허니팟의 정의
허니팟의 정의 중 하나는 스파이 세계에서 유래했습니다. 비밀을 훔치는 스파이 활동의 수단으로 애정 관계를 사용하는 마타 하리 스타일의 스파이를 가리켜 '허니 트랩' 또는 '허니팟'을 설치한다고 말합니다. 반대편 스파이가 허니 트랩에 빠져 자신이 알고 있는 모든 정보를 넘겨줘야 하는 상황이 종종 벌어집니다.
컴퓨터 보안 측면에서 사이버 허니팟도 비슷한 방식으로 작동하면서 해커를 유인하는 함정입니다. 미끼처럼 사이버 공격을 유인하는 역할을 하는 희생양 같은 컴퓨터 시스템입니다. 해커가 노리는 표적을 흉내내면서 그들의 침입 시도로부터 사이버 범죄자 및 사이버 범죄자의 작전 방식에 관한 정보를 얻거나 다른 표적으로부터 주의를 돌리게 합니다.
허니팟의 원리
허니팟은 애플리케이션과 데이터가 있는 실제 컴퓨터 시스템처럼 보이므로, 사이버 범죄자가 합법적인 공격 대상이라 착각할 수 있습니다. 이를테면 허니팟은 신용 카드 번호를 빼내려는 범죄자들의 단골 표적인 기업의 고객 청구 시스템을 흉내낼 수 있습니다. 해커가 침입하면 그 해커를 추적하고 그들의 행동을 평가하여 실제 네트워크를 더 안전하게 만들 방법에 관한 아이디어를 얻습니다.
허니팟은 일부러 보안 취약점을 만들어 공격자에게 매력적인 표적이 됩니다. 예를 들어 허니팟에는 포트 스캔에 응답하는 포트나 취약한 암호가 있을 수 있습니다. 취약한 포트를 열어두면, 공격자를 더 보안이 강력한 라이브 네트워크 대신 허니팟 환경으로 유인할 수 있습니다.
허니팟은 방화벽, 안티바이러스와 같이 특정 문제를 해결하기 위한 도구로 설정되지 않습니다. 그보다는 여러분의 비즈니스와 관련하여 현존하는 위협을 이해하고 새로운 위협의 출현을 발견하는 데 도움이 되는 정보 도구입니다. 허니팟에서 얻은 인텔리전스를 토대로 보안 조치의 우선순위를 정하고 집중할 수 있습니다.
허니팟의 다양한 유형과 작동 방식
다양한 유형의 허니팟을 사용하여 각종 위협을 식별할 수 있습니다. 허니팟 정의는 다루는 위협 유형에 따라 달라집니다. 모두 완벽하고 효과적인 사이버 보안 전략에 중요한 기능을 합니다.
이메일 트랩, 즉 스팸 트랩은 자동화된 주소 수집기(address harvester)만 찾을 수 있는 숨겨진 위치에 가짜 이메일 주소를 심어 둡니다. 이 주소는 스팸 트랩 이외의 목적으로는 사용되지 않으므로, 이 주소로 오는 메일은 100% 스팸이라고 확신할 수 있습니다. 스팸 트랩으로 전송된 메시지와 동일한 내용을 포함한 모든 메시지를 자동으로 차단할 수 있습니다. 그리고 발신자의 소스 IP를 거부 목록에 추가할 수 있습니다.
디코이 데이터베이스를 설정하여 소프트웨어 취약점을 모니터링할 수 있습니다. 아울러 안전하지 않은 시스템 아키텍처를 악용하거나 SQL 인젝션, SQL 서비스 익스플로잇, 권한 남용의 수법을 구사하는 공격을 찾아냅니다.
맬웨어 허니팟 은 소프트웨어 앱과 API를 흉내내면서 맬웨어 공격을 유도합니다. 그런 다음 맬웨어의 특성을 분석하여 안티 맬웨어 소프트웨어를 개발하거나 API의 취약점을 해결할 수 있습니다.
스파이더 허니팟 은 웹 크롤러('스파이더')만 액세스할 수 있는 웹 페이지와 링크를 만들어 유인합니다. 크롤러를 발견함으로써 악성 봇과 광고 네트워크 크롤러를 차단하는 방법을 알아낼 수 있습니다.
허니팟 시스템으로 유입되는 트래픽을 모니터링하면서 다음 사항을 평가할 수 있습니다.
- 사이버 범죄자의 출신 지역
- 위협 수준
- 이들의 수법
- 관심을 두는 데이터 또는 애플리케이션
- 사이버 공격을 차단하는 보안 조치의 실효성
또 다른 허니팟 정의에서는 허니팟을 하이 인터랙션(high-interaction)과 로우 인터랙션(low-interaction)으로 나눕니다. 로우 인터랙션 허니팟은 더 적은 리소스를 사용하며 위협의 수준과 유형, 그리고 위협의 출처에 관한 기본적인 정보를 수집합니다. 대개는 시뮬레이션된 기본 TCP 및 IP 프로토콜과 네트워크 서비스만 있으면 쉽고 빠르게 설정할 수 있습니다. 하지만 이런 허니팟에서는 매우 오랫동안 공격자를 상대하지 않습니다. 따라서 공격자의 습관이나 복잡한 위협에 관한 심층적인 정보를 얻지 못합니다.
