🔒 보안도구의 끝판왕: OSQuery로 엔드포인트 보안 모니터링 마스터하기 🕵️‍♀️

안녕하세요, 보안 덕후 여러분! 오늘은 엔드포인트 보안의 핫한 트렌드, OSQuery에 대해 깊이 파헤쳐볼 거예요. 이 글을 다 읽고 나면 여러분도 OSQuery 마스터가 될 수 있을 거예요! ㅋㅋㅋ 자, 그럼 시작해볼까요? 🚀

1. OSQuery, 도대체 뭐길래? 🤔

OSQuery는 마치 운영 체제를 하나의 거대한 데이터베이스처럼 다룰 수 있게 해주는 마법 같은 도구예요. 윈도우, 맥OS, 리눅스 등 다양한 운영 체제에서 사용할 수 있어서 진짜 편리하죠. 이 도구를 사용하면 시스템의 상태를 실시간으로 모니터링하고, 보안 위협을 빠르게 탐지할 수 있어요.

OSQuery의 가장 큰 장점은 바로 SQL 문법을 사용한다는 거예요.

위의 그림을 보면 OSQuery가 어떻게 작동하는지 한눈에 알 수 있죠? 운영 체제의 정보를 SQL 쿼리로 쉽게 가져올 수 있다니, 정말 혁신적이지 않나요? 😎

2. OSQuery 설치하기: 초보자도 할 수 있어요! 💪

자, 이제 OSQuery를 설치해볼 차례예요. 걱정 마세요, 생각보다 훨씬 쉬워요!

윈도우에 설치하기

1. OSQuery 공식 웹사이트(https://osquery.io)에서 윈도우용 인스톨러를 다운로드해요.
2. 다운로드한 인스톨러를 실행하고 설치 마법사의 지시를 따라가면 끝!

맥OS에 설치하기

맥 사용자라면 Homebrew를 이용해 쉽게 설치할 수 있어요.

brew update
brew install osquery

리눅스에 설치하기

우분투나 데비안 계열이라면 다음 명령어로 설치할 수 있어요.

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B
sudo add-apt-repository "deb [arch=amd64] https://pkg.osquery.io/deb deb main"
sudo apt update
sudo apt install osquery

3. OSQuery 기본 사용법: SQL로 시스템을 해킹(?)해보자! 🕵️‍♂️

OSQuery를 설치했다면 이제 실제로 사용해볼 차례예요. OSQuery는 osqueryi라는 대화형 쉘을 제공해요. 이 쉘에서 SQL 쿼리를 실행해 시스템 정보를 조회할 수 있죠.

터미널이나 명령 프롬프트를 열고 다음 명령어를 입력해보세요:

osqueryi

짜잔! OSQuery 쉘에 들어왔어요. 이제 SQL 쿼리를 사용해 시스템 정보를 조회할 수 있어요.

기본적인 쿼리 예시

1. 실행 중인 프로세스 목록 조회하기

SELECT name, pid, path FROM processes;

2. 설치된 애플리케이션 목록 보기

SELECT name, version, install_location FROM apps;

3. 네트워크 연결 상태 확인하기

SELECT * FROM listening_ports;

4. 사용자 계정 정보 조회하기

SELECT * FROM users;

이런 식으로 SQL 쿼리를 사용해 시스템의 거의 모든 정보를 조회할 수 있어요. 완전 쩐다, 그쵸? ㅋㅋㅋ

위 그림을 보면 OSQuery가 어떻게 작동하는지 한눈에 알 수 있죠? SQL 쿼리를 입력하면 OSQuery 엔진이 이를 해석하고, 운영 체제에서 필요한 정보를 가져와 결과를 출력해요. 정말 간단하고 효율적이죠?

4. OSQuery로 엔드포인트 보안 모니터링하기: 보안 전문가처럼! 🦸‍♀️

자, 이제 OSQuery의 기본을 알았으니 실제로 엔드포인트 보안 모니터링에 어떻게 활용할 수 있는지 알아볼까요?

1. 의심스러운 프로세스 탐지하기

악성 프로세스는 종종 이상한 이름을 가지고 있거나, 특이한 경로에서 실행돼요. 다음 쿼리로 의심스러운 프로세스를 찾아볼 수 있어요.

