2021년 OWASP(오픈 웹 애플리케이션 보안 프로젝트) Top 10 목록에서 9번째로 중요한 항목은 **A09:2021 - 적절하지 않은 로깅 및 모니터링(Insufficient Logging and Monitoring)**입니다. 이 항목은 로깅과 모니터링이 부적절하거나 아예 없는 경우를 대상으로 하며, 이를 통해 발생하는 보안 취약점에 초점을 맞추고 있습니다. 적절한 로깅 및 모니터링이 이루어지지 않으면 보안 사고를 신속하게 감지하거나 대응하기 어렵게 됩니다.
1. 적절하지 않은 로깅 및 모니터링이란?
적절하지 않은 로깅 및 모니터링은 보안 이벤트, 사용자 활동, 오류 등을 기록하고 분석하는 과정에서 발생하는 문제를 의미합니다. 여기에는 다음과 같은 경우가 포함됩니다:
- 보안 이벤트가 로깅되지 않거나, 중요한 정보가 누락된 채로 로깅됨
- 로깅된 데이터가 제대로 모니터링되지 않음
- 잠재적인 위협이나 이상 징후를 탐지할 수 있는 알림 시스템이 부재하거나, 잘못 설정됨
- 로깅된 데이터를 적시에 분석하지 못해 보안 위협에 대한 대응이 지연됨
이러한 문제는 사이버 공격을 인식하고 대응하는 데 필요한 중요한 데이터를 제공하지 못해 보안 사고가 심화될 수 있습니다.
2. 주요 취약점 및 공격 벡터
적절하지 않은 로깅 및 모니터링으로 인해 발생할 수 있는 주요 취약점은 다음과 같습니다:
- 보안 이벤트 누락: 중요한 보안 이벤트(예: 인증 실패, 데이터 접근 시도, 권한 상승 등)가 기록되지 않거나 누락되면, 공격을 추적하거나 원인을 분석하기 어렵습니다.
- 모니터링 부족: 실시간 모니터링이 이루어지지 않으면, 발생한 위협을 신속하게 인지하고 대응할 수 없습니다.
- 취약한 로깅 설정: 민감한 데이터가 로그 파일에 평문으로 기록되거나, 불필요한 데이터가 과도하게 기록되어 로그 분석이 어려워질 수 있습니다.
- 알림 시스템 부재: 잠재적 위협을 자동으로 탐지하고 경고하는 알림 시스템이 없으면, 보안 팀이 중요한 사건을 놓칠 수 있습니다.
- 로깅 데이터의 보안 부족: 로그 파일이 안전하게 저장되지 않거나, 로그 파일에 접근할 수 있는 권한이 제한되지 않으면 공격자가 로그 파일을 통해 중요한 정보를 탈취할 수 있습니다.
3. 공격 기법
적절하지 않은 로깅 및 모니터링을 악용하는 공격 기법은 다음과 같습니다:
- 침입 탐지 회피: 공격자는 시스템에 침입할 때 로그를 남기지 않거나, 로그를 변조하여 탐지를 피할 수 있습니다.
- 무작위 대입 공격(Brute Force): 인증 실패 로그가 기록되지 않거나 모니터링되지 않는 경우, 공격자는 무작위 대입 공격을 통해 인증 정보를 탈취할 가능성이 높아집니다.
- 권한 상승 시도: 공격자가 권한을 상승시키는 시도를 할 때, 이와 관련된 로그가 기록되지 않거나 모니터링되지 않으면, 시스템 전체를 장악할 위험이 있습니다.
- 디도스(DDoS) 공격 탐지 실패: 네트워크 및 애플리케이션의 비정상적인 트래픽 패턴을 모니터링하지 않으면, 디도스 공격을 인지하고 대응하기 어려워질 수 있습니다.
4. 취약점 방지 방법
적절하지 않은 로깅 및 모니터링을 방지하기 위해 다음과 같은 방법을 적용할 수 있습니다:
- 포괄적인 로깅 설정: 모든 중요한 보안 이벤트(예: 로그인 시도, 권한 변경, 데이터 접근 등)가 포괄적으로 로그에 기록되도록 설정해야 합니다.
