상관분석 개념 상관 분석 - 보안 솔루션/시스템에서 발생한 다수의 이벤트 발생 관계를 분석하는 행위 - 여러 보안 사건을 전체적으로 하나의 통합 보안 사건으로 간주하여 거시적인 대응 방안 수립 > 이후 각각의 보안 이벤트에 대한 적절한 대응 방안도 수립 상관 분석의 필요성 - 수집되고 분석해야 하는 보안 로그의 수가 기하급수적으로 증가 - 단순 필터링, 패턴 매칭으로는 정확한 로그 분석이 불가 > 오탐 가능성 - 해킹 방법의 복잡화로 인해 여러 관점에서의 분석이 필요 상관 분석의 주의점 - 정확한 보안 로그의 분류 > 보안 사건과 관계없는 일반 에러 로그를 같이 분석하는 경우 전혀 다른 결과 도출 - 보안 솔루션의 오탐, 미탐 가능성을 염두 > 완벽한 보안 솔루션, 보안 정책은 없다는 것을 인지 > 보안..

시스템 로그 분석 Log - 감사 서비스를 통해 남겨지는 시스템의 동작 흔적 - 시스템의 오류 및 동작 상태에 대한 정보를 남김 - 차후 침투가 발생했을 때 공격자의 흔적을 추적하기 위한 필수 정보 Linux 로그 파일 종류 로그파일 설명 /var/log/message 리눅스 커널 로그 및 시스템 메시지 /var/log/secure 보안 인증 관련 메시지 /var/log/maillog 메일 로그 /var/log/cron crond에 의한 로그 /var/log/boot.log 시스템 부팅 시에 뿌려지는 모든 메시지를 담고 있음 /var/log/dmesg 부팅될 당시의 각종 메시지들을 저장 /var/log/wtmp 시스템 전체 로그인 기록을 저장 /var/run/utmp 현재 로그인 사용자에 대한 기록, 사..

보안사고 정의 사이버 공격 - 인터넷을 통해 이루어지는 외부의 인가되지 않은 공격 - 인가되지 않은 공격에 의해, 내부의 중요 정보가 변조되거나 삭제되거나 유출되는 현상 사이버 공격 유형 - 홈페이지 악성코드 유포 > 많은 홈페이지 서버에 악성코드 혹은 악성 스크립트를 은닉하여 홈페이지 접속자에게 악성코드를 유포하는 유형 - 홈페이지 변조 > 홈페이지 서버를 공격하여 홈페이지에서 보여지는 화면을 공격자의 이미지로 변조하는 유형 - DDOS > 공격자가 감염시킨 수많은 좀비 PC를 이용해, 다량의 패킷을 서버 등의 특정 시스템으로 송신하여 서비스를 마비시키는 공격 - 피싱 > 지인 또는 유명 기업 등을 사칭한 메시지를 E-mail, 메신저, 문자 등의 다양한 서비스를 통하여 공격 대상자에게 전송 - 파밍 ..