🔒 보안도구의 끝판왕: OSQuery로 엔드포인트 보안 모니터링 마스터하기 🕵️‍♀️

안녕하세요, 보안 덕후 여러분! 오늘은 엔드포인트 보안의 핫한 트렌드, OSQuery에 대해 깊이 파헤쳐볼 거예요. 이 글을 다 읽고 나면 여러분도 OSQuery 마스터가 될 수 있을 거예요! ㅋㅋㅋ 자, 그럼 시작해볼까요? 🚀

1. OSQuery, 도대체 뭐길래? 🤔

OSQuery는 마치 운영 체제를 하나의 거대한 데이터베이스처럼 다룰 수 있게 해주는 마법 같은 도구예요. 윈도우, 맥OS, 리눅스 등 다양한 운영 체제에서 사용할 수 있어서 진짜 편리하죠. 이 도구를 사용하면 시스템의 상태를 실시간으로 모니터링하고, 보안 위협을 빠르게 탐지할 수 있어요.

OSQuery의 가장 큰 장점은 바로 SQL 문법을 사용한다는 거예요.

SQL을 조금이라도 아는 사람이라면 누구나 쉽게 사용할 수 있죠. 데이터베이스 쿼리하듯이 시스템 정보를 조회할 수 있으니까 완전 직관적이에요!

위의 그림을 보면 OSQuery가 어떻게 작동하는지 한눈에 알 수 있죠? 운영 체제의 정보를 SQL 쿼리로 쉽게 가져올 수 있다니, 정말 혁신적이지 않나요? 😎

2. OSQuery 설치하기: 초보자도 할 수 있어요! 💪

자, 이제 OSQuery를 설치해볼 차례예요. 걱정 마세요, 생각보다 훨씬 쉬워요!

윈도우에 설치하기

1. OSQuery 공식 웹사이트(https://osquery.io)에서 윈도우용 인스톨러를 다운로드해요.
2. 다운로드한 인스톨러를 실행하고 설치 마법사의 지시를 따라가면 끝!

맥OS에 설치하기

맥 사용자라면 Homebrew를 이용해 쉽게 설치할 수 있어요.

brew update
brew install osquery

리눅스에 설치하기

우분투나 데비안 계열이라면 다음 명령어로 설치할 수 있어요.

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B
sudo add-apt-repository "deb [arch=amd64] https://pkg.osquery.io/deb deb main"
sudo apt update
sudo apt install osquery

3. OSQuery 기본 사용법: SQL로 시스템을 해킹(?)해보자! 🕵️‍♂️

OSQuery를 설치했다면 이제 실제로 사용해볼 차례예요. OSQuery는 osqueryi라는 대화형 쉘을 제공해요. 이 쉘에서 SQL 쿼리를 실행해 시스템 정보를 조회할 수 있죠.

터미널이나 명령 프롬프트를 열고 다음 명령어를 입력해보세요:

osqueryi

짜잔! OSQuery 쉘에 들어왔어요. 이제 SQL 쿼리를 사용해 시스템 정보를 조회할 수 있어요.

기본적인 쿼리 예시

1. 실행 중인 프로세스 목록 조회하기

SELECT name, pid, path FROM processes;

2. 설치된 애플리케이션 목록 보기

SELECT name, version, install_location FROM apps;

3. 네트워크 연결 상태 확인하기

SELECT * FROM listening_ports;

4. 사용자 계정 정보 조회하기

SELECT * FROM users;

이런 식으로 SQL 쿼리를 사용해 시스템의 거의 모든 정보를 조회할 수 있어요. 완전 쩐다, 그쵸? ㅋㅋㅋ

위 그림을 보면 OSQuery가 어떻게 작동하는지 한눈에 알 수 있죠? SQL 쿼리를 입력하면 OSQuery 엔진이 이를 해석하고, 운영 체제에서 필요한 정보를 가져와 결과를 출력해요. 정말 간단하고 효율적이죠?

