콘텐츠로 바로가기
HY_TECH_BASE

Security Auditing & Logging

시스템의 모든 물리적 행위를 수치적 로그로 기록하고, 사후에 이를 정밀 분석하여 보안 사고의 인과 관계를 수리적으로 증명하는 증적 보존 물리학을 다룹니다.

sys.entry
M

Me

hyunyoun's Blog

posts7 min read

1. Overview

보안 감사 및 로깅(Security Auditing & Logging, SAL)은 하드웨어에서 일어난 모든 사건에 대해 "누가, 언제, 어디서, 무엇을 했는가"를 수리적 시계열(Timeline) 데이터로 남겨, 거짓을 물리적으로 배제하고 진실을 수치적으로 보존하는 '시스템의 블랙박스 공학'입니다.

학습자는 수조 건의 로그 속에서 이상 수치를 실시간으로 잡아내는 **SIEM (Security Information and Event Management)**의 물리적 가동 원리와, 로그 자체가 물리적으로 수정되거나 지워지지 않도록 보호하는 무결성 보증 수순을 배웁니다. 특히, 법적 증거 능력을 갖추기 위한 로그 보관의 수리적 요건을 익힙니다. 이를 통해 보안 사고 발생 시 침투 경로를 수치적으로 완벽히 역추적(TracebackTraceback)하는 하이엔드 사후 대응 역량을 확보합니다.

2. Scope & Boundaries

In-Scope

  • Log Generation & Collection: OS, 앱, 하드웨어 장비에서 발생하는 보안 로그의 수치적 정규화
  • SIEM / XDR Mechanics: 분산된 로그를 한 곳으로 모아 수리적 상관관계(Correlation) 분석
  • Integrity Protection: 로그 파일의 물리적 위변조 방지 및 암호화된 수리적 봉인(Seal)
  • Retention Policies: 법적/기술적 요구사항에 따른 로그의 물리적 보관 수치 제어
  • Audit Trails: 데이터 접근 및 권한 변경 시 생성되는 수리적 증적 관리

Out-of-Scope

  • 로그 분석을 넘어선 실시간 트래픽 가로채기 및 차단 (10-02-01 FII 영역에서 분담)
  • 단순한 성능 모니터링 목적의 메트릭 수집 (09-04-01 영역에서 분담)

Boundaries

  • SAL vs. Observability: Observability(09-04-01)가 '시스템의 상태와 병목'에 집중한다면, SAL은 '행위의 정당성과 책임 소재'라는 보안적 인과 관계의 물리학에 집중하여 구분합니다.

3. Counterexample

  • 단순히 "파일에 로그 남기기"라 설명하는 것은 SAL 학습이 아닙니다. 왜 로그 전송 과정에서 암호화(TLS)가 빠지면 해커가 로그 수치를 중간에서 물리적으로 조작하여 자신의 흔적을 수리적으로 지울 수 있는지 증명할 수 있어야 하며, 로그 동기화 시 시각(Time NTP)의 수치 미세 오차가 사고 분석에 어떤 치명적인 물리적 방해 요소가 되는지 논증하지 못한다면 보안 감사의 본질을 이해하지 못한 것입니다.

4. Prerequisites

  • Observability & Telemetry Physics (Basic): 09-04-01의 로그 수집기 및 파싱 원리 이해가 필수입니다.
  • Hash Functions & Digital Signatures (Basic): 10-01-02의 무결성 검증 수순 이해가 필수입니다.

5. Learning Map

  1. Capturing Reality: 시스템의 물리적 움직임을 왜곡 없이 수치 데이터(Log)로 전환하는 법을 배웁니다.
  2. The Integrity Vault: 해커가 가장 먼저 지우고 싶어 할 로그를 물리적으로 수호하는 방패를 세웁니다.
  3. Correlation Engine: 흩어진 천만 개의 로그 조각을 모아 하나의 물리적 범행 시나리오를 수리 조립합니다.
  4. Legal Evidence: 수집된 데이터가 법정에서도 통하는 무결한 수치 증거가 되도록 하이엔드 거버넌스를 완성합니다.

