무료 오픈소스 사이버보안 도구로 대체할 수는 없을까? 라는 물음을 스스로에게 던져본 적이 한번쯤은 있을건데요. 사이버보안을 위한 소프트웨어, 특히 상업용 솔루션은 종종 고비용을 요구하며, 보안 예산은 항상 한정적인 것이 현실입니다. 다행히도, 오픈소스 커뮤니티는 이를 해결할 다양한 대안을 제공합니다. 취약점 검사에서부터 정찰 도구, 엔드포인트 바이러스 백신, 그리고 SIEM(보안 정보 및 이벤트 관리) 플랫폼까지 많은 무료 오픈소스 보안 도구들이 있습니다.
정보보안 분야 실무에서도 현재 필자도 자주 사용하는 몇몇 오픈소스 도구들, 예를 들어 Kali Linux나 Wireshark는 기능적으로 독보적이라 상업용 대체제가 거의 없는 수준입니다. 하지만 여전히 여러 분야에서는 상업용 솔루션이 시장을 지배하고 있으며 그 이유가 전혀 없지는 않습니다. 이번 글에서는 특히 외부 공격 표면 관리(EASM)에 초점을 맞춰 무료 또는 오픈소스 도구들을 소개해 드리도록 하겠습니다. 또한 이러한 도구들이 EASM 요구를 충족시키기에 충분한지, 아니면 결국 유료 EASM 툴의 비용이 타당성을 지니는지에 대해 설명 드리도록 하겠습니다.
ASM(Attack Surface Management)이란 무엇이고, 그 구성요소는 무엇인가?
조직의 외부 공격 표면은 인터넷을 통해 접근 가능한 디지털 자산과 이와 연관된 모든 공격 벡터의 총합을 의미합니다. 여기에는 이미 알려진 자산뿐 아니라 미처 파악되지 않은 자산, 잊혀진 자산, 그리고 이들에 내재된 취약성까지 포함됩니다.
디지털 전환, 상호 연결성의 확대, 클라우드로의 전환이 지속됨에 따라 이러한 공격 표면은 시간이 지날수록 더욱 넓어지고 있습니다. Gartner는 이를 공격 표면 확장 문제로 정의하며, 리더들이 가장 우선적으로 해결해야 할 주요 트렌드 중 하나로 강조하고 있습니다.
외부 공격 표면 관리의 전반적인 개념을 이해하려면 EASM 안내서를 먼저 살펴볼 필요가 있습니다. 여기서는 간략히 EASM 프로세스의 단계와 이를 지원하는 오픈소스 도구를 연결해보겠습니다.
EASM(External Attack Surface Management) 형태의 외부 공격 표면 관리 프로세스는 일반적으로 네 가지 주요 단계로 이루어집니다.
네트워크 매핑 및 자산 발견
첫 번째 단계는 기업이 보유한 자산을 명확히 파악하는 것입니다. 이를 위해 EASM 플랫폼은 사이버 정찰 기술을 활용해 하위 도메인 열거, 네트워크 매핑, 포트 스캔 등의 방법으로 외부 자산을 식별해야 합니다.
Nmap 과 Sublist3r 와 같은 도구는 이러한 작업에서 널리 사용되는 오픈소스 툴입니다. 또한 EASM 플랫폼은 분석 기술이나 A/B 테스트 플랫폼처럼 해당 자산과 함께 사용되는 제3자 기술 스택을 파악하기 위해 웹사이트를 스캐닝합니다. 이와 관련해 Wappalyzer 는 뛰어난 도구로 알려졌지만, 최근 비공개 모델로 전환되었습니다. 다만, Wappalyzer의 오리지널 오픈소스 코드를 기반으로 한 포크 버전은 여전히 무료로 사용할 수 있습니다.
