[Linux] 리눅스 find 명령어 기본과 실전 활용 예제

리눅스 시스템을 사용하다 보면 특정 파일을 찾거나 조건에 맞는 파일을 검색해야 하는 상황이 자주 발생합니다. 이럴 때 가장 강력하고 유용한 도구가 바로 find 명령어입니다. 이 명령어는 단순한 파일 검색을 넘어 시스템 관리, 보안 감사, 침해사고 분석 등 다양한 영역에서 활용됩니다. 이 글에서는 find 명령어의 기본 사용법부터 고급 활용 방법, 그리고 침해사고 분석에서의 활용 사례까지 상세히 알아보겠습니다.

1. find 명령어 기본 구조
find 명령어의 기본 구조는 다음과 같습니다:

# find [옵션] [경로] [표현식]

• 옵션: 검색 방식을 지정 (예: 심볼릭 링크 처리 방법)
• 경로: 검색을 시작할 위치 지정 (예: .는 현재 디렉토리, /는 루트 디렉토리)
• 표현식: 검색 조건 지정 (이름, 크기, 날짜 등)

 
2. 주요 옵션과 표현식
2.1 자주 사용되는 옵션

• -P: 심볼릭 링크를 따라가지 않고, 심볼릭 링크 자체 정보 사용
• -L: 심볼릭 링크에 연결된 파일 정보 사용
• -H: 심볼릭 링크를 따라가지 않으나, 명령줄 인자 처리 시에는 예외
• -D: 디버그 메시지 출력

 
2.2 주요 표현식

• -name: 파일명으로 검색 (대소문자 구분)
• -iname: 파일명으로 검색 (대소문자 구분 없음)
• -type: 파일 타입으로 검색 (f: 일반 파일, d: 디렉토리, l: 심볼릭 링크)
• -size: 파일 크기로 검색
• -empty: 빈 파일이나 디렉토리 검색
• -user: 특정 사용자 소유의 파일 검색
• -group: 특정 그룹 소유의 파일 검색
• -perm: 특정 권한을 가진 파일 검색
• -mtime: 수정 시간 기준 검색
• -atime: 접근 시간 기준 검색
• -ctime: 속성 변경 시간 기준 검색
• -exec: 검색된 파일에 명령 실행
• -delete: 검색된 파일 삭제
• -maxdepth: 검색할 최대 디렉토리 깊이 지정
• -mindepth: 검색을 시작할 최소 디렉토리 깊이 지정

 
3. 기본 사용 예제
3.1 이름으로 파일 찾기

현재 디렉토리에서 "test.txt" 파일 찾기 # find . -name "test.txt" 현재 디렉토리에서 .txt 확장자를 가진 모든 파일 찾기 # find . -name "*.txt" 대소문자 구분 없이 README 파일 찾기 # find . -iname "readme*"

이름 검색은 가장 기본적이고 자주 사용되는 방식으로, 와일드카드(*)를 활용하면 더 유연한 검색이 가능합니다.
 
3.2 파일 타입으로 찾기

현재 디렉토리에서 모든 디렉토리 찾기 # find . -type d 현재 디렉토리에서 모든 일반 파일 찾기 # find . -type f 현재 디렉토리에서 모든 심볼릭 링크 찾기 # find . -type l

파일 타입 지정은 특정 종류의 파일만 검색할 때 유용합니다.
 
3.3 파일 크기로 찾기

100MB보다 큰 파일 찾기 # find . -size +100M 10KB보다 작은 파일 찾기 # find . -size -10k 정확히 1GB인 파일 찾기 # find . -size 1G 빈 파일이나 디렉토리 찾기 # find . -empty

크기 검색은 디스크 공간 관리나 대용량 파일 찾기에 유용합니다.
 
3.4 시간 기준으로 찾기

7일 이내에 수정된 파일 찾기 # find . -mtime -7 30일보다 오래된 파일 찾기 # find . -mtime +30 정확히 1일 전에 수정된 파일 찾기 # find . -mtime 1 최근 60분 이내에 접근된 파일 찾기 # find . -amin -60

시간 기준 검색은 최근 변경된 파일을 찾거나 오래된 파일을 정리할 때 유용합니다.
 