6. Learning Topics

Basic

Core: 로그의 종류와 보안적 가치 (Logging Foundations)

  • Why to Learn: 로그인 실패 1,000번이라는 수치가 하드웨어에 남지 않는다면, 무차별 대입 공격을 물리적으로 알아챌 방법이 없기 때문입니다.
  • What to Learn:
    • Event Types: 인증 성공/실패, 권한 상승, 서비스 중단 등의 보안 수치 식별
    • Standard Format: Syslog, JSON 등 분석 하드웨어가 읽기 쉬운 물리 규격화
    • Verbosity Levels: 너무 많지도 적지도 않은, 수리적으로 적정한 로그 상세도(Info/Warn/ErrorInfo/Warn/Error)
  • How to Learn:
    • 리눅스 물리 서버의 /var/log/auth.log를 열고, 자신의 로그인 시도가 수치화된 로그로 남는 현상 확인 실습
    • 로그 파일의 용량(GBGB)이 하드웨어 디스크를 가득 채워 시스템이 멈추는 물리 사고 예방 훈련
  • Implement: 특정 보안 키워드가 포함된 로그 라인을 수리적으로 추출하는 기초 LogParser

Core: SIEM과 상관관계 분석 (Event Correlation Physics)

  • Why to Learn: "방화벽 로그 1건"과 "DB 접근 로그 1건"은 무해해 보이지만, 둘을 수리적으로 연결하면 "외부 침투"라는 물리적 사건이 보이기 때문입니다.
  • What to Learn:
    • Log Aggregation: 수만 대의 하드웨어 로그를 수리적 중앙(Storage)으로 수집하는 기제
    • Correlation Rules: "A 사건 발생 후 1분 내 B 사건 발생"과 같은 수치적 탐지 공식
    • Dashboarding: 보안 위협 수치를 물리적 시각화로 전환하는 법
  • How to Learn:
    • ELK Stack이나 Splunk를 사용하여 "로그인 실패 뒤에 성공"하는 수리적 무차별 대입 패턴을 잡아내는 실습
    • 실시간 로그 스트림에서 평소와 다른 수치(AnomalyAnomaly)가 발생할 때 자동으로 알람을 물리 실행하는 엔진 설계
  • Implement: 데이터 스트림에서 윈도우(Time Window) 기반으로 이상 징후를 수치 포착하는 CorrelationNode

Practical

Core: 로그 무결성과 증거 보존 (Anti-tampering Mechanics)

  • Why to Learn: 해커가 시스템을 장악한 뒤에도 로그 파일의 수치는 물리적으로 수정할 수 없도록 '수정 불가능한 진실'을 만들기 위해서입니다.
  • What to Learn:
    • Log Forwarding: 로그를 하드웨어 생성 즉시 외부의 안전한 물리 저장소로 쏘아 올리기
    • Hashing & Digital Signature: 로그 뭉치가 수리적으로 변하지 않았음을 증명하는 서명 수순
    • WORM (Write Once Read Many) Storage: 한 번 쓰면 물리적으로 지울 수 없는 하드웨어 매체 활용
  • How to Learn:
    • 공격자가 로그 파일을 지우려 할 때 권한이 거부되거나, 지워진 사실이 수리적으로 즉각 원격 감지되는 환경 구축 실습
    • 로그 파일의 해시(HashHash) 값을 매시간 외부 블록체인이나 신뢰 서버에 수치 기록하여 무결성 보증 실험
  • Implement: 로그 라인마다 이전 라인의 해시를 포함하여 사슬(Chain)을 만드는 TamperProofLogger

Advanced

Core: 보안 감사 거버넌스와 포렌식 (Audit & Forensics)

