Kali Linux Purple: 디지털 포렌식 중심 방어 보안 플랫폼 가이드

Kali Linux Purple은 2023년 3월 Kali Linux의 10주년 기념으로 공개된 방어 보안(Defensive Security) 중심의 Linux 배포판입니다. 기존 Kali Linux가 침투 테스트에 특화되었다면, Kali Purple은 Blue Team과 Purple Team을 위한 SOC In-A-Box(종합 보안 운영 센터) 플랫폼으로 설계되었습니다.​​

 

1. 소개

Kali Linux Purple은 Offensive Security의 공식 성명에 따르면 "방어 보안을 모두가 접근 가능하도록 만들기 위한" 미션으로 출범했습니다. 기존의 모든 Kali Linux 도구를 포함하면서 100개 이상의 새로운 방어 보안 도구를 추가하였으며, NIST 사이버보안 프레임워크(NIST CSF) 1.1의 5가지 핵심 도메인(Identify, Protect, Detect, Respond, Recover)을 중심으로 메뉴 구조를 완전히 재설계했습니다.​

2. 목적

 - Kali Linux Purple의 핵심 목적은 다음과 같습니다.

• 방어 보안의 대중화: 상용 고가 SIEM 및 포렌식 도구 없이 무료 오픈소스 솔루션으로 엔터프라이즈급 보안 방어 구축
• Purple Team 통합 환경: Red Team의 공격 시뮬레이션과 Blue Team의 방어 검증을 단일 OS에서 동시 수행
• SOC In-A-Box 구현: 네트워크 모니터링, 위협 탐지, 사고 대응, 포렌식 분석을 통합 운영
• 학습 및 실습 플랫폼: 보안 운영 분석, 위협 사냥, 보안 제어 설계 테스트

 

3. 주요 툴 카테고리 및 목록

 - Kali Linux Purple은 NIST CSF 1.1의 5가지 도메인을 기준으로 도구를 분류합니다.

3.1 IDENTIFY (식별 및 자산 파악)

  > 자산, 시스템, 데이터 및 사이버 보안 위험을 인식하고 평가

도구	기능
GVM (Greenbone Vulnerability Management)	시스템/네트워크 지속적 스캔, 취약점 식별
Nmap	네트워크 호스트 발견, 포트 스캔, 서비스 탐지
OpenVAS	네트워크 기반 자동화된 보안 감사

3.2 PROTECT (보호 및 접근 제어)

  > 중요 인프라 서비스 전달을 보장하기 위한 보호 장치

도구	기능
Elastic Security (ELK Stack)	로그 집계, 실시간 SIEM 모니터링
CyberChef	인코딩/디코딩, 암호화, 데이터 변환 분석
TheHive	사고 관리, 협업, 증거 추적 플랫폼
Wazuh	엔드포인트 보안, 취약점 스캔, 규정 준수

3.3 DETECT (탐지 및 모니터링)

  > 사이버 보안 이벤트를 신속하게 발견

도구	기능
Arkime	풀 패킷 캡처, 심층 패킷 검사, 네트워크 검색
Malcolm	Arkime + Zeek + Suricata + OpenSearch 통합
Suricata	침입 탐지 시스템(IDS), 네트워크 위협 탐지
Zeek	네트워크 보안 모니터, 프로토콜 분석
Wireshark	네트워크 패킷 캡처 및 상세 분석

3.4 RESPOND (대응 및 사고 처리)

  > 탐지된 사이버 보안 이벤트에 대한 즉각 대응

도구	기능
Velociraptor	엔드포인트 포렌식, 디지털 포렌식, 의심 활동 추적
Autopsy	GUI 기반 디스크 이미지 분석, 타임라인 생성
The Sleuth Kit (TSK)	CLI 기반 파일시스템 분석
Volatility	메모리 포렌식, RAM 덤프 분석
TheHive	사고 조사 관리, 워크플로우 자동화

3.5 RECOVER (복구 및 복원)

  > 사고 후 시스템 및 서비스 복구

도구	기능
OpenEx	위기 대응 연습, 사고 시뮬레이션
Velociraptor	복구 상태 검증, 복구 추적

3.6 추가 포렌식 및 분석 도구

  > Kali Purple은 디지털 포렌식에 특별히 역점을 두었습니다.

