기업 보안 환경에서 수많은 로그를 분석하던 중, 이런 생각을 해본 적이 있을 것입니다.
“이 IP는 정상일까?”
“누가 우리 네트워크에 접근했는가?”
“이 접속은 VPN이나 Tor를 통한 우회일까?”
이제 이러한 질문에 대한 해답을 Splunk 안에서 Criminal IP Search 앱을 활용하여 즉시 확인할 수 있습니다.
Criminal IP Search 앱은 로그에 등장하는 IP 주소를 Criminal IP의 위협 인텔리전스 데이터베이스와 실시간으로 연동하여, IP의 특성과 위험 여부를 자동으로 분석·시각화해주는 앱입니다.
Splunk 내 실시간 위협 탐지 기능
Criminal IP Search 앱은 Splunk의 Search 명령어 안에서 동작하는 스트리밍 커스텀 커맨드 기반 앱으로, 로그 내 등장하는 IP 주소를 Criminal IP의 인텔리전스 데이터베이스와 연동하여 실시간으로 분석합니다.
특히 웹 방화벽(WAF)이나 Fortinet 등 네트워크 보안 장비 로그를 Splunk에 연동해 두었다면, 다음과 같은 질문에 직접 답할 수 있습니다:
- 외부에서 우리 서비스에 접근하는 IP 중 악성 IP는 얼마나 될까?
- 사내에서 의심스러운 외부 IP와의 통신이 발생하고 있지 않을까?
- 얼마나 많은 VPN, Tor, Proxy 기반 접근이 시도되고 있을까?
Criminal IP Search는 단순 필터링이 아닌, 접속 행위에 대한 정성적 위험 분석이 가능한 구조를 제공합니다.
주요 기능
1. 실시간 IP 검색 기능
criminalip 명령어를 Search 내에서 실행하여, IP 인텔리전스 정보를 실시간으로 조회할 수 있습니다.
- Inbound/Outbound 기반 위험 점수(
ip_score) 제공 - 수십 가지 위협 요인 기반 악성 인프라 판별
2. 악성 인프라 탐지 항목
Criminal IP 인텔리전스는 다음과 같은 주요 위협 유형을 실시간 식별합니다.
| 항목 | 설명 |
|---|---|
| Mobile | 모바일 환경에서 사용되는 IP |
| Snort | Snort 네트워크에서 악성으로 탐지된 IP |
| VPN | VPN 연결에 사용되는 우회 IP |
| Tor | Tor 네트워크 기반 접속 IP |
| Proxy | 프록시 서버를 통한 익명화 IP |
| Scanner | 포트 스캐닝 등에 사용된 자동화 IP |
| Hosting | 클라우드 기반 서버, 호스팅 환경의 IP |
이러한 위협 요소는 issue, scanner, proxy 등의 필드로 로그 결과에 포함되어 시각적으로 구분할 수 있습니다.
설치 및 사용 방법
- Splunkbase에서 Criminal IP Search 앱을 다운로드해 설치합니다.
- Splunk를 재시작합니다.
- Criminal IP에 가입하고 API 키를 생성합니다.
- 앱 설정 페이지에 API 키를 입력합니다.
- Search에서
criminalip명령어를 사용해 실시간 IP 인텔리전스를 실행합니다.
* 참고: 다수의 IP에 대해 쿼리를 실행할 경우, API가 실시간 호출되므로 응답 시간이 길어질 수 있습니다. 쿼리당 IP는 300개 이하로 제한하는 것을 권장합니다.
예제 명령:
- 단일 IP 조회: criminalip ip_address=”1.1.1.1″
- 다중 IP 조회: eval ip_address=dst_ip |criminalip
- 결과에서 특정 필드만 검색하려면: eval ip_address=dst_ip |criminalip |table ip_address,outbound_score,issue,proxy,scanner
깃허브 링크: https://github.com/criminalip/CriminalIP-Splunk-Search-IP
실제 활용 시나리오
1. SIEM 탐지 룰 강화
Criminal IP 데이터를 외부 인텔리전스로 활용하여 기존 탐지 조건을 보완하고, 위험 요소의 정확한 선별이 가능해집니다.
2. 우회 접속 사용자 탐지
VPN, Tor, Proxy 접속자가 네트워크에 접근한 경우 실시간 탐지되어 정책적 대응이 가능합니다. 특히 SaaS, 내부망 보호 환경에서 유용합니다.
3. 보안 리포트 자동화
로그 분석 결과를 기반으로, IP 위험 점수 및 위협 태그를 기준으로 일간/주간 리포트 자동 생성이 가능하며, 보안 감사 대응에도 활용할 수 있습니다.
결론
지금까지 Splunk에서 IP 분석은 대부분 내부 탐지 룰이나 제한된 인텔리전스 기반으로만 이뤄졌습니다. 하지만, Criminal IP Search 앱은 전 세계 위협 데이터를 기반으로 실시간 판단 근거를 제공하며, 이를 Splunk 내 기존 워크플로우에 간편하게 통합할 수 있도록 설계되었습니다.
설정은 단순하지만, 결과는 명확합니다. IP 기반의 이상 행위 감지, 탐지 정책 정교화, 보안 가시성 향상을 모두 한 번에 달성해보세요.
참고 정보
- GitHub 문서: https://github.com/criminalip/CIP-FDS (Search 앱 전용 문서는 순차 업데이트 예정)
- 기술 문의: [email protected]
데이터 출처: Criminal IP (https://www.criminalip.io/), Splunk(https://splunkbase.splunk.com/app/7733)
관련 글 : https://www.criminalip.io/ko/knowledge-hub/notice/10503