TryHackMe/Cyber Security 101

[TryHackMe #2] 웹 애플리케이션 해킹 : 방어 보안 실습 (SOC, 위협 인텔리전스, DFIR, SIEM 분석)

ahhyun98 2025. 4. 29. 21:25

 

이전 글에서는 웹 디렉터리 브루트포싱을 통해 숨겨진 경로를 찾는 공격적 보안 실습을 진행했었다. 

이번에는 관점을 바꿔, 방어 보안(Defensive Security) 측면에서 SOC 운영, SIEM 분석, 위협 인텔리전스, 사고 대응, 맬웨어 분석 등을 실습해보겠다. 

 

1. 방어 보안 (Defensive Security)의 개념 

방어 보안은 공격을 사전에 예방하거나, 발생한 침입에 신속하게 대응하기 위한 보안 전략이다. 

 

주요 목표는 다음 두가지이다. 

  • 1. 침입 방지 (Prevention)
  • 2. 침입 감지 및 대응 (Detection & Response)

이러한 전략을 실현하기 위해서는 다음과 같은 활동이 필요하다. 

 

  • 사용자 보안 인식 교육
  • 자산 문서화 및 시스템 관리
  • 소프트웨어 패치 및 업데이트
  • 방화벽, IPS 같은 예방 장비 설정
  • 로깅 및 네트워크 트래픽 모니터링

2. SOC과 SIEM : 실시간 보안 분석

 

SOC(Security Operations Center)는 실시간으로 보안 이벤트를 감시하고, 사고에 대응하는 전문가 조직이다. 

이들은 SIEM(Security Information and Event Management) 도구를 활용해 시스템 전반의 보안 로그와 이벤트를 통합 관리한다. 

 

3. 실습

 

3-1) SIEM 대시보드 경고 분석 

 

이번 실습에서는 SOC 분석가의 역할을 맡아 SIEM에서 경고 로그를 확인하고, 악성 IP를 식별하였다. 

 

경고 로그

 

※ 경고 로그 중에서 눈에 띄는 부분

undefined 2025. 4. 29.th undefined, 07:06:27:094	Unauthorized connection attempt detected from IP address 143.110.250.149 to port 22
undefined 2025. 4. 29.th undefined, 07:09:28:123	Successful SSH authentication attempt to port 22 from IP address 143.110.250.149

 

경고 로그를 보면 IP(143.110.250.149)가 단순 로그인 시도에서 끝나지 않고, 실제로 SSH 로그인에 성공한 상황이다. 

따라서 이 IP는 악성 IP로 의심이 가는 상황이다. 

 

 

3-2) 위협 인텔리전스 기반 분석

 

=> 의심이 가는 이 IP를 조회해 보았다. 

 

 

=> 해당 IP(143.110.250.149)를 조회해 보았더니 다음과 같은 결과가 나왔다. 

 

  • 위험률 : 100% (확실한 악성 행위자)
  • ISP : China Mobile Communications Corporation
  • Domain Name : chinamobileltd.thm
  • Country : China
  • City : Zhenjiang, Jiangsu

 

이처럼 위협 인텔리전스는 이렇게 위협 행위자의 정체와 공격 특성을 파악할 수 있어서 방어 전략을 세우는데 큰 도움이 된다. 

 

 

3-3) 사고 대응 프로세스

 

SSH 로그인 성공까지 이루어진 상황이기 때문에 단순한 탐색이 아닌 실제 침입 시도로 판단되어 사고를 보고해야 한다. 

 

 

=> Will Griffin (SOC Team Lead)에 보고해야 한다. 

 

 

3-4) 방화벽을 통한 차단 조치 

 

 

방화벽을 통해 악성 IP인 143.110.250.149를 차단 규칙에 등록하여 차단했다. 

 

 

해당 악성 IP 차단에 성공하였고 미션 답인 THM{THREAT-BLOCKED} 답을 얻을 수 있었다. 

 

4. 실습을 통해 배운 점

 

  • SIEM 로그는 로그들의 흐름을 파악하여 보면 중요한 정보가 될 수도 있다. 
  • 단순한 실패 로그인도 지속성과 패턴을 가지고 있으면 실제 공격의 전조일 수도 있다. 
  • 위협 인텔리전스 기반으로 분석하고 사고를 대응하는 방법에 대해 배울 수 있었다. 
  • 블루팀이 실제 어떤 과정을 거쳐 침입이 일어났는지 분석하고 이를 차단하는지 배울 수 있었다. 

 

 

 

 

 

이 블로그는 불법 해킹 및 악의적인 활동을 지양하며, 그런 행위는 절대 권장하지 않습니다.

모든 실습은 허가된 환경에서만 진행해야 하며, 법적 책임은 사용자 본인에게 있습니다.

저작자표시 비영리 변경금지 (새창열림)