허니팟 & 허니넷

허니팟 & 허니넷

 

허니팟은 간단히 말해 해커를 잡는 덫이다. 즉 해커를 잡는 유혹의 꿀단지라는 의미를 가진다. 해커의 공격에 대응할 수 있는 시간을 벌고 해커의 움직임을 면밀히 파악함으로써 사이버 테러를 방지하는 기술이다. 취약점이 많아서 소스에 쉽게 접근할 수 있는 것처럼 보이는 유인 시스템을 설치하는 것이다. 유인 시스템은 기업의 제품 서버 시스템과 유사한 방법으로 설치되어야 하고 수많은 가짜 파일, 디렉토리, 진자처럼 보일 수 있는 다른 정보들이 저장되어야한다.

허니팟을 이용하면 해커들이 허니팟으로 들어온 공격에 대한 정보도 모을 수 있다. 이상적으로 해커가 진자 자산을 공격하기 전에 허니팟으로 해커를 함정에 빠뜨린 것뿐만 아니라 해커의 공격과 취약점을 알 수도 있다.

그러면 허니팟은 어떻게 작동하는가? 허니팟은 모든 트래픽을 의심스럽게 봐야한다는 것으로 시작한다. 해커가 가짜인 서버나 운영체제를 진짜라고 믿게 만들어야한다. 진짜와 허니팟의 가짜의 차이점은 실제 서버와의 관계에서 기계의 위치다. 유인 기계는 보통 DMZ에 놓인다. 이렇게 되면 내부 네트워크가 해커에게 노출이 되지 않는다.

허니팟은 침입자의 활동을 감시하고, 로그 파일을 저장하고, 과정의 시작, 컴파일, 삭제 등등 해커가 하는 모든 작업을 기록하도록 설계된다. 이러한 자료를 통해 기업의 보안 시스템을 개선하기도 하고 심각한 상황에서 기소하는 자료로도 사용이 가능하다.

허니팟의 조건은 여러 가지가 있다. 우선 쉽게 해커에게 노출이 되어야한다. 해커를 유도하는 것이 허니팟의 용도이기 때문이다. 또한 쉽게 해킹이 가능할 것처럼 구성을 해야 한다. 취약점을 드러내는 방식을 사용한다. 허니팟은 시스템을 구성하는 요소가 모두 갖추어져 있어야하고 시스템을 통과하는 모든 로그 및 패킷에 대한 분석이 가능해야한다.

허니팟은 다양한 곳에 위치할 수 있는데 크게 3가지가 있다. 방화벽 앞에 설치가 될 경우 내부 네트워크 보호에 우수한 장점이 있다. 하지만 쓸데없는 데이터가 많이 쌓여 효율성이 저하될 수 있다. 방화벽 뒤에 허니팟을 설치하면 효율성은 높아지나 내부 네트워크의 위험도가 증가할 수 있다. 허니팟에서 많은 서비스를 제공하는 것처럼 설정되기 때문에 패킷의 흐름 및 네트워크에 장애가 발생할 수 있다. 나머지 한 곳은 앞에서 말한 DMZ이다. 일반적으로 사용을 하나 설치 시 시간이 많이 걸리고 내부 서버, 네트워크와 연결을 철저히 막아야한다.

허니팟을 구성하는데 반드시 필요한 요소들이 있다. IDS로 침입탐지시스템이 있고 로그 서버와 허니팟으로 될 수 있다. IDS는 방화벽 다음에 위치하여 내부 네트워크 보호를 위해 작동한다. 로그 서버는 해커가 들어온 로그를 기록하는 역할을 한다. 허니팟은 로그 서버와 같은 위치에 놓이며 외부 침입/해킹에 샌드백 역할을 한다.

허니넷은 다수의 허니팟으로 구성된 네트워크이다. 기업의 서버 시스템과 유사하게 설치되며 수많은 가짜 파일과 디렉토리, 진짜처럼 보일 수 있는 다른 정보를 저장하고 있는 허니팟을 네트워크 곳곳에 분포시킨다. 하는 역할은 허니팟과 같다. 허니팟의 확장판이라고 할 수 있다.