SELECT name, path, pid
FROM processes
WHERE path NOT LIKE 'C:\Windows\%'
  AND path NOT LIKE 'C:\Program Files\%'
  AND path NOT LIKE 'C:\Program Files (x86)\%';

이 쿼리는 일반적인 Windows 시스템 경로 외에서 실행되는 프로세스를 찾아내요. 물론 모든 결과가 악성은 아니겠지만, 의심스러운 놈들을 골라내는 데 도움이 되죠!

2. 비정상적인 네트워크 연결 탐지하기

해커들은 종종 특이한 포트를 통해 시스템에 접근하려고 해요. 다음 쿼리로 비정상적인 네트워크 연결을 찾아볼 수 있어요.

SELECT DISTINCT processes.name, listening_ports.port, listening_ports.address, processes.pid
FROM processes
JOIN listening_ports ON processes.pid = listening_ports.pid
WHERE listening_ports.port > 1024;

이 쿼리는 1024번 이상의 포트를 사용하는 프로세스를 찾아내요. 대부분의 표준 서비스는 1024번 이하의 포트를 사용하니, 이 범위를 벗어나는 연결은 주의 깊게 살펴볼 필요가 있죠.

3. 최근에 수정된 파일 확인하기

악성 프로그램이 시스템에 침투하면 종종 파일을 수정하거나 새로운 파일을 생성해요. 다음 쿼리로 최근에 수정된 파일을 확인할 수 있어요.

SELECT path, filename, mtime
FROM file
WHERE path LIKE 'C:\Users\%'
  AND mtime > (SELECT datetime('now', '-1 day'))
ORDER BY mtime DESC
LIMIT 20;

이 쿼리는 지난 24시간 동안 사용자 디렉토리에서 수정된 파일 20개를 보여줘요. 갑자기 이상한 파일이 생겼다면 뭔가 수상한 거겠죠?

4. 자동 실행 프로그램 확인하기

많은 악성 프로그램들이 시스템 시작 시 자동으로 실행되도록 설정돼요. 다음 쿼리로 자동 실행 프로그램 목록을 확인할 수 있어요.

SELECT name, path, source
FROM startup_items;

이 목록에서 낯선 프로그램을 발견했다면, 꼭 확인해보세요! 악성 프로그램일 수도 있으니까요.

5. USB 장치 모니터링하기

USB 장치를 통한 악성 코드 유입도 흔한 공격 방법이에요. 다음 쿼리로 시스템에 연결된 USB 장치를 확인할 수 있어요.

SELECT * FROM usb_devices;

이 쿼리로 현재 연결된 모든 USB 장치의 정보를 볼 수 있어요. 낯선 장치가 보인다면 주의가 필요해요!

5. OSQuery의 고급 기능: 프로 보안 전문가 되기 🏆

지금까지 OSQuery의 기본적인 사용법을 알아봤어요. 이제 좀 더 고급 기능을 살펴볼까요? 이 부분을 마스터하면 여러분도 프로 보안 전문가가 될 수 있어요!

1. 스케줄링된 쿼리 실행하기

OSQuery는 osqueryd라는 데몬 프로세스를 제공해요. 이를 이용하면 주기적으로 쿼리를 실행하고 결과를 로그로 저장할 수 있죠.

먼저, 설정 파일을 만들어야 해요. 다음과 같은 내용의 osquery.conf 파일을 만들어보세요:

{
  "schedule": {
    "process_check": {
      "query": "SELECT name, path, pid FROM processes WHERE path NOT LIKE 'C:\\Windows\\%';",
      "interval": 3600
    },
    "network_check": {
      "query": "SELECT * FROM listening_ports WHERE port > 1024;",
      "interval": 3600
    }
  }
}

이 설정 파일은 1시간(3600초)마다 의심스러운 프로세스와 비정상적인 네트워크 연결을 확인하는 쿼리를 실행해요.