3.5 권한으로 찾기

정확히 644 권한을 가진 파일 찾기 # find . -perm 644 SUID 비트가 설정된 파일 찾기 # find . -perm -4000 SGID 비트가 설정된 파일 찾기 # find . -perm -2000

권한 검색은 보안 감사나 특정 권한을 가진 파일을 관리할 때 유용합니다.
 
4. 고급 사용 예제
4.1 논리 연산자 활용

AND 연산: .txt 파일이면서 100KB보다 큰 파일 찾기 # find . -name "*.txt" -size +100k OR 연산: .jpg 또는 .png 파일 찾기 # find . \( -name "*.jpg" -o -name "*.png" \) NOT 연산: .log가 아닌 파일 찾기 # find . ! -name "*.log"

논리 연산자를 활용하면 복잡한 조건의 검색이 가능합니다.
 
4.2 exec 옵션으로 명령 실행하기

찾은 파일의 상세 정보 출력하기 # find . -name "*.log" -exec ls -l {} \; 찾은 파일 삭제하기 # find . -name "*.tmp" -exec rm {} \; 찾은 파일의 권한 변경하기 # find . -name "*.sh" -exec chmod +x {} \; 찾은 파일 내용 검색하기 # find . -name "*.conf" -exec grep "password" {} \;

-exec 옵션은 검색된 파일에 대해 추가 작업을 수행할 때 매우 유용합니다. {} 는 검색된 파일명으로 대체되며, \;는 명령의 끝을 나타냅니다.
 
4.3 파일 시스템 관리 예제

30일 이상 된 로그 파일 찾아서 압축하기 # find /var/log -name "*.log" -mtime +30 -exec gzip {} \; 100MB 이상인 파일 찾아서 목록 저장하기 # find / -size +100M -type f > large_files.txt 특정 사용자의 파일 찾기 # find /home -user username -type f

이러한 예제들은 시스템 관리자가 디스크 공간을 효율적으로 관리하는 데 도움이 됩니다.
 
5. 침해사고 분석을 위한 find 명령어 활용
침해사고 분석에서 find 명령어는 비정상적인 파일이나 악성코드를 찾는 데 매우 중요한 역할을 합니다.
5.1 최근 수정된 파일 검색

최근 5일 동안 수정되거나 생성된 파일 찾기 # find / -type f -mtime -5 -print 특정 기간 동안 수정된 실행 파일 찾기 # find / -type f -executable -newermt '2025-01-01' ! -newermt '2025-01-05'

침해사고 발생 시점을 알고 있다면, 해당 시점 전후로 수정된 파일을 검색하여 악성코드나 변조된 파일을 찾을 수 있습니다.
 
5.2 비정상적인 권한을 가진 파일 검색

SUID 권한이 설정된 파일 찾기 # find / -user root -perm -4000 -print > suidlist SGID 권한이 설정된 파일 찾기 # find / -user root -perm -2000 -print > sgidlist

공격자는 종종 권한 상승을 위해 SUID/SGID 비트가 설정된 파일을 생성하거나 변조합니다.
 
5.3 숨겨진 파일 검색

숨겨진 파일 및 디렉토리 찾기 # find / -name ".*" -type f -print 특수 문자로 시작하는 파일 찾기 # find / -name " *" -o -name ".." -o -name "..." -print

공격자는 종종 파일명 앞에 공백이나 특수 문자를 사용하여 파일을 숨깁니다.
 
5.4 비정상적인 위치의 파일 검색

/dev 디렉토리에 있는 일반 파일 찾기 (비정상) # find /dev -type f -print /tmp 디렉토리에 있는 실행 파일 찾기 # find /tmp -type f -executable -print

일반적으로 특정 디렉토리에 존재하지 않아야 할 파일 유형을 검색하여 악성코드를 찾을 수 있습니다.
 
5.5 웹쉘 탐지를 위한 검색

PHP 파일에서 위험한 함수 검색 # find /var/www -type f -name "*.php" -exec grep -l "eval(" {} \; 웹 디렉토리에서 의심스러운 파일 검색 # find /var/www -type f \( -name "*.php" -o -name "*.txt" -o -name "*.inc" \) | xargs grep -r -i -l "exec("

웹쉘은 종종 eval(), exec(), system() 같은 위험한 함수를 포함하고 있어, 이러한 패턴을 검색하여 탐지할 수 있습니다.
 
