# Auditing

## 개요

**Auditing**(감사는 정보 시스템 내에서하는 보안 관련 활동을 체계적으로 기록, 분석, 검토하는 프로세스를 의미합니다. 주로스템 접근, 사용자 행동, 데이터 변경, 정책 위반 등의 이벤트를 추적하여 보안 위협 탐지, 규정 준수(Compliance), 책임 소재 확인, 그리고 사고 대응에 활용됩니다. 특히 기업이나 정부 기관과 같은 조직에서 정보 보안 관리의 핵심 요소로 간주되며, **감사 로그**(Audit Log)는 이러한 감사 프로세스의 기초 자료로 사용됩니다.

감사는 단순한 로깅을 넘어, 기록된 데이터를 기반으로 시스템의 무결성과 안정성을 검증하고, 보안 정책의 효과성을 평가하는 데 중요한 역할을 합니다. ITU-T, ISO/IEC 27001, NIST SP 800-92 등의 국제 표준은 감사 프로세스의 구현과 유지 관리에 대한 가이드라인을 제공하고 있습니다.

---

## 감사의 목적

감사(Auditing)는 다음과 같은 주요 목적을 가지고 있습니다:

1. **책임 추적**(Accountability)  
   사용자의 행동을 기록함으로써 누가, 언제, 어떤 작업을 수행했는지를 추적할 수 있습니다. 이는 내부 부정행위나 외부 침입 시도에 대한 책임 소재를 명확히 하는 데 필수적입니다.

2. **보안 위협 탐지**  
   비정상적인 접근 시도, 반복적인 인증 실패, 권한 상승 등 이상 징후를 실시간 또는 사후에 분석하여 잠재적 보안 사고를 조기에 발견할 수 있습니다.

3. **규정 준수**(Compliance)  
   GDPR, HIPAA, PCI-DSS 등의 규제는 감사 로그의 생성 및 보관을 의무화하고 있습니다. 이를 통해 조직은 외부 감사 시 법적 요구사항을 충족했음을 입증할 수 있습니다.

4. **사고 대응 및 분석**  
   보안 사고 발생 시, 감사 로그는 사고 원인 분석, 피해 범위 파악, 복구 조치 수립에 중요한 증거 자료로 활용됩니다.

5. **시스템 무결성 검증**  
   시스템 구성 변경이나 중요한 설정 수정 내역을 기록함으로써, 시스템이 의도되지 않은 방식으로 변경되었는지를 검증할 수 있습니다.

---

## 감사 로그(Audit Log)의 구성 요소

효과적인 감사는 잘 구성된 감사 로그를 기반으로 이루어집니다. 일반적으로 감사 로그는 다음 정보를 포함해야 합니다:

| 항목 | 설명 |
|------|------|
| **타임스탬프**(Timestamp) | 이벤트 발생 시각 (UTC 기준 권장) |
| **사용자 식별자**(User ID) | 이벤트를 수행한 사용자 또는 서비스 계정 |
| **이벤트 유형**(Event Type) | 로그인 시도, 파일 접근, 설정 변경 등 |
| **원본 IP 주소** | 요청이 발생한 네트워크 위치 |
| **작업 결과**(Success/Failure) | 작업이 성공했는지 실패했는지 여부 |
| **세부 작업 내용** | 예: "파일 `/etc/passwd` 읽기", "사용자 `admin` 권한 변경" |
| **세션 ID 또는 트랜잭션 ID** | 관련 이벤트를 그룹화할 수 있는 식별자 |

> 🔍 **예시 로그 항목**:
> ```
> [2025-04-05T12:34:56Z] USER=admin ACTION=login STATUS=success SRC_IP=192.168.1.100
> [2025-04-05T12:35:10Z] USER=admin ACTION=file_access FILE=/var/log/secure STATUS=success
> ```

---

## 감사 프로세스의 구현

감사를 효과적으로 구현하기 위해서는 다음 단계를 고려해야 합니다:

### 1. 감사 정책 수립
- 어떤 이벤트를 기록할지 결정 (예: 인증, 권한 변경, 민감 데이터 접근)
- 감사 로그의 보관 기간 및 접근 권한 정의
- 감사 로그의 무결성 보장을 위한 메커니즘 마련

### 2. 로그 수집 및 저장
- 중앙 집중식 로그 관리 시스템(SIEM, 예: Splunk, ELK Stack, Graylog) 활용
- 로그는 **변경 불가능한 저장소**(WORM: Write Once, Read Many)에 보관하는 것이 이상적
- 암호화된 저장 및 전송(예: TLS)을 통해 기밀성 보장

### 3. 로그 분석 및 모니터링
- 실시간 분석을 통해 이상 행위 탐지 (예: SIEM의 correlation rule)
- 정기적인 로그 리뷰 및 자동 알림 설정
- 머신러닝 기반 이상 탐지 기술 도입 가능

### 4. 로그 보관 및 보존
- 법적 요구사항에 따라 최소 6개월~7년 이상 보관
- 로그의 백업 및 재해 복구 계획 수립
- 로그 삭제는 엄격한 승인 절차를 거쳐야 함

---

## 주요 도구 및 기술

- **SIEM**(Security Information and Event Management): 다양한 시스템에서 수집된 로그를 통합 분석
- **Syslog**: 네트워크 장비, 서버 등에서 로그를 전송하는 표준 프로토콜
- **Wazuh**, **OSSEC**: 오픈소스 기반 HIDS(Host-based Intrusion Detection System)로 감사 기능 제공
- **Auditd**(Linux Audit Daemon): 리눅스 커널 수준에서 시스템 호출을 감사하는 도구
- **Windows Event Log**: 윈도우 시스템의 보안 이벤트 기록 및 관리

---

## 관련 표준 및 규정

- **ISO/IEC 27001**: 정보 보안 관리 시스템(ISMS)에서 감사 통제 항목(A.12.4)을 명시
- **NIST SP 800-92**: 감사 데이터의 생성, 분석, 저장에 대한 가이드라인
- **GDPR**: 개인정보 처리에 대한 감사 로그 유지 의무 (Art. 30)
- **PCI-DSS**: 카드 데이터 접근에 대한 감사 로그 요구 (요구사항 10)

---

## 참고 자료

- [NIST SP 800-92: Guide to Computer Security Log Management](https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-92.pdf)
- [ISO/IEC 27001:2013](https://www.iso.org/standard/54534.html)
- [Linux Audit Framework Documentation](https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/chap-system_auditing)

> ✅ **모범 사례 요약**:
> - 감사 로그는 반드시 무결성과 기밀성을 보장해야 합니다.
> - 민감한 시스템에서는 최소한의 감사 수준이 아닌, 세밀한 수준의 로깅을 수행해야 합니다.
> - 감사 로그는 정기적으로 검토되며, 자동화된 모니터링 시스템과 연계되어야 합니다.