세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
[주말판] 쇼단이 궁금해? 시작할 때 알아두면 좋을 상식 7
  |  입력 : 2018-09-01 13:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
취약한 장비 등 검색하게 해주는 강력한 툴...일반 검색 엔진과 달라
개발자가 직접 책 펴내기도...전문가라면 API도 활용하는 게


[보안뉴스 문가용 기자] 일반인들에게도 그렇지만 해커들에게도 검색 엔진은 필수적인 요소가 되었다. 이제 공격을 시작하려는 해커들 중 검색 엔진을 사용하지 않는 자는 하나도 없다고 말해도 과장이 아니다. 그 중에서 가장 많이 이용되는 것은 쇼단(Shodan)이다. 쇼단은 인터넷에 연결된 장비들을 찾아주는 검색 엔진으로, 기업 내 취약할 수 있는 장비를 빠르게 발견하는 데에 도움을 준다.

[이미지 = iclickart]


쇼단은 사용하기에 따라 매우 유용한 검색 결과를 나타내준다. 특정 주소 범위 내에서만 장비를 찾을 수도 있고, 특정 네트워크 내 장비 수가 얼마나 되는지도 알게 해주며, 검색 항목 설정에 따라 검색 결과를 다양하게 만들 수도 있다. 쇼단은 배우고 익혀야 하는 검색 엔진이고, 다양한 접근법을 가지고 있다. 하지만 이제 막 쇼단을 익혀보려는 사람들에게는 다음 7가지 방법이 가장 무난할 것이다.

1. 배너 이해하기
쇼단을 처음 사용하려는 사람이 제일 먼저 알아야할 건 쇼단이 무엇을 찾아주는 검색 엔진이냐는 것이다. 쇼단의 크롤러들은 배너를 찾기 위해 돌아다닌다. 즉 이 배너에 대한 정보를 사용자에게 돌려준다는 것이다. 배너란, 요청이 들어왔을 때 그에 대한 답으로 되돌려지는 정보들을 말한다. 요청에 응하는 서비스가 무엇이냐에 따라 이 배너는 소프트웨어 이름이나 버전 정보가 될 수도 있고, 설치 일자가 될 수도 있다. 그러나 배너는 스푸핑의 가능성이 있기 때문에 쇼단의 검색 결과가 반드시 실제 상황을 반영한다고 믿을 수는 없다.

중요한 건 이 배너란 것이 서버나 호스트가 아니라 ‘서비스’에서부터 나온다는 것이다. 즉 HTTP 서비스, FTP 서비스, SNMP 서비스 등 여러 개의 서비스를 가지고 있는 한 개의 장비에서 다양한 배너들이 나타날 수 있다는 뜻이 된다. 서로 다른 서비스들 또한 정보의 유형과 양의 측면에서 크게 다른 배너를 되돌려줄 수 있다. 이는 요청에 대해 되돌아오는 값이 크기와 내용의 측면에서 매우 다양해진다는 뜻이 되므로, 요청문을 구성할 때 중요한 고려 요소가 된다. 요청에 되돌아오는 헤더의 유형을 이해한다는 건, 쇼단 검색 결과로 나오는 데이터를 더 잘 이해할 수 있다는 뜻이 된다.

2. 중요한 책 한 권
쇼단을 개발한 사람은 존 매털리(John Matherly)다. 매털리는 2009년 쇼단을 처음 공개했는데, 그러면서 쇼단에 관한 전자책도 펴냈다. 이름은 ‘쇼단 완전 가이드(The Complete Guide to Shodan)’이다. 개발자가 직접 펴낸 책답게 쇼단에 대한 거의 모든 내용이 다 들어있다. 매털리는 이 책을 통해 쇼단 크롤러의 작동 원리를 상세하게 설명했다. 쇼단 크롤러를 이해하면 사실 쇼단을 이해한 것과 마찬가지다. 쇼단을 정말 잘 알고 싶다면 이 책을 일독하는 건 필수다. (안타깝게도 아직 한글 버전은 없는 듯하다.)

뿐만 아니라 쇼단 완전 가이드에는 복잡한 요청문을 만드는 법도 부록을 통해 설명되어 있다. 검색에 필요한 모든 필터들의 목록도 첨부되어 있다. 쇼단 엔진을 사용하는 데 있어 필터는 굉장히 중요한 역할을 담당한다. 이 필터 때문에 검색 결과가 굉장히 구체적이 될 수 있다.

