잠금 장치, 경보 시스템, 카메라, 보호망 또는 보안 가드와 같은 물리적인 보안 장치가 제대로 구축되지 않은 상태에서 업무를 수행하려는 기업은 없습니다. 하지만 네트워크 자산을 보호하기 위해 외부 공격과 내부 침입에 대해 동등한 보안 방침이 필요하다는 사실은 아직 많은 기업들이 인식만 하고 있을 뿐입니다.
카메라 및 동작 탐지 장치와 같은 보안 시스템은 건물 또는 제한된 구역의 침입 시도를 감지하는 데 유용한 방법입니다. 그러나 기업은 네트워크 자산을 모니터링하고 공격자를 탐지하는 시스템도 구현해야 합니다. 이러한 측면에서 보안 모니터링은 성공적인 네트워크 보안 전략에 있어서 중요한 구성 요소입니다.
2004 E-Crime 설문 조사는 이러한 위협에 대한 보다 심층적인 증거를 보여 줍니다. 이 설문 조사의 응답자에는 정부를 비롯해 정보, 통신, 은행 및 금융 분야 기업이 포함되었습니다. 이 조사에서 응답자의 43%가 전자 범죄 및 데이터 침입의 증가를 피부로 느끼고 있으며 70%가 작년에 적어도 한 건 이상의 전자 범죄가 발생했다고 보고했습니다. 전체 응답자의 전자 범죄로 인한 피해액은 미화 6억 달러에 달합니다. 2004 E-Crime 설문 조사에 대한 자세한 내용은 2004 E-Crime Watch Survey Shows Significant Increase in Electronic Crimes (영문) 보도 자료를 참조하십시오.
업무 규정이 늘어나고 외부 및 내부 공격자로 인한 위협이 드러나면서 효과적인 보안 모니터링 구현에 대한 요구가 높아지고 있습니다. 효과적인 보안 모니터링을 계획하려면 솔루션 구현에 필요한 기술을 파악해야 합니다. 이 장에서는 보안 모니터링을 실행하고 분석 및 보관을 위해 보안 로그를 상호 연관시키는 Microsoft 기술에 대해 설명합니다.
참고: 이 문서에서는 내부 공격와 외부 공격을 구분하여 설명합니다. 내부 공격은 관리자를 비롯한 직원에 의한 공격을, 외부 공격은 조직 외부로부터의 공격을 말합니다. 무선 네트워킹과 같은 기술이 보급되면서 외부 공격자가 네트워크 경계의 내부에서 공격을 시도할 수 있게 되었지만 이러한 공격은 여전히 외부 공격으로 간주됩니다.
Microsoft Windows NT 버전 3.1 이상의 모든 Microsoft Windows 버전에서 기본으로 제공하는 보안 이벤트 로그 파일을 사용하여 보안 이벤트를 기록할 수 있습니다. 이 로그 파일은 Windows 기반 네트워크의 보안 모니터링을 위한 토대를 제공합니다. 이렇게 기록된 이벤트는 추가 유틸리티 및 프로그램을 사용하여 중앙 리포지토리에 상호 연관시킬 수 있습니다.
보안 이벤트 로그 파일은 사용자 지정 데이터베이스 형식을 사용하여 보안 모니터링 데이터를 기록합니다. 텍스트 편집기를 사용하면 컴퓨터 이름, IP 주소 등 이 파일의 일부를 읽을 수 있습니다. 그러나 보안 로그에 포함된 모든 정보를 읽으려면 이벤트 뷰어 콘솔과 같은 적절한 프로그램이 필요합니다. 보안 이벤트 로그 파일(SecEvent.evt)은 %systemroot%\System32\config 디렉터리에 있습니다. 응용 프로그램 및 시스템 로그와 달리 기본 NTFS 파일 시스템 권한에서는 Administrators 그룹의 구성원 및 시스템 계정에만 이 파일에 대한 액세스를 허용합니다.