취약점 스캐닝
자산이 발견되면 다음 단계는 해당 자산에 잠재된 취약점을 검사하는 것입니다. 이를 위해선 고급 취약점 스캐너가 필요합니다. OpenVAS , Nuclei , OWASP ZAP 등은 널리 인정받는 오픈소스 취약점 스캐너들입니다. 흥미롭게도, 많은 상업용 EASM 및 동적 애플리케이션 보안 테스트(DAST) 도구들이 이런 오픈소스 스캐너들을 직접 활용하거나 상업용 솔루션과 조합해 기능을 제공합니다.
취약점 우선순위 설정 및 수정
취약점을 단순히 발견하는 것만으로는 충분하지 않습니다. 이상적인 EASM 도구는 탐지된 취약점의 위험도를 평가하고 이를 수정하거나 완화하는 데 실질적인 도움을 제공해야 합니다. 이를 통해 보안 실무자는 효과적인 취약점 관리(Vulnerability Management)를 수행할 수 있습니다.
그러나 대부분의 오픈소스 솔루션은 주로 침투 테스트나 버그 바운티 프로그램과 같은 공격적 보안 상황에 중점을 두고 설계되었기에 지속적 사용에는 부족한 점이 많습니다. 이와 같은 제한 사항에도 불구하고 Faraday 와 같은 일부 도구는 예외로 꼽힙니다. Faraday의 오픈소스 커뮤니티 에디션은 자동화된 티켓 생성과 같은 고급 기능은 제한적이지만, 최소한 수정 프로세스를 지원할 수 있는 구조를 갖추고 있습니다.
지속적인 모니터링
마지막으로, EASM 솔루션은 반드시 지속적인 모니터링 기능을 갖춰야 합니다. 이는 정기적으로 정찰 작업과 취약성 스캔을 반복 실행하며, 새롭게 발견된 자산이나 문제가 있을 경우 사용자에게 이를 신속히 알리고 보고서를 생성하는 과정을 포함합니다.
이 부분은 아마도 가장 해결하기 어려운 과제가 될 것입니다. 앞서 언급된 첫 세 가지 핵심 기능은 각각 개별 도구로 해결 가능하지만, 이 모든 작업을 통합적으로 처리할 수 있는 단일 툴은 아직 드물다는 점이 문제입니다.
지속적인 모니터링을 성공적으로 구현하려면 각 프로세스를 밀접하게 연결하는 통합 시스템이 필요합니다. 예를 들어, 사이버 정찰 과정을 통해 새롭게 식별된 모든 자산은 추가적인 취약성 검사가 이루어져야 하며, 이렇게 수집된 모든 데이터는 단일 진실 소스(Single Source of Truth)로 중앙화되어야만 합니다. 이를 통해 중요한 취약성을 기반으로 한 알림 체계가 제대로 작동할 수 있을 것입니다.
무료 오픈소스 EASM Tool 추천
- OWASP Amass : 네트워크 매핑 및 외부 자산 검색 도구
- EasyEASM : 명령줄 기반 자산 검색 도구 + 알림
- Archery : 애플리케이션 보안 오케스트레이션 및 상관관계 플랫폼(ASOC)
- reNgine : 취약성 관리 기능이 없는 GUI 기반 ASM
- reconFTW : 취약성 우선 순위 지정 기능이 없는 명령줄 기반 오픈소스 ASM
- Faraday Community Edition : 상업용 취약성 관리 플랫폼의 무료 계층
- Qualys Community Edition : 3개 외부 자산 까지는 무료
디지털 전환의 속도가 빨라짐에 따라 IT 인프라 관리의 복잡성은 증가하고, 보안 위협 역시 더욱 정교해지고 있습니다. 이러한 배경에서 ASM의 중요성과 필요성은 점점 부각되고 있습니다. 결과적으로, 사이버 보안에 종사하고 있는 분들이라면 보안 위험을 식별하고 이를 완화함으로써 공격 표면을 줄이는 것을 핵심 과업으로 삼아 지속적인 공격에 대해 사전 예방하는것이 바람직 할것입니다.