  • Why to Learn: 사고가 터진 후 "누가 책임자인가"를 수리적으로 확정하고, 비슷한 사고가 물리적으로 재발하지 않게 거버넌스를 교정하기 위함입니다.
  • What to Learn:
    • Chain of Custody: 수집된 로그가 증거로서 물리적 오염 없이 전달되는 수순 관리
    • Forensic Acquisition: 하드웨어 메모리나 디스크의 수치 이미지를 원본 훼손 없이 떠내는 법
    • Audit Log Review: 규정에 따라 보안 로그를 주기적으로 사람이 수치 검토하는 거버넌스 프로세스
  • How to Learn:
    • 모의 침투 사고 후, 파편화된 하드웨어 로그들을 시간대별로 수리 정렬하여 '공격자의 물리적 발자국'을 그리는 보고서 작성 실습
    • '데이터 접근 이력 필독' 규정이 실제 IT 감사에서 어떻게 수리적 합격/불합격 수치로 판정되는지 사례 연구
  • Implement: 포렌식 증거용으로 추출된 파일의 무결성 수치를 대조하고 인증서를 발행하는 EvidenceSealer

7. Terminology

Term (EN / ko, abbr) 1문장 정의 단계(기본/권장/실무/심화) 역할/맥락 관련 개념 유사/대비/함께 사용 오해 포인트 Evidence(Primary/Secondary/Industry) Flags(core)
SIEM 다양한 하드웨어 장치와 애플리케이션의 로그를 통합 관리하고 수리적 위협을 실시간 탐지하는 시스템입니다. 추천 보안 관제 XDR / SOC Observability 단순 로그 저장소 아님 Industry core
Audit Trail 데이터의 수정이나 접근 경로를 수치 단위로 빠짐없이 기록하여 물리적 책임 소재를 밝히는 증적입니다. 기본 증거 보존 Trace / Log Forensics 성능 로그와 목적이 다름 P3:CyBOK core
NTP 하드웨어 장치 간의 물리적 시각을 수리적으로 동기화하여 로그의 발생 순서를 정확히 보증하는 프로토콜입니다. 기본 시간 동기화 Offset / Sync PTP 보안 분석의 기준점임 Industry core
WORM 한 번 기록된 데이터를 물리적으로 수정하거나 삭제할 수 없게 만들어 수리적 무결성을 보장하는 기술입니다. 실무 무결성 보증 Immutable / Tape Backup 고의적 훼손도 방지함 Industry core

8. References

Primary

Secondary

  • [NIST Special Publication 800-92: Guide to Computer Security Log Management] — The technical benchmark.
  • [Logging and Log Management] Anton Chuvakin — Practical industry manual.

Industry

  • [OWASP Logging Cheat Sheet] — Secure implementation guide.
  • [SANS Institute: Security Log Management] — Operational best practices.

9. Final Checklist

Primary

  • '로그 보관 주기' 설정 시 물리적 스토리지 비용과 수리적 '사건 인지 소요 시간' 사이의 트레이드오프를 설명 가능한가? (P3)
  • '중앙 집중식 로깅'이 개별 하드웨어 로깅보다 보안 오딧 관점에서 수리적으로 왜 우월한지 기술할 수 있는 가? (P5)

Secondary

  • '로그 정규화(NormalizationNormalization)' 과정에서 데이터 손실(LossLoss) 수치를 최소화하면서 수리적 분석 효율을 높이는 수순을 소통 가능한가?
  • SIEM Correlation Rule을 짤 때 '거짓 양성(FalsePositiveFalse Positive)' 수치를 줄이기 위한 논리 필터링 기법을 논증할 수 있는 가?

Industry

  • 실무 사고 조사 시 '타임스탬프'의 수리적 왜곡을 방지하기 위한 하드웨어 시간 서버(NTP) 거버넌스를 제안할 수 있는 가? (SFIA)
  • Data Residency 규정에 따라 특정 지역의 하드웨어 로그를 물리적으로 해외로 반출하지 않으면서 분석하는 수순을 분석할 수 있는 가?

Concepts & Tags

#auditing#logging#siem#forensics#integrity#log-management#compliance-log