5.6 악성코드 탐지를 위한 검색

최근 생성된 실행 파일 중 크기가 작은 파일 검색 # find / -type f -executable -mtime -7 -size -100k 특정 해시값을 가진 파일 검색 # find / -type f -exec sha256sum {} \; | grep "악성코드_해시값"

악성코드는 종종 최근에 생성되었거나 특정 크기 범위에 있는 경우가 많습니다.
 
6. 실전 침해사고 분석 시나리오
6.1 웹서버 침해사고 분석
웹서버가 해킹되었다는 의심이 들 경우, 다음과 같은 단계로 find 명령어를 활용할 수 있습니다:
최근 수정된 웹 파일 검색:

# find /var/www -type f -mtime -3 -print

웹쉘 탐지:

# find /var/www -type f \( -name "*.php" -o -name "*.jsp" \) | xargs grep -l -i "passthru\|shell_exec\|system\|base64_decode\|eval"

숨겨진 파일 검색:

# find /var/www -name ".*" -type f -print

이러한 명령어를 통해 웹서버에 삽입된 악성코드나 웹쉘을 효과적으로 탐지할 수 있습니다.
 
6.2 백도어 탐지
시스템에 백도어가 설치되었다고 의심될 경우:
비정상적인 SUID/SGID 파일 검색:

# find / -type f \( -perm -4000 -o -perm -2000 \) -exec ls -la {} \;

최근 생성된 서비스 파일 검색:

# find /etc/init.d /etc/systemd -type f -mtime -7

숨겨진 실행 파일 검색:

# find / -type f -executable -name ".*"

이러한 명령어를 통해 공격자가 설치한 백도어나 지속성 메커니즘을 탐지할 수 있습니다.
 
6.3 로그 분석 및 증거 수집
침해사고 조사 과정에서 로그 파일 분석은 매우 중요합니다:
특정 기간의 로그 파일 수집:

# find /var/log -type f -mtime -7 -exec cp {} /evidence/logs/ \;

로그 파일에서 특정 IP 주소 검색:

# find /var/log -type f -name "*.log" -exec grep "악성_IP_주소" {} \;

변조된 로그 파일 탐지:

# find /var/log -type f -mtime -1 -size 0

이러한 명령어를 통해 침해사고와 관련된 로그를 효과적으로 수집하고 분석할 수 있습니다.
 
7. 성능 최적화 팁
find 명령어는 매우 강력하지만, 대규모 파일 시스템에서는 실행 시간이 길어질 수 있습니다. 다음은 성능을 최적화하는 몇 가지 팁입니다:
검색 범위 제한:

# find /specific/directory -name "*.log"

검색 깊이 제한:

# find / -maxdepth 3 -name "*.conf"

파일 시스템 유형 제한:

# find / -mount -name "*.tmp"

병렬 처리 활용:

# find / -type f -name "*.log" -print0 | xargs -0 -P 4 grep "error"

이러한 최적화 기법을 활용하면 find 명령어의 실행 시간을 크게 단축할 수 있습니다.
 
8. 결론
리눅스의 find 명령어는 단순한 파일 검색 도구를 넘어 시스템 관리, 보안 감사, 침해사고 분석 등 다양한 영역에서 활용할 수 있는 강력한 도구입니다. 기본적인 파일 검색부터 복잡한 조건을 활용한 고급 검색, 그리고 침해사고 분석을 위한 특수한 검색까지, find 명령어의 다양한 옵션과 표현식을 이해하고 활용하면 리눅스 시스템을 더욱 효과적으로 관리하고 보호할 수 있습니다.

특히 침해사고 분석에서는 find 명령어를 통해 비정상적인 파일이나 악성코드를 신속하게 탐지하고, 증거를 수집하는 데 큰 도움이 됩니다. 이 글에서 소개한 다양한 예제와 시나리오를 참고하여 자신의 환경에 맞게 응용한다면, 더욱 안전하고 효율적인 시스템 운영이 가능할 것입니다.