이 책에 나와 있는 여러 유용한 정보들은 인터넷 검색을 통해 찾아볼 수 있다. 그러나 항목이나 분야별로 따로따로 흩어져 있기 때문에 한 번에 모아보는 건 상당히 많은 노력을 요한다. 그러니 쇼단을 진지하게 알아보고자 한다면 5달러 정도 주고 이 전자책 한 권 사보는 것이 훨씬 효율적이다.

3. 알맞은 계정 만들기
쇼단은 다양한 등급의 서비스를 제공한다. 즉 무료 서비스도 제공하지만 한 달에 수백 달러짜리 유료 서비스도 존재한다는 것이다. 등급별로 사용자에게 어떤 것들이 제공되는지 알아보는 것도 중요하다.

간략하게 정리하자면 쇼단 서비스는 6단계 등급으로 나눠져 있다. 누구나 쇼단에 접속해 검색어를 입력할 수 있지만 결과는 등급에 따라 달라진다. 무료 사용자가 얻어낼 수 있는 결과는 유료 사용자의 그것보다 제한적이다. 쇼단에 등록하면 결과가 조금 더 많아진다. 유료 사용자로 전환하면 그것보다도 결과가 더 많아지며, 사용할 수 있는 필터도 더 많아진다.

가장 저렴한 건 49달러짜리 서비스로, 딱 한 번만 내면 되는데, 이것만으로도 필터 대부분을 사용할 수 있고 꽤나 많은 검색 결과를 돌려받을 수 있다. 보안 전문가들에게 가장 유용한 필터는 아마도 vuln이란 것일 텐데, 이 필터를 사용하면 CVE 취약점에 노출된 장비들을 찾을 수 있다. 특정 CVE 취약점을 검색하는 것도 가능하다. 하지만 이 필터는 무료로 제공되지 않는다. 최소 소기업 개발자 멤버십이 있어야 하는데 이는 매달 299달러를 필요로 한다. 학술 멤버십으로도 vuln 필터 사용이 가능하다.

4. API 사용하기
쇼단 사이트에 접속해서 검색어를 입력해 결과를 얻어내는 것만으로도 충분히 ‘쇼단을 사용했다’는 느낌을 얻을 수 있지만, 이는 사실 굉장히 기본적인 사용법에 불과하다. 보안 전문가가 보안 연구를 목적으로 사용하려면 API를 활용하는 것이 좀 더 이상적이다. API 호출을 통해 쇼단을 보안 인프라에 접목시키면, 쇼단을 좀 더 강력하고 효과적으로 사용할 수 있게 된다.

API 호출을 사용하면 쇼단의 검색 결과를 보안 첩보 데이터베이스와 이벤트 관리 시스템에 자동으로 피드할 수 있게 된다. 그 외 보안 분석 엔진에도 이 결과 값을 자동으로 보낼 수 있기 때문에 네트워크 보안에 필요한 데이터 층이 더 두터워진다. 검색 결과는 XLS나 파이어호스 등 다양한 유형으로 정리될 수 있다.

쇼단의 API 호출은 여러 개의 언어와 프레임워크로 제공되기도 한다. 깃허브(Github)나 여러 온라인 포럼에서 API의 용례를 찾는 것도 그리 어려운 일이 아니다. 세계의 여러 개발자자들이 앱을 개발할 때 쇼단을 어떤 식으로 활용하는지 찾아보면 API 사용이 더 이해하기 쉬울 것이다. 가장 유명한 툴 중 하나는 비숍폭스(Bishop Fox)의 쇼단디기티(ShodanDiggity)이니 한 번 둘러보는 것을 권장한다.

5. 구체적일 수록 좋다
쇼단에 검색어를 입력할 때 광범위하고 애매한 뭔가를 입력해도 즐거울 수 있다. 예를 들어 인터넷에 있는 웹 카메라를 찾아내달라고 하면 꽤나 흥미로운 결과를 볼 수 있다. 그러나 이는 첩보로서는 그리 유용하지 않다. 쇼단을 사용하는 의미를 찾기 힘들다. 첩보 수집 목적으로 쇼단을 사용하고자 한다면 보다 구체적이고 표적화된 검색을 해야 한다. 즉 쇼단을 잘 사용한다는 건 검색어를 정확하고 구체적으로 입력할 수 있다는 뜻이 된다.

