보안 로깅과 monitoring은 왜 중요한가요?

Question

Accepted Answer

**보안 로깅과 monitoring**은 보안 위협과 사고를 탐지하고 대응할 수 있게 합니다. 적절한 로깅/monitoring 없이는 공격이 눈에 띄지 않게 됩니다 — 이것이 "불충분한 로깅과 monitoring"이 보안 위험으로 인정되는(OWASP) 이유입니다.

## 로깅과 monitoring이 보안에 중요한 이유

```text
탐지할 수 없는 공격에는 대응할(심지어 알 수도) 없다:
  → 로깅/monitoring 없이는 침해가 눈에 띄지 않음(흔히 수개월간) → 훨씬 큰 피해
  → "보안 로깅과 monitoring 실패"는 OWASP Top 10 위험
→ 탐지가 필수다 — 모든 공격을 막을 수는 없지만, 반드시 탐지하고 대응해야 한다.
```

## 무엇을 로깅하고 monitoring할 것인가

```text
✓ AUTHENTICATION 이벤트 → 로그인, 실패, 잠금(무차별 대입/credential stuffing 탐지)
✓ 민감 데이터/작업 ACCESS → 감사 추적(누가 언제 무엇을 했는지)
✓ AUTHORIZATION 실패 → 반복된 거부 접근(탐색/공격)
✓ 이상 징후 → 비정상 패턴, 급증, 의심스러운 행동, 오류
✓ 관리/권한 작업; 설정 변경; 보안 관련 이벤트
⚠️ 그러나 민감 데이터(password, 전체 카드 번호, secret)를 로깅하지 마라 — 그 자체가 위험
```

## 탐지와 대응

```text
✓ ALERTING → 의심스러운 활동에 통지(빠르게 대응할 수 있도록)
✓ SIEM 도구 → 로그 집계/분석; 이벤트 상관; 위협 탐지
✓ 중앙화되고 변조 방지된 로그(공격자가 로그를 삭제하려 함); 보존
✓ INCIDENT RESPONSE 연결 → 탐지가 대응 프로세스를 촉발
✓ 정기 리뷰; 정상을 기준선화하여 이상 포착; 위협 탐지(GuardDuty 등)
```

## 왜 중요한가

보안 로깅과 monitoring이 왜 중요한지 이해하는 것이 가치 있는 시니어 수준 지식인 이유는 **탐지가 보안에 필수**이기 때문입니다 — 볼 수 없는 위협에는 대응할 수 없습니다 — 따라서 시스템을 보호하는 데 중요하며, 그 자체로 보안 우려로 인정됩니다.

근본 통찰은 **탐지할 수 없는 공격에는 대응하거나 심지어 알 수도 없다**는 것이며, 적절한 로깅과 monitoring 없이는 **침해가 눈에 띄지 않아(흔히 수개월간) 훨씬 큰 피해를 일으킵니다** — 이것이 "보안 로깅과 monitoring 실패"가 OWASP Top 10 위험인 이유입니다.

모든 공격을 예방할 수는 없으므로 탐지하고 대응하는 것이 필수적이며, 이는 로깅과 monitoring을 중요한 보안 역량으로 만듭니다.

**무엇을 로깅하고 monitoring할 것인가**를 이해하는 것 — authentication 이벤트(무차별 대입과 credential stuffing 탐지), 민감 데이터와 작업 접근(감사 추적), authorization 실패(탐색 탐지), 이상 징후(비정상 패턴과 행동), 관리/권한 작업 — 은 포착할 보안 관련 이벤트를 다루며, **민감 데이터를 로깅하지 않는다**(password, 카드 번호, secret — 그 자체가 위험)는 중요한 단서를 포함합니다.

**탐지와 대응**을 이해하는 것 — **alerting**(빠른 대응을 위해 의심스러운 활동에 통지), **SIEM 도구**(위협을 탐지하기 위해 로그를 집계하고 상관), 로그를 **중앙화하고 변조 방지**(공격자가 로그를 삭제하려 하므로), 탐지를 **사고 대응**에 연결, 이상을 포착하기 위해 정상 행동 기준선화 — 은 monitoring이 실제 위협 탐지와 대응을 가능하게 하는 방식을 반영합니다.

로깅과 monitoring은 침해 탐지와 사고 대응을 가능하게 하여, 보이지 않는 공격을 탐지 가능하고 대응 가능한 이벤트로 바꿉니다.

탐지가 보안에 필수이고(탐지되지 않은 공격에는 대응할 수 없으며 탐지되지 않은 침해가 훨씬 큰 피해를 일으킴) 로깅/monitoring(보안 이벤트 포착, alerting, SIEM, 사고 대응 연결)이 이를 가능하게 하며, 불충분한 로깅/monitoring이 인정된 위험이므로, 보안 로깅과 monitoring이 왜 중요한지 이해하는 것은 가치 있는 시니어 수준 지식입니다. 이는 일어날 공격을 탐지하고 대응하는 데 필수적이며 그 자체로 보안 우려로 인정되고, 단지 예방하려고만 하는 것이 아니라 위협을 탐지하고 대응해야 하는 시스템을 책임지는 시니어 역할에 기대되는 운영 보안 인식을 반영합니다.