이제 다음 명령어로 osqueryd를 실행하세요:

osqueryd --config_path=osquery.conf --verbose

이렇게 하면 OSQuery가 백그라운드에서 계속 실행되면서 주기적으로 시스템을 모니터링해요. 완전 편하죠? ㅋㅋㅋ

2. 파일 무결성 모니터링 (FIM)

OSQuery의 강력한 기능 중 하나가 바로 파일 무결성 모니터링이에요. 중요한 시스템 파일이 변경되면 즉시 알 수 있죠.

osquery.conf 파일에 다음 내용을 추가해보세요:

{
  "file_paths": {
    "system": [
      "C:\\Windows\\System32\\drivers\\etc\\hosts",
      "C:\\Windows\\System32\\config\\SAM"
    ]
  }
}

이 설정은 hosts 파일과 SAM 파일의 변경을 모니터링해요. 이 파일들이 변경되면 해킹의 징후일 수 있으니 주의 깊게 봐야 해요!

3. 이벤트 기반 모니터링

OSQuery는 실시간으로 시스템 이벤트를 모니터링할 수 있어요. 예를 들어, 새로운 프로세스가 시작될 때마다 알림을 받을 수 있죠.

osquery.conf 파일에 다음 내용을 추가해보세요:

{
  "events": {
    "windows_events": {
      "event_categories": ["process_creation"],
      "event_sources": ["Microsoft-Windows-Security-Auditing"]
    }
  }
}

이 설정으로 Windows 시스템에서 새로운 프로세스가 생성될 때마다 이벤트를 캡처할 수 있어요. 악성 프로그램의 실행을 실시간으로 탐지할 수 있는 거죠!

4. 사용자 정의 테이블 만들기

OSQuery의 또 다른 강력한 기능은 사용자 정의 테이블을 만들 수 있다는 거예요. 예를 들어, 특정 레지스트리 키를 모니터링하고 싶다면 다음과 같은 테이블을 만들 수 있어요:

CREATE TABLE custom_registry (
  path TEXT,
  name TEXT,
  type TEXT,
  data TEXT
);

INSERT INTO custom_registry
SELECT path, name, type, data
FROM registry
WHERE path LIKE 'HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run%';

이 쿼리는 Windows의 자동 실행 프로그램 레지스트리 키를 모니터링하는 사용자 정의 테이블을 만들어요. 이제 'SELECT * FROM custom_registry;'로 언제든 이 정보를 조회할 수 있죠!

5. 분산 쿼리 사용하기

여러 대의 컴퓨터를 한 번에 모니터링해야 한다면? OSQuery의 분산 쿼리 기능을 사용하면 돼요!

먼저, 중앙 서버를 설정하고 각 클라이언트에 다음과 같은 설정을 추가해요:

{
  "options": {
    "distributed_interval": 60,
    "distributed_tls_max_attempts": 3,
    "distributed_tls_read_endpoint": "/distributed_read",
    "distributed_tls_write_endpoint": "/distributed_write",
    "distributed_plugin": "tls"
  }
}

이렇게 하면 모든 클라이언트가 60초마다 중앙 서버에 연결해서 새로운 쿼리를 받아오고 결과를 전송해요. 대규모 네트워크 모니터링이 한결 쉬워지죠!

6. OSQuery의 실제 활용 사례: 현장에서는 이렇게 써요! 🕵️‍♂️

지금까지 OSQuery의 이론과 기본적인 사용법을 알아봤어요. 이제 실제 현장에서 OSQuery가 어떻게 활용되고 있는지 몇 가지 사례를 통해 살펴볼까요?

1. 랜섬웨어 탐지

랜섬웨어는 현대 기업의 큰 위협이 되고 있어요. OSQuery를 사용하면 랜섬웨어의 활동을 초기에 탐지할 수 있어요.

SELECT f.path, f.filename, f.size, f.mtime, h.md5, h.sha1, h.sha256
FROM file f
JOIN hash h ON f.path = h.path
WHERE f.path LIKE 'C:\Users\%\Desktop\%'
  AND f.mtime > (SELECT datetime('now', '-1 hour'))
  AND (f.filename LIKE '%.encrypted' OR f.filename LIKE '%.locked' OR f.filename LIKE '%.crypted');

이 쿼리는 최근 1시간 동안 데스크톱에 생성된 파일 중 랜섬웨어가 흔히 사용하는 확장자를 가진 파일을 찾아내요. 이런 파일이 갑자기 많이 생겼다면 랜섬웨어 감염을 의심해볼 수 있죠!

