🧾 정보보안기사 1과목 4장 – 시스템 로그 및 감사(Audit)
이번 포스트에서는 보안 사고 발생 시 가장 중요한 단서가 되는 로그(Log)와 감사(Audit) 에 대해 정리합니다.
“누가, 언제, 무엇을 했는가?”를 남기는 것이 핵심입니다.
✅ 시스템 로그(Log)란?
로그(Log)는 운영체제나 프로그램이 무엇을, 언제 했는지 기록한 파일입니다.
→ 보안 위반, 시스템 에러, 로그인 시도 등 모든 정보가 로그에 담깁니다.
✔ 로그의 목적
- 보안 사고 분석
- 사용자 행동 추적
- 시스템 운영 상태 확인
- 이상 행위 탐지
🐧 리눅스 로그 종류 & 위치
| 로그 경로 | 설명 |
|---|---|
| /var/log/messages | 시스템 기본 메시지 |
| /var/log/secure | 로그인/인증 관련 정보 |
| /var/log/auth.log | 인증 관련 상세 기록 |
| /var/log/cron | 예약 작업 실행 내역 |
| /var/log/dmesg | 커널 메시지 (부팅 시 출력) |
🔍 명령어 Tip: journalctl 로 systemd 로그를 통합 조회할 수 있습니다.
🪟 윈도우 이벤트 로그
윈도우는 이벤트 뷰어(Event Viewer)를 통해 다양한 이벤트를 기록합니다.
✔ 주요 로그 종류
- 응용 프로그램 로그 – 실행 중인 앱의 오류, 상태 정보
- 보안 로그 – 로그인 성공/실패, 권한 상승 기록
- 시스템 로그 – 장치 드라이버, 서비스 오류 등
실행 방법: Win + R → eventvwr.msc
🔍 감사(Audit)란?
감사(Audit)는 단순 로그보다 더 정밀하게 사용자 행위를 추적하는 기능입니다.
주로 보안 정책의 이행 여부를 감시합니다.
🐧 리눅스 감사 시스템
- auditd: Linux Audit Daemon
- 시스템 호출(Syscall), 파일 접근, 명령 실행 등을 추적 가능
- 설정 파일:
/etc/audit/audit.rules
🪟 윈도우 감사 정책
- 로컬 보안 정책 → 보안 설정 > 감사 정책
- 로그인 성공/실패, 객체 접근, 권한 변경 등을 기록
- 이벤트 ID 예: 4624 (로그인 성공), 4625 (로그인 실패)
📌 학습 요약
- 로그는 시스템 상태 및 행위에 대한 기록으로 보안 분석의 핵심
- 리눅스는
/var/log하위에 다양한 로그가 분산 - 윈도우는 이벤트 뷰어로 응용/시스템/보안 로그 확인
- 감사(Audit)는 로그보다 더 구체적인 정책 기반 감시 수단
'정보보안기사 필기 > 1. 시스템보안' 카테고리의 다른 글
| 1-7. 보안 도구 및 실무 적용 (0) | 2025.05.18 |
|---|---|
| 1-5. 악성코드 및 백신 기술 (0) | 2025.05.18 |
| 1-3. 파일 및 디렉터리 보안 (0) | 2025.05.18 |
| 1-2. 접근통제의 이해 (0) | 2025.05.18 |
| 1-1. 운영체제 보안의 이해 (0) | 2025.05.18 |