리눅스에서 텍스트 검색과 패턴 매칭의 핵심 도구인 grep, egrep, fgrep은 시스템 관리자, 보안 분석가, 그리고 침해사고 대응 전문가들에게 필수적인 명령어입니다. 이 세 가지 도구는 모두 동일한 기본 기능을 수행하지만, 각각 고유한 특징과 성능 차이를 가지고 있어 상황에 따라 적절히 선택하여 사용해야 합니다. 이 글에서는 기본적인 사용법부터 고급 정규표현식 활용, 그리고 실제 침해사고 분석에서의 활용 사례까지 상세히 다루겠습니다.
◎ grep, egrep, fgrep 개요 및 비교
- 각 명령어의 정의
> grep (Global Regular Expression Print)은 파일이나 입력 스트림에서 특정 패턴과 일치하는 라인을 찾아 출력하는 기본 텍스트 검색 도구로, 기본 정규표현식(Basic Regular Expression, BRE)을 사용합니다.
> egrep (Extended grep)은 확장 정규표현식(Extended Regular Expression, ERE)을 지원하는 grep의 향상된 버전으로, 현재는 grep -E 옵션과 동일한 기능을 제공합니다.
> fgrep (Fixed grep)은 정규표현식을 사용하지 않고 고정 문자열만을 검색하는 도구로, grep -F 옵션과 동일한 기능을 제공하며 단순 문자열 검색에서 뛰어난 성능을 보입니다.
- 주요 차이점 비교표
| 특징 |
grep |
egrep (grep -E) |
fgrep (grep -F) |
| 정규표현식 지원 |
기본 정규표현식 (BRE) |
확장 정규표현식 (ERE) |
고정 문자열만 |
| 메타문자 처리 |
+, ?, |, () 를 이스케이프 필요 |
메타문자 직접 사용 가능 |
일반문자로 처리 |
| 성능 |
중간 |
복잡한 패턴에서 효율적 |
단순 문자열 검색에서 가장 빠름 |
| 사용 복잡성 |
중간 |
높음 (복잡한 패턴) |
낮음 (단순함) |
| 현재 상태 |
표준 |
deprecated (grep -E 권장) |
deprecated (grep -F 권장) |
- 성능 비교
> fgrep은 고정 문자열 검색에서 grep보다 빠르다고 알려져 있지만, GNU grep은 패턴을 분석하여 적절한 최적화를 자동으로 수행하므로 성능 차이가 예전만큼 크지 않습니다. 그러나 매우 큰 파일이나 대량의 데이터를 처리할 때는 여전히 fgrep이 유리할 수 있습니다.
◎ 기본 사용법과 주요 옵션
- 기본 구문
# grep [옵션] 패턴 [파일명]
# egrep [옵션] 패턴 [파일명]
# fgrep [옵션] 패턴 [파일명] |
- 주요 옵션
> 모든 grep 계열 명령어에서 공통으로 사용되는 주요 옵션들입니다:
- -i: 대소문자 구분 없이 검색
- -r: 디렉토리 재귀 검색
- -v: 패턴과 일치하지 않는 라인 출력
- -n: 라인 번호 출력
- -o: 매칭된 부분만 출력
- -l: 매칭된 파일명만 출력
- -c: 매칭된 라인 수 카운트
- -A n: 매칭 라인 다음 n개 라인 출력
- -B n: 매칭 라인 이전 n개 라인 출력
- -C n: 매칭 라인 앞뒤 n개 라인 출력
- -w: 단어 경계 매칭
- -H: 파일명 표시
◎ 일반적인 사용 예제
- 기본 텍스트 검색
단순 문자열 검색
# grep "error" /var/log/syslog
대소문자 구분 없이 검색
# grep -i "warning" /var/log/messages
특정 디렉토리에서 재귀 검색
# grep -r "password" /etc/
파일명과 함께 검색 결과 출력
# grep -H "failed" /var/log/auth.log
# grep -rH "failed" /var/log/ |
- 라인 번호와 컨텍스트 출력
라인 번호와 함께 출력
# grep -n "failed" /var/log/auth.log
매칭 라인 앞뒤 3줄씩 출력
# grep -C 3 "connection refused" /var/log/syslog
매칭된 부분만 출력
# grep -o "[0-9]\+\.[0-9]\+\.[0-9]\+\.[0-9]\+" access.log
매칭된 라인 수 카운트
# grep -c "ERROR" application.log |
- 파일 관련 검색
매칭된 파일명만 출력
# grep -l "TODO" *.c
패턴과 일치하지 않는 라인 출력
# grep -v "^#" /etc/ssh/sshd_config
여러 파일에서 검색
# grep "error" /var/log/*.log |
◎ 정규표현식 활용
- 기본 정규표현식 (grep)
라인 시작 패턴 매칭
# grep "^root" /etc/passwd
라인 끝 패턴 매칭
# grep "bash$" /etc/passwd
임의의 한 문자 매칭
# grep "l.st" /usr/share/dict/words
문자 범위 매칭
# grep "[0-9]" /var/log/messages
반복 패턴 (기본 정규표현식에서는 이스케이프 필요)
# grep "colou\?r" text.txt |
- 확장 정규표현식 (egrep)
> egrep은 더 직관적이고 강력한 패턴 매칭을 제공합니다:
OR 조건 검색
# egrep "error|warning|critical" /var/log/syslog
하나 이상 반복 (+)
# egrep "lo+ng" text.txt
선택적 문자 (?)
