# Log ## 침해사고시 대응 7단계 * 사전준비 : 사고가 발생하기 전 침해사고 대응팀과 조직적인 대응 준비 * 사고탐지 : 정보보호 및 네트워크에 의한 장비 이상 징후 탐지, 관리자에 의한 침해 사고식별 * 초기대응 : 초기 조사수행, 사고 정황에 대한 기본적인 기록, 사고대응팀 신고 및 소집, 침해사고 관련 부서에 통지 * 대응전략 체계화 : 최적의 전략을 결정하고 관리자 승인을 획득, 초기 조사 결과를 참고하여 소송이 필요한 것인지 결정하여 사고조사 과정에 수사기관 공조 여부 판단 * 사고조사 : 데이터 수집 및 분석을 통하여 수행. 언제, 누가, 어떻게 사고가 났는지 분석, 사고 재발 방지를 위하여 어떻게 할 것인지를 결정 * 보고서작성 : 의사 결정자가 쉽게 이해 할 수 있도록 사고에 대한 정확한 보고서 작성 * 해결 : 차기 유사한 공격을 식별 방어하기 위하여 보안정책 수립 및 절차 변경, 사건의 기록, 기술 수정 계획수립 등을 결정 ## 로그연관분석 다수의 이기종 시스템 보안로그를 중심으로 분석하며 방화벽, 침입탐지시스템, 웹서버 로그 ## 경보연관분석 트래픽·패킷·페이로드를 포함하고 있다. ## 법률 및 지침 ^ 규제 명칭 ^ 세부 명칭 ^ | 정보통신기반보호법 제13조 1항 | 침해사고의 통지, 원본, 로그에 대한 보관 및 사후 보고 | | 정보통신 서비스 정보보호지침 제3조 5항 | 복구대책, 정보보호 책임자는 주기적으로 주기적 접속 기록을 분석해 침해 사고 예방 | | 주요 정보통신기반시설보호지침 제4조 | 운영자 로그관리 방안 수립시 고려 사항(로그 기록 방법, 대상, 보존기간, 백업 등 정보보호시스템의 로그 기록시 필수 고려사항 정의) | | `정보통신 이용촉진 및 정보보호 등에 관한 법률` | 침해사고 원인분석 등(집적정보통신 시설 사업자에게 로그관리 등 침해사고 관련 자료제출을 요구 할 수 있도록 침해사고 원인분석이 가능토록 함) | | 금융기관 전자금융업무 감독규정시행세칙 제6조, 10조 | 전산자료, 보호대책, IP주소사용대책(1년 이상 정보시스템 가동 기록 보존 및 인터넷 접속내용 기록 보관) | | `개인정보보호법` | 개인정보 처리시스템의 권한 및 계정관리 기록과 접속기록에 대한 저장과 위변조 방지 등이 규정 | g ## 에러로그(Error Log) * 위험도 8가지 * ''Emerg'' → Alert → Crit → Error → ''Warn'' → ''Notice'' → Info → Debug * 에러로그는 아파치 웹설정에서 가능함. 기본값은 'warn' 이다. warn으로 지정되면 그 이상 에러는 전부 로그 파일에 기록 됨 ## /root/install.log * 시스템에 설치되어 있는 패키지 리스트 기록 * yum을 이용한 package update 시에도 기록 ## /var/log/secure * 보안 사용자 인증에 대한 로그 파일 보통 로그파일을 살펴보면 secure.log, secure1.log, secure2.log, secure3.log 라는 파일이 있다고 가정을 할 때, 숫자가 낮을수록 가장 최근의 로그파일을 나타낸다. 따라서 'secure.log' 파일에는 가장 근래에 일어난 이벤트에 대한 기록이 되어 있다. ## /var/log/dmesg 리눅스가 부팅이 될 때 출력되는 모든 메시지에 대한 로그 ## /var/log/cron cron작업에 대한 로그 ## /var/log/messages 시스템 운영에 대한 전반적인 로그, 주로 시스템 데몬들의 실행 상황과 내역, 사용자들의 접속정보 ## /var/log/secure 원격 로그인 정보를 기록한다. 특히 tcp_wrapper(xinetd)의 접속제어에 관한 로그파일. 주로 sshd, telnet, su 관련 실행 등 ## /var/log/xferlog proftpd 또는 vsftpd 데몬들의 서비스 내역을 기록하는 로그 (ftp 사용자 로그인 기록, 파일업로드/다운로드 기록) ## /var/log/maillog 메일 송수신 관련내역, ipop 또는 imap 같은 수신 내역이 기록되는 로그 ## /var/log/wtmp 전체 로그인 기록을 하는 로그 ## /var/log/utmp 현재 로그인 사용자에 대한 기록을 하는 로그 ## /var/log/lastlog 각 계정들의 가장 최근 로그인기록을 하는 로그 ## /dev/console 콘솔에 뿌려지는 메시지(콘솔로그)