위키피디아는 여러 가지 면에서 오픈소스를 닮았다. 위키피디아가 20년을 버텼을 뿐만 아니라, 일면 기존 백과사전들과 비슷한 수준에 올랐다는 것은 현재 보안 문제로 괴로운 오픈소스 커뮤니티에도 희망이 된다. 이 희망을 이어갈 만한, 그래서 보안 팀들이 믿고 쓸 만한 오픈소스 도구를 추려서 소개한다.
[보안뉴스 문가용 기자] 지식의 오픈소스화를 주창한 위키피디아가 탄생 20주년을 맞았다. 아직 신뢰도 면에서 브리타니카와 같은 전통의 백과사전을 따라가지는 못하지만, 적어도 영어권 위키피디아 항목들을 조사했을 때 실제 존재하는 오류의 수준은 기존 백과사전의 그것과 비슷하다고 한다. 환자들만이 아니라 의료 전문인들이 가장 많이 참조하는 것도 위키피디아라는 조사 결과가 존재할 정도다.
[이미지 = utoimage]
‘누구나 입력할 수 있고 수정할 수 있는 백과사전’이라는 개념 덕분에 위키피디아에서는 여러 가지 사건 사고가 있었다. 누군가 잘못된 내용을 특정 항목에 넣었는데, 그 잘못된 내용이 공식 석상에서 인용되는가 하면, 이 사건 때문에 반쯤 장난으로 위키피디아에 거짓 내용을 삽입하는 것이 잠시 유행하기도 했었다.
그럼에도 오차율이 기존 백과수준에 머무르는 건 아이러니하게도 누구나 편집에 참여할 수 있기 때문이라고 한다. 누군가 거짓을 집어넣을 때, 누군가는 이것을 발견해 수정할 수 있다는 것이다. 위키피디아야말로 가짜뉴스가 난무하는 현대 사이버 공간에서 유일하게 빛나는 진실의 창고라는 묘사가 있을 정도다.
다만 아직 전통의 백과사전처럼 모든 항목에서 고른 전문성과 질적 안정성이 보장되지는 않고 있기 때문에 신뢰도라는 측면에서는 여전히 논란이 있다. 어떤 항목은 백과사전을 웃도는 전문성을 보이지만, 어떤 항목은 수준 이하라는 것이다. 게다가 영어권에서만큼 다른 언어권의 콘텐츠가 충실한지도 아직은 의문이다.
IT 업계의 오픈소스 생태계에서 나타나는 특징들도 이와 비슷하다. 누구나 프로젝트를 다운로드 받아 사용하고 개선시키면서 커뮤니티가 형성되는데, 이런 과정 속에서 누군가는 악의적으로 코드를 감염시켜 퍼트리기도 한다. 또한 이것이 사용자들 사이에서 발견되고 보고되고 수정된다. 이런 자기수정으로 보안 문제까지 해결되곤 하지만 모든 오픈소스 프로젝트들에서는 아니다.
위키피디아 글이나 오픈소스 프로젝트나, 사용자의 점검과 경계심이라는 소금을 뿌려야 제대로 맛을 낸다는 뜻이다. 그런 의미에서 이번 주 본지는 보안 담당자들이 사용해볼 법한 ‘검증된’ 오픈소스 프로젝트들을 선별해 소개한다.
1. 잰슨(Janssen)
잰슨은 클라우드 보안에 있어서 인증(authentication)과 권한 부여(authorization) 부분을 담당한다. 오오스(OAuth), 오픈아이디 커넥트(OpenID Connect), 파이도(FIDO) 표준들을 고루고루 구현하고 있어서 현재 시점에서는 가장 안정적이고 보편적이라고 볼 수 있다.
잰슨은 리눅스재단(Linux Foundation)에서 진행하고 있는 프로젝트이기 때문에 재단의 헌장과 규범을 따른다. 최종 목표는 잰슨이라는 제품을 시장에 내놓는 것이 아니라, 잰슨을 중심으로 한 커뮤니티를 구축하고, 한 발 더 나아가 생태계를 만들어 클라우드 보안을 강화시키는 것이라고 한다.
