ZoomEye: 인터넷 연결 기기 탐색 도구
검색 엔진을 떠올려 보세요. 하지만 일반적인 웹사이트 콘텐츠 대신, 인터넷에 연결된 기기들을 보여주는 검색 엔진이라면 어떨까요? ZoomEye는 바로 그러한 역할을 합니다.
일반 사용자에게는 이 정보가 큰 의미가 없을 수 있습니다. 하지만 사이버 보안 전문가들에게는 매우 귀중한 자료입니다. 시스템의 취약점을 파악하고 악의적인 해커의 공격 전에 이를 해결하는 데 활용할 수 있습니다.
그렇다면 ZoomEye는 정확히 무엇이며, 어떻게 작동하고, 사이버 보안에 어떻게 도움이 될 수 있을까요?
ZoomEye란 무엇인가?
ZoomEye는 사이버 보안 전문가, 연구자, 조직들이 인터넷에 연결된 서비스와 장치에 대한 정보를 수집하고 보안을 평가하며, 잠재적인 취약점을 식별하는 데 활용할 수 있는 반 유료 정찰 플랫폼입니다.
Nmap이나 Masscan과 같은 정찰 도구들이 특정 IP 주소 범위와 포트에 대한 심층적인 분석을 제공하는 반면, ZoomEye는 노출된 사이버 공간의 전체적인 모습을 보여주는 보다 광범위한 도구라고 할 수 있습니다.
ZoomEye는 어떻게 작동하나?
ZoomEye는 사이버 보안 전문가가 인터넷에서 접근 가능한 IPv4, IPv6 주소 및 웹사이트 도메인 데이터베이스를 검색하고 탐색할 수 있도록 지원합니다. 사이버 공간은 방대하고 지속적으로 확장되는 네트워크이므로, ZoomEye는 전 세계에 분산된 측정 노드를 활용하여 사이버 공간의 상당 부분을 효과적으로 스캔합니다.
더 자세히 살펴보면 ZoomEye는 스캔, 배너 캡처, 인덱싱, 검색 및 쿼리의 네 단계로 작동합니다.
| 스캔: | ZoomEye는 전 세계에 위치한 측정 노드를 사용하여 인터넷에 연결된 장치와 개방된 서비스 포트를 찾습니다. |
| 배너 캡처: | 서비스나 장치의 존재가 확인되면, ZoomEye는 해당 포트에서 실행 중인 특정 서비스의 배너 정보를 수집합니다. 배너 정보에는 실행 중인 포트, 사용된 유틸리티, 유틸리티의 버전, 서비스가 실행 중인 하드웨어 및 기타 식별 특성과 같은 서비스에 대한 세부 정보가 포함될 수 있습니다. |
| 인덱싱: | 배너 캡처 단계에서 수집된 데이터는 ZoomEye의 데이터베이스에 저장되고 인덱싱됩니다. |
| 검색 및 쿼리: | 데이터베이스는 ZoomEye API를 통해 사용자에게 제공되며, 사용자는 ZoomEye 데이터베이스에 저장된 모든 정보를 검색하고 쿼리할 수 있습니다. 사용자는 키워드를 검색하거나 필터를 적용하여 특정 유형의 장치나 서비스를 찾을 수 있습니다. |
ZoomEye는 추가 데이터 유형에 액세스하려는 사용자에게 다양한 요금을 부과합니다. 예를 들어, 매달 50개의 IP 주소를 모니터링하는 데에는 70달러가 부과됩니다. 250개의 IP 주소 모니터링에는 140달러가 필요하며, 매달 10,000개의 결과는 무료로 이용할 수 있고, 추가로 20,000개의 결과를 얻으려면 월 70달러가 청구됩니다.
ZoomEye는 사이버 보안에 어떻게 도움이 되는가?
ZoomEye와 같은 정찰 플랫폼이 제공하는 정보의 범위 때문에 악의적인 사용자가 이를 악용할 가능성도 있습니다. 하지만 취약한 네트워크를 숨기는 것이 해커로부터 보호하는 최선의 방법은 아닙니다. 오히려 ZoomEye와 같은 플랫폼은 이러한 네트워크를 대중에게 공개함으로써 모든 사람이 자신의 네트워크와 장치에 해커가 악용할 수 있는 취약점이 있는지 확인할 수 있도록 돕습니다.
그렇다면 ZoomEye는 어떻게 더 안전한 사이버 공간을 만드는 데 기여할 수 있을까요?
- 외부 가시성: ZoomEye와 같은 플랫폼을 통해 잠재적으로 취약한 네트워크 및 장치가 노출되면 커뮤니티와 시스템 소유자에게 주의를 환기시킬 수 있습니다. 대규모 조직은 ZoomEye를 활용하여 외부 관점에서 자신의 디지털 자산을 더 잘 파악할 수 있습니다.