보안 이벤트 로그에는 성공 감사 및 실패 감사의 두 가지 이벤트 유형이 기록됩니다. 성공 감사 이벤트는 사용자, 서비스 또는 프로그램이 성공적으로 작업을 수행했음을 나타내며 실패 감사는 이러한 작업이 성공적으로 완료되지 않았음을 나타냅니다. 예를 들어 실패 이벤트에 대한 로그온 감사를 설정하면 보안 이벤트 로그에는 실패한 로그온 시도가 기록됩니다.
참고: Microsoft Windows Server 2003 서비스 팩 1은 사용자마다 다른 보안 감사 수준을 구성할 수 있는 기능을 제공합니다. 이 기능에 대한 자세한 내용은 4장, "솔루션 설계"를 참조하십시오.
다음 표는 보안 이벤트 범주 및 각 범주에 기록되는 이벤트를 나열합니다.
표 2.1: 보안 이벤트 감사 범주
범주
결과
계정 로그온 이벤트
컴퓨터의 로컬 계정에 대한 로그온 시도를 감사합니다. 사용자 계정이 도메인 계정이면 도메인 컨트롤러에도 이 이벤트가 나타납니다.
계정 관리
사용자 및 그룹 계정 생성, 수정 및 삭제를 암호 변경 및 다시 설정 작업과 연동하여 감사합니다.
디렉터리 서비스 액세스
Active Directory 디렉터리 서비스의 개체에 대한 액세스를 감사합니다.
로그온 이벤트
워크스테이션 및 구성원 서버에 대한 로그온 시도를 감사합니다.
개체 액세스
파일, 폴더, 레지스트리 키, 프린터 등 해당 SACL(시스템 액세스 제어 목록) 내에 감사 설정이 정의된 개체에 대한 액세스 시도를 감사합니다.
정책 변경
사용자 권한 할당, 감사, 계정 또는 신뢰 정책에 대한 변경을 감사합니다.
권한 사용
시스템 시간 변경과 같은 사용자 권한 행사 항목을 감사합니다.
프로세스 추적
프로그램 시작이나 종료와 같은 응용 프로그램 동작을 감사합니다.
시스템 이벤트
시작 및 종료와 같은 컴퓨터 시스템 이벤트 및 시스템 보안 또는 보안 로그에 영향을 주는 이벤트를 감사합니다.
감사 정책 그룹 정책 설정은 보안 로그에 항목을 만드는 이벤트를 제어합니다. 이러한 설정의 경로는 컴퓨터 구성\\Windows 설정\\보안 설정\\로컬 정책입니다. 감사 정책 설정은 로컬 보안 설정 콘솔을 통해 구성하거나 사이트, 도메인 또는 조직 단위 수준에서 Active Directory와 관련한 그룹 정책을 통해 구성할 수 있습니다.
보안 로그는 포괄적인 보안 모니터링을 위한 적절한 기반을 제공합니다. 그룹 정책 설정을 사용하면 보안 로그 감사 수준을 중앙에서 구성할 수 있으며 기본 보안 설정에서는 관리자만 보안 로그에 액세스할 수 있습니다. 그러나 분산 공격을 모니터링하고 법적 분석을 구현하기 위해서는 감사 이벤트를 중앙에서 상호 연관시킬 수 있는 모니터링 시스템이 필요합니다.
[](#mainsection)[페이지 위쪽](#mainsection)
### 보안 감사 이벤트 상호 연관
보안 감사 이벤트를 상호 연관시키는 과정에서 여러 컴퓨터에서 보안 이벤트가 수집되며 이 정보는 중앙에 배치됩니다. 보안 담당자는 이 중앙 리포지토리를 분석하여 정책 위반이나 외부 공격을 식별할 수 있습니다. 또한 이 저장소는 법적 분석의 토대를 제공할 수 있습니다. 이 절에서는 여러 보안 이벤트 로그를 상호 연관시킬 수 있는 Microsoft 제품 및 유틸리티를 소개합니다. 일부 타사 제품도 이러한 기능을 수행할 수 있습니다.
