웹브라우저, 애플리케이션, 모바일 응용프로그램 사전 점검과 방어
칼리, MF, ZAP, 미미카츠, 와이어샤크 등 오픈소스로 널리 공개
전문가들 “그러나 불법적 악용 소지 커, 반드시 합법적 사용해야”
[애플경제 이보영 기자] 사이버 보안의 중요성이 강조되면서, 미리 사이버 공격의 징후를 파악하고 예방하는 기술도 발달하고 있다. 사이버리즌, 사이버시큐리티, 테크타깃, 테크리퍼블릭 등 사이버 보안 관련 기술매체들을 종합해보면 최근 이런 ‘보안 테스트 도구’가 오픈소스로 유통되고 있어 관심을 끈다. 이들은 오픈 소스이므로 누구나 액세스할 수 있다.
우선 ▲칼리, 패럿(Parrot, 앵무새), 블랙아치 등이 많이 보급되고 있다. 칼리는 수백 개의 툴로 구성된 완전한 리눅스 배포판이다. 패럿과 블랙아치도 많이들 사용한다. 칼리는 유비쿼터스라는 장점이 있고 사용자층이 넓다. 사용자에게 도움이 되는 수많은 지침 비디오, 사용 지침서, 사용자 커뮤니티 및 기타 정보가 있다. 이들 세 가지 도구는 각각 그 속에 포함된 다양한 툴이 많다.
다음으로 ▲메타스플로이트 프레임워크(MF, Metasploit Framework)도 있다. 메타스플로잇은 익스플로잇을 사용하고, 패키징하고, 쓰고, 배포할 수 있는 일관된 방법을 제공한다. 특히 악성 코드로 속임수를 쓰는 사이버 공격을 감별하는데 매우 유용하고, 그런 침투 경로를 쉽고 빠르게 접근, 파악할 수 있다. 또 수많은 익스플로잇과 페이로드가 있으며 정의된 페이로드 없이 기능을 제공하는 보조 모듈도 있다.
▲제드 어택 프록시(Zed Attack Proxy, ZAP)는 애플리케이션 점검에 특화되어 있다. 애플리케이션 점검은 호스트나 네트워크 수준의 점검과는 차원이 다르다. 또 응용 프로그램을 점검하는 데 필수적인 도구 중 하나로서, 웹 응용 프로그램(예: HTTP 및 HTTPS) 요청을 가로채고 보고 수정하고 재생하고 자동화할 수 있는 프록시다. ZAP은 또 브라우저와, 점검 중인 사이트 사이에 있는 HTTP 전달 프록시 역할을 한다.
사용자에 대한 범죄자들의 속임수를 걸러내는게 무엇보다 중요하다. 특히 네트워크 외부에서 내부로 트래픽을 가져올 수 있는 방법이 필요한데, 이때는 ▲BeeEF(브라우저 익스플로잇 프레임워크)가 적합하다. BeEF를 사용하면 역으로 사용자가 제어하는 링크를 클릭하도록 사용자를 속여 사용자의 브라우저에 후크를 설정한 다음 브라우저 탭에 대한 제어, 브라우저를 통해 트래픽을 터널링하는 기능 등과 같은 기능을 제공합니다. 즉, 사이버 범죄자의 수법을 역이용하는 것이다.
▲ 히드라나, ‘존 더 리퍼 해쉬캣(JRH) 등도 많이 쓰인다. 이는 때로는 윈도우 암호나, 리눅스 및 유닉스 암호, SSH 암호, 응용 프로그램 암호 등 암호만 해독하면 된다. 그래서 많은 암호 크래커를 사용할 수 있다. 그 중 히드라는 원격 또는 온라인 암호를 병렬로 강제하는 데 탁월하다. 존 더 리퍼는 사용하기 쉬운 오프라인 크래킹에 탁월다. 해쉬캣은 고성능 로컬 암호 크래킹에 탁월하며 매우 다양한 형식을 지원한다.
▲미미카츠도 윈도우 메모리에서 비밀을 추출하도록 설계되었다. 윈도우 호스트에 액세스할 수 있는 경우 다른 곳에서 사용하기 위해 윈도우 호스트에서 비밀 정보를 추출할 수 있습니다. 예를 들어 나중에 오프라인 크래킹을 위해 암호 해시를 획득하여 해당 장치 등에 항구적으로 설정한다.
이 밖에 ▲와이어샤크나 T샤크 등도 유용하게 쓰인다. 특히 와이어샤크 네트워크 프로토콜 분석기는 장치와 원격 위치 간에 트래픽 측면에서 어떤 일이 일어나고 있는지 정확하게 파악할 수 있다. 예를 들어 내부 시스템에 비치헤드를 설정한 후 원격 위치의 네트워크 트래픽을 스누핑해야 하는 경우, 티샤크를 사용하면 명령줄을 통해 패킷을 캡처할 수 있다.
SQL 주입 문제를 탐지하는 데 도움이 되는 특수 도구도 많이 필요하다. 이 경우 ▲‘Sqlmap’은 SQL 주입 프로세스를 자동화하는 데 도움이 되는 명령줄 유틸리티다. SQL 주입에 취약한 매개 변수, 헤더 또는 데이터 요소와 가능한 공격 유형을 확인할 수 있다. API의 보안 검증에는 특히 ‘SoapUI’가 많이 쓰인다. 이는 API를 테스트하기 위한 인터페이스를 제공한다.
또 ▲Apk나 MobSF 등은 모바일 응용 프로그램을 검증하는데 적합하다. 특히 응용 프로그램에서 사용하는 웹 페이지와 API와 같은 온라인 서비스를 효율적으로 점검한다. 특, 숨겨져 있는 열쇠, 비밀번호 등 비밀 찾기나 모바일 애플리케이션이 사용하는 API 엔드포인트에 대한 이해나 흐름 파악 등이 그런 기능이다.
그러나 기술매체 ‘테크타깃’은 “모든 오픈 소스 보안 테스트 도구는 합법적이고 불법적으로 사용될 수 있다”고 주의를 당부하면서 “애플리케이션이나 시스템을 예상치 못한 방식으로 사용할 경우 다운타임이 발생할 수 있으므로 조심해야 한다”고 강조했다.