본문 바로가기
카테고리 없음

BAS & Wazuh

R_S 2026. 5. 13. 12:11

1. Wazuh란?

Wazuh는 엔드포인트와 서버에서 발생하는 보안 이벤트를 수집하고 분석하는 오픈소스 보안 모니터링 플랫폼이다.
쉽게 말하면 여러 시스템에서 발생하는 로그를 모아서, 그 안에서 의심스러운 행위를 찾아 Alert로 보여주는 도구라고 볼 수 있다.

Wazuh는 로그 분석, 파일 무결성 모니터링, 취약점 탐지, 보안 설정 점검, 위협 탐지 등 다양한 기능을 제공한다.
특히 실습 환경에서는 Windows, Linux 같은 엔드포인트에 Agent를 설치하고, Agent가 수집한 로그를 Wazuh Server로 보내면 Server가 룰 기반으로 분석한 뒤 Alert를 생성하는 방식으로 이해하면 된다.

Wazuh 공식 문서 기준으로 Wazuh 아키텍처는 Agent, Server, Indexer, Dashboard로 구성되며, Agent가 보안 데이터를 수집해 Server로 전달하고, 분석된 데이터는 Indexer에 저장된 뒤 Dashboard에서 시각화된다.

2. Wazuh의 주요 구성 요소

2.1 Agent

Agent는 모니터링 대상 시스템에 설치되는 구성 요소이다.
예를 들어 Windows PC, Linux 서버, 클라우드 인스턴스 등에 설치할 수 있다.

Agent의 역할은 다음과 같다.

  • 시스템 로그 수집
  • 보안 이벤트 수집
  • 파일 변경 감시
  • 프로세스 및 사용자 활동 모니터링
  • 수집한 데이터를 Wazuh Server로 전송

즉, Agent는 실제 공격 흔적이 발생하는 위치에서 데이터를 가져오는 역할을 한다.
BAS 도구로 공격 시나리오를 실행하면, 그 결과로 생성되는 로그나 이벤트를 Agent가 수집하게 된다.

3.2 Server

Server는 Wazuh의 핵심 분석 구성 요소이다.
Agent로부터 전달받은 로그를 분석하고, Wazuh 룰과 매칭하여 보안 이벤트인지 판단한다.

Wazuh Server는 Agent와의 통신을 관리하고, 수신된 보안 데이터를 decoder와 rule을 통해 분석한 뒤 위협이 탐지되면 Alert를 생성한다.

Server의 주요 역할은 다음과 같다.

  • Agent 데이터 수신
  • 로그 디코딩
  • 룰 기반 분석
  • Alert 생성
  • Active Response 연동 가능
  • 탐지 룰 및 정책 관리

예를 들어 특정 사용자가 비정상적인 명령을 실행하거나, 권한 상승과 관련된 행위가 로그에 남으면 Server가 해당 로그를 룰과 비교하여 Alert를 발생시킨다.

3.3 Indexer

Indexer는 Wazuh에서 생성된 Alert와 보안 이벤트를 저장하고 검색할 수 있게 해주는 구성 요소이다.
Wazuh 공식 문서에서는 Indexer를 Alert 데이터를 저장하고 거의 실시간 검색과 분석 기능을 제공하는 검색 및 분석 엔진으로 설명한다.

쉽게 말하면 Server가 분석한 결과를 저장하는 저장소 역할이다.

Indexer의 역할은 다음과 같다.

  • Alert 저장
  • 이벤트 검색 지원
  • Dashboard에서 조회할 수 있도록 데이터 제공
  • 대량 로그 처리
  • 클러스터 구성 가능

보안 분석가 입장에서는 과거 공격 이벤트를 검색하거나, 특정 호스트에서 발생한 Alert를 추적할 때 Indexer에 저장된 데이터를 활용하게 된다.

3.4 Dashboard

Dashboard는 Wazuh 데이터를 시각적으로 확인하는 웹 인터페이스이다.
Wazuh Dashboard에서는 Agent 상태, 보안 이벤트, Alert, 로그 통계, 탐지 결과 등을 확인할 수 있다.

Wazuh 공식 문서에 따르면 Dashboard는 Wazuh 배포 환경을 관리하고, 구성 요소의 상태와 로그, 통계를 모니터링하며, Wazuh Server 설정이나 custom rule, decoder 관리에도 사용된다.

Dashboard에서 확인할 수 있는 내용은 다음과 같다.

  • Agent 연결 상태
  • 보안 Alert 목록
  • 탐지 룰 ID
  • MITRE ATT&CK 매핑 정보
  • 이벤트 발생 시간
  • 공격 대상 호스트
  • 원본 로그 내용
  • 심각도 level

즉, Dashboard는 Wazuh가 어떤 이벤트를 탐지했는지 최종적으로 확인하는 공간이다.