링크 : https://github.com/JanssenProject/home
2. 오섹(OSSEC)
오섹은 호스트 기반 침투 탐지 시스템이다. 확장성이 좋고 다중 플랫폼을 호환하기 때문에 클라우드를 기반으로 하고 있는 인프라에 적용하기 알맞다. 그래서 코로나로 클라우드 인프라가 늘어난 작년에 더 널리 보급되었다. 사용자 규모도 엄청난 편이다. 매년 50만 번 이상 다운로드 되고 있으니 말이다.
침투 탐지 시스템이라고 했지만, 분석 엔진으로서도 활용이 가능하다. 방화벽, 다른 침투 탐지 시스템, 웹 서버, 인증 로그에 대한 분석을 오섹으로 진행할 수 있다는 뜻이다. 이러한 특징 역시 오섹의 인기에 한 몫 한다. 사용자 조직의 필요에 따라 유연하게 수정될 수 있는데, 표준 설정 그대로 도입할 경우 침투와 멀웨어를 탐지할 수 있으며, 공격과 비승인 시스템 변경에 대한 대응을 할 수 있게 되며, 규정 준수 감사도 진행할 수 있다.
링크 : https://www.ossec.net/
3. 시큐리티 멍키(Security Monkey)
시큐리티 멍키는 넷플릭스의 ‘카오스 공학(chaos engineering)’의 산물이다. 같은 뿌리를 가지고 있는 시큐리티 멍키의 후속작으로는 카오스 고릴라(Chaos Gorilla)가 있다. 그리고 이 둘을 합해 시미안 아미(Simian Army)라고 부른다. 쉽게 말해 넷플릭스의 인프라를 끊임없이 점검하는 기능으로, 수많은 사용자들이 접속하는 넷플릭스 인프라가 잘 버티는 이유라고 한다.
시큐리티 멍키는 클라우드 인프라의 서버들을 무작위로 리부트시킨다. 이를 통해 회사는 애플리케이션 배포 네트워크가 제대로 작동하는지, 혹은 특정 서버가 꺼졌을 때 야기되는 문제가 무엇인지 미리 파악할 수 있게 된다고 한다. 시큐리티 멍키는 클라우드 인프라의 설정 변경, 서버 추가, 서버 성능 매개변수 등을 모니터링하기도 한다. 즉 서버의 랜덤 ‘셧다운’ 없이도 모니터링 도구로서 훌륭한 도구라는 것이다.
한 가지 참고해야 할 건 시큐리티 멍키는 현재 업데이트 지원이 종료된 상태라는 것이다. 그렇기 때문에 다른 대체품이 권고되는 때도 있다. AWS 사용자들에게는 AWS 컨피그(AWS Config), GCP 사용자들에게는 클라우드 애셋 인벤토리(Cloud Asset Inventory)가 더 적절할 수도 있다.
링크 : https://github.com/Netflix/security_monkey
4. 카토그래피(Cartography)
카토그래피는 보안 그래프 도구로, 네트워크 탐지를 위한 각종 시나리오를 제공한다. 클라우드 보안 전문가들에게 있어, 애플리케이션 배포 네트워크 속 다양한 노드들 간의 관계를 한 눈에 볼 수 있다는 것이 카토그래피의 큰 매력으로 언급된다.
카토그래피는 파이선으로 구축되었고 neo4j 데이터베이스를 사용한다. 호환성도 높다. EC2, 엘라스틱서치, 엘라스틱 큐버네티스, 다이나모DB, IAM, 람다, RDS, 레드쉬프트, 라우트53, S3, STS, 택즈, 클라우드 리소스 매니저, 컴퓨트, DNS, 스토리지, 구글 쿠버네티스 엔진 환경에서 전부 카토그래피를 활용할 수 있다.
시큐리티 멍키, 카오스 고릴라가 넷플릭스의 연구소에서 탄생한 것처럼, 카토그래피는 리프트(Lyft)가 개발해 오픈소스로 전환했다. 보안 점검 도구로서 활용할 수도 있지만 기업 전체적인 위험 관리 도구로서도 유용하다.
