2023. 3. 17. 오후 3:51:17
해커의 속내는 어떻게 알까?...센티넬원 “가상머신 미끼로 유도하고 분석” – 바이라인네트워크
출처: 바이라인네트워크 ( 한국 / 한국어 )
허니팟
"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
목차
1. 개요
허니팟은 사이버 공격을 방지하기 위한 기술로, 공격자를 유인하여 공격 정보를 수집하고 대응 시간을 확보하는 데 사용된다. 허니팟은 물리적 또는 가상 시스템 형태로 존재하며, 배포 및 관여 수준, 설계 기준에 따라 다양한 유형으로 분류된다. 허니팟은 악성코드, 스팸, 데이터베이스 공격, 산업 제어 시스템 등 특정 목적에 맞게 설계될 수 있으며, 여러 허니팟을 연결한 허니넷 형태로 운영되기도 한다. 하지만 허니팟은 공격자가 운영 시스템을 침투하는 데 사용될 수 있으며, 합법적인 사용자를 유인할 수 있다는 위험성도 존재한다.
더 읽어볼만한 페이지
| 허니팟 | |
|---|---|
| 개요 | |
| 종류 | 컴퓨터 보안 메커니즘 |
| 목적 | 공격 유인, 공격 분석, 시스템 보호 |
| 작동 방식 | 공격자가 흥미를 느낄 만한 가짜 시스템 또는 취약점을 만들어 공격을 유도하고, 공격자의 활동을 감시 및 분석함 |
| 특징 | |
| 장점 | 공격 분석을 통한 보안 강화 실제 시스템 피해 방지 오탐 감소 |
| 단점 | 유지 관리의 복잡성 공격자에 의해 우회될 가능성 잘못된 정보 수집 가능성 |
| 유형 | |
| 상호 작용 수준 | 저대응 허니팟: 간단한 서비스 에뮬레이션, 설치 및 유지 관리 용이, 정보 수집 제한적 고대응 허니팟: 실제 운영체제 및 애플리케이션 사용, 더 많은 정보 수집 가능, 보안 위험 증가 |
| 배치 목적 | 연구용 허니팟: 공격 트렌드 및 새로운 공격 기법 연구 생산용 허니팟: 네트워크 방어 및 위협 감지 |
| 아키텍처 | |
| 순수 허니팟 | 실제 시스템, 완벽한 활동 로그 기록, 높은 위험 부담 |
| 가상 허니팟 | 가상 머신에서 실행, 위험 감소, 리소스 효율적 사용 |
| 활용 | |
| 탐지 대상 | 맬웨어, 스팸 발송자, 무단 접근 시도 등 |
| 활용 분야 | 네트워크 침입 탐지 시스템 (NIDS) 침입 방지 시스템 (IPS) 보안 연구 |
| 기타 | |
| 참고 | 데미안 브래디 랜스 스피츠너 닐 프로보스 |
2. 역사
초창기 개념은 "미끼"라고 불렸으며, FIPS 39 (1976)에서 "침투 시도를 감지하거나 침입자가 어떤 결함을 이용해야 할지 혼란스럽게 만들 목적으로 시스템에 명백한 결함을 의도적으로 심는 것"으로 정의된다.[37]
일반적인 허니팟 기술은 운영체제(OS)나 응용 프로그램에 취약점을 남겨 공격받는 부분, 공격으로 인해 외부로의 발판이 되지 않도록 통신을 제어하는 기술, 공격자의 무단 접근으로 변경된 점을 감지하는 기술로 구성된다. 또한, 허니팟과 별도로 통신 로그를 기록하는 것도 중요하다.
(하이 인터랙션)
클리포드 스톨은 1989년 저서 ''뻐꾸기 알''에서 가장 초창기 허니팟 기법을 묘사했다.
1991년 1월 7일, AT&T 벨 연구소에서 근무하던 체스윅은 크래커가 암호 파일 사본을 얻으려고 시도하는 것을 관찰했다. 그는 동료들과 함께 공격자를 몇 달 동안 관찰할 수 있도록 "chroot "Jail" (또는 "바퀴벌레 모텔")"을 구축했다.[38] 이는 사이버 보안에서 허니팟을 사용한 가장 초창기 사례 중 하나이다.
2017년, 네덜란드 경찰은 허니팟 기술을 사용하여 다크넷 마켓 한사 사용자를 추적했다.
꿀에 이끌린 곰이 꿀을 훔치는 비유는 게르만, 켈트, 슬라브를 포함한 많은 전통에서 흔히 사용된다. 곰을 지칭하는 흔한 슬라브어 단어는 ''medved'' "꿀 먹는 자"이다. 곰이 꿀을 훔치는 전통은 특히 잘 알려진 곰돌이 푸를 비롯한 이야기와 민속을 통해 전해져 내려왔다.[39][40]
3. 기술적 방법
CPU나 네트워크 리소스를 제공하는 컴퓨터는 해커에게 좋은 공격 대상이 되므로, 내부 자원이나 정보를 얻으려고 공격을 시도한다. 그러나 해당 컴퓨터에 미리 장치를 해두고, 특정 호스트로부터의 통신이 집중되면 "유지 보수를 위해 10분 후에 종료됩니다"라는 메시지를 내보내 통신을 잠시 차단하거나, (가상의) 사용자가 다수 이용하는 것처럼 보이게 하여 극단적으로 반응 속도를 늦추기도 한다. (이와 동시에, 외부에는 알려지지 않도록 통신 로그를 계속 기록한다.) 이렇게 하면 해커는 더욱 내용이 궁금해져, 이후에는 이 서버의 내용만 보려고 열중하게 된다.
이메일의 제3자 중계를 허용하는 설정으로 보이게 하는 방법도 있다. 실제로는 로그만 출력하도록 하고, 제3자 중계를 허용하는 것처럼 보이게 하면, 스팸 발신자가 흥미로운 발자취를 남길 수도 있다. 또한, 모두 가상의 이메일 주소로 설정된 메일링 리스트를 준비해두면, 그쪽으로도 스팸 메일을 보내려고 할 것이다.
이러한 기능을 통합적으로 제공하는 소프트웨어 제품도 판매되고 있다.
4. 유형
실제 취약점을 가진 OS나 애플리케이션을 사용한다. 상세한 정보 획득 가능 침입 시 위험 부담이 큼 허니넷 특정 용도 특화형
(로우 인터랙션)특정 OS나 애플리케이션을 에뮬레이션하여 감시한다. 비교적 안전 정보량 제한 Honeyd, Spector, GHH, mwcollect 가상 머신 구성 VMware나 Xen 등 가상 머신으로 구성한다. 위험 억제, 관리 용이 침입자가 허니팟임을 감지할 가능성 존재 집중 관리형 원격지 허니팟 데이터를 집중 관리, 분석한다. 데이터 집중 관리 및 분석 원격 감시형 GRE 등으로 전송된 통신을 수집하여 감시한다. 침입 위험 분산, 원격 감시 가능 전송 지연, 침입자에게 허니팟 팜 노출 가능성