- 실시간 모니터링: 로그 데이터를 실시간으로 모니터링하고, 이상 징후를 탐지할 수 있는 시스템을 도입해야 합니다.
- 알림 시스템 설정: 의심스러운 활동이 감지되었을 때 보안 팀에 즉시 알릴 수 있는 알림 시스템을 설정해야 합니다.
- 로그 데이터 보안: 로그 파일이 안전하게 저장되도록 암호화하고, 접근 권한을 제한해야 합니다.
- 정기적인 로그 분석: 정기적으로 로그를 분석하여, 잠재적인 위협이나 과거에 탐지되지 않은 이상 징후를 찾아내야 합니다.
5. 실제 사례
- Target 데이터 유출 사건(2013): Target의 데이터 유출 사건은 대규모 신용카드 정보를 탈취당한 대표적인 사례로, 당시 공격이 발생했을 때 보안 이벤트가 로깅되었으나, 적절한 모니터링과 분석이 이루어지지 않아 대응이 지연된 사례입니다.
- Equifax 데이터 유출 사건(2017): Equifax는 데이터 유출 공격에 의해 약 1억 4천 7백만 명의 개인 정보를 탈취당했으며, 적절한 로깅 및 모니터링이 이루어지지 않아 문제를 신속히 파악하지 못했습니다.
6. 취약점 완화 및 방어 전략
적절하지 않은 로깅 및 모니터링을 방지하기 위해 다음과 같은 전략을 채택할 수 있습니다:
- 포괄적 로깅 프레임워크 구축: 모든 주요 이벤트에 대해 로깅이 이루어지도록 포괄적 로깅 프레임워크를 구축합니다.
- 보안 인시던트 탐지 및 대응(SIEM): SIEM 시스템을 도입하여 로그 데이터를 실시간으로 분석하고, 보안 인시던트를 탐지하고 대응합니다.
- 로그 보호 및 접근 제어: 로그 파일을 암호화하고, 접근 권한을 엄격히 제한하여 로그 데이터를 안전하게 보호합니다.
- 정기적인 감사 및 검토: 로그 데이터를 정기적으로 감사하고 검토하여, 시스템이 정상적으로 작동하고 있는지 확인합니다.
- 침입 탐지 시스템(IDS) 및 침입 방지 시스템(IPS) 통합: IDS/IPS 시스템을 통합하여 의심스러운 활동을 실시간으로 탐지하고, 필요한 경우 자동으로 대응합니다.
7. 마무리
A09:2021 - 적절하지 않은 로깅 및 모니터링은 보안 사고를 사전에 탐지하고 대응하는 데 중요한 요소입니다. 로깅과 모니터링이 제대로 이루어지지 않으면 공격자는 이를 악용하여 시스템에 대한 공격을 감행할 수 있으며, 대응이 지연되거나 어려워질 수 있습니다. 이를 예방하기 위해서는 포괄적인 로깅, 실시간 모니터링, 알림 시스템 도입, 그리고 정기적인 로그 분석이 필수적입니다.
적절한 로깅 및 모니터링을 통해 시스템의 무결성을 유지하고, 사이버 공격에 신속하게 대응할 수 있는 보안 체계를 구축해야 합니다.
'IT > 정보보안기사' 카테고리의 다른 글
| 세마포어란 ? (0) | 2024.09.19 |
|---|---|
| A10:2021 - 서버 측 요청 위조 (SSRF: Server-Side Request Forgery) (0) | 2024.08.20 |
| A08:2021 - 소프트웨어 및 데이터 무결성 실패 (Software and Data Integrity Failures) (0) | 2024.08.20 |
| A07:2021 - 인증 및 세션 관리 오류 (Identification and Authentication Failures) (0) | 2024.08.20 |
| A06:2021 - 취약한 컴포넌트 사용(Vulnerable and Outdated Components) (0) | 2024.08.19 |