허니팟의 의미

허니팟(honeypot)

 허니팟(honeypot)이란 ‘해커를 잡는 덫’이란 뜻의 용어이다. 비정상적인 접근을 탐지하기 위해 의도적으로 설치해둔 시스템을 의미한다. 네트워크 상에 특정 컴퓨터를 연결해 두고 해당 컴퓨터에 중요한 정보가 있는 것처럼 꾸며 공격자가 해당 컴퓨터를 크래킹하기 위해 시도하는 것을 탐지할 수 있다. 허니팟은 네트워크에 공격이 있는지를 알아채는 도구로 사용할 수 있으며, 또한 스팸 메일과 같이 기계적인 공격의 패턴을 파악하는 데에도 사용이 가능하다. 즉, 컴퓨터 프로그램에 침입한 스팸과 컴퓨터 바이러스, 크래커를 탐지하는 가상컴퓨터이다.

 

 허니팟은 위장서버와 추적장치를 이용하여 해커를 유인해낸다. 해커는 찾아낸 취약점 공략을 위해 허니팟을 공격하는 해커들은 해킹 경로와 해킹수법을 들어내 신분이나 해킹위치를 역추적 당하게 된다.

 

 허니팟의 목적은 크게 두 가지로 나뉜다. 첫 번째 목적으로는 해커를 유인해서 정보를 얻거나 잡기 위한 목적이다. 이 경우는 정보의 수집과 시스템 제어의 기능을 충실히 수행할 수 있어야 한다. 두 번째 목적은 공격의 회피이다. 중요한 시스템을 보호하기 위한 위장서버의 역할을 수행한다. 허니팟은 쉽게 해커에게 노출되어야 한다는 조건을 가지고 있다. 더불어 쉽게 해킹이 가능한 것처럼 취약해 보여야 한다. 또한, 시스템의 모든 구성 요소를 갖추며, 시스템을 통과하는 모든 구성 요소를 갖추며, 시스템을 통과하는 모든 패킷을 감시할 수 있어야 한다. 허니팟은 시스템에 접속하는 모든 사람에 대해 관리자에게 알려야 한다.

 

 최근 크래커의 공격형태는 불특정 다수를 공격하며 악성코드를 유포한다. 기존 허니팟과 악성코드 수집용 허니팟을 비교할 수 있다.

기존 허니팟	악성코드 수집용 허니팟
• 크래서가 착각하도록 허니넷 구성 (허니넷 안에서만 활동) • 공격기법 분석을 위해 시스템 로그 수집 • 패킷 분석 (악성코드 행위를 알기 위해)	• 생성된 파일, 변경된 파일, 시스템 로그 수집 • 자체 Outbound 트래픽 차단 (외부 누출 피해 방지) • 악성코드 수집용 운영체제, 시스템 관리용 운영체제 (두 개 이상의 운영체제) • 패킷 및 파일 동작, 프로세스 동작