# egrep "colou?r" text.txt
그룹화와 반복
# egrep "(ha){2,}" laughs.txt
복잡한 패턴 매칭
# egrep "^[A-Z][a-z]{2,} [0-9]{2,4}$" data.txt |
- 고정 문자열 검색 (fgrep)
> fgrep은 정규표현식 문자를 문자 그대로 처리하여 빠른 검색을 제공합니다:
특수문자가 포함된 문자열 검색
# fgrep "192.168.1.*" network.conf
메타문자를 문자 그대로 검색
# fgrep "find . -name" script.txt
대량 파일에서 고속 검색
# fgrep "exact_string" large_file.log |
◎ 침해사고 분석에서의 활용
- 로그 분석 기초
> 침해사고 분석에서 grep 계열 명령어는 대량의 로그 데이터에서 의심스러운 활동을 신속하게 식별하는 핵심 도구입니다. 다음은 기본적인 로그 분석 예제들입니다:
인증 실패 시도 검색
# grep "Failed password" /var/log/auth.log
특정 IP에서의 접속 시도
# grep "192.168.1.100" /var/log/auth.log
SSH 무차별 대입 공격 탐지
# grep -i "invalid user" /var/log/auth.log | head -20
권한 상승 시도 탐지
# egrep "(sudo|su).*root" /var/log/auth.log |
- 악성코드 및 웹쉘 탐지
> 웹쉘이나 악성 스크립트를 탐지하기 위한 패턴 검색은 침해사고 대응에서 매우 중요합니다:
PHP 웹쉘 탐지
# find /var/www -name "*.php" | xargs grep -l "eval(base64_decode"
위험한 PHP 함수 검색
# grep -r -E --include='*.php' 'eval|shell_exec|system|passthru|exec' /var/www
JavaScript 악성 코드 패턴
# find . -name "*.js" | xargs grep -l "eval(unescape"
일반적인 웹쉘 이름 패턴
# find /var/www -type f \( -iname "*.php" -o -iname "*.jsp" \) -exec fgrep -l "c99" {} \;
base64 인코딩된 악성코드 탐지
# grep -r "base64_decode" /var/www | grep -v "wp-" |
- 네트워크 침입 탐지
> 네트워크 로그에서 의심스러운 활동을 찾는 방법입니다:
비정상적인 포트 접근 시도
# egrep ":(22|23|80|443|3389)" /var/log/firewall.log
DDoS 공격 패턴 탐지
# egrep "SYN|flood" /var/log/messages | head -50
포트 스캔 탐지 (대량 연결 시도)
# grep "connection" /var/log/messages | awk '{print $5}' | sort | uniq -c | sort -nr
대용량 데이터 전송 탐지
# awk '$5 > 5000 {print $1, $4, $5}' /var/log/proxy.log |
- 시스템 파일 무결성 검사
> 시스템 파일의 변조나 의심스러운 변경사항을 탐지합니다:
최근 수정된 중요 파일 검색
# find /etc -type f -mtime -7 -exec ls -la {} \; | grep -v "\.log"
SUID/SGID 파일 중 의심스러운 것들
# find / -type f \( -perm -4000 -o -perm -2000 \) 2>/dev/null | fgrep -v -f known_suid.txt
숨겨진 파일이나 디렉토리
# find / -name ".*" -type f 2>/dev/null | egrep "\.(sh|exe|bin)$"
비정상적인 위치의 실행 파일
# find /tmp /var/tmp -type f -executable 2>/dev/null |
- IP 주소 및 도메인 분석
> 침해사고 조사에서 자주 사용되는 IP 주소와 도메인 분석 패턴입니다:
IPv4 주소 추출
# egrep '\b([0-9]{1,3}\.){3}[0-9]{1,3}\b' access.log
외부 IP 주소만 추출 (RFC1918 제외)
# egrep '\b(?!10\.)(?!192\.168\.)(?!172\.(1[6-9]|2[0-9]|3[01])\.)([0-9]{1,3}\.){3}[0-9]{1,3}\b' network.log
의심스러운 도메인 패턴
# egrep -i "(\.tk|\.ml|\.cf|\.ga)$" dns.log
C&C 통신 패턴 탐지
# egrep -E "(POST|GET).*(config|update|check|beacon)" /var/log/proxy.log |
- 타임라인 분석
