보안평가 및 보안운영 기본
보안 프로세스 데이터 수집 — 로그 설계부터 SIEM까지
운영에서 자주 겪게되는 포인트(시간·정규화·무결성)를 중심으로 정리했습니다.
데이터 수집이 보안 운영의 ‘바닥 공사’인 이유
탐지 룰이나 대응 플레이북을 잘 만들어도, 원천 데이터가 빠지거나 시간/형식이 들쭉날쭉하면 운영이 금방 무너집니다. 그래서 “무엇을, 어떤 품질로, 얼마나 오래” 모을지부터 설계합니다.
데이터가 통신하는 경로를 표준화하면 탐지·대응 품질이 올라갑니다
무엇을 수집해야 하나요?
- 인증/권한: 로그인 성공/실패, 권한 변경, MFA, 관리자 작업
- 엔드포인트: 프로세스/파일/레지스트리(윈도), EDR 알림
- 네트워크: 방화벽/프록시/IDS 로그, DNS, NetFlow 연동
- 애플리케이션: API 접근, 에러/예외, 결제/계정 관련 이벤트
- 클라우드/플랫폼: Audit 로그(계정/정책/리소스 변경)
품질 원칙 5가지(실무에서 가장 많이 터지는 지점)
| 원칙 | 왜 중요한가 | 현장 팁 |
|---|---|---|
| 시간 동기화 | 상관분석·타임라인이 깨짐 | NTP 기준서 + 표준 타임존(UTC 등) |
| 정규화 | 장비별 필드명이 달라 탐지가 어려움 | 공통 스키마(ECS 등)로 매핑 |
| 완전성 | 중요 이벤트가 빠지면 ‘안전해 보이는 착시’ | 수집 실패 알림 + 누락률 지표 |
| 무결성 | 로그 위·변조 시 조사/감사 불가 | 권한 분리 + 중앙 저장 + 해시/서명 |
| 보존/파기 | 법/감사 요구와 비용(스토리지) 균형 | Hot/Warm/Cold 계층 + 파기 정책 |
예시: 수집기(collector) 설정을 최소 표준으로
아래는 개념 예시입니다. 환경에 맞게 포맷/포트를 정하고, 수집 실패를 반드시 알림으로 올려두셔야 합니다.
# collector.conf (개념 예시)
inputs:
- type: syslog
listen: 514
protocol: udp
tags: ["network", "firewall"]
- type: file
paths:
- /var/log/auth.log
- /var/log/nginx/access.log
tags: ["server", "auth", "web"]
processing:
normalize_schema: "ecs"
drop_fields:
- "pii_*" # 불필요한 민감정보는 수집 단계에서 최소화
outputs:
- type: siem
endpoint: "http://127.0.0.1:PORT/ingest"
monitoring:
alert_on_input_stall_minutes: 5
운영자 체크리스트
- 수집 실패(에이전트 down/디스크 full/네트워크 down 등의 장애)가 탐지 되나요?
- 보존기간(Hot/Warm/Cold)과 파기 정책이 문서로 있나요?
- 로그 접근 권한이 분리되어(운영/보안/감사) 무결성이 보장되나요?
참고 레퍼런스
'Tech Note > 보안-보안평가 및 보안운영 기본' 카테고리의 다른 글
| 5. 물리적 보안 및 개인의 안전 (0) | 2026.01.17 |
|---|---|
| 4. 사고 대응 및 재해 복구 (0) | 2026.01.17 |
| 3. 보안 운영 및 형상/구성 관리 (0) | 2026.01.17 |
| 1. 보안 평가 및 테스트 전략 (0) | 2026.01.17 |