[시큐리티 Q&A] 허니넷 구축방안

Q. 현재 허니넷을 공부하고 있다. 공부하다 보니 직접 허니넷을 구축해 사용하고 싶은 욕심이 생긴다. 개인이 허니넷을 구성할 수 있는 것인가? 가능하다면 가장 쉽게 허니넷을 구성할 수 있는 방법을 설명해 달라.

A. 가상으로 해커의 침입을 유도해 신분을 확보하는 허니팟은 해커나 스팸, 바이러스 등의 외부 침입에 대응하는 시스템인 동시에 역추적을 할 수 있는 위장서버 등을 이용해 해커를 유인하여 해킹경로와 해킹수법을 알아낸다. 허니넷은 이러한 다수의 허니팟(Honey Pot)으로 구성된 네트워크이며, 해커들의 행동과 방법을 파악하여 다양한 해킹에 대처하기 위하여 구축된 네트워크이다.

일반적으로 허니팟을 구성하기 위한 조건은 해커에게 쉽게 노출되어야 하고, 쉽게 해킹이 가능할 것처럼 구성해야 하며, 시스템을 구성하는 요소를 모두 갖추어야 한다. 또한 시스템을 통과하는 모든 로그 및 패킷에 대한 분석이 가능해야 하며, 시스템 이벤트 발생시 실시간 모니터링이 가능해야 한다.

허니팟의 설치위치는 3가지 방식이 있는데, 첫 번째로는 방화벽 앞단에 설치하는 것이다. 이렇게 설치할 경우에는 내부 네트워크 보호에 우수하다는 장점이 있는 반면, 불필요한 데이터가 많이 쌓임으로써 효율성이 저하될 수 있다.

두 번째 방법은 방화벽 뒤에 구축하는 것인데, 이 경우에는 효율성이 높아질 수는 있으나, 내부 네트워크에 대한 위험도가 증가하고, 허니팟에서 많은 서비스를 제공하는 것처럼 설정되기 때문에, 패킷의 흐름 및 네트워크에 장애가 발생할 수 있다.

마지막 세 번째는 DMZ인데, 이는 일반적인 DMZ의 장단점과 유사하나, 설치 시 시간이 많이 걸리고 허니팟 시스템 관리자의 피로도 급증할 수 있다. 허니팟을 구성하기 위해서는 ‘IDS(침입탐지시스템)’, ‘Log Server(로그 서버)’, Honey Pot(Server/PC 등)’ 등 3가지 요소가 반드시 필요하다.

IDS의 경우는 대부분 방화벽 다음에 위치하며 내부 네트워크 보호를 위해 작동된다. Log Server는 ‘방화벽 > IDS > 네트워크 장비’ 하단에 위치하며 발생되는 이벤트 로그를 기록한다. 이러한 로그 서버는 유닉스나 리눅스를 많이 사용하는데 이러한 이유는 정밀한 로그를 남기기가 용이하기 때문일 것이다. Honey Pot(Server/PC 등)은 로그서버와 같은 위치에 설치하며 외부 침입 및 해킹에 대한 샌드백 역할을 수행한다.

이런 허니팟들이 모여 허니넷(Honey Net)을 이루게 된다. 이러한 허니넷을 구축하기 위해서는 앞서 설명했던 사항들을 구축하여 운용할 수 있어야 할 것이다. 따라서 개인이 허니넷을 구성 가능한지의 여부는 어디까지나 개인의 능력이나 소요되는 비용, 목적 등 을 고려하면 될 것 같다.

(허진성 한국산업기술보호협회 관제운영팀 연구원/iqsecurity@kaits.or.kr)

[민세아 기자(boan5@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)