허니팟

허니팟이란?

허니팟(honeypot)은 비정상적인 접근을 탐지하기 위해 의도적으로 설치해 둔 시스템을 의미한다. 예를 들어, 네트워크 상에 특정 컴퓨터를 연결해 두고 해당 컴퓨터에 중요한 정보가 있는 것 처럼 꾸며두면, 공격자가 해당 컴퓨터를 크래킹하기 위해 시도하는 것을 탐지할 수 있다.  허니팟은 네트워크에 공격이 있는지를 알아채는 도구로 사용할 수 있으며, 또한 스팸 메일과 같이 기계적인 공격의 패턴을 파악하는 데에도 사용이 가능하다.

 

허니팟(honeypot)은 IT 전문가가 악의적인 해커를 잡기 위해 설치하는 덫이다. 해커가 허니팟에 걸려들어 유용한 정보를 흘리게 하는 것이 목표다. IT에서 가장 오래된 보안 수단 가운데 하나지만, 격리된 시스템에서 실시한다 해도 해커를 네트워크로 유인할 때는 위험에 주의를 기울여야 한다.

 

컴퓨터 프로그램에 침입한 컴퓨터바이러스, 악성코드, 크래커를 탐지하는 가상 컴퓨터.
침입자를 속이는 침입탐지기법으로 마치 실제로 공격을 당하는 것처럼 보이게 하여 크래커를 추적하고 정보를 수집하는 역할을 한다. 크래커를 유인하는 함정을 꿀단지에 비유하여 Honey Pot이란 명칭이 붙여지게 되었다.

 

=>해커를 유인하기 위해 고의로 취약한 서버를 만들어 이를 모니터링하는 시스템

=>허니팟으로 네트워크를 구성한 것을 허니넷이라고 함.

 

허니팟의 조건

-쉽게 해커에게 노출되어야 한다.

-쉽게 해킹이 가능한 것처럼 취약해 보여야 한다.

-시스템의 모든 구성 요소를 갖추고 있어야한다.

-시스템을 통과하는 모든 패킷을 감시해야 한다.

-시스템에 접속하는 모든 사람에 대해 관리자에게 알려줘야한다.

 

최신 동향

출처: hahahia.tistory.com/103

 

[기존 허니팟의 종류]

크래커의 공격을 유인으로 내부 정보 자원을 보호한다.

-취약해 보여야 함

-시스템을 통과하는 모든 패킷 감시(관리자)

 

2. 방어 기법 연구를 위한 목적으로 공격기법을 로그기반으로 수집

-공격 유도

-실제와 동일한 네트워크 환경(다수의 허니팟으로 구성된 허니넷 구성)

 

[최근 크래커의 공격 형태]

-불특정 다수 공격, 악성 코드 유포

 

=>허니팟의 유형도 변화 필요.

 

예시) 기존 허니팟과 악성코드 수집용 허니팟의 비교

 

기존 허니팟

=>크래커 착각하도록 허니넷 구성(이 안에서만 활동)

공격 기법 분석을 위해 시스템 로그 수집

패킷 분석(악성 코드 행위를 알기 위함)

 

악성코드 수집용 허니팟

=>생성된 파일, 변경된 파일, 시스템 로그 수집

자체 트래픽 차단(외부 누출 피해방지)

악성코드 수집용 운영체제, 시스템 관리용(두개 이상)

패킷 및 파일 동작, 프로세스 동작.