> 침해사고의 시간순 재구성을 위한 로그 분석 방법입니다:
특정 시간대의 이벤트 검색
# grep "Dec 15 1[0-5]:" /var/log/syslog
여러 로그 파일에서 동시간대 이벤트 상관분석
for log in /var/log/{auth.log,syslog,messages}; do
echo "=== $log ==="
grep "2025-04-19.*10:" $log
done
정규표현식으로 타임스탬프 매칭
# egrep "[0-9]{4}-[0-9]{2}-[0-9]{2}T[0-9]{2}:[0-9]{2}:[0-9]{2}" timeline.csv
이벤트 발생 빈도 분석
# grep "Failed password" /var/log/auth.log | awk '{print $1,$2,$3}' | sort | uniq -c |
◎ 고급 침해사고 분석 기법
- IOC (Indicators of Compromise) 검색
> 알려진 침해 지표를 기반으로 한 검색 기법입니다:
알려진 악성 도메인 검색
# egrep -i "(evil\.com|malware\.net|badguy\.org)" /var/log/dns.log
의심스러운 사용자 에이전트
# grep -i "user-agent" /var/log/apache2/access.log | egrep "(sqlmap|nmap|nikto|burp)"
해시값 기반 악성파일 탐지
# find /tmp -type f -exec sha256sum {} \; | fgrep -f malware_hashes.txt
보안 소프트웨어 탐지 시도
# egrep "(Little Snitch|Avast|McAfee|Sophos)" /var/log/commands.log |
- 데이터 유출 탐지
> 민감한 데이터의 유출 시도를 탐지하는 방법입니다:
신용카드 번호 패턴
# egrep '\b[0-9]{4}[- ]?[0-9]{4}[- ]?[0-9]{4}[- ]?[0-9]{4}\b' access.log
이메일 주소 패턴
# egrep '\b[A-Za-z0-9._%+-]+@[A-Za-z0-9.-]+\.[A-Z|a-z]{2,}\b' application.log
대용량 데이터 전송 탐지
# awk '$10 > 1000000 {print $0}' /var/log/nginx/access.log | head -10
파일 다운로드 패턴 분석
# grep "GET.*\.(zip|rar|7z|tar)" /var/log/apache2/access.log |
- 프로세스 및 명령어 분석
> 의심스러운 프로세스나 명령어 실행을 탐지합니다:
의심스러운 명령어 실행 탐지
# egrep "(wget|curl).*http" /var/log/bash_history
네트워크 도구 사용 탐지
# egrep "(nc|netcat|nmap|masscan)" /var/log/commands.log
권한 상승 도구 탐지
# egrep "(sudo|su|doas).*-s" /var/log/auth.log
암호화/압축 도구 사용 탐지
# egrep "(openssl|gpg|7z|rar).*encrypt" /var/log/commands.log |
◎ 성능 최적화와 효율적 사용법
- 검색 성능 향상
> 대용량 파일 처리 시 성능을 최적화하는 방법입니다:
LANG=C 설정으로 성능 향상
# LANG=C grep "pattern" large_file.log
고정 문자열 검색 시 -F 옵션 사용
# grep -F "exact_string" file.txt
이진 파일 제외
# grep -I "pattern" *
파일 타입 제한
# grep --include="*.log" -r "pattern" /var/log/ |
- 복잡한 검색 최적화
여러 패턴을 파일로 관리
# echo -e "error\nwarning\ncritical" > patterns.txt
# grep -f patterns.txt /var/log/syslog
파이프라인 최적화
# grep "ERROR" large.log | fgrep "database" | head -10
병렬 처리 활용
# find /var/log -name "*.log" -print0 | xargs -0 -P 4 grep "error"
메모리 효율적인 검색
split -l 1000000 huge.log chunk_
for chunk in chunk_*; do
grep "pattern" $chunk >> results.txt
done |
◎ 실무 침해사고 분석 시나리오
- 웹서버 침해사고 조사
> 실제 웹서버 침해사고 조사 시 단계별 접근 방법입니다:
1단계: SQL 인젝션 시도 확인
# egrep -i "(union|select|drop|insert|update).*from" /var/log/apache2/access.log
2단계: 파일 업로드 시도 탐지
