• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

클라우드플레어, 강력한 네트워크 스캐닝 툴 오픈소스로 전환 2019.11.25

플랜 스캔, 네트워크에 존재하는 모든 서비스 탐지하고 CVE 데이터베이스와 대조
앤맵을 기반으로 개발돼...최종 결과물로서 사용자가 실제 대처할 수 있는 보고서 발행

[보안뉴스 문가용 기자] 클라우드 보안 및 웹 생산성 향상 서비스를 제공하는 클라우드플레어(Cloudflare)가 플랜 스캔(Flan Scan)이라는 네트워크 취약점 스캐너를 오픈소스로 공개하겠다고 발표했다.

[이미지 = iclickart]


플랜 스캔은 앤맵(Nmap) 오픈소스 도구를 기반으로 만들어졌으며, 네트워크에 존재하는 서비스들을 쉽고 정확하게 탐지해주는 스캐너로서 개발됐다. 또한 그 서비스들을 CVE 데이터베이스에 대조해 취약점을 발견할 수도 있게 해준다.

클라우드플레어가 이러한 스캐너를 제작할 때 앤맵을 기반으로 한 것은, 앤맵의 개발자들이 오탐을 낮추는 것에 굉장히 집중한 것으로 알려져 있으며, 앤맵 스크립팅 엔진(Nmap Scripting Engine)이 있어 스캔 결과를 가지고 스크립트를 실행시키는 게 가능하기 때문이다. 또한 앤맵 스크립팅 엔진의 벌너(vulners)라는 스크립트를 통해 CVE와 탐지된 서비스를 매핑시키는 것도 가능하다.

앤맵을 플랜 스캔으로 변환시키기 위해 클라우드플레어는 세 가지 기능을 추가했다.
1) 간편 구축(Easy Deployment) : 스캔 결과를 구글 클라우드 스토리지 버킷(Google Cloud Storage Buckeet)이나 S3 버킷으로 보낼 수 있다.
2) 설정(Configuration) : 위와 같다.
3) 실천 가능 보고서(Actionable Reports) : 앤맵의 아웃풋을 바탕으로 생성된다.

클라우드플레어는 “플랜 스캔을 가지고 규정 준수를 위한 스캔과 네트워크 강화를 위한 스캔 모두를 할 수 있다”고 설명한다. “네트워크에 연결된 서비스들 중 기간이 한참 지나고 업데이트가 되지 않은 아파치(Apache)와 PostgreSQL 등을 쉽게 발견할 수 있기 때문입니다.”

플랜 스캔은 “보다 큰 차원에서의 취약점 관리 프로그램을 확대시키기 위한 클라우드플레어의 자체 노력의 일환”이라고 클라우드플레어는 설명한다. “최근 클라우드플레어는 전사적으로 osquery를 구축했습니다. 호스트 기반의 취약점 추적을 하기 위해서죠. osquery를 통해 찾아낸 결과를 플랜 스캔의 네트워크 스캔 결과와 같이 보면 보다 통합적인 가시성을 제공받을 수 있게 되는 걸 알았습니다.”

플랜 스캔을 실행시키면 제일 먼저 앤맵 스캔이 시작된다. 그러면서 서비스들을 하나 둘 탐지하기 시작하는데, 다음과 같은 내용으로 구성되어 있다.
1) ICMP 핑 스캔(온라인에 노출되어 있는 IP 주소들)
2) SYN 스캔(응답하는 IP 주소들 중 가장 많이 나타나는 포트 1000개)
3) 서비스 탐지 스캔(열린 포트에서 실행되는 서비스들)
사용자들은 추가적으로 UDP와 IPv6 스캔도 실시할 수 있다.

위에서 언급된 벌너(vulners) 스크립트 태그 역시 디폴트 앤맵 명령에 포함되어 있다. 따라서 플랜 스캔으로 스캔을 시작하면 탐지된 서비스들에 적용될 수 있는 취약점들의 목록이 나타난다. 그 다음으로 플랜 스캔은 LaTex를 활용해 앤맵의 결과물을 실천 가능한 보고서의 형태로 변환시킨다. 이 보고서에는 취약한 서비스들의 목록이 뜨고, 각 서비스마다 해당될 수 있는 취약점들의 세부 정보가 열거된다. IP 주소들도 포함되어 있다.

“클라우드플레어는 모든 사람에게 보다 안전한 인터넷을 만들기 위해 노력할 것입니다. 비싼 돈을 주고 고가의 장비를 살 수 있는 조직들만 안전한 장소로 변질되는 것을 허하지 않을 계획입니다. 그런 차원에서 플랜 스캔을 오픈소스로 전환합니다. 네트워크 보안을 강화하려면 돈이 많아야 한다는 지금의 잘못된 관행들을 깨기 위해서입니다.”

플랜 스캔은 깃허브를 통해 공개(https://github.com/cloudflare/flan)되어 있는 상태다.

3줄 요약
1. 앤맵을 기반으로 만들어진 네트워크 스캔 툴, 플랜 스캔.
2. 클라우드플레어, “돈 들여야 네트워크 강화할 수 있다는 미신 깨기 위해” 무료로 배포.
3. 현재 깃허브에 공개되어 있는 상태.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>