윈도우 보안 로그 설정과 관리

윈도우 보안 로그 설정과 관리

해커에 대한 즉각적인 확인

시스템에 남은 로그 정보도 중요하지만, 현재 로그인된 사용자를 확인하는 것도 매우 중요함. 윈도우에서 이를 확인할 수 있는 명령은 net session임

자신의 시스템에 로그인한 시스템의 IP, 로그인한 계정, 클라이언트의 운영체제, 세션의 수, 로그인한 후 경과한 시간을 출력함. 이런 세션을 끊는 명령은 net session/delete임

시스템에 현재 로그인한 세션을 알아보는 또 다른 툴로는 psloggedon이 있음. 이 툴은 현재 로컬로 로그인한 계정 정보도 함께 보여줌. 원격에 있는 관리자가 로컬로 로그인한 사용자 정보를 필요로 할 때 유용함

이벤트 로그 종류

Winsows 시스템은 응용 프로그램 로그, 보안 로그, 시스템 로그와 같은 세 가지 로그를 이벤트에 기록하며, OS 구성에 따라 디렉터리 서비스 로그, 파일 복제 서비스 로그, DNS 서버 로그가 추가될 수 있음

• 응용 프로그램 로그 : 응용 프로그램이 기록한 다양한 이벤트가 저장되며, 기록되는 이벤트는 소프트웨어 개발자에 의해 결정됨. AppEvent.Evt/Application.Evtx
• 보안 로그 : 유효하거나 유효하지 않은 로그인 시도 및 파일 생성, 열람, 삭제 등의 리소스 사용에 관련된 이벤트를 기록함. 감사로그 설정을 통해 다양한 보안 이벤트 저장이 가능함. SecEvent.Evt/Security.Evtx
• 시스템 로그 : Windows 시스템 구성요소가 기록하는 이벤트로 시스템 부팅 시 드라이버가 로드되지 않는 경우와 같이 구성요소의 오류를 이벤트에 기록함. SysfEvent.Evt/System.Evtx
• 디렉터리 서비스 로그 : Windows Active Directory 서비스에 발생하는 이벤트(예 : 서버와 글로벌 카탈로그 사이의 연결 문제)
• 파일 복제 서비스 로그 : Windows 파일 복제 서비스에서 발생하는 이벤트(예 : 도메인 컨트롤러가 시스템 볼륨 변경 정보로 업데이트되고 있는 동안 발생하는 파일 복제 실패)
• DNS 서버 로그 : Winsows DNS 서비스에 발생하는 이벤트

감사 정책

어떤 로그를 남길지를 정의한 규칙으로 감사 정책을 설정하게 되면 감사 정책에 의해 지정한 이벤트 범주에 대해서만 로그가 남음

감사 정책 종류 / 권장값 / 설명

• 계체 액세스 검사 / 감사 없음 / 특정 파일이나 디렉터리, 레지스트리 키, 프린터 등과 같은 객체에 대하여 접근을 시도하거나 속성 변경 등을 탐지
• 계정 관리 감사 / 실패 / 신규 사용자, 그룹의 추가, 기존 사용자 그룹의 변경, 사용자의 활성화나 비활성화, 계정 패스워드 변경 등을 감시
• 계정 로그인 이벤트 감사 / 성공, 실패 / 로그인 이벤트 감사와 마찬가지로 계정의 로그인에 대한 사항을 로그로 남기는 데 이 둘의 차이점은 전자는 도메인 계정 사용으로 생성되는 것이며, 후자는 로컬 계정 사용으로 생성되는 것
• 권한 사용 감사 / 실패 / 권한 설정이나 관리자 권한이 필요한 작업을 수행할 때 로깅
• 로그인 이벤트 감사 / 성공, 실패 / 로컬 계정의 접근 시 생성되는 이벤트를 감사. 계정 로그인 이벤트 감사에 비해 다양한 종류의 이벤트를 확인할 수 있음
• 디렉터리 서비스 액세스 감사 / 실패 / 시스템 액세스 제어 목록(SACL, System Access Control List)이 지정된 액티브 디렉터리(Active Directory) 개체에 접근하는 사용자에 대한 감사 로그를 제공
• 정책 변경 감사 / 성공, 실패 / 사용자 권한 할당 정책, 감사 정책 또는 신뢰 정책의 변경과 관련된 사항을 로깅
• 프로세스 추적 감사 / 감사 없음 / 사용자 또는 응용 프로그램이 프로세스를 시작하거나 중지할 때 해당 이벤트 발생
• 시스템 이벤트 감사 / 감사 없음 / 시스템의 시동과 종료, 보안 로그 삭제 등 시스템의 주요한 사항에 대한 이벤트 기록