링크 :https://github.com/lyft/cartography
5. 그래플(Grapl)
그래플은 보안 데이터 분석 프로그램으로, 다른 오픈소스 보안 제품들과 확연하게 다른 특징을 하나 가지고 있다. 관계형 데이터베이스에 데이터를 저장하는 게 아니라 그래프를 사용한다는 것이다. 즉 노드와 에지를 활용한 데이터 구조 속에 데이터를 저장하는 건데, 이 때 노드들은 개별 데이터 객체를 말하고, 에지들은 노드들 간의 관계를 말한다.
그래플은 로그 파일들에서 데이터를 가져온다. 주로 ‘목록’의 형태로 되어 있는 데이터들을 말한다. 그리고 이를 그래프로 변환시킨다. 그래프로 데이터가 표현되면, 노드들 간의 관계가 보다 직관적으로 보인다. 이러한 노드들 간 관계를 익스플로잇 하는 공격자들의 악성 행위들도 더 잘 보이게 된다. 이를 통해 보안 팀들은 방어 체계를 구축하고 공격자들의 행동 패턴을 분석할 수 있게 된다.
그래플은 나온 지 얼마 되지 않은 ‘따끈따끈한’ 프로그램이다. 그렇기 때문에 지속적으로 업데이트 되고 있으며, 아직 안정화 되어 있지 않다. 다만 지금 상태에서도 ‘보안 그래프’의 효용성을 충분히 경험할 수 있다.
링크 : https://github.com/grapl-security/grapl
6. 팬더(Panther)
팬더는 자가 호스팅을 기반으로 한 오픈소스 SIEM 도구로, 파이선으로 작성되었다. 팬더 랩스(Panther Labs)가 2020년 처음 공개한 것으로, 다양한 보안 도구들과 클라우드 자원들에 저장된 로그들을 분석할 수 있다. 취약한 인프라를 발견하고 새로운 보안 점검 사항을 도출하기 위해 다양한 방법으로 설정할 수 있다.
또한 팬더는 설정 오류, 규정 미준수 등을 탐지하는 데에도 능하며, 실제 유료로 판매되고 있는 비슷한 기능의 보안 도구들을 경쟁 상대로 삼고 있다. 오픈소스라고 해서 대강 만들어진 게 아니라는 뜻이다. 현재 세 가지 버전으로 출시되어 있는데, 커뮤니티(Community) 버전이 무료로 제공된다. 팀(Team)과 프로(Pro) 버전의 경우 유료다.
링크 : https://github.com/panther-labs/panther
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 지식의 오픈소스화를 주창한 위키피디아가 탄생 20주년을 맞았다. 아직 신뢰도 면에서 브리타니카와 같은 전통의 백과사전을 따라가지는 못하지만, 적어도 영어권 위키피디아 항목들을 조사했을 때 실제 존재하는 오류의 수준은 기존 백과사전의 그것과 비슷하다고 한다. 환자들만이 아니라 의료 전문인들이 가장 많이 참조하는 것도 위키피디아라는 조사 결과가 존재할 정도다.
[이미지 = utoimage]
‘누구나 입력할 수 있고 수정할 수 있는 백과사전’이라는 개념 덕분에 위키피디아에서는 여러 가지 사건 사고가 있었다. 누군가 잘못된 내용을 특정 항목에 넣었는데, 그 잘못된 내용이 공식 석상에서 인용되는가 하면, 이 사건 때문에 반쯤 장난으로 위키피디아에 거짓 내용을 삽입하는 것이 잠시 유행하기도 했었다.
그럼에도 오차율이 기존 백과수준에 머무르는 건 아이러니하게도 누구나 편집에 참여할 수 있기 때문이라고 한다. 누군가 거짓을 집어넣을 때, 누군가는 이것을 발견해 수정할 수 있다는 것이다. 위키피디아야말로 가짜뉴스가 난무하는 현대 사이버 공간에서 유일하게 빛나는 진실의 창고라는 묘사가 있을 정도다.
다만 아직 전통의 백과사전처럼 모든 항목에서 고른 전문성과 질적 안정성이 보장되지는 않고 있기 때문에 신뢰도라는 측면에서는 여전히 논란이 있다. 어떤 항목은 백과사전을 웃도는 전문성을 보이지만, 어떤 항목은 수준 이하라는 것이다. 게다가 영어권에서만큼 다른 언어권의 콘텐츠가 충실한지도 아직은 의문이다.
