top of page
검색

보안 환경에서 로그 분석이 중요한 이유

  • 작성자 사진: 마케팅 C&C
    마케팅 C&C
  • 2일 전
  • 5분 분량

로그(Log)란 무엇인가? 


로그(Log)란 시스템이나 프로그램이 동작하는 과정에서 발생하는 이벤트와 상태 정보를 시간 순서대로 기록한 데이터입니다. 


우리가 일상적으로 사용하는 스마트폰에 비유할 수 있습니다. 스마트폰의 통화 기록 또한 하나의 로그 형태로 볼 수 있으며, 사용 과정에서 발생한 이력을 시간 순으로 저장하여 필요 시 확인할 수 있도록 제공합니다.


실제 IT 환경에서 로그 데이터가 필수적으로 요구되는 상황은 다음과 같습니다.

CASE

로그가 없음

로그가 있음

서버가 갑자기 꺼짐

원인 파악 불가

직전 이벤트로 원인 추적

해킹 위협

침입 경로 불명

공격자 행동 경로 파악

장애 발생

감으로 대응

데이터 기반으로 대응

즉, 로그는 단순 기록이 아니라 장애 분석, 보안 대응, 서비스 운영에 필요한 핵심 데이터라고 볼 수 있습니다. 또한 최근에는 ISO 27001, ISMS-P와 같은 보안 인증 체계에서도 로그 수집·보관·분석 체계를 필수 보안 항목으로 요구하고 있습니다. 


로그를 네트워크 관점에서 이해하기 위해 네트워크 흐름을 먼저 살펴보겠습니다. 

※ 네트워크 흐름 구성도
※ 네트워크 흐름 구성도

위 그림에서 볼 수 있듯, 사용자가 인터넷 서비스를 이용할 때 데이터는 수많은 네트워크 장비와 서버를 거쳐 개인 컴퓨터로 전달됩니다. 이렇게 컴퓨터 간에 데이터를 주고받는 복잡한 통신 과정 속에서, 각 네트워크 구간과 시스템은 필연적으로 시간대별 '로그(Log)'를 생성합니다. 그리고 이 로그에는 해당 시스템의 세부적인 동작 상태와 접속 기록이 고스란히 저장됩니다. 

 

그렇다면, 시나리오를 통해 이해를 해보겠습니다.


단일 로그만 확인할 경우


[인증 서버 로그] 

03:00:01 - 로그인 실패 (비밀번호 오류) 

03:00:02 - 로그인 실패 (비밀번호 오류) 

03:00:03 - 로그인 성공 ✅ 

→ "어, 로그인 됐네. 그냥 비번 잘못 친 거 아닐까?" 


여러 로그를 연계하여 분석할 경우


[방화벽 로그] 

02:59:58 - 해외 IP (러시아, 185.220.x.x) 접속 시도 탐지 ⚠️ 

[인증 서버 로그] 

03:00:01 - 로그인 실패 (김철수 계정) 

03:00:02 - 로그인 실패 (김철수 계정) 

03:00:03 - 로그인 성공 (김철수 계정) ✅ 

[웹 서버 로그] 

03:00:05 - 고객 데이터 목록 페이지 접근 

03:00:07 - 고객 데이터 1만 건 다운로드 요청 📥 

[DB 로그] 

03:00:07 - SELECT * FROM customers (전체 조회 쿼리 실행) 

→ 해외 IP 기반 로그인 이후 대량 데이터 조회가 발생하였으며, 정보 유출 가능성이 의심되는 상황입니다. 

 단일 로그만으로는 정상 행위처럼 보일 수 있지만, 여러 로그를 함께 분석할 경우 정보 유출 가능성과 같은 이상 행위를 보다 정확하게 탐지할 수 있습니다.



로그의 종류  

로그 종류

설명

예시

시스템 로그

운영체제 이벤트 및 오류 기록

secure.log

웹 로그

웹 서버 접근 기록

access.log

보안 로그

방화벽 및 IPS 탐지 기록

firewall.log

DB 로그

SQL 및 데이터 조회 기록

query.log

감사 로그

사용자 행위 및 설정 변경 기록

audit.log


각 로그는 서로 다른 정보를 담고 있으며, 보안 분석 시 서로 연계하여 활용할 수 있습니다. 

 

로그 수집 방식 


로그는 생성되는 것만으로는 의미가 없으며, 중앙 시스템으로 수집하여 분석하는 과정이 중요합니다. 

일반적으로 로그는 아래와 같은 방식으로 수집됩니다. 

