내 사이버보안 홈랩: 방어와 공격 작전 실전 여정

Source: Dev.to

사이버 보안 전문가를 꿈꾸는 사람으로서, 실무 경험이 이론적 지식만큼이나 중요하다고 믿습니다. 그래서 저는 직접 실험하고 배우며 방어와 공격 보안 작업 모두에서 기술을 연마할 수 있는 개인 샌드박스인 홈랩을 구축하고 지속적으로 발전시키는 데 시간을 투자했습니다.

이 글에서는 현재 제 홈랩 구성에 대해 자세히 소개하고, 실제 시나리오를 시뮬레이션하고 인프라를 모니터링하며 침투 테스트 역량을 다듬는 데 사용하고 있는 도구와 기술들을 강조합니다.

Source:

기본: 하드웨어 및 네트워크

내 홈랩은 쉽게 구할 수 있는 하드웨어를 기반으로 구축되어, 기업 수준의 장비 없이도 귀중한 경험을 얻을 수 있음을 보여줍니다.

하드웨어 구성 요소

• 두 대의 미니 PC – 이들은 랩의 작업 말뚝 역할을 하며, 다양한 가상 머신 및 서비스를 호스팅합니다.
• 라즈베리 Pi – 가벼운 서비스를 위해 완벽한 다목적 싱글 보드 컴퓨터입니다.
• 네트워크 스위치 – 모든 구성 요소를 연결하고 네트워크 분할 실험을 가능하게 하는 중앙 신경망입니다.

방어 운영: 모니터링, SIEM 및 위협 탐지

내 홈랩의 상당 부분은 방어 보안에 초점을 맞추고 있습니다. 시스템을 어떻게 모니터링하고, 이상 징후를 감지하며, 잠재적인 위협에 대응할지 이해하고 싶습니다.

Raspberry Pi – Jellyfin 미디어 서버

주로 개인 미디어 소비를 위해 사용하지만, Raspberry Pi에서 Jellyfin을 실행하면 서비스 강화, 네트워크 분할, 그리고 가정 네트워크 내에서 공개적으로 접근 가능한 애플리케이션을 모니터링하는 실습 환경을 제공해 줍니다. 보안 제어를 연습하기에 훌륭한 “실전 목표”가 됩니다.

Mini PC 1 – 엔드포인트 및 컨테이너 모니터링을 위한 Wazuh

첫 번째 Mini PC에 Wazuh를 배포했습니다. 이는 XDR과 SIEM 기능을 통합한 오픈‑소스 보안 플랫폼입니다.

• 엔드포인트 보안 – Wazuh 에이전트를 다른 실험실 머신과 VM에 설치하여 중요한 보안 가시성을 제공합니다.
• 컨테이너 모니터링 – Wazuh는 Docker 컨테이너의 상태와 보안을 감시하고, 컨테이너 이벤트, 파일 무결성 변경, 잠재적 취약점에 대한 실시간 알림을 제공합니다. 맞춤형 대시보드를 통해 컨테이너화된 환경의 건강 상태와 보안 태세를 한눈에 볼 수 있습니다.

주요 학습 영역

• 로그 관리 – 다양한 소스에서 로그를 수집하고 분석합니다.
• 파일 무결성 모니터링(FIM) – 중요한 시스템 파일에 대한 무단 변경을 감지합니다.
• 취약점 탐지 – 시스템 및 애플리케이션에 존재하는 알려진 취약점을 식별합니다.
• 실시간 알림 – 의심스러운 활동에 대한 규칙과 알림을 설정합니다.

공격 운영: 침투 테스트 및 위협 시뮬레이션

반대편에서는, 내 홈랩이 안전하고 격리된 환경을 제공하여 공격 보안 기술을 연습할 수 있게 해줍니다. 이는 공격자의 사고방식을 이해하는 데 도움이 되며, 더 강력한 방어를 구축하는 데 필수적입니다.

Mini PC 2 – Proxmox 가상화 호스트

Proxmox VE (Virtual Environment)는 여러 가상 머신을 실행할 수 있게 해주며, 다양한 공격 및 방어 도구를 위한 격리된 환경을 만들 수 있습니다.

Proxmox에 호스팅된 VM

• Splunk (SIEM) – 또 다른 강력한 SIEM 솔루션. Wazuh와 Splunk를 모두 학습함으로써 로그 집계, 상관관계 및 플랫폼 전반에 걸친 위협 사냥에 대한 폭넓은 이해를 얻을 수 있습니다. 이 VM은 실험실 내 다양한 소스에서 로그를 수집하여 심층 분석을 수행합니다.
• Pi‑hole – 네트워크 전체에 적용되는 광고 차단기 및 DNS 싱크홀. DNS 트래픽과 네트워크 필터링을 이해하는 데 탁월한 도구이며, 실험실 환경에서 악성 도메인을 차단하는 데에도 활용할 수 있습니다.
• Red‑Team 테스트용 로컬 LLM – 로컬 대형 언어 모델을 실험하여 레드팀 작업에 활용 가능성을 탐구하고 있습니다(예: 피싱 이메일 초안 생성, 사회공학 시나리오 구성, 익스플로잇 개발을 위한 코드 분석 지원 등). 모든 활동은 내 실험실에 한정됩니다.
• Kali Linux – 침투 테스트를 위한 대표 배포판. 이 VM은 다양한 도구가 탑재된 주요 공격 워크스테이션입니다.
• Metasploit – Kali에 통합된 Metasploit Framework는 익스플로잇 개발, 페이로드 생성 및 사후 침투에 필수적입니다. 실험실 내 의도적으로 취약하게 만든 대상 머신에 대한 취약점 테스트에 사용합니다.

다음은?

내 홈랩은 지속적으로 확장하고 다듬는 살아있는 프로젝트입니다. 앞으로의 계획은 다음과 같습니다:

• Network Segmentation – 서로 다른 신뢰 수준을 위한 보다 격리된 환경을 만들기 위해 VLAN을 구현합니다.
• Active Directory Environment – 도메인 기반 공격 및 방어를 연습하기 위해 Windows Server와 Active Directory를 설정합니다.
• Cloud Integration – 클라우드 기반 서비스(AWS, Azure 등)를 랩에 통합하여 하이브리드 클라우드 시나리오를 탐색합니다.
• Automation – Ansible 또는 Terraform을 사용해 일반 작업 및 배포를 스크립팅합니다.
• Container Orchestration Security – Kubernetes 보안에 대해 더 깊이 파고듭니다.

이 홈랩은 단순히 하드웨어와 소프트웨어의 집합을 넘어, 사이버 보안에 대한 나의 열정과 지속적인 학습에 대한 의지를 보여줍니다. 실무 사이버 보안 역할로 전환할 때 이 실전 경험이 큰 도움이 될 것이라 믿습니다.

질문이 있거나 아래 댓글에 여러분만의 설정을 공유하고 싶다면 언제든지 자유롭게 남겨 주세요!