4. Wazuh의 탐지 흐름

Wazuh의 탐지 흐름은 크게 로그 수집 → 룰 기반 분석 → Alert 생성 → Dashboard 확인 순서로 볼 수 있다.

Endpoint
  ↓
Wazuh Agent
  ↓
Wazuh Server
  ↓
Decoder / Rule Matching
  ↓
Alert 생성
  ↓
Wazuh Indexer 저장
  ↓
Wazuh Dashboard 확인
 

4.1 로그 수집

먼저 Agent가 엔드포인트에서 발생하는 로그를 수집한다.
Windows 환경이라면 Event Log, Sysmon 로그 등을 수집할 수 있고, Linux 환경이라면 auth.log, syslog, audit log 등을 수집할 수 있다.

예를 들어 공격자가 계정 정보를 조회하거나, 의심스러운 프로세스를 실행하거나, 시스템 설정을 변경하면 해당 행위가 로그로 남는다.
Agent는 이 로그를 수집해서 Wazuh Server로 전달한다.

4.2 룰 기반 분석

Wazuh Server는 전달받은 로그를 바로 Alert로 만들지 않는다.
먼저 로그를 분석 가능한 형태로 분리하고, Wazuh ruleset과 비교한다.

Wazuh의 로그 분석은 pre-decoding, decoding, rule matching 단계로 이루어진다. 로그가 들어오면 기본 구조를 파악하고, decoder를 통해 필드를 추출한 뒤, rule 조건과 비교하여 보안 이벤트 여부를 판단한다.

예를 들어 다음과 같은 조건을 가진 룰이 있다고 가정할 수 있다.

  • 특정 명령어 실행 여부
  • 관리자 권한 사용 여부
  • 인증 실패 횟수
  • 의심스러운 프로세스 실행
  • 알려진 공격 패턴과 유사한 로그
  • MITRE ATT&CK 기법과 관련된 행위

룰과 매칭되면 Wazuh는 해당 이벤트를 보안 Alert로 분류한다.

4.3 Alert 생성

룰에 매칭된 이벤트는 Alert로 생성된다.
Wazuh 공식 문서에 따르면 rule matching 이후 조건이 맞으면 Alert가 발생하고, Alert는 Wazuh Server의 alerts.log와 alerts.json에 기록된 뒤 Filebeat를 통해 Indexer로 전달된다.

Alert에는 보통 다음과 같은 정보가 포함된다.

  • 발생 시간
  • Agent 이름
  • Agent IP
  • Rule ID
  • Rule level
  • 탐지 설명
  • 원본 로그
  • MITRE ATT&CK tactic
  • MITRE ATT&CK technique

이 정보는 단순히 공격이 있었다는 사실만 보여주는 것이 아니라, 어떤 행위가 어떤 탐지 룰에 의해 잡혔는지를 분석할 수 있게 해준다.

4.4 Dashboard 확인

마지막으로 Wazuh Dashboard에서 Alert를 확인한다.
분석가는 Dashboard에서 특정 Agent를 선택하거나, Rule ID를 검색하거나, MITRE ATT&CK 기준으로 이벤트를 분류해서 볼 수 있다.

BAS 실습에서는 이 단계가 중요하다.
공격 시뮬레이션을 실행했을 때 Wazuh가 실제로 Alert를 생성했는지 확인해야 하기 때문이다.

예를 들어 Atomic Red Team으로 특정 ATT&CK 기법을 실행했다면, Dashboard에서 다음을 확인할 수 있다.

  • 해당 이벤트가 탐지되었는가
  • 어떤 룰에 의해 탐지되었는가
  • Alert level은 어느 정도인가
  • MITRE ATT&CK 정보가 매핑되었는가
  • 원본 로그에 공격 흔적이 남았는가

이 과정을 통해 단순 설치가 아니라 탐지 검증까지 수행할 수 있다.

 

5. BAS란?

BAS는 Breach and Attack Simulation의 약자이다.
한국어로 표현하면 침해 및 공격 시뮬레이션 정도로 볼 수 있다.

BAS는 실제 공격자들이 사용하는 전술, 기술, 절차를 통제된 환경에서 실행해보고, 보안 장비가 이를 탐지하거나 차단할 수 있는지 검증하는 방식이다. IBM은 BAS를 보안 통제 검증 도구로 설명하며, 조직이 보안 격차를 파악하고 우선순위 기반 개선 방향을 얻는 데 도움을 준다고 설명한다.

즉, BAS는 공격을 하기 위한 목적이 아니라 방어 체계를 검증하기 위한 목적에 가깝다.

기존에는 보안 장비를 설치한 뒤 정상적으로 동작한다고 가정하는 경우가 많았다.
하지만 실제 공격 행위를 흉내 내서 테스트해보지 않으면 탐지가 되는지 알기 어렵다.
BAS는 이 문제를 해결하기 위해 사용된다.

