[새싹 성동 2기] 보안관제 실무(4) - 로그관리와 공격 유형

보안 관제에서 로그 분석과 공격 유형 이해는 필수적인 요소입니다. 로그는 보안 사고의 원인과 대응책을 찾는 데 중요한 데이터를 제공합니다. 또한, 다양한 공격 유형과 네트워크 아키텍처의 이해는 보안 시스템 구축 및 운영에 필수적입니다. 이번 포스팅에서는 로그 관리, 공격 유형, 그리고 기본적인 보안 아키텍처에 대해 설명합니다.

1. 로그(Log) 관리의 중요성

1-1. 서버 단위 로그

1. 윈도우 서버

1. Event Log
   • 시스템: 시스템 관련 이벤트.
   • 애플리케이션: 실행된 애플리케이션의 기록.
   • 보안: 인증 및 권한 변경 등 보안 관련 이벤트.
2. Access.log, Error.log: 웹 서버에서 발생하는 접근 및 오류 기록.
3. DB Log: 데이터베이스 관련 이벤트 로그.

2. 유닉스/리눅스 서버

1. Message Log: 부팅 시간 등 시스템 주요 이벤트 기록.
2. Audit Log: 누가 언제 어떤 명령어를 실행했는지 감사 기록.
3. Auth Log: 인증 로그로, 접속 방법(SSH, Telnet 등)을 기록.
4. Mail Log: 메일 서버 관련 기록(수발신 내역).
5. Access.log, Error.log: 웹 서버의 접근 및 에러 기록.
6. DB Log: 데이터베이스 관련 작업 기록.

1-2. 클라이언트 로그

1. 윈도우 클라이언트

• Event Log
  • 시스템: 클라이언트 시스템의 이벤트.
  • 애플리케이션: 클라이언트 애플리케이션 실행 내역.
  • 보안: 사용자의 인증 및 접근 기록.

1-3. 네트워크 기반 로그

네트워크 장비에서 수집되는 주요 로그:

1. 스위치
   • 통신 테이블 내역.
   • 포트 On/Off 설정.
   • Config 설정 변경 내역.
2. 라우터
   • 네트워크 경로 설정 변경 기록.
3. 공유기
   • 연결 기기 및 통신 데이터 기록.
4. 보안 솔루션 장비
   • FW(방화벽), IDS/IPS, WAF의 이벤트 로그.

1-4. 로그 수집과 통합 관리

로그 수집 범위

• FW, IDS/IPS, WAF: 주요 보안 장비의 로그.
• 서버와 네트워크 장비의 통합 로그.

통합 관리 도구

• Splunk (SIEM): 다양한 로그를 수집하여 데이터베이스로 관리.
• WAZUH: FW와 IDS/IPS의 로그 분석.
• MOD Security: WAF의 로그 관리.

2. 주요 공격 유형과 대응

2-1. 네트워크 기반 공격

대표적인 네트워크 공격

1. 스니핑(Sniffing): 트래픽 가로채기.
2. 스푸핑(Spoofing): IP나 MAC 주소를 위조.
3. DoS/DDoS: 대량의 트래픽으로 서비스 마비.
4. 스캐닝(Scanning): 네트워크 취약점 탐색.

대응 방안

• FW/IDS/IPS로 비정상 트래픽 차단.
• 중요한 서버(DB 등)는 FW로 접근 통제.

2-2. 웹 기반 공격

주요 웹 공격 유형

1. SQL Injection(SQLi): 데이터베이스를 조작.
2. Cross-Site Scripting(XSS): 사용자 브라우저에서 악성 스크립트 실행.
3. CSRF: 사용자를 속여 의도치 않은 요청 수행.
4. SSRF/SSTI: 내부 시스템 공격.
5. File Upload: 악성 파일 업로드.
6. LFI/RFI: 파일 경로 취약점.
7. Directory Listing: 디렉토리 구조 노출.

대응 방안

• WAF로 요청(Request)과 응답(Response) 검사.

2-3. 내부자 위협

주요 유형

1. 자료 유출(메일, 프린터, 메신저 등).

대응 방안

• **DLP(Data Loss Prevention)**를 통한 탐지 및 차단.

2-4. 악성코드

주요 유형

1. 문서형(문서 기반 악성코드).
2. 파일리스(Fileless, 메모리 기반 악성코드).
3. 실행 파일(EXE).

대응 방안

• AV(Anti-Virus), EDR(Endpoint Detection and Response).

2-5. 물리적 위협

주요 유형

1. 비인가 단말기 연결.
2. USB 사용.

대응 방안

• NAC(Network Access Control)로 장비 접근 차단.

3. 네트워크 보안 아키텍처

기본적인 3티어 아키텍처(WAF-WAS-Private)

1. 인터넷
2. 라우터
3. FW/IDS/IPS
4. WAF/DMZ
   • 웹 서버(Apache 등).
5. WAS
   • 애플리케이션 서버(Tomcat 등).
6. Private
   • 데이터베이스(DB) 서버.

보안 규칙

1. 인터넷에서 WAS에 직접 연결 불가능.
2. 인터넷에서 DB에 직접 연결 불가능.

 

 

보안 관제는 로그 분석과 공격 유형에 대한 이해가 필수적입니다. 로그는 사고 원인 분석과 사전 예방을 위한 중요한 데이터이며, 다양한 공격 유형에 대한 적절한 대응 체계를 마련해야 합니다

 

 

 

 

 

 

 

 

*생성형 AI 활용한 클라우드&보안 전문가 양성캠프 과정의 교육내용 정리 자료입니다.