#### Event Comb MT
Event Comb MT(다중 스레드)는 여러 컴퓨터의 여러 이벤트 로그에서 이벤트를 수집하고 구문 분석할 수 있도록 해주는 Windows Server 2003 Security Guide 구성 요소입니다. Event Comb MT는 다중 스레드 응용 프로그램으로 작동하며 이벤트 로그를 검색할 때 다음과 같은 다양한 매개 변수를 지정할 수 있습니다.
- 이벤트 ID(개별 또는 다중)
- 이벤트 ID 범위
- 이벤트 소스
- 특정 이벤트 텍스트
- 이벤트 수명(분, 시 또는 일)
다음과 같은 이벤트를 검색하는 계정 잠금 등의 일부 특정 검색 범주는 Event Comb에서 자체 제공됩니다.
- 529 — 로그온 실패(잘못된 사용자 이름 또는 암호)
- 644 — 사용자 계정이 자동으로 잠김
- 675 — DC에서 사전 인증 실패(잘못된 암호)
- 676 — 인증 티켓 요청 실패
- 681 — 로그온 실패
기본 Administrator 계정에 대한 공격을 검색하려면 시스템 로그에서 이벤트 12294(계정 잠금 임계값 초과)를 추가합니다. 이 이벤트는 기본 Administrator 계정에는 계정 잠금 임계값이 적용되지 않기 때문에 특히 중요합니다. 즉, 공격자는 계정 잠금 메커니즘을 트리거하지 않고서도 기본 Administrator 계정 손상을 여러 차례 시도할 수 있습니다.
**참고:** 이벤트 12294는 보안 로그가 아닌 시스템 로그에 SAM(보안 계정 관리자) 이벤트로 나타납니다.
Event Comb MT는 장기간 보관하고 분석할 수 있도록 Microsoft SQL Server 데이터베이스의 테이블에 이벤트를 저장할 수 있습니다. SQL 쿼리 분석기, Microsoft Visual Studio .NET 등의 클라이언트 프로그램이나 다양한 타사 유틸리티를 사용하여 SQL Server 테이블에 있는 정보에 액세스할 수 있습니다.
Event Comb MT v10.0에는 보안 로그에서 정기적으로 이벤트를 수집하는 작업을 자동화하는 스크립트를 만드는 데 사용할 수 있는 명령줄 옵션도 포함되어 있습니다. Event Comb MT는 클라이언트 수집 에이전트를 제공하지 않으며 중앙 리포지토리에 자동으로 이벤트를 전달하지 않으므로 모든 위협 시나리오에 적절하지는 않습니다.
Event Comb MT는 [Account Lockout and Management Tools (영문)](https://www.microsoft.com/download/details.aspx?displaylang=en&familyid=7af2e69c-91f3-4e63-8629-b999adde0b9e) 웹 사이트에서 무료로 다운로드할 수 있습니다.
[Windows Server 2003 Security Guide(영문)](https://www.microsoft.com/download/details.aspx?familyid=8a2643c1-0685-4d89-b655-521ea6c7b4db)는 https://www.microsoft.com/download/details.aspx?FamilyId=8A2643C1-0685-4D89-B655-521EA6C7B4DB에서 다운로드할 수 있습니다.
#### Microsoft Operations Manager 2005
MOM(Microsoft Operations Manager)은 엔터프라이즈 환경의 여러 서버를 모니터링합니다. MOM 에이전트는 이벤트 로그에서 이벤트를 수집한 후 MOM 관리 서버에 전달합니다. MOM 관리 서버는 해당 이벤트를 MOM 데이터베이스에 추가합니다. MOM 2005 이상에서는 MOM 에이전트가 실행되지 않는 컴퓨터에서도 이벤트를 수집할 수 있습니다.
MOM은 관리 팩 규칙을 사용하여 서버의 운영 효율성에 영향을 주는 문제를 식별합니다. 추가 규칙을 정의하여 특정 이벤트를 찾고 이 이벤트가 발생하면 전자 메일, 팝업 메시지 또는 호출기로 즉각적인 알림을 보내도록 할 수 있습니다.
MOM은 보안 모니터링 및 공격 탐지를 위한 여러 가지 유용한 기능을 제공하지만 이러한 용도로 고안된 것은 아닙니다. MOM 이후 릴리스에서는 다양한 보안 로그에 대한 향상된 기능을 제공할 예정입니다.