이와 달리 하이 인터랙션 허니팟은 해커가 허니팟 내에서 최대한 많은 시간을 보내도록 유도하여 해커의 의도와 표적, 노리는 취약점 및 공격 수법에 관한 많은 정보를 얻는 것을 목표로 합니다. 데이터베이스, 시스템, 프로세스 등 공격자를 훨씬 더 오래 머물게 할 '끈끈한 요소'가 추가된 허니팟이라고 생각하면 됩니다. 이를 통해 연구진은 공격자가 시스템에서 중요 정보를 찾기 위해 어디로 이동하는지, 권한 승격을 위해 어떤 도구를 사용하는지, 어떤 익스플로잇 방식으로 시스템을 손상시키는지를 추적할 수 있습니다.
그러나 하이 인터랙션 허니팟은 리소스를 많이 사용합니다. 이를 설정하고 모니터링하는 게 더 어렵고 시간이 많이 걸립니다. 게다가 위험 부담도 있습니다. 즉, '허니월'로 보호하지 않으면, 매우 끈질기고 교활한 해커가 하이 인터랙션 허니팟을 사용하여 다른 인터넷 호스트를 공격하거나 감염된 컴퓨터에서 스팸을 전송할 수도 있습니다.
두 허니팟 유형 모두 허니팟 사이버 보안에서 중요한 역할을 합니다. 이 둘을 혼합하여 사용하면, 로우 인터랙션 허니팟에서 얻은 위협 유형에 관한 기본 정보에 하이 인터랙션 허니팟에서 얻은 의도, 통신, 익스플로잇에 관한 정보를 접목할 수 있습니다.
기업에서 사이버 허니팟을 사용하여 위협 인텔리전스 프레임워크를 구축함으로써 사이버 보안 예산을 적절히 사용하는 것은 물론 보안상의 취약점도 파악할 수 있습니다.
허니팟 사용의 이점
허니팟은 주요 시스템의 취약점을 밝혀내는 좋은 방법이 될 수 있습니다. 이를테면 허니팟으로 IoT 장치를 노리는 공격에 의한 고도의 위협 요소를 파악합니다. 보안 개선 방안에 관한 아이디어도 얻습니다.
허니팟을 사용하면, 실제 시스템에서 침입을 탐지하는 것보다 여러모로 유리합니다. 예를 들어, 허니팟의 정의에 따라 합법적인 트래픽이 생겨서는 안 되므로, 여기서 로깅된 모든 활동은 프로브 또는 침입 시도일 가능성이 높습니다.
따라서 패턴을 훨씬 더 수월하게 찾아낼 수 있습니다. 이를테면 네트워크 스윕(network sweep) 작업에 비슷한 IP 주소(또는 똑같은 국가의 IP 주소)가 사용되는 것을 발견합니다. 이와 달리, 합법적인 트래픽이 많은 코어 네트워크에서는 이러한 공격 징후가 노이즈 데이터와 섞여 놓치기 쉽습니다. 허니팟 보안을 사용할 때 무엇보다도 좋은 점은 이런 악성 주소만 나타날 것이므로 훨씬 더 수월하게 공격을 식별할 수 있다는 것입니다.
허니팟은 극소량의 트래픽을 다루므로 리소스도 적게 사용합니다. 더 이상 사용하지 않는 오래된 컴퓨터로 허니팟을 설정할 수 있어 하드웨어 요구 사항도 까다롭지 않습니다. 소프트웨어의 경우, 이미 만들어진 허니팟이 온라인 리포지토리에서 다수 제공되므로, 자체적으로 허니팟을 설정하고 실행하는 데 필요한 수고가 더욱 줄어듭니다.
허니팟은 오탐률이 낮습니다. 오경보가 자주 발생할 수 있는 기존 침입 탐지 시스템(IDS)과는 확실히 대비됩니다. 이런 점도 우선순위에 따라 작업을 진행하고 적은 리소스로 허니팟을 운영하는 데 도움이 됩니다.실제로 허니팟에서 수집한 데이터를 활용하면서 다른 시스템 및 방화벽 로그와 연계하면, 오탐을 줄이면서 더 유의미한 알림을 제공하도록 IDS를 구성할 수 있습니다. 이와 같이 허니팟은 다른 사이버 보안 시스템을 개선하고 강화하는 데 유용하게 쓰입니다.
허니팟은 위협의 진화 경로에 관한 신뢰할 수 있는 인텔리전스를 제공합니다. 공격 벡터, 익스플로잇, 맬웨어에 관한 정보는 물론, 이메일 트랩은 스팸 발송자와 피싱 공격에 관한 정보도 제공합니다. 해커의 침입 수법이 날로 발전하는바, 사이버 허니팟은 새롭게 등장하는 위협과 침입을 탐지하는 데 기여합니다. 허니팟을 잘 활용하면 사각지대를 없애는 데도 도움이 됩니다.
