Shodan 설명과 검색 사용 방법

1. Shodan이란?

Shodan은 인터넷상의 서버, 컴퓨터, 웹카메라, 스마트홈 장비들을 검색할 수 있는 검색 엔진이다. 인터넷상의 모든 장비들은 정보를 전송하거나 수신할 때 사용하는 포트를 열어두고 있다. 예를 들어 우리가 네이버 사이트에 접속을 할 때에 https://www.naver.com으로 접속을 하지만 실제로는 네이버 웹서버의 443번 포트로 접속을 하게 된다. Shodan은 이러한 포트를 이용해 인터넷상에 있는 장비들을 찾아내고, 그 장비들에서 수집할 수 있는 정보를 파악한다. 이렇게 수집된 정보는 개발자, 정보 보안 기술자, 연구자들이 인터넷상의 장비들의 상태나 취약점을 파악하거나, 새로운 장비들을 찾는데 도움을 준다.

 

2. Shodan 수집 정보

Shodan은 장비들의 인터넷 프로토콜(IP) 주소, 사용 중인 포트, 서비스 버전, 운영 체제 버전, 웹 서버 정보, 서버 헤더, HTML 소스 코드 등의 정보를 수집하게 된다. 그 외에도 Shodan은 장비들의 접속 가능한 서비스, 취약점, 인증 정보, 접근 제어 목록(ACL) 등의 정보도 수집할 수 있다. Shodan은 이러한 정보를 수집하기 위해 인터넷에 있는 장비들을 스캔하는데, 이때, Shodan은 장비들의 인터넷 프로토콜(IP) 주소와 포트를 스캔하고, 연결이 성공한 경우 그 장비의 정보를 수집한다.

 

3. Shodan 검색 방법

Shodan을 이용해 검색을 수행하기 위해서는 아래와 같은 단계를 수행한다.

1. Shodan 웹 사이트(https://www.shodan.io/)에 접속한다.
2. 검색창에 검색하고자 하는 장비의 정보를 입력한다. 예를 들어, "Apache port:80"라고 입력하면 Apache 웹 서버가 작동하고 있는 장비들을 검색할 수 있다.
3. 검색 조건을 추가할 수 있다. 예를 들어, "Apache port:80 country:KR"라고 입력하면 Apache 웹 서버가 작동하고 있는 장비들 중 한국에 위치한 장비들만 검색할 수 있다.
4. 검색 조건을 입력한 후, 검색 버튼을 클릭한다.
5. 검색 결과가 출력된다. 검색 결과에는 검색된 장비의 IP 주소, 제조사, 모델명, 운영 체제, 서비스, 포트 등이 표시된다.
6. 검색 결과에서 원하는 장비를 선택하여 상세 정보를 볼 수 있다.

4. Shodan 검색 옵션

Shodan에서는 검색 옵션을 지원하는데 대략적인 사용방법은 아래와 같다.

1. 장비의 제조사: 제조사 이름을 입력하여 제조사가 지정된 장비들을 검색할 수 있다. 예를 들어, "manufacturer:Cisco"라고 입력하면 Cisco 제조사의 장비들을 검색할 수 있다.
2. 장비의 운영 체제: 운영 체제 이름을 입력하여 운영 체제가 지정된 장비들을 검색할 수 있다. 예를 들어, "os:Linux"라고 입력하면 Linux 운영 체제가 설치된 장비들을 검색할 수 있다.
3. 장비의 포트: 포트 번호를 입력하여 포트가 지정된 장비들을 검색할 수 있다. 예를 들어, "port:80"라고 입력하면 80번 포트가 열려 있는 장비들을 검색할 수 있다.

Shodan을 이용해 검색을 수행할 수 있는 대표적인 검색 옵션은 아래와 같다.

• manufacturer : 제조사 이름
• model : 모델명
• os : 운영체제 이름
• service : 서비스 이름
• ip : IP 주소
• country : 국가 코드
• city : 도시 이름
• port : 포트 번호
• hostname : 특정 호스트 이름을 갖는 장비
• net : 특정 IP 주소 범위를 갖는 장비

 

검색 조건은 조합해서 사용할 수 있다. 예를 들어, "manufacturer:Cisco os:Linux port:80"라고 입력하면 Cisco 제조사의 Linux 운영 체제가 설치된 80번 포트가 열려 있는 장비들을 검색할 수 있다.

 

5. Shodan의 활용 방법

Shodan을 이용해 자신의 조직의 인프라를 조사하거나, 인터넷에 연결된 장비에서 취약점을 검출하는 데 사용할 수 있다. Shodan을 이용한 취약점 검출을 위해서는, 먼저 취약점 스캐닝 도구(예: Nessus, OpenVAS)가 가진 취약점 정보 데이터베이스를 이용해 장비에서 취약점을 검출하거나, 이미 알고 있는 외부 인터넷 대역에서 사용 중인 IP 주소를 Shodan에 입력하면, 해당 장비에 대한 정보(예: 장비 유형, 운영 체제, 서비스 정보 등)를 얻을 수 있다. 이렇게 얻어낸 정보들을 통해 외부에 공개된 자사 또는 관리 대상이 되는 장비들의 취약점을 미리 알아내 조치할 수 있다.