[](#mainsection)[페이지 위쪽](#mainsection)
### ISV(독립 소프트웨어 공급업체) 솔루션
Microsoft 제품은 보안 모니터링의 모든 측면에 대한 종단 간 솔루션을 제공하지는 않습니다. 현재 Microsoft 제품에는 다음과 같은 기능이 빠져 있습니다.
- 실시간 이벤트 로그 경보
- 보안 이벤트 로그 수집 시스템
Microsoft 파트너는 이러한 부족한 부분을 채워주는 다음과 같은 제품을 제공합니다(알파벳 순서).
- **Adiscon의 EventReporter.** 관리자는 EventReporter를 사용하여 UNIX 및 Windows 이벤트 로그 보고서 및 경고 기능을 단일 환경에 통합할 수 있습니다. 이 제품은 UNIX 기반 시스템과의 통합을 위한 표준 UNIX syslog 프로토콜과 경고 전달을 위한 SMTP(Simple Mail Transfer Protocol)를 지원합니다. EventReporter에는 여러 컴퓨터에서 보안 이벤트를 수집하고 필터링한 후 데이터베이스에 저장하도록 구성할 수 있는 에이전트가 포함되어 있습니다. 보안 이벤트에 따라 전자 메일을 통해 이러한 이벤트를 전달하고 응용 프로그램을 시작하고 네트워크 메시지를 작성하는 등의 작업을 수행할 수 있습니다. Adiscon EventReporter에 대한 자세한 내용은 [EventReporter (영문)](https://www.eventreporter.com/) 웹 사이트를 참조하십시오.
- **GFI의 GFI LANguard Security Event Log Monitor.** LANguard Security Event Log Monitor는 이벤트 로그 기반 침입 탐지 및 네트워크 수준 이벤트 로그 관리 작업을 수행합니다. 이 제품은 모든 네트워크 컴퓨터의 이벤트 로그를 보관 및 분석하고 보안 문제, 공격 및 기타 중대한 이벤트를 실시간으로 사용자에게 경고합니다. Security Event Log Monitor는 이벤트 로그를 중앙 데이터베이스에 보관하고 법적 분석을 위한 사용자 지정 규칙 및 보고서를 제공할 수 있습니다. 자세한 내용은 [GFI LANguard Security Event Log Monitor (영문)](https://www.gfi.com/lanselm/) 웹 사이트를 참조하십시오.
- **Lakeside Software, Inc.의 Systrack 3.** Systrack 3은 Event Log Monitor를 통해 거의 실시간으로 이벤트 로그 경보를 제공합니다. Event Log Monitor는 컴퓨터의 모든 이벤트 로그를 주기적으로 조사하여 마지막으로 조사한 이후 새로운 이벤트가 발생했는지 확인합니다. Systrack 3은 새로 발견한 이벤트를 필터링하고 적절한 조치를 취합니다. 이러한 필터는 기본 설정, 사용자 정의 설정, 또는 기본 설정과 사용자 정의 설정을 조합하여 사용할 수 있습니다. 사용자 또는 워크스테이션 이름과 같은 이벤트 속성의 특정 문자열로 이벤트 로그 경보를 트리거할 수 있으며 이벤트로 스크립트를 실행하거나 컴퓨터를 다시 시작할 수도 있습니다. 또한 필터는 SNMP(Simple Network Management Protocol) 트랩, Windows 팝업 메시지 또는 전자 메일 경고를 생성할 수 있습니다. Systrack 3에 대한 자세한 내용은 [Lakeside Software (영문)](https://www.lakesidesoftware.com/) 웹 사이트를 참조하십시오.
[](#mainsection)[페이지 위쪽](#mainsection)
##### 다운로드
[.gif)](https://go.microsoft.com/fwlink/?linkid=41310)[보안 모니터링 및 공격 탐지 계획 가이드 (영문)](https://go.microsoft.com/fwlink/?linkid=41310)
[](#mainsection)[페이지 위쪽](#mainsection)