이는 조금 안타까울 수 있는 부분인데, 이 구체적인 결과란 돈을 지불할 때 더 쉽게 얻어낼 수 있기도 하다. 왜냐하면 어떤 유료 서비스에 가입하느냐에 따라 사용할 수 있는 필터가 달라지기 때문이다. 그러나 49달러짜리 기본 멤버십에만 가입해도 꽤나 많은 필터를 조합해서 사용할 수 있다. 멤버십을 최대로 활용하는 각종 방법도 온라인 포럼 등에서 공유되니 이를 찾아보는 것도 좋은 방법이다.

대부분의 검색 엔진들이 그렇지만 구체적인 결과를 얻어내려면 검색어를 잘 조합하는 게 중요하다. 검색어를 여러 개 조합하면 웹 카메라를 찾더라도 특정 주소 범위를 더 입력해서 한 구간의 웹 캠만 찾을 수 있고, 특정 유형의 라우터만을 특정 도시에서만 발견해낼 수도 있다. 심지어 특정 방법으로 설정된 산업 통제 시스템을 특정 산업군 내에서만 찾는 것도 가능하다.

6. 또 다른 검색 엔진
쇼단은 매우 강력한 툴임에 분명하지만, 빙(Bing)이나 구글(Google) 등 일반적인 검색 엔진과는 다르다. 예를 들어 19세기 작가의 명언을 검색한다고 했을 때, 쇼단은 무용지물이 된다. 그러니 쇼단을 사용할 때 다른 검색 엔진도 결합해 활용하는 것이 중요하다.

두 가지 다른 검색 엔진을 어떻게 결합해 사용할 수 있을까? 예를 들어 쇼단을 접해보려는 당신이 모의 해킹 전문가라면 이런 방식이 있을 수 있다. 먼저 쇼단을 통해 특정 장비를 검색하고 찾아낸다. 이 때 당신은 특정 회사에서 만든 특정 모델을 찾고 싶다. 그리고 이러한 장비들의 물리적인 위치와 IP 범위도 좁히는 데 성공했다. 그런 후에는 해당 장비의 디폴트 사용자 이름과 비밀번호를 구글 검색을 통해 찾아낼 수 있다. 일을 여기까지 진행했다면, 이제 침투 테스터인 당신은 어떤 장비가 기본적인 방어 체계를 갖추었는지 아닌지 확인할 수 있게 된다.

즉 우리가 사물인터넷 장비에 대해 더 이해하고자 할 때, 필요한 정보의 유형은 다양하다는 것이다. 그리고 그 모든 정보를 쇼단만으로는 찾을 수 없다. 쇼단은 강력한 툴이긴 하지만, 만능은 아니다.

7. 그림의 가치
'검색 결과‘라고 하면 대부분 ’텍스트‘를 떠올린다. 그러나 텍스트로 빡빡하게 채워진 검색 결과는 사람을 질리게 하거나, 사실상 아무런 쓸모가 없을 때도 있다. 쇼단은 좀 더 큰 그림을 제시하기 위해, 실제로 그림을 검색 결과로 보여주기도 한다. 이는 쇼단 맵스(Shodan Maps)와 쇼단 이미지(Shodan Images)라는 카테고리 내에서 접할 수 있다.

쇼단 맵스는 세계적인 규모의 공격이 발생하거나, 취약점의 영향력, 특정 장비의 분포도를 파악할 때 등 전체적인 상황을 볼 때 유용하다. 쇼단 이미지는 조금 다르다. 예를 들어 쇼단의 검색 결과로서 나온 이미지들을 쭉 살펴보면, 로그인 화면이나 관리자 콘솔이 대체로 어떤 식으로 생겼는지 이해할 수 있게 된다. 또는 최근 유행하는 인터페이스에 대한 힌트도 얻을 수 있다. 그리고 컴퓨터 인터페이스 디자이너들이 파란색을 얼마나 좋아하는지도 한 눈에 파악이 가능하다.

3줄 요약
1. 쇼단, 무료 서비스와 유료 서비스 모두 제공한다. 49달러가 가장 보편적이고 무난함.
2. 쇼단 개발자가 써낸 설명서, 5달러에 구매가 가능하다. 쇼단 알고 싶다면 필독.
3. 다른 검색 엔진과 결합할 때 쇼단의 보다 강력한 활용이 가능하다.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술