- 자산 검색: 네트워크 규모가 작으면 네트워크에 연결된 모든 장치의 구성 및 인벤토리를 쉽게 관리할 수 있습니다. 그러나 정부 기관이나 대규모 조직에서 사용하는 네트워크와 같이 규모가 큰 네트워크에서는 추적이 어려울 수 있습니다. 웹캠, 중계기, IoT 장치 등과 같은 알려지지 않은 자산들을 외부에서 확인할 수 있다면 사이버 보안 담당자들이 이러한 자산을 식별하고 점검하는 데 도움이 될 수 있습니다.
- 취약점 평가: ZoomEye는 네트워크의 잠재적인 취약점과 잘못된 구성을 파악하는 데 도움을 줄 수 있습니다. 사이버 보안 담당자가 취약점 평가를 수행할 수 있지만, ZoomEye와 같은 정찰 플랫폼은 개방형 포트, 구형 소프트웨어 또는 안전하지 않은 구성과 같이 놓쳤을 수 있는 문제를 찾아낼 수 있습니다.
- 제3자 위험 관리: ZoomEye를 사용하면 비즈니스와 관련된 제3자 공급업체 및 파트너의 보안 상태를 확인할 수 있습니다. 시스템을 안전하게 유지하는 것 외에도 ZoomEye와 같은 플랫폼을 통해 파트너 네트워크를 확인하면 보안 문제를 조기에 발견하는 데 도움이 될 수 있습니다.
- 연구 및 위협 인텔리전스: 사이버 보안 전문가는 ZoomEye를 사용하여 어떤 유형의 기술이 널리 사용되는지, 새로운 위협은 없는지 파악하고 잠재적인 공격 벡터를 연구할 수 있습니다.
ZoomEye의 잠재적인 위험
ZoomEye는 정찰 및 위협 평가를 통해 사이버 보안을 강화하기 위한 유용한 온라인 도구입니다. 하지만 누구나 쉽게 사용할 수 있는 도구와 마찬가지로, ZoomEye는 해커에 의해 악용되어 다양한 유형의 정찰 공격에 사용될 수 있습니다.
ZoomEye를 통해 얻을 수 있는 정보의 양 때문에 해커는 네트워크 장치에 대한 무단 액세스를 얻고, 악성 코드를 설치하고, 서비스를 방해하고, 민감한 데이터를 훔치는 등의 악의적인 활동을 수행할 수 있습니다.
또한 숙련된 해커는 ZoomEye를 통해 지속적으로 스캔하고 수집한 정보를 자신의 도구에 통합하여 가능한 모든 네트워크에 대한 무단 액세스를 자동으로 시도할 수 있습니다.
ZoomEye를 두려워해야 할까?
해커가 ZoomEye를 악용하여 잠재적인 대상을 찾을 수 있기 때문에 사람들이 ZoomEye를 두려워하는 것은 이해할 만합니다. 하지만 ZoomEye 데이터베이스의 모든 데이터는 이미 공개적으로 접근 가능하다는 것을 기억해야 합니다. ZoomEye는 공개된 웹사이트, 서비스, 인터넷에 연결된 장치를 인덱싱하는 대규모 포트 스캐너일 뿐입니다.
ZoomEye나 유사한 플랫폼이 있든 없든, 네트워크가 취약하다면 해커는 언제든지 시스템을 찾아서 공격할 방법을 찾아낼 수 있습니다. 물론 ZoomEye는 해커가 취약한 시스템을 더 쉽게 찾을 수 있도록 해줍니다. 하지만 진짜 문제는 네트워크가 취약하고 소유자가 이를 제대로 보호하지 못했다는 것입니다.
ZoomEye는 양쪽 모두에게 유용할 수 있습니다. 해커는 노력만 하면 언제든지 취약한 네트워크를 찾을 수 있지만, 사이버 보안에 대한 경험이 없는 사람도 이 도구를 사용하여 자신의 네트워크가 노출되어 있는지 확인할 수 있습니다.
ZoomEye의 장단점
ZoomEye는 초기 정찰 작업에 유용한 강력한 플랫폼이지만, 플랫폼에서 얻을 수 있는 정보가 부족한 경우도 종종 있습니다.
ZoomEye의 작동 방식과 한계 때문에, 사이버 보안 전문가들은 ZoomEye 외에도 Shodan, Censys, FOFA, LeakIX와 같은 다른 정찰 플랫폼을 함께 사용하는 경우가 많습니다. 그런 다음 특정 네트워크에서 Nmap, BurpSuit, WireShark와 같은 특수 도구를 사용하여 더 많은 정보를 수집합니다. ZoomEye를 직접 사용할 때 이 점을 명심해야 합니다.