IT Contents/IT Topic

A09 - 2021 : Security Logging and Monitoring Failures (보안 로깅 및 모니터링 실패), OWASP Top 10

비빔뉴스 2023. 2. 11. 00:42

 

Security Logging and Monitoring Failures (보안 로깅 및 모니터링 실패),  OWASP Top 10 2021 A09

OWASP Top 10에 불충분한 로깅 및 모니터링 항목이 새롭게 등장한 이유는 웹 어플리케이션이 다루는 정보의 범위가 크고 사이버 공격의 영향도 크기 때문 아닐까 추측합니다. 로깅과 모니터링이 충분하지 않으면 사이버 공격을 당했음을 눈치채지 못할 수도 있고 이는 제2, 제3의 피해로 이어질 수 있습니다. 또한 사이버 공격의 영향도 파악도 중요합니다. 어떠한 피해를 입었는지 구체적으로 특정할 수 있어야 공격자도 특정할 수 있고 빠르게 사태를 수습할 수 있습니다.

불충분한 로깅 및 모니터링(Insufficient Logging and Monitoring)은 OWASP Top 10에서 명칭이 보안 로깅 및 모니터링 실패(Security Logging and Monitoring Failures)로 변경되었지만 그 내용은 큰 변화는 없습니다. 다만 그 중요성이 한 단계 상승하였고(커뮤니티 서베이 결과 반영) 세부적으로는 몇 가지 취약점들이 추가되었다고 합니다.

모니터링이 적절히 이뤄지지 않으면 공격상황에서도 이를 파악할 수 없습니다.

사이버 공격에서 로깅과 모니터링이 중요한 또 다른 이유는 공격의 예방과도 관련이 있습니다. 공격자는 자신을 숨기고 싶어 하기 때문에 로깅과 모니터링이 철저한 사이트는 침입하지 않을 가능성이 높습니다.

 

로깅 및 모니터링의 중요성과 강화 방안

 

로깅 및 모니터링의 중요성

사이버 공격의 피해 중 대표적인 것은 서비스 거부(DoS, Denial of Service) 공격입니다. 시스템을 지속적으로 모니터링 해 공격을 발견하고 서비스를 빠르게 복구하려면 로깅과 모니터링이 필수입니다. 지속적인 모니터링이 공격 징후를 빠르게 발견할 수 있고 피해가 커지기 전에 공격자를 차단함으로써 다운타임을 최소화할 수 있습니다. 또한 빠르게 복구하려면 공격자의 행위를 자세하게 기록하는 로깅이 필수적입니다.

 

로깅 및 모니터링의 3단계

1) 로그 수집

로그를 파싱하고 변환하고 필터링하는 단계입니다.

2) 로그 관리

로그의 보관 주기를 설정하고 분산 저장하거나 인덱싱하여 서비스 성능과 로그 탐색 속도를 높입니다. 중요정보에 대한 접근 이력을 관리하는 등 정책 설정도 이 단계에 포함됩니다.

3) 로그 모니터링 및 분석

수집된 로그를 시각화하고 경보를 설정하거나 기록 행위를 보고하는 단계입니다.

 

로깅 및 모니터링 강화 방안

1) 로그의 분산 저장 및 동기화

한 군데에만 저장되는 로그는 공격자가 변조하기 쉽습니다. 로그는 별도의 장소에 분산 저장되고 동기화되어야 공격자가 모든 로그를 수정할 수 없게 되고 그만큼 시스템이 안전해집니다.

2) 로그 정책 설정

로그 정책을 통해 불필요한 로깅은 최소화하고 민감정보에 대한 접근과 같은 주요 트랜잭션 위주로 로그를 기록합니다.

3) 모니터링 자동화

로그를 실시간으로 들여다보고 공격 흔적을 찾는 것은 사람의 눈으로는 어려운 일입니다. 로그 모니터링은 자동화하여 이상 징후가 발생했을 때 경보를 줄 수 있도록 구성해야 합니다.

 

 

참고 자료
VISTA InfoSec Blog, What is Insufficient Logging & Monitoring and How Can it Be Prevented?
INFOSEC, Insufficient Logging and Monitoring

 

다른 글 더 보기

인젝션(Injection), OWASP Top 10 2017 A1
취약한 인증(Broken Authentication), OWASP Top 10 2017 A2
민감한 데이터 노출(Sensitive Data Exposure), OWASP Top 10 2017 A3
XML 외부 개체(XML External Entity, XXE) 취약점, OWASP Top 10 2017 A4
취약한 접근 제어(Broken Access Control) 취약점, OWASP Top 10 2017 A5
잘못된 보안 구성(Security Misconfiguration), OWASP Top 10 2017 A6
크로스 사이트 스크립팅(Cross-Site Scripting , XSS), OWASP Top 10 2017 A7
안전하지 않은 역직렬화(Insecure Deserialization), OWASP Top 10 2017 A8
알려진 취약점이 있는 구성요소 사용(Using Components with Known Vulnerabilities), OWASP Top 10 2017 A9

 

728x90