4. OSQuery로 엔드포인트 보안 모니터링하기: 보안 전문가처럼! 🦸‍♀️

자, 이제 OSQuery의 기본을 알았으니 실제로 엔드포인트 보안 모니터링에 어떻게 활용할 수 있는지 알아볼까요?

1. 의심스러운 프로세스 탐지하기

악성 프로세스는 종종 이상한 이름을 가지고 있거나, 특이한 경로에서 실행돼요. 다음 쿼리로 의심스러운 프로세스를 찾아볼 수 있어요.

SELECT name, path, pid
FROM processes
WHERE path NOT LIKE 'C:\Windows\%'
  AND path NOT LIKE 'C:\Program Files\%'
  AND path NOT LIKE 'C:\Program Files (x86)\%';

이 쿼리는 일반적인 Windows 시스템 경로 외에서 실행되는 프로세스를 찾아내요. 물론 모든 결과가 악성은 아니겠지만, 의심스러운 놈들을 골라내는 데 도움이 되죠!

2. 비정상적인 네트워크 연결 탐지하기

해커들은 종종 특이한 포트를 통해 시스템에 접근하려고 해요. 다음 쿼리로 비정상적인 네트워크 연결을 찾아볼 수 있어요.

SELECT DISTINCT processes.name, listening_ports.port, listening_ports.address, processes.pid
FROM processes
JOIN listening_ports ON processes.pid = listening_ports.pid
WHERE listening_ports.port > 1024;

이 쿼리는 1024번 이상의 포트를 사용하는 프로세스를 찾아내요. 대부분의 표준 서비스는 1024번 이하의 포트를 사용하니, 이 범위를 벗어나는 연결은 주의 깊게 살펴볼 필요가 있죠.

3. 최근에 수정된 파일 확인하기

악성 프로그램이 시스템에 침투하면 종종 파일을 수정하거나 새로운 파일을 생성해요. 다음 쿼리로 최근에 수정된 파일을 확인할 수 있어요.

SELECT path, filename, mtime
FROM file
WHERE path LIKE 'C:\Users\%'
  AND mtime > (SELECT datetime('now', '-1 day'))
ORDER BY mtime DESC
LIMIT 20;

이 쿼리는 지난 24시간 동안 사용자 디렉토리에서 수정된 파일 20개를 보여줘요. 갑자기 이상한 파일이 생겼다면 뭔가 수상한 거겠죠?

4. 자동 실행 프로그램 확인하기

많은 악성 프로그램들이 시스템 시작 시 자동으로 실행되도록 설정돼요. 다음 쿼리로 자동 실행 프로그램 목록을 확인할 수 있어요.

SELECT name, path, source
FROM startup_items;

이 목록에서 낯선 프로그램을 발견했다면, 꼭 확인해보세요! 악성 프로그램일 수도 있으니까요.

5. USB 장치 모니터링하기

USB 장치를 통한 악성 코드 유입도 흔한 공격 방법이에요. 다음 쿼리로 시스템에 연결된 USB 장치를 확인할 수 있어요.

SELECT * FROM usb_devices;

이 쿼리로 현재 연결된 모든 USB 장치의 정보를 볼 수 있어요. 낯선 장치가 보인다면 주의가 필요해요!

5. OSQuery의 고급 기능: 프로 보안 전문가 되기 🏆

지금까지 OSQuery의 기본적인 사용법을 알아봤어요. 이제 좀 더 고급 기능을 살펴볼까요? 이 부분을 마스터하면 여러분도 프로 보안 전문가가 될 수 있어요!

1. 스케줄링된 쿼리 실행하기

OSQuery는 osqueryd라는 데몬 프로세스를 제공해요. 이를 이용하면 주기적으로 쿼리를 실행하고 결과를 로그로 저장할 수 있죠.

먼저, 설정 파일을 만들어야 해요. 다음과 같은 내용의 osquery.conf 파일을 만들어보세요:

{
  "schedule": {
    "process_check": {
      "query": "SELECT name, path, pid FROM processes WHERE path NOT LIKE 'C:\\Windows\\%';",
      "interval": 3600
    },
    "network_check": {
      "query": "SELECT * FROM listening_ports WHERE port > 1024;",
      "interval": 3600
    }
  }
}

이 설정 파일은 1시간(3600초)마다 의심스러운 프로세스와 비정상적인 네트워크 연결을 확인하는 쿼리를 실행해요.