도구	기능
Volatility	프로세스 분석, 네트워크 연결, 암호화 키 추출
Foremost	파일 카빙, 삭제된 파일 복구
Scalpel	설정 가능한 파일 시그니처 기반 복구
Bulk Extractor	메타데이터 추출, 숨겨진 데이터 발굴
dc3dd/dcfldd	해시 검증 기능의 디스크 이미징
FTK Imager	라이브 이미징, 메모리 캡처
Guymager GUI	기반 안전한 디스크 이미징
RegRipper	Windows 레지스트리 분석
Binwalk	펌웨어 분석, 숨겨진 파일시스템 탐지

4. 기능 및 특징

4.1 NIST CSF 1.1 기반 메뉴 구조

 - Kali Purple은 5가지 방어 카테고리로 모든 도구를 분류하여 직관적인 접근성을 제공합니다.

• 001 - Identify: 자산 관리, 취약점 스캔, 위험 평가
• 002 - Protect: 접근 제어, 데이터 보호, 교육 훈련
• 003 - Detect: 이상 탐지, 실시간 모니터링, 위협 사냥
• 004 - Respond: 사고 분석, 포렌식 조사, 복구 계획
• 005 - Recover: 복구 전략, 지속성 개선, 검증

 

4.2 SOC In-A-Box 아키텍처

 - Kali Purple은 단일 시스템에서 완전한 보안 운영 센터 기능을 구현합니다.

• 실시간 위협 모니터링 (Arkime + Zeek + Suricata)
• 중앙화된 로그 관리 (ELK Stack)
• 고급 위협 사냥 (Malcolm 통합)
• 사고 대응 (TheHive + Velociraptor)
• 통합 포렌식 조사 (Autopsy + Volatility + TSK)
•  

4.3 Kali Autopilot
 - 공격 스크립트 자동화 빌더/프레임워크로 Blue Team 훈련용 Red Team 공격 시나리오를 자동화합니다.​​

4.4 Kali Purple Hub

 - 커뮤니티 공유 플랫폼

• 실습용 PCAP(패킷 캡처) 파일
• Blue Team 훈련용 Autopilot 스크립트
• 커뮤니티 Wiki 및 문서
• Discord 협업 채널

 

4.5 기술 사양

항목	사양
기반 OS	Debian Linux (최신 커널 6.1+)
데스크톱	Xfce 4.18, KDE Plasma 5.27, GNOME
Python	Python 3.11+ (성능 10-60% 향상)
도구 수	100+ 방어 도구 + 기존 600+ 공격 도구
메모리	4GB 이상 권장
디스크	20GB+ 권장

 
5. 기대효과

5.1 조직 차원

• 비용 절감: 상용 SIEM/포렌식 도구 대신 무료 오픈소스 활용​
• 운영 효율성: 단일 플랫폼에서 탐지, 대응, 포렌식 통합 수행
• 보안 태세 강화: 지속적 모니터링 및 위협 분석

 

5.2 보안 팀 차원

• Blue Team 역량 강화: 방어 기술 학습 및 실습​
• Purple Team 활동 지원: 공격 시뮬레이션과 방어 검증 동시 수행​
• 포렌식 조사 능력: 통합 도구 스위트 제공​

 

5.3 학습 및 교육

• 진입 장벽 감소: 복잡한 상용 도구 없이 학습 가능
• 실무 기반 교육: 실제 SOC 환경과 유사한 학습
• 커뮤니티 지원: Hub를 통한 학습 자료 공유

 

6. 기타: Kali Linux Purple에서 100% 공격 도구 사용 방법

 - 목표: 단일 OS에서 Red Team(공격) + Blue Team(방어) 통합 환경 구축

6.1 방법 1: kali-linux-default 설치 (권장)

