오래된 만큼 가장 대표적으로 꼽히는 IDS/IPS의 SNORT!

보안라이프/IT트렌드 2014.08.10 23:31


1998Martin Roesch(마틴 로시)가 발표한 공개 네트워크 침입탐지 시스템인 Snort. 여기서 침입탐지 시스템이란, 시스템에 대한 인가되지 않은 행위와 탐지된 불법행위를 구별하여 실시간으로 침입을 탐지하는 시스템을 말한다. , 스노트는 악의적인 사이트를 탐지하는 시스템 중의 하나로써, 오랜 시간 동안 사용되어 오고 있는 오픈 소스이다. 오늘은 바로 이 스노트에 대해서 배워보도록 하자.

 

 

- 스노트의 유래와 기능

먼저, 스노트는 sniffer and more에서 유래가 되었다. 냄새를 맡는 사람이라는 뜻으로 많이 알고 있는 “sniffer”는 컴퓨터 용어로는 네트워크 트래픽을 감시하고 분석하는 프로그램이란 뜻이다. 트랙을 더 많이 감시하고, 분석하자는 뜻의 스노트는 단순한 패킷 스니퍼 프로그램에서 Rule을 이용한 분석 기능이 추가된 프로그램이다. 독특한 점은 커뮤니티를 통해 지속적인 탐지 Rule을 제공하고 있고, 바로 이러한 점으로 많은 인기를 끌게 되었다는 것이다. 물론! 자동적인 Rule설정 외에도, 관리자가 직접 수동적으로 탐지 Rule을 설정하는 것도 가능하다.

 


- 스노트의 기능 및 구조

Snort는 구조는 크게 Sniffer, preprocessort, 탐지엔진 그리고 출력으로 4단계로 표현된다. 구체적으로 설명을 덧붙이자면, 우선 사용자는 인터넷에 접속한다는 전제에서 출발한다. 이 때 Snort
IDS를 통과하는 모든 패킷을 수집하는데 이 단계를 sniffer라고 부른다. 다음으로는 preprocessor라고 하는 효율적인 공격 탐지를 위해 몇가지 플러그인을 먼저 거치며 매칭되는지를 확인하는 단계이다. 그리고 가장 중요한 3번째 단계인 탐지 엔진’. 이 단계가 중요한 것은 여기서 바로 자동 혹은 수동으로 정의된 rule에 기반에 탐지하기 때문이다. 가령 여기서 안랩 사보에 접속할 때 “AhbLab sabo access detected”라고 출력 되도록 정의되었다면, 마지막 4단계에서 3단계를 기반으로 하여 출력된다. (물론 AhnLab Sabo는 악성코드가 있는 사이트가 절대 아니지만, 소소한 재미를 위해 설정해보았다.) 4단계에서는 옵션을 정의하여 콘솔에 출력되거나, 별도의 파일로 생성하는 것 모두 가능하다.

 

-기사를 마치며

보안에서 중요한 것은 절대적으로 관심이라고 생각한다. 어떠한 환경에서든, 조금만 더 관심을 가진다면 정보 유출은 물론이고 사이버 범죄까지 예방할 수 있다. 오랜 시간 동안 많은 사람들의 피드백을 통해 많이 개선되었으며, 그만큼 대표적으로 꼽히는 IDS/IPS의 프로그램인 “Snort”. 이러한 Snort로 조금만 더 관심을 표현해 보자. 거기다가 Snort는 무료이자 다루기 쉽다는 장점까지 가지고 있다.

 안랩대학생기자단 홍수영 / 서울여대 정보보호학과


 omnia tempus habent

댓글을 달아 주세요