 

6. BAS가 필요한 이유

https://reliaquest.com/cyber-knowledge/what-is-breach-and-attack-simulation/

https://www.sentinelone.com/ko/cybersecurity-101/cybersecurity/breach-and-attack-simulation-bas/

 

침해 및 공격 시뮬레이션(BAS)이란 무엇인가?

침해 및 공격 시뮬레이션(BAS)의 정의, 작동 방식, 장점, 과제, 활용 사례 및 효과적인 사용을 위한 모범 사례를 알아보세요."

www.sentinelone.com

https://softwidesec.com/column/?bmode=view&idx=166664645

 

BAS vs 모의침투테스트 vs 취약점 진단 – 뭐가 다르고, 왜 BAS가 필요한가? : 칼럼

BAS는 단순한 도구가 아니라 "지속적 보안 검증을 자동화하는 프레임워크" 입니다기업 보안담당자라면 매년 한두 번쯤 “모의침투테스트를 하자”, “취약점 진단 보고서 필요하다”는 이야기

softwidesec.com

7. 대표 BAS 도구

7.1 Atomic Red Team

Atomic Red Team은 MITRE ATT&CK에 매핑된 작은 단위의 공격 테스트 모음이다.
공식 GitHub 설명에 따르면 Atomic Red Team은 보안팀이 자신의 환경을 빠르고 재현 가능하게 테스트할 수 있도록 만든 ATT&CK 기반 테스트 라이브러리이다.

Atomic Red Team의 특징은 다음과 같다.

  • ATT&CK technique 단위로 테스트 제공
  • 작은 단위의 atomic test 실행
  • 테스트 목적이 명확함
  • 실행 후 cleanup 명령이 제공되는 경우가 많음
  • 탐지 룰 검증에 적합함
  • Wazuh, Sysmon, SIEM 실습과 함께 사용하기 좋음

예를 들어 특정 시스템에서 계정 조회, 파일 생성, 레지스트리 변경, 프로세스 실행, 방어 회피 행위 등을 시뮬레이션하고, Wazuh가 해당 행위를 탐지하는지 확인할 수 있다.

Wazuh 공식 블로그에서도 Atomic Red Team을 활용해 ATT&CK 기법을 에뮬레이션하고, Wazuh에서 이를 탐지하는 실습을 다룬 바 있다.

 

7.2 MITRE CALDERA

MITRE CALDERA는 MITRE에서 개발한 자동화된 adversary emulation 플랫폼이다.
CALDERA 공식 문서에서는 CALDERA를 autonomous breach-and-attack simulation을 쉽게 실행할 수 있는 adversary emulation 플랫폼으로 설명한다. 또한 수동 red team engagement나 자동화된 incident response에도 사용할 수 있다고 설명한다.

CALDERA의 특징은 다음과 같다.

  • MITRE ATT&CK 기반
  • 공격자 행동을 자동화된 시나리오로 실행
  • Agent를 대상 시스템에 배포하여 동작
  • 여러 공격 단계를 연결한 operation 수행 가능
  • Red Team, Blue Team, Purple Team 훈련에 활용 가능
  • 단일 테스트보다는 공격 흐름 전체를 구성하기 좋음

Atomic Red Team이 개별 technique 테스트에 적합하다면, CALDERA는 여러 technique을 연결한 공격 흐름을 자동화하는 데 더 적합하다.

예를 들어 내부 정찰 → 권한 확인 → 정보 수집 → 지속성 확보 시도 → 방어 회피 같은 흐름을 하나의 operation으로 구성할 수 있다.

8. BAS가 실행할 수 있는 공격 시나리오

BAS 도구는 실제 악성 행위를 그대로 수행하기보다는 통제된 테스트 환경에서 공격자 행위를 모방한다.
대표적으로 다음과 같은 시나리오를 실행할 수 있다.

 

구분시나리오  예시탐지  관점
Discovery 시스템 정보 조회, 사용자 계정 조회, 네트워크 정보 조회 공격자가 내부 환경을 파악하는 행위 탐지
Credential Access 인증 정보 접근 시도, LSASS 관련 행위 시뮬레이션 계정 탈취 가능성이 있는 행위 탐지
Persistence 자동 실행 등록, 서비스 생성, 예약 작업 생성 재부팅 후에도 유지되려는 행위 탐지
Privilege Escalation 권한 상승 관련 설정 변경 또는 의심 행위 일반 사용자에서 관리자 권한으로 올라가려는 행위 탐지
Defense Evasion 로그 삭제, 보안 도구 우회, 설정 변경 탐지를 피하려는 행위 탐지
Execution 스크립트 실행, 명령어 실행, 프로세스 생성 악성 명령 실행 여부 탐지
Collection 파일 탐색, 특정 데이터 수집 내부 정보 수집 행위 탐지
Exfiltration 외부 전송 시뮬레이션 데이터 유출 가능성 탐지

 

 

티스토리툴바