허니팟(Honeypot)

허니팟(Honeypot)은 의도적으로 취약한 것처럼 보이게 만들어 공격자를 유인하고, 그 행동을 관찰·분석하기 위한 보안 시스템이다. 핵심은 방어보다는 ‘유인과 정보 수집’에 목적이 있다는 점이다.

일반 보안 장비는 공격을 막거나 탐지하는 데 초점이 맞춰져 있다. 반면 허니팟은 공격자가 “공격할 가치가 있다”고 착각하도록 만든 가짜 시스템이다. 정상 사용자는 접근할 이유가 없기 때문에, 허니팟에 접근하는 행위 자체가 곧 공격 징후가 된다. 이 점이 허니팟의 가장 큰 장점이다.

허니팟의 주요 목적은 세 가지다.
첫째, 공격 탐지다. 허니팟에 접근하거나 공격이 발생하면 즉시 침입 시도로 판단할 수 있다.
둘째, 공격 기법 분석이다. 공격자가 어떤 취약점을 노리고, 어떤 도구와 절차를 사용하는지 상세히 관찰할 수 있다.
셋째, 공격자 주의 분산이다. 실제 중요한 서버 대신 허니팟을 공격하게 만들어 내부 자원을 보호한다.

허니팟은 구현 수준에 따라 구분된다.
저상호작용(Low-interaction) 허니팟은 제한된 서비스만 흉내 낸다. 실제 시스템은 아니고, 공격 시도만 기록한다. 비교적 안전하고 관리가 쉽다.
고상호작용(High-interaction) 허니팟은 실제 운영체제와 서비스처럼 동작한다. 공격자의 행동을 깊이 분석할 수 있지만, 탈취당할 경우 위험이 크기 때문에 격리와 관리가 매우 중요하다.

배치 개념으로는 허니넷(Honeynet)도 자주 등장한다. 이는 단일 허니팟이 아니라, 여러 대의 허니팟을 묶어 하나의 가짜 네트워크처럼 구성한 것이다. 실제 기업 네트워크를 모방해 보다 정교한 공격 분석이 가능하다.

허니팟은 공격자를 유인하는 가짜 시스템이다.
탐지와 분석 목적이지, 직접적인 차단 장비는 아니다.
정상 사용자는 접근하지 않는다.
저상호작용 / 고상호작용으로 구분된다.

정리하면, 허니팟은
“공격을 막기보다, 공격을 일부러 끌어들여 배우는 보안 장치”라고 이해하면 된다.