전문가의 경험이 녹아들어야 적절한 보안점검을 할 수 있음을 짐작하게 한다.
• AJAX Spider : AJAX 방식으로 탐색하는 크롤링 기능으로, AJAX를 사용하는 페이지를 탐색하고 그에 대한 간단한 취약점을 스캔한다. 
  Forced Browsing : 시작점 URI에 특정 문자열을 이어 붙여 문자열에 해당하는 페이지나 디렉터리가 있는지 판단하여 사이트 구조를 탐색하는 기능. 웹 이용시에는 노출되지 않는 어플리케이션 설정파일들이 이 기능을 통해 감지될 수 있다.
• Break(Trap) : 클라이언트와 웹 서버가 주고받는 HTTP 요청 메시지와 응답 메시지를 일시적으로 잡는 기능이다. 잡은 패킷을 이 용하여 데이터 변조와 인증 우회 등의 공격이 가능하다.
• Active Scan : 스파이더, 에이잭스 스파이더, 강제 검색 등으로 수집한 사이 트를 대상으로 웹 취약점을 자동 진단하는 기능이다.

이 외에도 탐지 정책과 웹 서버 종류에 따른 정책 등 디테일한 설정 방법도 설명한다. 이를 통해서 더 빠르고 효율적인 보안 점검을 할 수 있다.

시큐리티 어니언은 네트워크 보안 시스템이다. 대표적 도구는 다음 4가지 이다.

• 스구일 : 네트워크 보안 모니터링 도구
• 스노비 : 스구일과 같은 기능을 제공하지만 스노비는 웹서비스로 제공되어 외부에서도 분석 도구로 이용할 수 있다.
• 스쿼트 : 스구일의 데이터베이스에 저장된 데이터를 시각적으로 표현하는 도구
• 엘사 : 시큐리티 어니언이 수집한 로그를 종합적으로 분석해주는 도구.

스노트

시그니처 기반 네트워크 침입 탐지 시스템이다. 네트워크 패킷을 수집하여 트래픽을 모니터링하고, 준비된 규칙과 비교하여 침입 탐지 및 경고를 발생시킨다.

도구들에 대한 설명에 뒤이어 실무 환경과 유사하게 보안 점검을 어떻게 하는지 세세하게 설명해준다. ZAP을 통해서 보안점검을 실시해 발견한 취약점을 토대로 스노트를 이용해 분석한다. 그리고 SQL인젝션이나 XSS, 운영체제 명령어, 소스 코드에서 발견되는 보안 문제를 위한 스노트 진단 패턴도 설명한다.

마지막 챕터에서는 실전과 같은 모의 침투를 통해서 공격에 대한 이해와 대처법을 알아본다. 해당 챕터는 해킹과 보안에 흥미를 유발하는 재미있는 챕터다.