# grep -E "POST.*\.(php|jsp|asp)" /var/log/apache2/access.log
3단계: 디렉토리 트래버설 시도
# grep "\.\./\.\." /var/log/apache2/access.log
4단계: 웹쉘 실행 시도
# egrep "(eval|system|exec)" /var/log/apache2/access.log
5단계: 업로드된 파일 검사
# find /var/www -name "*.php" -newermt "2022-01-01" -exec grep -l "eval\|base64" {} \; |
- SSH 무차별 대입 공격 분석
> SSH 로그인 시도를 분석하여 공격 패턴을 파악합니다:
실패한 로그인 시도 통계
# grep "Failed password" /var/log/auth.log | awk '{print $(NF-3)}' | sort | uniq -c | sort -nr
성공한 로그인 중 의심스러운 것들
# grep "Accepted password" /var/log/auth.log | egrep -v "(admin|root|user)"
시간대별 공격 패턴 분석
# grep "Failed password" /var/log/auth.log | awk '{print $1,$2,$3}' | sort | uniq -c
공격자 IP 분석
# grep "Failed password" /var/log/auth.log | egrep -o "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+" | sort | uniq -c | sort -nr |
- 멀웨어 감염 조사
> 시스템 전반의 멀웨어 감염 징후를 찾는 방법입니다:
의심스러운 프로세스 이름
# ps aux | egrep "\.(tmp|temp|cache)" | grep -v grep
네트워크 연결에서 의심스러운 통신
# netstat -tuln | egrep ":(4444|1337|31337|6666)"
메모리 덤프에서 URL 패턴 검색
# strings memory.dump | egrep "https?://[^\s]+"
의심스러운 파일 확장자
# find /tmp /var/tmp -type f | egrep "\.(scr|pif|com|bat|cmd)$" |
◎ 보안 고려사항과 모범 사례
- 로그 무결성 보장
>침해사고 분석 시 로그의 무결성을 보장하는 것이 중요합니다:
로그 파일 체크섬 확인
# sha256sum /var/log/auth.log > auth.log.sha256
로그 파일 변조 탐지
# find /var/log -name "*.log" -type f -exec stat {} \; | grep -E "Modify|Access"
로그 파일 타임스탬프 검증
# ls -la /var/log/*.log | awk '{print $6,$7,$8,$9}' | sort |
- 대용량 데이터 처리 시 주의사항
메모리 사용량 모니터링하면서 검색 # 가상 메모리 제한
# ulimit -v 1000000
# grep "pattern" very_large_file.log
시스템 부하 최소화
# nice -n 19 grep -r "pattern" /var/log/
I/O 우선순위 조정
# ionice -c 3 grep "pattern" large_file.log |
- 정확한 패턴 매칭
단어 경계 사용으로 정확한 매칭
# grep -w "admin" /etc/passwd
대소문자 정확히 구분 # "ERROR"와 구분
# grep "Error" application.log
라인 전체 매칭
# grep "^exact line$" file.txt |
◎ 결론
grep, egrep, fgrep은 리눅스 환경에서 텍스트 검색과 패턴 매칭의 핵심 도구로, 일반적인 시스템 관리부터 전문적인 침해사고 분석까지 광범위하게 활용됩니다. 특히 침해사고 대응에서는 대량의 로그 데이터에서 의미 있는 정보를 신속하게 추출하는 데 필수적인 역할을 합니다.
- 주요 선택 기준:
- 일반적인 검색: grep 사용으로 균형잡힌 성능과 기능 제공
- 복잡한 패턴 매칭: egrep (grep -E) 사용으로 강력한 정규표현식 활용
- 간단한 문자열 검색: fgrep (grep -F) 사용으로 최고 성능 확보
효과적인 활용을 위해서는 정규표현식에 대한 이해와 함께, 다양한 옵션들의 적절한 조합이 중요합니다. 또한 성능 최적화 기법을 활용하여 대용량 데이터 처리 시에도 효율적인 분석이 가능합니다.
침해사고 분석 시에는 단순한 키워드 검색을 넘어 공격 패턴과 IOC를 고려한 체계적인 접근이 필요하며, 로그의 무결성 보장과 함께 다각도의 분석 기법을 병행하는 것이 중요합니다. 이러한 기법들을 숙달한다면 보안 사고 대응 능력을 크게 향상시킬 수 있을 것입니다.