허니팟은 기술 보안 실무자를 위한 훌륭한 교육 도구이기도 합니다. 허니팟이라는 통제되고 안전한 환경에서 공격자의 전술을 파악하고 다양한 유형의 위협을 조사할 수 있습니다. 허니팟을 사용하면, 보안 실무자는 실제 네트워크의 실제 트래픽에 방해받지 않으면서 위협에만 온전히 집중할 수 있습니다.
허니팟은 내부 위협도 포착할 수 있습니다. 대부분 조직은 경계를 방어하고 외부인이나 침입자를 차단하는 데 주력합니다. 하지만 경계만 방어했다가는 방화벽을 통과하는 데 성공한 해커가 내부에서 마음대로 무슨 짓이든 하면서 피해를 일으킬 수 있습니다.
게다가 방화벽은 내부 위협(예: 퇴사하기 전에 파일을 훔치려는 직원)을 막는 데에는 도움이 되지 않습니다. 허니팟은 내부 위협에 대해서도 똑같이 유용한 정보를 제공합니다. 내부자에 의한 시스템 익스플로잇을 허용하는 권한과 같은 취약점도 보여줄 수 있습니다.
마지막으로, 허니팟을 설정함으로써 선한 영향력을 발휘하고 다른 컴퓨터 사용자를 도울 수 있습니다. 해커가 허니팟에 더 오래 머물면서 시간을 낭비할수록 라이브 시스템을 해킹하여 사용자나 다른 사람에게 실질적인 피해를 입힐 기회는 줄어듭니다.
허니팟의 위험성
허니팟 사이버보안 은 위협 환경을 시각화하는 데 도움이 되지만, 진행 중인 모든 공격 활동을 허니팟으로 파악할 수는 없습니다. 허니팟을 노리는 활동으로 한정됩니다. 어떤 위협이 허니팟을 겨냥하지 않았다고 해서 그 위협이 존재하지 않는다고 가정해서는 안 됩니다. 위협에 관해 알려주는 허니팟에만 의존할 게 아니라 최신 IT 보안 뉴스도 계속 확인해야 합니다.
제대로 구성된 허니팟에서는 공격자가 실제 시스템에 접근했다고 속을 수 있습니다. 실제 시스템과 동일한 로그인 경고 메시지, 동일한 데이터 필드, 심지어 동일한 모양과 느낌, 로고까지 적용합니다. 하지만 만약 공격자가 허니팟임을 알아내면, 허니팟은 그대로 둔 채 다른 시스템을 공격할 수 있습니다.
허니팟의 '정체가 탄로나면', 공격자는 스푸핑 공격을 생성하여 주의를 끌면서 프로덕션 시스템을 겨냥한 익스플로잇에 대한 경계가 느슨해지게 할 수 있습니다. 게다가 허니팟에 잘못된 정보를 제공할 수도 있습니다.
무엇보다도, 영리한 공격자가 허니팟을 실제 시스템에 침투하기 위한 수단으로 사용할 수 있습니다. 그렇기 때문에 허니팟은 방화벽 및 기타 침입 탐지 시스템과 같은 적절한 보안 관제 기능을 결코 대체할 수 없습니다. 허니팟은 새로운 침입의 통로가 될 수 있으므로 모든 허니팟을 잘 보호해야 합니다. '허니월'은 기본적인 허니팟 보안을 제공하고, 허니팟을 겨냥한 공격이 라이브 시스템에 침입하는 것을 차단할 수 있습니다.
허니팟은 사이버 보안 조치의 우선순위를 정하는 데 도움이 되는 정보를 제공하지만, 적절한 사이버 보안을 대체할 수는 없습니다. 허니팟이 아무리 많더라도 비즈니스 자산을 보호하기 위해 Kaspersky Endpoint Security Cloud와 같은 패키지 사용을 고려하세요.Kaspersky는 자체 허니팟을 사용하여 인터넷 위협을 탐지하므로 고객이 따로 허니팟을 둘 필요 없습니다.
종합하자면, 허니팟을 사용하여 누리는 이점이 위험보다 훨씬 더 많습니다. 해커가 눈에 잘 띄지 않는 막연한 위협으로 느껴지기도 하지만, 허니팟을 사용하면 해커가 무엇을 하는지 실시간으로 정확히 파악하고 해커의 목적을 이루지 못하게 할 수 있습니다.
Kaspersky Endpoint Security는 2021년에 AV-TEST 평가에서 기업용 엔드포인트 보안 제품 중 최고의 성능, 보호 기능, 사용성을 인정받으면서 3관왕에 올랐습니다. 모든 테스트에서 Kaspersky Endpoint Security는 비즈니스 솔루션으로서 탁월한 성능, 보호 기능, 사용 편의성을 보여주었습니다.
추천 제품:
