65. 로그 및 감사 추적 (Audit Trail) 감리

⚠️ 이 문서는 시스템에서 발생하는 모든 중요 이벤트(접속, 권한 변경, 데이터 조회/수정)가 6하 원칙에 따라 빠짐없이 기록되고 있는지, 그리고 그렇게 남겨진 로그가 시스템 관리자(DBA 등)에 의해서도 임의로 삭제되거나 변조될 수 없도록 WORM(Write Once Read Many) 속성 등으로 강력하게 보호받고 있는지 점검하는 보안 감리의 핵심 항목을 다룹니다.

핵심 인사이트 (3줄 요약)

  1. 본질: 해킹이나 내부자 데이터 유출 사고가 터졌을 때 "누가, 언제, 어디서, 어떻게 데이터를 빼돌렸는가?"를 사후에 100% 재구성(Reconstruction)할 수 있도록 증거를 수집하고 봉인하는 블랙박스 체계다.
  2. 가치: 감사 로그가 없거나 조작될 수 있다면, 법정에서 증거로 채택될 수 없어 회사가 소송에서 패소하고 막대한 과징금을 맞게 된다. 완벽한 감사 추적은 개인정보보호법, 금융실명법 등 모든 컴플라이언스의 최우선 필수 요건이다.
  3. 기술 체계: 감리인은 시스템이 단순히 텍스트 로그를 남기는 것을 넘어, 로그 파일에 해시(Hash)나 전자서명을 입히는지, 독립된 물리적 저장소나 WORM 스토리지(예: AWS S3 Object Lock)에 백업하고 있는지를 집중 점검한다.

Ⅰ. 감사 로그의 필수 요건 (무엇을 남겨야 하는가?)

아무 로그나 남긴다고 감사 추적이 성립하는 것이 아니다.

  1. 6하 원칙 (5W1H)의 기록:
    • 감리인은 시스템이 로그를 남길 때 다음 요소가 반드시 포함되는지 소스코드를 점검한다.
    • 누가(Who): 접속한 사용자의 고유 ID (공용 ID 'admin' 사용은 즉각 시정 대상).
    • 언제(When): 국가 표준시에 동기화(NTP)된 타임스탬프.
    • 어디서(Where): 접근을 시도한 클라이언트의 출발지 IP 주소와 포트.
    • 무엇을(What): 접근한 데이터의 식별자 (예: 환자 홍길동의 의료 기록 테이블).
    • 어떻게(How/Action): Read, Update, Delete, Login Success/Fail 등 구체적 행위.
  2. 반드시 남겨야 할 핵심 이벤트:
    • 단순 조회 로그보다 더 중요한 것은 **'권한 변경(승급) 이력'**과 **'보안 정책 변경 이력'**이다. 감리인은 시스템 관리자가 자신의 권한을 몰래 올린 기록이 남는지 최우선으로 확인한다.

📢 섹션 요약 비유: 은행 강도가 들었을 때 CCTV(일반 로그)가 그냥 사람 형체만 희미하게 찍어놓으면 아무 쓸모가 없습니다. 감사 로그는 강도의 얼굴 정면, 들어온 문, 훔쳐 간 지폐의 일련번호, 범행 시간까지 4K 초고화질로 완벽하게 기록하는 특수 블랙박스입니다.

Ⅱ. 로그의 무결성과 보존 (변조 방지 기술)

해커나 악의적인 관리자가 침입 후 가장 먼저 하는 일은 '자신의 접속 로그를 지우는 것'이다.

  1. WORM (Write Once Read Many) 스토리지:
    • 감리인은 로그가 저장되는 서버나 디스크가 WORM 속성을 띠는지 점검한다.
    • 한 번 로그가 디스크에 기록(Write)되면, 보존 기한(예: 3년)이 지날 때까지는 최고 관리자(root) 권한으로도 파일을 절대로 지우거나 덮어쓸 수 없는 물리적/논리적 락(Lock)이 걸려있어야 한다.
  2. 해시 체인 (Hash Chain) 및 전자서명:
    • 로그 파일이 위변조되지 않았음을 법정에 증명하기 위해, 로그 1줄이 생성될 때마다 앞줄 로그의 해시값을 섞어서 다음 줄을 암호화하는 해시 체인 기법이나 블록체인 기술이 도입되었는지 확인한다.
  3. 망 분리와 격리 보관:
    • 웹 서버나 DB 서버가 털리면 그 안에 있는 로그 파일도 같이 털린다. 감리인은 로그 발생 즉시 원격지에 있는 독립된 '중앙 로그 서버(Syslog, ELK 등)'로 로그를 실시간 복사(Ship)하도록 아키텍처가 설계되었는지 평가한다.

📢 섹션 요약 비유: 도둑(해커)이 사무실에 들어와서 방명록(로그 파일)에 적힌 자기 이름을 화이트로 지워버리면 수사가 미궁에 빠집니다. 따라서 방명록을 투명한 아크릴 상자(WORM 스토리지) 안에 넣고 펜만 밖으로 빼놓아 한 번 글씨를 쓰면 절대 수정할 수 없게 만들어야 진정한 감사 체계가 완성됩니다.

Ⅲ. 감리인의 실무 점검 체크리스트

법과 규제는 매우 깐깐한 보존 기한과 리뷰를 요구한다.

  1. 보존 기한 (Retention Policy) 준수:
    • 금융/개인정보 관련 로그는 통상 최소 1년에서 3년 이상 보관해야 한다.
    • 감리인은 "로그가 쌓이다가 디스크 용량이 꽉 차면 어떻게 합니까?"라고 묻는다. "오래된 것부터 자동으로 지워집니다(Log Rotation)"라고 대답하면 감리 지적 사항이다. 오래된 로그는 지우기 전에 아카이빙(Archiving) 스토리지로 이관되도록 설정되어야 한다.
  2. 로그 모니터링 및 알람 체계:
    • 로그를 쌓아두기만 하고 아무도 안 보면 소용없다. 감리인은 "야간에 실패한 로그인 시도가 연속 5회 발생하면 보안팀에 SMS 알람이 가는가?"와 같은 능동적인 로그 리뷰(SIEM 연동) 시나리오를 요구하고 시연을 참관한다.

📢 섹션 요약 비유: 감리인은 건물의 소방 훈련관입니다. CCTV 테이프를 법으로 정해진 3년 치를 보관하고 있는지(보존 기한), 테이프가 꽉 찼다고 예전 테이프에 몰래 덮어쓰고 있지는 않은지 확인하며, 도둑이 화면에 잡히면 즉시 사이렌이 울리는지(모니터링 알람)를 현장에서 꼼꼼히 점검합니다.