감사로그 분석 방법

• 사후 감사로그 분석 : 일반적으로 많이 사용되었던 방식으로 사건 발생 후에 감사로그를 모아 놓고 집중적으로 분석 수행
• 주기적 감사로그 분석 : 주기적으로 감사로그를 분석하여 시스템 침해가 있었는지를 검사
• 실시간 감사로그 분석 : 감사로그 파일을 실시간 탐지 시스템에 연결하여 시스템 침해가 발생하는 것을 실시간으로 탐지하고 대응

로그 정책 설정

윈도우 로그 정책은 [제어판] - [관리 도구] - [로컬 보안 정책] 메뉴를 선택하여 [로컬 정책] - [감사 정책]에서 확인할 수 있음. 윈도우에서는 로그 정책이 대부분 정보를 로깅하지 않게 기본으로 설정되어 있음. 따라서 적절한 로깅 설정이 필요함

윈도우의 경우 유닉스에 비해 로깅하는데 시스템 자원이 많이 소모되므로 모든 정보를 로깅하도록 설정하는 것은 바람직하지 않음

이벤트 로그 파일

• Windows 이벤트 로그는 Windows Vista를 전후로 부분적 차이점 존재
• Vista 이전에는 EVT라는 확장자가 사용되고 Vista부터 EVTX라는 확장자로 이벤트 파일 생성
• EVT 확장자의 시간은 유닉스 32비트 헥스 타임(Unix 32bit Hex Time)/리틀엔디안(Little-Endian)으로 기록, EVTX 확장자의 시간은 윈도우 64비트 헥스 타임/리틀엔디안으로 기록
• 이벤트 로그 파일은 바이너리 형식이기 때문에 그냥 봐서는 그 의미를 알 수 없고 논리적 구조를 분석할 수 있는 별도의 프로그램(예 : 이벤트 뷰어)으로 열어야 함
• [제어판] - [관리 도구] - [이벤트 뷰어]를 통해 쌓이는 로깅 정보 확인 가능
• 이벤트 뷰어에 표시된 종류, 날짜, 시간 등의 항목 매우 직관적

이벤트 뷰어 항목

• 종류 : 정보(Information), 경고(Warning), 오류(Error), 성공 감사(Success Audit), 실패 감사(Failure Audit)가 있음. 성공 감사는 감사 대상으로 설정된 대상에 대한 접근 시도가 성공했을 때, 실패 감사는 접근 시도가 실패했을 때 남기는 로그
• 날짜, 시간 : 로그를 남긴 날짜와 시간
• 원본, 범주 : 로그와 관계 있는 영역
• 이벤트 ID : 윈도우에서는 로그별로 고유한 번호를 부여. 로그를 분석할 때 이벤트 ID를 알고 있으면 빠르고 효과적인 분석이 가능
• 사용자 : 관련 로그를 발생시킨 사용자
• 컴퓨터 : 관련 로그를 발생시킨 시스템

로그 관련 도구

로그 축약/백업 방법

윈도우 계열

• 시스템 로그의 경우 기본 설정은 지정된 일자보다 오래된 이벤트를 자동 덮어쓰기, 수동으로 로그 지우기 등의 기능으로 설정할 수 있으며 필요한 경우 수동으로 로그 백업 또는 스크립트를 이용한 백업을 수행할 수 있음
• 웹서버 로그의 경우에 특히 로그의 양이 많이 증가하므로 웹서버 설정 메뉴에서 지정된 일자별로 로그를 분리하여 기록하게 설정할 수 있음

유닉스 계열

• logrotate를 이용한 로그 관리 방법 이해
• 스크립트를 crontab에 설정하여 기간별로 로그를 분리하여 관리 및 백업하는 방법 이해

로그 공격 탐지 도구

윈도우 계열

모든 정보를 살펴보는 것은 쉽지 않은 일이므로 이벤트 ID를 이용한 로그 검색을 통하여 로그 분석을 하는 것이 효과적

• EventCombMT 유틸리티 : MS에서 제공하는 로그 분석 도구
• logparser : 로그 파일에 대해 쿼리를 보내서 로그의 이벤트 ID 또는 로그 문자열 검색 등의 방법으로 의심스러운 로그를 분석하는 도구

유닉스 계열

• logcheck : 로그 파일을 모니터링하고 분석하는 도구

로그 변조 탐지 도구

유닉스 계열

• chklastlog : 시스템의 lastlog 파일 확인 도구
• chkwtmp : 시스템의 wtmp 파일 확인 도구