쇼단(shodan) 검색엔진을 이용한 보안점검 또는 모의해킹(Pen Test)

쇼단(Shodan) 이란?

쇼단은 인터넷 연결 모든 기기들의 데이터를 수집하고 제공해주는 검색 엔진이다. 구글과 같은 검색 엔진은 웹사이트를 찾는데 특화되어 있다. 반면에 쇼단은 WEB/WAS 서버의 버전 정보나 FTP나 TELNET, SSH 등 서버에서 제공중인 서비스들을 검색 할 수 있다. 물론 구글도 검색연산자를 사용하여 어느정도 정보 수집이 가능하지만 쇼단은 검색된 서버에서 예상되는 취약점(CVE) 등을 보여주는 등 검색된 서버/기기들의 세부정보 제공에 있어 좀 더 특화되어 있다.

쇼단은 이론적으로 인터넷에 연결된 모든 장치에 대한 정보를 수집한다. 만약 어떤 장치가 인터넷에 직접 연결되어 있다면, 해당 장비에서 현재 외부에 공개된 정보들을 수집하기 위해 검색 질의를 한다. 수집된 장치는 PC에서 발전소, 각종 IoT 기기, CCTV 등 매우 다양하다.

검색 개요

쇼단에서 수집되는 대부분의 데이터는 장치에서 실행되는 소프트웨어에 대한 메타데이터인 배너에서 가져온다. 배너에는 서버 소프트웨어에 대한 정보, 서비스가 지원하는 옵션, 환영 메시지 또는 서버와 상호 작용하기 전에 클라이언트가 알고 싶은 기타 정보일 수 있다. 예를 들어 다음 FTP 배너는 서버네임과(kcg.cz), FTP 서버의 유형(Free BSD 4.x) 및 버전(6.00LS)을 알려준다. 

220 kcg.cz FTP server (Version 6.00LS) ready.

HTTP의 경우 배너는 다음과 같이 표시되는데 서버의 운영체제, WAS 버전정보, 사용중인 DB 정보등을 파악 할 수 있다.

HTTP/1.0 200 OK
Date: Tue, 16 Feb 2010 10:03:04 GMT
Server: Apache/1.3.26 (Unix) AuthMySQL/2.20 PHP/4.1.2 mod_gzip/1.3.19.1a mod_ssl/2.8.9 OpenSSL/0.9.6g
Last-Modified: Wed, 01 Jul 1998 08:51:04 GMT
ETag: "135074-61-3599f878"
Accept-Ranges: bytes
Content-Length: 97
Content-Type: text/html

보안점검 or 모의해킹시 업무 활용도

쇼단 검색을 활용하여 수집되는 정보들은 보안점검이나 모의해킹을 하는데 있어 정보수집 시간을 상당히 단축 시킬 수 있다.

 

첫번째로 점검을 나가게 되면 대부분 정보수집을 위해 필수적으로 포트스캔을 수행하게 된다. 이 단계에서 쇼단을 사용한다면 장시간 걸리는 포트스캔에 비해 간편하게 점검대상이 되는 대역에서 제공되는 서비스 목록을 확보 할 수 있다.

두번째로 제공되는 배너 정보를 통해 현재 제공되는 버전에 해당하는 Exploit을 사용해 실제 해킹발생 가능성을 점검 할 수 있다. 또한 배너를 통해 외부에 버전 정보등이 공개되는것도 설정상의 취약점으로 볼 수 있다.

 

이외에도  최근에는 쇼단 모니터링 서비스도 제공하고 있어 IP대역이나 도메인 기반으로 등록하여 담당자에게 메일로 리포트 하는 서비스도 제공되고 있다. 보안담당자들이 쇼단을 통해 수집되는 정보들과 추가로 제공되는 API를 활용하여 본인이 소속된 회사에 좀 더 최적화된 상시 모니터링 서비스를 개발하는 등 업무에 다양하게 활용하면 저비용으로 양질의 서비스를 제공 할 수 있을 것이다.