[보안점검도구] 트립와이어(Tripwire)

트립와이어(Tripwire)는 서버 내의 파일 및 디렉터리에 대한 무단 변경 사항을 탐지하는 호스트 기반 침입 탐지 시스템(HIDS)이자 업계 표준으로 자리 잡은 파일 무결성 모니터링(FIM, File Integrity Monitoring) 도구입니다.

 

방화벽이 외부의 접근을 막는 문지기라면, Tripwire는 이미 내부로 들어온 침입자가 시스템의 핵심 파일(예: 비밀번호 파일, 시스템 실행 파일 등)을 몰래 변조하거나 백도어(Backdoor)를 설치하는 행위를 감시하는 내부 순찰자 역할을 합니다.

---

핵심 동작 원리

Tripwire는 파일의 원본 상태를 기억해 두고, 이후 상태와 비교하여 위변조 여부를 찾아내는 방식으로 동작합니다.

1. 초기 베이스라인(Baseline) 생성: 시스템이 악성코드에 감염되지 않은 안전한 초기 상태일 때, 관리자가 지정한 주요 파일들의 메타데이터(크기, 권한, 생성일)와 암호화된 해시값(SHA-256, MD5 등)을 계산하여 안전한 데이터베이스에 저장합니다.
2. 주기적 무결성 스캔: 설정된 주기(예: 매일 새벽 2시)에 따라 현재 시스템의 대상 파일들을 스캔하여 새로운 해시값을 계산합니다.
3. 상태 비교: 새로 계산된 해시값과 기존 데이터베이스에 저장된 베이스라인 해시값을 대조합니다. 해시 함수의 특성상 파일 내용이 단 1비트만 변경되어도 완전히 다른 해시값이 도출됩니다.
4. 경고 및 리포팅: 해시값이 불일치하거나 알 수 없는 파일이 추가/삭제된 경우, 이를 보안 침해(또는 비정상적인 변경)로 간주하고 관리자에게 경고 로그나 이메일을 발송합니다.

---

주요 구성 요소

• 정책 파일 (Policy File): 감시할 대상 경로(예: /etc, /bin), 무시할 파일(로그 파일 등 자주 변하는 파일), 위반 시 위험도 수준을 정의합니다.
• 데이터베이스 (Database): 정상 상태의 베이스라인 해시값들이 저장되는 공간입니다.
• 키 파일 (Key Files): 공격자가 Tripwire의 정책 파일이나 데이터베이스 자체를 변조하는 것을 막기 위해 비대칭 키 암호화 방식을 사용합니다.
  • Site Key: 여러 서버의 정책 파일을 일괄적으로 보호할 때 사용합니다.
  • Local Key: 해당 서버 고유의 데이터베이스를 보호할 때 사용합니다.

---

Tripwire 도입의 장단점

보안 강화를 위해 필수적인 도구이지만, 운영 편의성 측면에서 상반된 특징을 가집니다.

구분	설명
장점 (Pros)	높은 탐지 정확도: 파일 해시값을 검증하므로, 교묘하게 숨겨진 루트킷(Rootkit)이나 내부자의 악의적 조작을 정확히 잡아냅니다. 컴플라이언스 준수: PCI-DSS, ISMS-P 등 주요 보안 인증에서 요구하는 파일 무결성 모니터링 요건을 충족합니다.
단점 (Cons)	높은 오탐률(False Positives): 정상적인 OS 패치나 애플리케이션 업데이트 시에도 파일이 변경되므로 경고가 발생합니다. 운영 부하: 시스템 업데이트 전후로 정책을 업데이트하고 베이스라인을 재설정하는 관리 작업이 지속적으로 필요합니다. 사후 탐지 한계: 이미 발생한 변경을 '탐지'할 뿐, 변경 자체를 사전에 '차단'하지는 못합니다.

---

구체적인 활용 예시

시나리오: 침입자의 루트킷(Rootkit) 설치 탐지

1. 상황: 공격자가 서버의 취약점을 뚫고 관리자(root) 권한을 탈취했습니다. 공격자는 이후에도 들키지 않고 지속적으로 접속하기 위해 정상적인 로그인 프로그램인 /bin/login 파일을 악의적인 코드가 심어진 가짜 파일로 덮어씁니다.
2. 한계: 네트워크 방화벽(Firewall)은 이미 내부 시스템에서 일어나는 파일 교체 행위를 알 수 없습니다. 바이러스 백신(Anti-Virus)도 알려지지 않은 신종 악성코드라면 탐지하지 못할 수 있습니다.
3. Tripwire의 대응: 주기적 스캔이 실행되면 Tripwire는 /bin/login 파일의 해시값이 초기 데이터베이스의 값과 다르다는 것을 즉시 발견합니다. 관리자는 Violation: /bin/login has been altered라는 치명적(Critical) 경고 리포트를 받고 신속하게 시스템 격리 및 침해 사고 대응(IR)을 시작할 수 있습니다.