  > 기본 공격 도구를 추가하는 가장 실용적인 방법

1. 시스템 업데이트 # apt update # apt upgrade -y # apt autoremove -y 2. Kali 기본 도구 설치 # apt install kali-linux-default -y 3. 메뉴 업데이트 # apt install --reinstall kali-menu 4. 시스템 재부팅 # reboot

 

  > 포함되는 공격 도구

• Metasploit Framewor
• Nmap, Hydra, SQLMap
• Responder, Impacket
• 주요 침투 테스트 도구

  > 장점: 시스템 리소스 효율적, 15-20GB 추가 소비​

6.2 방법 2: kali-linux-all 설치 (완벽한 통합)

  > 모든 Kali 도구를 설치하여 완전한 Red/Blue Team 환경 구축

1. 시스템 업데이트 # apt update # apt full-upgrade -y 2. 모든 Kali 도구 설치 # apt install kali-linux-all -y 3. 의존성 점검 # apt --fix-broken install 4. 메뉴 업데이트 # apt install --reinstall kali-menu 5. 재부팅 # reboot

  > 포함 카테고리

• Information Gathering (정보 수집)
• Vulnerability Analysis (취약점 분석)
• Web Application (웹 애플리케이션)
• Password Attacks (비밀번호 공격)
• Wireless Attacks (무선 공격)
• Reverse Engineering (리버스 엔지니어링)
• Exploitation Tools (익스플로잇 도구)
• Post Exploitation (사후 공격)

  > 특징: 가장 완벽하지만 50-70GB 필요, 설치 시간 30분~2시간​

6.3 방법 3: 카테고리별 선택 설치

필요한 도구만 선택적 설치하여 리소스 최적화

상위 10개 도구 # apt install kali-linux-top10 -y 대규모 세트 # apt install kali-linux-large -y 개별 카테고리 (예시) # apt install kali-tools-information-gathering -y # apt install kali-tools-vulnerability -y # apt install kali-tools-passwords -y # apt install kali-tools-reverse-engineering -y # apt install kali-tools-exploitation -y 메뉴 업데이트 # apt install --reinstall kali-menu # reboot

  > 이점: 점진적 설치, 용량 절감​

6.4 방법 4: 개별 도구 설치 (세밀한 조정)

특정 공격 도구만 필요에 따라 설치

Metasploit # apt install metasploit-framework -y Password Cracking # apt install hydra john hashcat -y Web Testing # apt install sqlmap burpsuite -y Wireless # apt install aircrack-ng -y Reverse Engineering # apt install ghidra -y 메뉴 업데이트 # apt install --reinstall kali-menu

6.5 추천 설정 방안

시나리오	설치 패키지	용량	용도
학습자	kali-linux-default	15-20GB	기본 침투테스트 + 포렌식
전문가	kali-linux-all	50-70GB	전체 사이버보안 작업
포렌식 전문	Purple + kali-tools-forensics	25-30GB	디지털 포렌식 전문
리소스 제약	카테고리별 선택	20-30GB	필요 도구만 선택

   

6.6 설치 후 검증

공격 도구 확인 # metasploit-framework --version # nmap --version # hydra --version 방어 도구 확인 # suricata --version # zeek --version # systemctl status elasticsearch

  > 메뉴 확인: 데스크톱 → Applications → 01~05 Identify-Recover 메뉴

7. 주의사항

항목	주의사항
디스크	kali-linux-all은 50-70GB 필요
메모리	여러 도구 동시 실행 시 8GB+ 권장
설치 시간	all 설치는 30분~2시간 소요
포트 충돌	일부 도구가 동일 포트 사용 가능
의존성	오류 발생 시 --fix-broken install 사용
업데이트	정기적 apt update && apt upgrade 필수

 

최종 결론: Kali Linux Purple은 기본적으로 방어 보안에 특화되어 있지만, 위의 방법을 통해 공격 도구(Red Team)와 방어 도구(Blue Team)를 100% 통합하여 단일 OS에서 완전한 Purple Team 환경을 구축할 수 있습니다. 조직의 리소스와 목적에 따라 kali-linux-default 또는 kali-linux-all을 선택하여 설치하면 됩니다.