IT 업계의 오픈소스 생태계에서 나타나는 특징들도 이와 비슷하다. 누구나 프로젝트를 다운로드 받아 사용하고 개선시키면서 커뮤니티가 형성되는데, 이런 과정 속에서 누군가는 악의적으로 코드를 감염시켜 퍼트리기도 한다. 또한 이것이 사용자들 사이에서 발견되고 보고되고 수정된다. 이런 자기수정으로 보안 문제까지 해결되곤 하지만 모든 오픈소스 프로젝트들에서는 아니다.
위키피디아 글이나 오픈소스 프로젝트나, 사용자의 점검과 경계심이라는 소금을 뿌려야 제대로 맛을 낸다는 뜻이다. 그런 의미에서 이번 주 본지는 보안 담당자들이 사용해볼 법한 ‘검증된’ 오픈소스 프로젝트들을 선별해 소개한다.
1. 잰슨(Janssen)
잰슨은 클라우드 보안에 있어서 인증(authentication)과 권한 부여(authorization) 부분을 담당한다. 오오스(OAuth), 오픈아이디 커넥트(OpenID Connect), 파이도(FIDO) 표준들을 고루고루 구현하고 있어서 현재 시점에서는 가장 안정적이고 보편적이라고 볼 수 있다.
잰슨은 리눅스재단(Linux Foundation)에서 진행하고 있는 프로젝트이기 때문에 재단의 헌장과 규범을 따른다. 최종 목표는 잰슨이라는 제품을 시장에 내놓는 것이 아니라, 잰슨을 중심으로 한 커뮤니티를 구축하고, 한 발 더 나아가 생태계를 만들어 클라우드 보안을 강화시키는 것이라고 한다.
링크 : https://github.com/JanssenProject/home
2. 오섹(OSSEC)
오섹은 호스트 기반 침투 탐지 시스템이다. 확장성이 좋고 다중 플랫폼을 호환하기 때문에 클라우드를 기반으로 하고 있는 인프라에 적용하기 알맞다. 그래서 코로나로 클라우드 인프라가 늘어난 작년에 더 널리 보급되었다. 사용자 규모도 엄청난 편이다. 매년 50만 번 이상 다운로드 되고 있으니 말이다.
침투 탐지 시스템이라고 했지만, 분석 엔진으로서도 활용이 가능하다. 방화벽, 다른 침투 탐지 시스템, 웹 서버, 인증 로그에 대한 분석을 오섹으로 진행할 수 있다는 뜻이다. 이러한 특징 역시 오섹의 인기에 한 몫 한다. 사용자 조직의 필요에 따라 유연하게 수정될 수 있는데, 표준 설정 그대로 도입할 경우 침투와 멀웨어를 탐지할 수 있으며, 공격과 비승인 시스템 변경에 대한 대응을 할 수 있게 되며, 규정 준수 감사도 진행할 수 있다.
링크 : https://www.ossec.net/
3. 시큐리티 멍키(Security Monkey)
시큐리티 멍키는 넷플릭스의 ‘카오스 공학(chaos engineering)’의 산물이다. 같은 뿌리를 가지고 있는 시큐리티 멍키의 후속작으로는 카오스 고릴라(Chaos Gorilla)가 있다. 그리고 이 둘을 합해 시미안 아미(Simian Army)라고 부른다. 쉽게 말해 넷플릭스의 인프라를 끊임없이 점검하는 기능으로, 수많은 사용자들이 접속하는 넷플릭스 인프라가 잘 버티는 이유라고 한다.
시큐리티 멍키는 클라우드 인프라의 서버들을 무작위로 리부트시킨다. 이를 통해 회사는 애플리케이션 배포 네트워크가 제대로 작동하는지, 혹은 특정 서버가 꺼졌을 때 야기되는 문제가 무엇인지 미리 파악할 수 있게 된다고 한다. 시큐리티 멍키는 클라우드 인프라의 설정 변경, 서버 추가, 서버 성능 매개변수 등을 모니터링하기도 한다. 즉 서버의 랜덤 ‘셧다운’ 없이도 모니터링 도구로서 훌륭한 도구라는 것이다.