2. 내부자 위협 탐지

때로는 조직 내부의 위협이 외부 위협만큼이나 위험할 수 있어요. OSQuery로 내부자의 의심스러운 활동을 모니터링할 수 있어요.

SELECT u.username, f.filename, f.path, f.size, f.mtime
FROM users u
JOIN file f ON f.uid = u.uid
WHERE f.path LIKE 'C:\Users\%\Downloads\%'
  AND f.size > 1000000000  -- 1GB 이상
  AND f.mtime > (SELECT datetime('now', '-24 hours'));

이 쿼리는 지난 24시간 동안 사용자가 다운로드한 1GB 이상의 큰 파일을 찾아내요. 물론 정상적인 경우도 있겠지만, 대량의 데이터 유출을 시도하는 내부자를 포착할 수도 있죠!

3. 제로데이 취약점 대응

새로운 취약점이 발견되면 빠르게 대응해야 해요. OSQuery를 사용하면 취약한 시스템을 신속하게 식별할 수 있어요.

SELECT name, version, install_location
FROM apps
WHERE name LIKE '%취약한 애플리케이션 이름%'
  AND version < '안전한 버전 번호';

이런 식의 쿼리로 취약한 버전의 애플리케이션이 설치된 시스템을 빠르게 찾아낼 수 있어요. 패치가 필요한 시스템을 우선적으로 관리할 수 있겠죠?

4. 네트워크 이상 행동 탐지

해킹된 시스템은 종종 이상한 네트워크 활동을 보여요. OSQuery로 이런 활동을 탐지할 수 있어요.

SELECT DISTINCT p.name, p.path, l.port, l.address, p.pid
FROM processes p
JOIN listening_ports l ON p.pid = l.pid
WHERE l.port > 1024
  AND l.address != '127.0.0.1'
  AND p.name NOT IN ('chrome.exe', 'firefox.exe', 'iexplore.exe  ', 'edge.exe', 'Teams.exe', 'Zoom.exe');

이 쿼리는 일반적인 브라우저나 화상회의 앱을 제외하고, 1024번 이상의 포트를 사용해 외부와 통신하는 프로세스를 찾아내요. 이상한 프로세스가 네트워크 연결을 시도한다면 주의 깊게 살펴봐야 해요!

5. 권한 상승 시도 탐지

해커들은 종종 시스템의 권한을 상승시키려고 시도해요. OSQuery로 이런 시도를 탐지할 수 있어요.

SELECT p.name, p.path, p.cmdline, p.parent, pp.name AS parent_name
FROM processes p
JOIN processes pp ON p.parent = pp.pid
WHERE p.name IN ('runas.exe', 'sudo', 'su', 'whoami', 'net.exe')
  OR p.cmdline LIKE '%privilege%'
  OR p.cmdline LIKE '%admin%';

이 쿼리는 권한 상승과 관련된 명령어를 실행하는 프로세스를 찾아내요. 물론 정상적인 관리 작업일 수도 있지만, 의심스러운 경우라면 꼭 확인해봐야 해요!

7. OSQuery의 한계와 주의사항: 완벽한 도구는 없다! 🚧

OSQuery는 정말 강력한 도구지만, 모든 도구가 그렇듯 한계와 주의사항이 있어요. 이를 알고 사용하면 더욱 효과적으로 활용할 수 있답니다!

1. 성능 영향

OSQuery는 시스템 리소스를 사용하기 때문에, 너무 자주 또는 복잡한 쿼리를 실행하면 시스템 성능에 영향을 줄 수 있어요.

2. 로그 관리

OSQuery는 많은 양의 로그를 생성할 수 있어요. 이를 제대로 관리하지 않으면 디스크 공간이 빠르게 소진될 수 있죠.

로그 로테이션을 설정하고, 중요한 이벤트만 선별적으로 저장하는 것이 좋아요. 로그 분석 도구와 연동해서 사용하면 더욱 효과적이겠죠?

3. 암호화된 데이터

OSQuery는 암호화된 데이터의 내용을 볼 수 없어요. 예를 들어, HTTPS 트래픽의 내용은 확인할 수 없답니다.

네트워크 트래픽 분석이 필요하다면 OSQuery와 함께 전용 네트워크 모니터링 도구를 사용하는 것이 좋아요.

4. 실시간성의 한계