이제 다음 명령어로 osqueryd를 실행하세요:

osqueryd --config_path=osquery.conf --verbose

이렇게 하면 OSQuery가 백그라운드에서 계속 실행되면서 주기적으로 시스템을 모니터링해요. 완전 편하죠? ㅋㅋㅋ

2. 파일 무결성 모니터링 (FIM)

OSQuery의 강력한 기능 중 하나가 바로 파일 무결성 모니터링이에요. 중요한 시스템 파일이 변경되면 즉시 알 수 있죠.

osquery.conf 파일에 다음 내용을 추가해보세요:

{
  "file_paths": {
    "system": [
      "C:\\Windows\\System32\\drivers\\etc\\hosts",
      "C:\\Windows\\System32\\config\\SAM"
    ]
  }
}

이 설정은 hosts 파일과 SAM 파일의 변경을 모니터링해요. 이 파일들이 변경되면 해킹의 징후일 수 있으니 주의 깊게 봐야 해요!

3. 이벤트 기반 모니터링

OSQuery는 실시간으로 시스템 이벤트를 모니터링할 수 있어요. 예를 들어, 새로운 프로세스가 시작될 때마다 알림을 받을 수 있죠.

osquery.conf 파일에 다음 내용을 추가해보세요:

{
  "events": {
    "windows_events": {
      "event_categories": ["process_creation"],
      "event_sources": ["Microsoft-Windows-Security-Auditing"]
    }
  }
}

이 설정으로 Windows 시스템에서 새로운 프로세스가 생성될 때마다 이벤트를 캡처할 수 있어요. 악성 프로그램의 실행을 실시간으로 탐지할 수 있는 거죠!

4. 사용자 정의 테이블 만들기

OSQuery의 또 다른 강력한 기능은 사용자 정의 테이블을 만들 수 있다는 거예요. 예를 들어, 특정 레지스트리 키를 모니터링하고 싶다면 다음과 같은 테이블을 만들 수 있어요:

CREATE TABLE custom_registry (
  path TEXT,
  name TEXT,
  type TEXT,
  data TEXT
);

INSERT INTO custom_registry
SELECT path, name, type, data
FROM registry
WHERE path LIKE 'HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run%';

이 쿼리는 Windows의 자동 실행 프로그램 레지스트리 키를 모니터링하는 사용자 정의 테이블을 만들어요. 이제 'SELECT * FROM custom_registry;'로 언제든 이 정보를 조회할 수 있죠!

5. 분산 쿼리 사용하기

여러 대의 컴퓨터를 한 번에 모니터링해야 한다면? OSQuery의 분산 쿼리 기능을 사용하면 돼요!

먼저, 중앙 서버를 설정하고 각 클라이언트에 다음과 같은 설정을 추가해요:

{
  "options": {
    "distributed_interval": 60,
    "distributed_tls_max_attempts": 3,
    "distributed_tls_read_endpoint": "/distributed_read",
    "distributed_tls_write_endpoint": "/distributed_write",
    "distributed_plugin": "tls"
  }
}

이렇게 하면 모든 클라이언트가 60초마다 중앙 서버에 연결해서 새로운 쿼리를 받아오고 결과를 전송해요. 대규모 네트워크 모니터링이 한결 쉬워지죠!

6. OSQuery의 실제 활용 사례: 현장에서는 이렇게 써요! 🕵️‍♂️

지금까지 OSQuery의 이론과 기본적인 사용법을 알아봤어요. 이제 실제 현장에서 OSQuery가 어떻게 활용되고 있는지 몇 가지 사례를 통해 살펴볼까요?

1. 랜섬웨어 탐지

랜섬웨어는 현대 기업의 큰 위협이 되고 있어요. OSQuery를 사용하면 랜섬웨어의 활동을 초기에 탐지할 수 있어요.