SKS 공부 - 2026-01-21

한줄요약:

보안 관제 - "자동화 진단 도구(sqlmap, ZAP)로 발생시킨 공격 흔적을 웹 로그에서 분석하고, 이를 기반으로 Snort 탐지 규칙을 직접 작성·적용함으로써 보안 관제의 전체 프로세스를 체득했습니다."

오늘 공부한 내용:

					

					  


---

### 1. 웹 공격 자동화 및 진단 (sqlmap & ZAP)

* **sqlmap:** 데이터베이스 취약점을 자동으로 탐지하고 데이터를 추출하는 강력한 도구입니다. `--current-db`, `--tables`, `--dump` 과정을 통해 데이터가 어떻게 단계적으로 유출되는지 학습하셨습니다.
* **OWASP ZAP:** 웹 애플리케이션의 구조를 파악(Spider)하고 **Path Traversal** 같은 취약점을 진단했습니다.
* **로그 분석의 중요성:** 진단 도구가 날리는 공격 패턴이 서버 로그(`access.log`)에 어떻게 남는지 확인하는 과정은 관제 실무에서 가장 중요한 '공격 시그니처' 추출 연습입니다.

### 2. Snort IDS 규칙(Rule) 작성 및 운영

작성하신 룰을 기반으로 핵심 문법을 정리합니다.

**[작성하신 룰 분석]**
`alert TCP 192.168.2.0/24 any -> 192.168.2.0/24 any (msg:"snort option test"; content:"/etc/passwd"; nocase; sid:20260121; rev:1;)`

* **Header:** 특정 네트워크 대역간의 TCP 통신을 감시합니다.
* **Option:** 패킷 페이로드 내에 `/etc/passwd`(리눅스 주요 설정 파일)라는 문자열이 포함되면 대소문자 구분 없이(`nocase`) 경고(`alert`)를 발생시킵니다.
* **관리:** `sid`는 규칙의 고유 ID이며, 수정 시 `rev` 버전을 올려 관리합니다.

### 3. 실무 핵심 옵션 가이드

* **flow:established:** TCP 3-way handshake가 완료된 정상 세션에서의 공격만 탐지하여 오탐(False Positive)을 줄입니다.
* **http_uri / http_method:** 웹 공격 탐지 시 범위를 URI나 메소드로 한정하여 탐지 성능을 높입니다.
* **pcre:** 복잡한 변형 공격(예: `union select` 사이의 공백 변조 등)을 정규표현식으로 정교하게 잡아냅니다.

---

### 💡 학습 포인트 요약

1. **공격(Attack):** ZAP이나 sqlmap으로 공격을 수행할 때 서버에 남는 로그 패턴을 기억하세요.
2. **방어(Defense):** 그 패턴을 기반으로 `content`와 `pcre`를 조합해 `local.rules`를 작성합니다.
3. **적용(Operation):** `rule-update`를 통해 규칙을 적용하고, 실시간 모니터링 도구(Sguil 등)에서 이벤트가 발생하는지 확인하는 피드백 루프가 중요합니다.