호스트 기반 보안 및 감사 (Host-Based Security & Auditing)
리눅스 시스템에서 공격자가 남긴 흔적을 추적하여 호스트 기반 보안과 감사 방법을 학습합니다. 네트워크 트래픽이 사건의 발생 여부를 알려준다면, 호스트 아티팩트는 무엇이 변경되었고, 누가 접근했으며, 침해가 어떻게 진행되었는지를 설명해 줍니다. 본 과정에서는 파일 무결성 모니터링, auditd, 시스템 로그 분석을 활용하여 변조를 탐지하고, 의심스러운 활동을 조사하며, 리눅스 호스트를 강화하는 방법을 배웁니다.
왜 중요한가
공격자는 시스템을 그대로 두는 법이 거의 없습니다. 그들은 파일을 수정하고, 서비스에 인증하며, 권한을 상승시키고, 민감한 디렉터리와 상호작용합니다. 호스트 수준에서 이러한 동작을 모니터링할 수 있다면, 네트워크 전용 도구로는 명확히 파악하기 어려운 활동까지 포착할 수 있습니다.
본 과정은 실질적인 리눅스 가시성이 필요한 방어자를 위해 설계되었습니다. 신뢰할 수 있는 파일의 기준선 (baseline) 을 구축하고, 저수준 감사 규칙을 구성하며, 운영 로그를 파싱하고, 이러한 신호들을 종합하여 현실적인 보안 강화 및 조사 워크플로우를 수행하는 방법을 배우게 됩니다.
학습 내용
- 파일 무결성 기준선을 생성 및 검증하여 무단 변경 사항을 탐지합니다.
- 민감한 파일, 명령어, 디렉터리를 모니터링하기 위한
auditd규칙을 구성합니다. - 리눅스 인증 및 시스템 로그를 파싱하여 무차별 대입 공격 (brute-force) 시도와 권한 남용을 식별합니다.
- 무결성, 감사, 로그 데이터를 상호 연관시켜 단일 호스트 조사에 활용합니다.
- 현실적인 보안 강화 시나리오에서 다중 호스트 제어 기능을 적용합니다.
과정 로드맵
- 파일 무결성 모니터링 (FIM): AIDE 를 사용하여 신뢰할 수 있는 기준선을 구축하고 무단 파일 수정을 식별합니다.
- Auditd 를 이용한 시스템 감사: 커널 기반의 감사 규칙을 구성하여 민감한 작업을 정밀하게 추적합니다.
- 시스템 로그 분석:
auth.log및syslog를 검토하여 로그인 실패,sudo남용, 의심스러운 접근 패턴을 식별합니다. - 호스트 보안 강화: 무결성 모니터링과 감사를 결합하여 시뮬레이션된 내부자 위협을 조사하고 차단합니다.
수강 대상
- 호스트 수준의 조사 역량을 강화하고자 하는 SOC 분석가 및 방어자.
- 실무적인 감사 및 보안 강화 기술을 익히고자 하는 리눅스 관리자.
- 패킷 분석에서 엔드포인트 및 서버 보안으로 영역을 확장하려는 학습자.
학습 성과
본 과정을 마치면 중요한 리눅스 호스트의 변조 여부를 모니터링하고, 의심스러운 접근을 조사하며, 실제 운영 환경에 적합한 강력한 감사 체계를 구축할 수 있게 됩니다.
