Brain핵심 인사이트 (3줄 요약)
- 본질: 보안 감사 로깅(Audit Logging)은 정보시스템 내에서 발생하는 모든 중요 행위(접속, 수정, 권한 변경 등)를 6하 원칙에 따라 기록하고, 이를 위변조 없이 안전하게 보관하는 활동이다.
- 가치: 보안 사고 발생 시 침입 경로와 가해자를 추적하는 '디지털 법의학'의 증거가 되며, 법적 보존 기간 준수를 통해 기업의 면책 근거를 마련한다.
- 판단 포인트: 감리 시에는 로그가 6하 원칙을 모두 포함하는지, 한번 기록되면 수정 불가능한 'WORM' 저장소에 보관되는지, 그리고 개인정보보호법 등 법적 기간만큼 유지되는지를 진단한다.
Ⅰ. 개요 및 필요성
사고는 터질 수 있다. 하지만 "누가, 언제, 무엇을 했는지" 모른다면 그게 진짜 재앙이다. 감사 로그는 시스템의 '블랙박스'다. 해커가 들어와서 비밀번호를 바꿨는지, 내부 직원이 고객 명단을 다운로드했는지 낱낱이 기록해야 한다. 특히 영악한 해커나 내부 공모자는 자신의 범죄 흔적(로그)부터 지우려 한다. 따라서 로그를 남기는 것만큼이나, 남겨진 로그를 절대 지우지 못하게(WORM) 꽁꽁 숨기고 법적 기간만큼 잘 모시는 것이 보안의 핵심이다.
📢 섹션 요약 비유: 감사 로깅은 '건물 복도의 CCTV'와 같다. 평소에는 아무도 안 보지만, 도둑이 들었을 때 범인의 얼굴(누가)과 침입 시간(언제)을 확인하여 범인을 잡는 결정적인 증거가 되기 때문이다.
Ⅱ. 아키텍처 및 핵심 원리
1. 로그의 6하 원칙 (5W1H)
- Who (누가): 사용자 ID, IP 주소, 단말기 정보.
- When (언제): 행위 발생 시간 (표준 시간 서버 동기화 필수).
- Where (어디서): 어느 시스템, 어느 모듈에서.
- What (무엇을): 조회, 수정, 삭제, 출력 등 구체적 행위.
- How (어떻게): 성공 여부, 사용된 권한.
- Why (왜): (필요시) 사유 입력 여부.
2. WORM (Write Once Read Many) 기술
- 한 번 기록되면 물리적으로 삭제나 수정이 불가능한 저장 매체나 기술.
- 최근에는 '클라우드 오브젝트 스토리지의 잠금 기능'이나 '블록체인'을 활용하여 구현한다.
📢 섹션 요약 비유: WORM은 '잉크로 쓴 일기장'과 같다. 연필(일반 DB)로 쓰면 지우개(해커)가 지울 수 있지만, 잉크로 쓰고 코팅까지 해버리면 찢지 않는 한 내용을 바꿀 수 없는 것과 같다.
Ⅲ. 비교 및 연결
일반 로그 vs 감사 로그 vs 개인정보 접속 기록
| 구분 | 일반 시스템 로그 | 보안 감사 로그 | 개인정보 접속 기록 |
|---|---|---|---|
| 목적 | 장애 복구, 성능 분석 | 침입 탐지, 사후 추적 | 법적 준수 (Privacy) |
| 보존 기간 | 짧음 (수일~수개월) | 보통 (1년 이상) | 최소 1년~2년 이상 |
| 필수 항목 | 에러 메시지, 디버그 정보 | 로그인/아웃, 권한 변경 | 열람, 수정, 삭제, 다운로드 |
| 위변조 방지 | 중요도 낮음 | 매우 중요 (WORM) | 매우 중요 |
📢 섹션 요약 비유: 일반 로그는 '가계부의 메모'라면, 감사 로그는 '은행의 통장 내역'이고, 개인정보 접속 기록은 '법원에 제출할 인감 증명서'만큼 엄격하게 관리해야 하는 문서다.
Ⅳ. 실무 적용 및 기술사 판단
기술사 핵심 포인트 (진단 포인트):
- 시간 동기화 (NTP): 모든 서버의 시간이 다르면 사건 재구성이 불가능하다. 표준 시간 서버와 동기화되어 있는지 감리 시 반드시 확인한다.
- 로그 보호 및 분리: 로그를 생성한 서버 안에 로그를 두면 해커가 서버 점령 시 함께 지워진다. 반드시 별도의 '로그 전용 서버'나 '중앙 집중식 통합 로그 관리(SIEM)'로 실시간 전송해야 한다.
- 법적 보존 기간: 개인정보보호법(최소 1년 이상, 5만 명 이상은 2년) 등 최신 법령에 따른 보존 주기가 설정되어 있는지 진단 보고서에 명시한다.
📢 섹션 요약 비유: 로그 진단은 '블랙박스 메모리 카드 검사'와 같다. 사고가 났는데 정작 카드에 영상이 없거나(로깅 누락), 날짜가 틀리거나(시간 미동기), 영상이 지워져 있다면(WORM 미적용) 아무 소용 없기 때문이다.
Ⅴ. 기대효과 및 결론
보안 감사 로깅은 기업의 '최후의 보루'다. 완벽한 방어는 없지만, 완벽한 기록은 재발을 방지하고 법적 책임을 명확히 한다. 기술사 시험에서는 6하 원칙의 구성 요소와 WORM 기술의 필요성을 강조하고, 특히 로그 자체에 담긴 개인정보(ID, IP 등)를 보호하기 위한 '로그 내 개인정보 마스킹' 대책까지 언급하는 것이 실무 전문가다운 답변이다.
📢 섹션 요약 비유: 감사 로깅은 IT 세상의 '정직한 기록원'이다. 시스템에서 일어나는 모든 선과 악을 있는 그대로 기록하여, 정의가 승리하고 안전한 디지털 환경이 유지되도록 돕는 가장 성실한 파수꾼이다.
📌 관련 개념 맵
| 개념 | 연관 키워드 | 관계 |
|---|---|---|
| WORM | 위변조 방지, 불변성 | 감사 로그의 신뢰성을 보장하는 핵심 기술 |
| NTP (시간 동기화) | 타임스탬프, 일치성 | 사건의 선후 관계를 밝히기 위한 필수 인프라 |
| SIEM | 통합 로그 관리, 실시간 분석 | 방대한 로그 속에서 위협을 찾아내는 지능형 시스템 |
| 개인정보 접속 기록 | 열람/수정/삭제/다운로드 | 법적으로 가장 엄격하게 관리해야 할 로그의 하위 집합 |
👶 어린이를 위한 3줄 비유 설명
- 우리 집 현관문이 열릴 때마다 "누가 들어왔는지" 사진을 찍고 일기장에 적어두는 거예요.
- 이 일기장은 한 번 쓰면 절대 지울 수 없는 '마법 펜'으로 적어서 도둑도 내용을 바꿀 수 없답니다.
- 아주 오랫동안 잘 보관해두면, 나중에 보물이 없어졌을 때 범인을 잡는 멋진 단서가 돼요!