침해사고 대응 시 가장 먼저 확인해야 할 로그 파일은?
반응형
❗ "회사 서버에 이상한 트래픽이 잡혔어요!"
이런 침해사고가 발생했을 때, 가장 먼저 무엇을 확인해야 할까요?
정답은 바로 로그(Log) 파일입니다.
이번 글에서는 보안 전문가들이 침해사고(Incident)가 발생했을 때 가장 먼저 확인하는 로그 파일을 소개하고, 로그 파일별 역할, 확인 포인트, 그리고 보안 위협 대응 팁까지 정리해드리겠습니다.
✅ 침해사고 시 로그 확인이 중요한 이유
로그는 마치 CCTV와도 같습니다.
누가, 언제, 어디서, 무엇을 했는지 시간순으로 기록되어 있어, 침해 흔적을 추적할 수 있어요.
예시 상황
- 내부 직원이 중요 파일을 무단 복사했다? → 시스템 이벤트 로그
- 외부에서 악성 IP가 접근했다? → 방화벽 로그
- 웹사이트가 해킹되었다? → 웹 서버 접근 로그
침해사고 발생 시 가장 먼저 확인해야 할 주요 로그 파일 5가지
| 로그 종류 | 주요 위치 | 확인할 내용 | 대표 운영체제/장비 |
| Windows 이벤트 로그 | Event Viewer | 로그인 시도, 프로세스 실행, 계정 변경 | Windows Server, PC |
| Syslog (시스템 로그) | /var/log/syslog /var/log/messages |
시스템 경고, 네트워크 연결 기록 | Linux 서버 |
| 웹 서버 접근 로그 | /var/log/apache2/access.log /var/log/nginx/access.log |
의심스러운 URL, 비정상 User-Agent | Apache, Nginx |
| 방화벽/IDS/IPS 로그 | 장비별 콘솔 또는 로그 서버 | 포트 스캔, 악성 IP 접근, 정책 위반 | FortiGate, Palo Alto, Snort 등 |
| 인증/계정 관련 로그 | /var/log/auth.log, Security 이벤트 | 비정상 로그인 시도, 루트 권한 변경 | Linux, Windows |
1. Windows 이벤트 로그
📌 경로: Windows + R → eventvwr.msc
확인할 항목
- 보안(Security) 이벤트 ID 4624: 로그인 성공
- 이벤트 ID 4625: 로그인 실패
- 이벤트 ID 4670, 4720~4732: 계정 생성/변경
- 이벤트 ID 4688: 새 프로세스 실행
🛡 이럴 때 주의!
- 새벽 시간대 로그인 시도
- 관리자 계정으로 여러 번 실패한 로그
- PowerShell 등 의심스러운 프로세스 실행
2. Linux 시스템 로그 (Syslog, Auth.log 등)
📌 경로: /var/log/ 디렉토리
주요 로그 파일
- syslog 또는 messages: 시스템 전반 이벤트
- auth.log: 인증 및 로그인 관련 기록
- secure: 보안 관련 로그 (RedHat 계열)
🛡 이럴 때 주의!
- 루트 계정으로 로그인
- SSH 포트에 대한 반복된 접근 시도
- cron 작업 등록 등 자동화된 명령 실행 흔적
3. 웹 서버 접근 로그
📌 Apache: /var/log/apache2/access.log
📌 Nginx: /var/log/nginx/access.log
확인할 항목
- POST, GET 요청의 URL
- 반복 요청, 빠른 속도의 스크립트 요청
- SQL Injection, XSS 시도 흔적 (', <script>, UNION, --)
🛡 이럴 때 주의!
- /admin, /login 페이지에 반복 접근
- 비정상 User-Agent (예: sqlmap, curl)
- 외국 IP에서 다량 요청
4. 방화벽 및 보안 장비 로그
📌 장비에 따라 다르며, 대부분 전용 콘솔/웹UI 제공
주요 내용
- DROP, DENY, BLOCK 기록
- 특정 포트, 특정 IP에서 반복된 접근
- 내부 네트워크로의 비인가 진입 시도
🛡 이럴 때 주의!
- 외부에서 내부 DB포트(3306 등)로 접근
- 포트 스캔 흔적
- IDS 탐지 결과 (예: Buffer Overflow 시도)
5. 인증 관련 로그
📌 Windows: Security 로그
📌 Linux: /var/log/auth.log
확인할 항목
- 로그인/로그아웃 시도 시간과 IP
- sudo 사용 기록 (/var/log/sudo.log)
- 다단계 인증 실패 기록
🛡 이럴 때 주의!
- 동일 시간대 여러 위치(IP)에서 로그인 시도
- 루트 권한 변경 요청 (sudo su)
- 정상적인 사용자가 하지 않았을 만한 작업
📌 실제 대응 순서 요약
- 이상 징후 탐지 (경보 발생, 사용자 제보 등)
- 가장 가까운 시간대의 로그 분석
- 로그인 정보, 명령 실행, 접근 IP, URL 분석
- 이상 징후 IP 차단 및 임시 격리
- 사후 분석 및 재발 방지 조치
📚 참고 문헌 및 공식 출처
- National Institute of Standards and Technology. (2012). Computer Security Incident Handling Guide (SP 800-61r2). Retrieved from https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf
- Microsoft. (2023). Security Audit Events. Retrieved from https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/security-audit-events
- Red Hat. (2024). System Log Files. Retrieved from https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html/security_hardening/system-log-files-security
마무리
"로그는 거짓말하지 않는다."
보안 사고가 발생했을 때, 로그는 문제의 실체를 밝혀주는 가장 확실한 증거입니다.
습관적으로 로그를 수집하고, 자동화된 분석 시스템을 구축해두면 사고 발생 시 골든타임을 잡을 수 있습니다.
반응형
'IT > 보안' 카테고리의 다른 글
| 클라우드 환경(AWS, Azure, GCP)에서 보안 강화를 위한 주요 설정 (0) | 2025.04.16 |
|---|---|
| 로그 분석을 통해 내부자 위협(Insider Threat)을 감지하는 방법 (0) | 2025.04.16 |
| APT 공격이란? APT 공격의 특징과 대응 방법 (0) | 2025.04.16 |
| 디지털 포렌식에서 '증거 보존(Chain of Custody)'이 중요한 이유 (0) | 2025.04.16 |
| 랜섬웨어 공격이 발생했을 때 어떻게 대응해야 할까요? (0) | 2025.04.16 |
댓글