그러나, 조직내의 모든 정보시스템을 일일이 조사하고 검사하는 방법은 시간과 인내력을 요하는 작업일 수 밖에 없으며 , 수시로 업데이트 되는 다양한 취약점에 일일이 대응하기에는 현실적으로 어려움이 따릅니다.
이럴 때에 이를 효율적으로 진단하고 리포팅해 줄 수 있는 방법이 무엇이 있을까요?
가장 먼저 떠오르는 것이 취약점 스캐너 일 것입니다.
취약점 스캐너는 상당히 많은 제품들이 나와 있지만, Tenable사의 Nessus가 가장 널리 사용되어 왔습니다.
2005년쯤에 Nessus는 GNU의 GPL 라이센스를 포기하고 3.0 버전을 유료화 하면서 소프트웨어는 무료로 제공하고 네트워크 취약성 테스트 (NVT) 업그레이드는 유료화, 그 외에 다른 부가 기능에도 제약을 걸기 시작했습니다.
이러한 Nessus의 유료 버전은 1년에 1,200달러 , 우리나라 돈으로 약 120-130만원에 해당됩니다.
Nessus의 경우 유료 버전과 무료버전의 기능적 차이가 매우 크고, 실제 유료 버전의 경우는 제로데이, 최신 취약점 등이 신속하게 업데이트 되는데다가 근래에는 아이폰 같은 앱(APP)을 이용하여 언젠든지 스캔 , 리포팅을 시작하거나 중지하는 등의 업무를 수행할 수 있습니다.
그러나 정보보호 예산이 턱없이 부족한 중소기업의 경우는 1년 1200 달러의 비용은 회사에서 승인되기 어려운 예산인 경우가 다반사입니다.
이럴 경우, 기업내의 정보시스템관리자 및 보안관리자는 비용 부담없이 고효율을 가져올 수 있는 대안을 고려할 수 밖에 없습니다.
이러한 대안 중의 하나가 바로 OpenVAS (Open Vulnerability Assessment Scanner )입니다.
OpenVAS는 Nessus를 기본으로 하는 취약점 스캔을 위한 프레임워크로, 2008년에 소개된 이래 꾸준히 개발, 발전되고 있는 프로젝트입니다.
OpenVAS는 초기에도 그랬고, 지금 현재도 무료로 제공되는 취약점 스캐너입니다.
2011년 1월 현재 약 20961 개의 취약점 진단이 가능하며, 이는 유료버전의 Nessus의 42493 에 비해서는 약 50% 에 못미치는 취약점 진단이 가능합니다.
무료 버전의 Nessus 에 비해서 OpenVAS는 NVT 취약점 데이터베이스를 더 많이 가지고 있으므로 무료 Nessus를 사용하시는 분들이라면 OpenVAS는 충분한 대안이 됩니다.
무료라고 해서 그 기능이나, 성능이 떨어진다면 가치가 퇴색될 수 있지만, OpenVAS는 무료임에도 불구하고 기본적인 취약점 스캐너로써의 기능에 충실합니다.
따라서, 부족하지만 OpenVAS를 설치하고 구성하여 활용할 수 있는 가이드를 만들어 보았습니다.
사실 이 가이드를 만들려고 생각한 것은 국내에도 소개가 된지 제법 되었음에도 불구하고 설치 및 활용에 대한 흔한 문건하나 국내 사이트에서 발견하지 못했기 때문입니다.
따라서, 오래된 버전의 Nessus를 기반으로 사용하는 분들이나, 보안점검이 필요 하신분들에게는 유용한 정보가 될 듯 하여 작성하게 되었습니다.
또한, 근래에 rapid7에서 공개한 NeXpose 와 성능 및 기능의 우위에 대해서는 논란이 있을 수 있지만, OpenVAS 나 NeXpose 모두 훌륭한 무료 취약점 스캐너로써 예산이 넉넉지 못한 기업 환경에서 유용하게 사용할 수 있는 도구 라는 점은 의심의 여지가 없습니다.
이미지가 많아서 해당 파일을 pdf 로 작성하였습니다. 실제 설치 과정과 활용 방법에 대해서는 여기 를 눌러서 다운 받아 가시기 바랍니다. 다소나마 정보보호 업무에 도움이 되시기 바랍니다.
[Intek Consulting 김석 (김재벌) ostoneo@gmail.com]