한 가지 참고해야 할 건 시큐리티 멍키는 현재 업데이트 지원이 종료된 상태라는 것이다. 그렇기 때문에 다른 대체품이 권고되는 때도 있다. AWS 사용자들에게는 AWS 컨피그(AWS Config), GCP 사용자들에게는 클라우드 애셋 인벤토리(Cloud Asset Inventory)가 더 적절할 수도 있다.
링크 : https://github.com/Netflix/security_monkey
4. 카토그래피(Cartography)
카토그래피는 보안 그래프 도구로, 네트워크 탐지를 위한 각종 시나리오를 제공한다. 클라우드 보안 전문가들에게 있어, 애플리케이션 배포 네트워크 속 다양한 노드들 간의 관계를 한 눈에 볼 수 있다는 것이 카토그래피의 큰 매력으로 언급된다.
카토그래피는 파이선으로 구축되었고 neo4j 데이터베이스를 사용한다. 호환성도 높다. EC2, 엘라스틱서치, 엘라스틱 큐버네티스, 다이나모DB, IAM, 람다, RDS, 레드쉬프트, 라우트53, S3, STS, 택즈, 클라우드 리소스 매니저, 컴퓨트, DNS, 스토리지, 구글 쿠버네티스 엔진 환경에서 전부 카토그래피를 활용할 수 있다.
시큐리티 멍키, 카오스 고릴라가 넷플릭스의 연구소에서 탄생한 것처럼, 카토그래피는 리프트(Lyft)가 개발해 오픈소스로 전환했다. 보안 점검 도구로서 활용할 수도 있지만 기업 전체적인 위험 관리 도구로서도 유용하다.
링크 :https://github.com/lyft/cartography
5. 그래플(Grapl)
그래플은 보안 데이터 분석 프로그램으로, 다른 오픈소스 보안 제품들과 확연하게 다른 특징을 하나 가지고 있다. 관계형 데이터베이스에 데이터를 저장하는 게 아니라 그래프를 사용한다는 것이다. 즉 노드와 에지를 활용한 데이터 구조 속에 데이터를 저장하는 건데, 이 때 노드들은 개별 데이터 객체를 말하고, 에지들은 노드들 간의 관계를 말한다.
그래플은 로그 파일들에서 데이터를 가져온다. 주로 ‘목록’의 형태로 되어 있는 데이터들을 말한다. 그리고 이를 그래프로 변환시킨다. 그래프로 데이터가 표현되면, 노드들 간의 관계가 보다 직관적으로 보인다. 이러한 노드들 간 관계를 익스플로잇 하는 공격자들의 악성 행위들도 더 잘 보이게 된다. 이를 통해 보안 팀들은 방어 체계를 구축하고 공격자들의 행동 패턴을 분석할 수 있게 된다.
그래플은 나온 지 얼마 되지 않은 ‘따끈따끈한’ 프로그램이다. 그렇기 때문에 지속적으로 업데이트 되고 있으며, 아직 안정화 되어 있지 않다. 다만 지금 상태에서도 ‘보안 그래프’의 효용성을 충분히 경험할 수 있다.
링크 : https://github.com/grapl-security/grapl
6. 팬더(Panther)
팬더는 자가 호스팅을 기반으로 한 오픈소스 SIEM 도구로, 파이선으로 작성되었다. 팬더 랩스(Panther Labs)가 2020년 처음 공개한 것으로, 다양한 보안 도구들과 클라우드 자원들에 저장된 로그들을 분석할 수 있다. 취약한 인프라를 발견하고 새로운 보안 점검 사항을 도출하기 위해 다양한 방법으로 설정할 수 있다.
또한 팬더는 설정 오류, 규정 미준수 등을 탐지하는 데에도 능하며, 실제 유료로 판매되고 있는 비슷한 기능의 보안 도구들을 경쟁 상대로 삼고 있다. 오픈소스라고 해서 대강 만들어진 게 아니라는 뜻이다. 현재 세 가지 버전으로 출시되어 있는데, 커뮤니티(Community) 버전이 무료로 제공된다. 팀(Team)과 프로(Pro) 버전의 경우 유료다.
링크 : https://github.com/panther-labs/panther
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
