불충분한 로깅 및 모니터링

로깅과 모니터링은 이미 문제가 발생한 후에 고려하는 경우가 많지만, 실제로는 적절한 로깅과 모니터링이 이루어지지 않으면 큰 비용이 발생할 수 있습니다. 

극단적인 예로, 보안과 관련된 인시던트가 발생했을 때 로그가 거의 없거나 전혀 없으면 실제로 어떤 일이 발생했는지 파악할 수 없게 됩니다. 반대로 너무 많은 데이터를 기록하면 개인정보 보호 문제가 발생하여 규제 기관에 문제를 일으킬 수 있습니다.

아래에서 더 나은 로깅 및 모니터링에 도움이 될 수 있는 몇 가지 모범 사례를 살펴보겠습니다. 

모범 사례

좋은 로깅 및 모니터링을 위한 몇 가지 모범 사례를 살펴보겠습니다.

민감한 기능에 대한 감사 로깅

로그인 시도(시도 성공 여부), 사용자 계정 변경, 민감한 데이터 액세스/변경 및 기타 유사한 사례와 같은 민감한 이벤트에 대한 감사 로그를 생성하는 것이 중요합니다. 이는 일반 사용자뿐만 아니라 내부/관리 사용자의 액세스 모두에 해당됩니다. 

이러한 로깅은 내부자든 외부자든 관계없이 무단 액세스가 발생한 것으로 추정되는 경우 매우 중요한 역할을 합니다. 

이러한 이벤트가 발생하면 이벤트의 규모와 범위를 파악하기 위해 누가 어떤 데이터에 액세스했는지 파악하는 것이 중요합니다.

오류 로깅

오류 및 경고 로그는 애플리케이션의 상태를 모니터링하기 위한 일반적인 엔지니어링 모범 사례일 뿐만 아니라 경고 플래그 역할을 할 수도 있습니다. 

공격자가 취약점을 발견하는 과정에서 대량의 오류와 경고를 생성하는 경우가 많은데, 이는 공격자가 애플리케이션에서 취약점을 발견했을 수 있음을 알려주는 신호일 수 있습니다.

중앙 집중식 위치에 로그 저장

로그는 항상 중앙 집중식 장소에 실시간으로 전송 및 저장되어야 합니다. 이는 SIEM에서 로그를 즉시 분석할 수 있도록 하고 서버를 침해한 공격자가 로그를 수정하거나 삭제할 수 없도록 하기 위한 것입니다. 

정해진 기간 동안 로그 보관

안타까운 현실은 대부분의 침해가 탐지되는 데 며칠이 걸리며, 실제로 침해의 20%는 탐지하는 데 몇 달이 걸린다는 것입니다. 침해 발생부터 탐지까지 시간이 오래 걸리는 경우, 어떤 일이 일어났는지 파악할 수 있는 유일한 데이터 소스는 로그뿐인 경우가 많습니다.

따라서 로그를 잘 정의된 기간 동안 저장하는 것은 매우 중요합니다. PCI와 같은 표준에서는 3개월 이전의 로그는 거의 또는 전혀 지연 없이 액세스할 수 있어야 하며, 12개월 이전의 로그는 요청 시 복원할 수 있어야 한다고 규정하고 있습니다. 

이 접근 방식은 잠재적인 사고에 대한 조사를 쉽게 시작할 수 있다는 점과 로그의 콜드 스토리지를 통한 비용 관리 사이의 균형을 잘 맞추고 있습니다. 

PII에 대한 정기적인 로그 감사

로그는 잠재적인 인시던트를 조사하는 데 유용하지만, 실제로는 로그 자체가 인시던트를 유발할 수도 있습니다. 

사고를 조사하는 데 필요한 정보를 포함하는 것과 너무 많은 로그를 기록하는 것 사이에는 적절한 균형이 필요합니다. 실수로 로그에 PII를 포함시키면 개인정보 보호 규정에 문제가 생길 수 있습니다.

PII에 대한 로그를 정기적으로 감사하고 제거되는지 확인하는 것이 중요합니다.

‍