  • Syslog : 네트워크 장비 및 Linux 로그 전송 

  • Agent : 서버 내부 Agent 기반 수집 

  • SNMP Trap : 이벤트 발생 시 실시간 알림 

  • Database : DB Query 기반 로그 수집 

보안관제 환경에서는 여러 장비의 로그를 하나의 플랫폼으로 수집한 뒤, 이를 통합 분석하여 이상 행위를 탐지합니다. 


LogCenter의 연동 설정 모습은 아래와 같습니다. 

※ LogCenter 로깅 구성 화면 
※ LogCenter 로깅 구성 화면 

로깅 연동 방식 


로깅에는 7가지 수집기를 지원하며, 수집 로그의 성격에 따라 적합한 수집기를 선택하여 연동 할 수 있습니다. 

  • 실시간 로그 : 오리지널 로그가 발생 되는 동시에 수집기를 통해 실시간으로 저장하는 방식 

    • 수집기 종류 : Agent, syslog, snmp trap, netFLOW 

  • 배치성 로그 : 대상 서버에 이미 적재 된 오리지널 로그를 이후에 수집기를 통해 수집하여 저장하는 방식 

    • 수집기 종류 : DATABASE, FTP/SFTP, DIRECTORY 

 


보안 영역에서 로그 활용 


앞에서 로그의 개념과 네트워크 흐름에 대해 알아보았습니다.

실제 운영 환경에서는 단순히 로그를 저장하는 것보다, 여러 장비의 로그를 서로 연계하여 분석하는 것이 중요합니다.

방화벽, 서버, 웹 서버, DB 등 다양한 장비

는 각각 다른 형태의 로그를 남기며, 이를 시간 순서대로 연결하면 하나의 공격 흐름을 파악할 수 있게 됩니다. 

이번에는 실제 사례를 통해 로그가 보안 환경에서 어떻게 활용되는지 살펴보겠습니다. 

 

비인가자 접근 이슈 현황 

1) 이상 징후 탐지

관제 과정에서 특정 내부 서버를 대상으로 외부 접속 시도가 급격히 증가한 정황이 확인되었습니다. 

  • 주요 내용 

    • 내부 서버 : 192.168.1.25 

    • 대상 포트 : 9443 

    •  브라질 대역 Source IP 다수 탐지 

    • 일부 연결 성공 로그 존재 

특히 평소 발생하지 않던 해외 IP 기반 접근이 지속적으로 발생하여 이상 행위 가능성이 의심되는 상황이었습니다.

※ 비인가자 접근 이슈 현황 (LogCenter 증적 화면) 
※ 비인가자 접근 이슈 현황 (LogCenter 증적 화면) 

2) 출발지 IP 위치 확인 

접속을 시도한 Source IP 위치를 확인한 결과, 내부 서버와 정상적인 통신 개연성이 낮은 해외 지역 IP가 다수 확인되었습니다. 

특히 브라질 지역 기반 IP에서 반복적인 접근 시도가 확인되었으며, 보안 관제 기준상 위협 가능성이 있는 IP로 판단하였습니다. 

※ Source IP 위치 확인 화면 
※ Source IP 위치 확인 화면 

비인가자 접근 이슈 분석 

접수된 내용을 기반으로 LogCenter에서 관련 로그를 분석하였습니다. 

1) 근거 내용 

  • 내부 특정 서버(192.168.1.25) 대상 접근 

  • 9443 포트 연결 시도 

  • 평소 대비 급격한 접속 증가 

  • 일부 세션 연결 성공 로그 존재


2) 관련 로그 확인 

방화벽 로그 확인 결과, 인가되지 않은 다수의 외부 IP가 NAT 포트 대상으로 반복적인 세션 연결을 시도한 것이 확인되었습니다. 

주요 접근 대상은 내부 PAT 정책의 1313 Port 및 443 Port였으며, SSH 연결 시도 및 웹 접근 시도가 다수 발생하였습니다. 

또한 일부 연결 성공 로그가 존재하여 계정 정보 탈취 및 추가 접근 시도가 있었을 가능성도 배제할 수 없는 상황이었습니다. 

※ 관련 로그 분석 화면 
※ 관련 로그 분석 화면 

3) 로그 연계 분석의 중요성

만약 방화벽 로그만 단독으로 확인하였다면 단순 스캐닝 시도로 판단할 수 있습니다. 

하지만 실제 운영 환경에서는 여러 로그를 함께 분석해야 정확한 판단이 가능합니다. 

로그 종류

확인 가능한 정보

방화벽 로그

외부 접근 IP, 포트, 차단 여부

인증 로그

로그인 성공/실패 여부

시스템 로그

권한 상승 및 서비스 실행 여부

웹 로그

관리자 페이지 접근 여부

DB 로그

데이터 조회 및 다운로드 여부


이처럼 로그는 단순 기록 데이터가 아니라 여러 장비의 정보를 연결하여 공격 흐름을 분석할 수 있는 중요한 보안 데이터라고 볼 수 있습니다. 

 

비인가자 접근 이슈 조치 

1. 긴급 조치 

분석 결과, 해당 서버는 외부에 불필요하게 노출된 테스트 서버로 판단되어 즉시 차단 조치를 진행하였습니다. 

1) 조치 내용

  • 9443 서비스 종료 

※ 관련 서비스 종료 화면 
※ 관련 서비스 종료 화면 

  • 방화벽 NAT 정책 삭제 

확인 결과 해당 서버는 테스트 용도로 사용 중인 시스템이었으며, 외부 접근이 반드시 필요한 환경은 아닌 것으로 확인되었습니다. 

따라서 외부 접근 차단을 위해 NAT 정책 삭제 조치를 진행하였습니다. 

※ 방화벽 NAT 정책 삭제 화면 
※ 방화벽 NAT 정책 삭제 화면 

2. 추가 조치 

추가적으로 SSH 및 웹 서비스 접근 성공 여부를 점검하였습니다. 

1)확인 내용 

  • 웹 서비스 접근 성공 이력 없음 

  • SSH 접속 사용자(who) 확인 결과 이상 없음 

  • 로그인 성공 이력 확인 결과 이상 없음 

  • secure 로그 내 비인가 IP 기반 “session open” 기록 없음 

분석 결과 외부 접근 시도는 있었으나 실제 내부 침입으로 이어진 정황은 확인되지 않았습니다. 

※ secure 로그 및 로그인 성공 이력 확인 화면 
※ secure 로그 및 로그인 성공 이력 확인 화면 

네트워크 인프라 관점에서 로그 연계 가능성 


현대 보안 환경에서는 다양한 장비에서 생성되는 로그를 통합적으로 분석합니다. 

예를 들어 사용자가 웹 서비스에 접속할 경우 다음과 같은 흐름으로 로그가 생성됩니다.

  • 사용자 접속

  • 방화벽 로그 생성

  • 웹 서버 접근 로그 생성

  • 인증 서버 로그인 로그 생성

  • DB 조회 로그 생성

  • 보안관제 시스템(SIEM) 연계 분석 

이처럼 하나의 행위만으로도 여러 장비에서 각각 로그가 생성되며, 이를 서로 연계하면 하나의 흐름으로 분석할 수 있게 됩니다. 


예를 들어, 다음과 같은 이벤트가 시간 순서대로 발생하였다면 정보 유출 사고 가능성을 의심할 수 있습니다. 

  • 해외 IP에서 관리자 페이지 접근 

  • 로그인 성공 

  • 대량 데이터 조회 

  • 외부 전송 발생 



결론 


로그는 단순한 기록 데이터가 아니라 시스템과 네트워크에서 발생한 행위의 흔적이며, 장애 분석과 침입 시도 및 이상 행위를 분석하는 핵심 자료로 사용됩니다. 

특히 방화벽, 서버, 웹, DB 로그 등을 서로 연계하여 분석하면 단일 로그만으로는 파악하기 어려운 공격 흐름까지 확인할 수 있습니다. 

특히 최근에는 ISO 27001, ISMS-P, 개인정보보호법 등 다양한 보안 컴플라이언스 체계에서 로그 수집·보관·분석 정책을 필수 보안 항목으로 요구하고 있습니다. 

이러한 환경 변화에 따라 기업은 단순 로그 저장을 넘어, AI 기반 이상 탐지 및 통합 분석 체계를 함께 고려해야 하는 시점에 도달하고 있습니다. 

다음 콘텐츠에서는 “ISO 27001 및 ISMS-P 환경에서 로그 관리가 중요한 이유와 실제 운영 포인트”를 주제로 더욱 자세히 다뤄보겠습니다. 

 

댓글

Co. / 070-7500-7274

Fax. / 02-588-9016

Sales. / 070-7500-7390

 

sales@innerbus.com

로그센터 지원 서비스
[SecuForge]

(07207) 서울시 영등포구 양평로21길 26, 아이에스비즈타워 1604~7호 이너버스

ⓒ 2025  Innerbus All rights reserved

bottom of page