파일 권한, 접근통제, 로그 분석 기초
계정 관리 다음 단계로, 계정이 어떤 파일과 자원에 접근할 수 있는지와 그 기록을 어떻게 분석하는지 정리합니다.
계정 관리 다음 단계로, 계정이 어떤 파일과 자원에 접근할 수 있는지와 그 기록을 어떻게 분석하는지 정리합니다.
계정을 만들었다.
→ 그 계정이 어떤 파일과 자원에 접근할 수 있는가?
→ 접근 기록은 어떻게 남는가?
→ 로그를 보고 이상 행위를 어떻게 판단하는가?핵심 주제는 아래 10개입니다.
파일 권한
rwx
chmod
소유자·그룹·기타 사용자
777 권한
접근통제
DAC
MAC
RBAC
로그 분석학습 목표
이번 절의 학습 후 다음 질문에 답할 수 있어야 한다.
| 질문 | 목표 |
|---|---|
리눅스 파일 권한 rwx는 무엇인가? | 읽기, 쓰기, 실행 권한으로 해석 가능 |
chmod 755는 무슨 뜻인가? | 소유자 rwx, 그룹 r-x, 기타 r-x로 해석 가능 |
777 권한이 왜 위험한가? | 모든 사용자에게 모든 권한을 주기 때문이라고 설명 가능 |
| 접근통제란 무엇인가? | 주체가 객체에 접근하는 행위를 통제하는 것이라고 설명 가능 |
| DAC, MAC, RBAC 차이는? | 임의적, 강제적, 역할 기반 접근통제로 구분 가능 |
| 로그는 왜 중요한가? | 침해사고 탐지, 원인 분석, 책임추적성 확보에 필요하다고 설명 가능 |
| 어떤 로그를 봐야 하는가? | 인증 로그, 시스템 로그, 웹 로그, 관리자 작업 로그 등 구분 가능 |
이번 절 내용의 큰 흐름
시스템보안은 기본적으로 이 흐름으로 이해하면 됩니다.
계정 → 권한 → 접근통제 → 로그 → 사고 분석예를 들어 어떤 사용자가 서버에 로그인했다고 해봅시다.
1. user01 계정으로 로그인한다.
2. 특정 파일에 접근한다.
3. 운영체제가 권한을 확인한다.
4. 허용되면 파일을 읽거나 수정한다.
5. 접속과 작업 내역이 로그에 남는다.
6. 보안 담당자는 로그를 보고 이상 행위를 분석한다.이번 절에서는 이 중 권한, 접근통제, 로그를 다룹니다.
파일 권한이란?
파일 권한은 사용자가 파일이나 디렉터리에 대해 어떤 작업을 할 수 있는지 정한 규칙입니다.
예를 들어 파일에 대해 다음 행위가 가능합니다.
읽기
쓰기
실행
삭제
수정
접근리눅스에서는 가장 기본적으로 다음 세 가지 권한을 사용합니다.
| 기호 | 영어 | 의미 |
|---|---|---|
| r | read | 읽기 |
| w | write | 쓰기 |
| x | execute | 실행 |
즉,
rwx = 읽기, 쓰기, 실행파일 권한의 대상: 소유자, 그룹, 기타 사용자
리눅스 권한은 보통 세 대상에게 따로 부여됩니다.
| 대상 | 의미 |
|---|---|
| 소유자 | 파일을 소유한 사용자 |
| 그룹 | 파일과 연결된 그룹 |
| 기타 사용자 | 소유자도 아니고 그룹에도 속하지 않은 사용자 |
예를 들어 다음 권한을 봅시다.
-rwxr-xr--이걸 나누면 다음과 같습니다.
- / rwx / r-x / r--| 구분 | 값 | 의미 |
|---|---|---|
| 파일 유형 | - | 일반 파일 |
| 소유자 권한 | rwx | 읽기, 쓰기, 실행 가능 |
| 그룹 권한 | r-x | 읽기, 실행 가능 |
| 기타 사용자 권한 | r-- | 읽기만 가능 |
따라서 전체 해석은 다음입니다.
소유자는 읽기·쓰기·실행 가능,
그룹은 읽기·실행 가능,
기타 사용자는 읽기만 가능하다.파일 유형 기호
권한 맨 앞에 있는 문자는 파일의 종류를 나타냅니다.
| 기호 | 의미 |
|---|---|
- | 일반 파일 |
d | 디렉터리 |
l | 심볼릭 링크 |
-rw-r--r-- 일반 파일
drwxr-xr-x 디렉터리
lrwxrwxrwx 심볼릭 링크시험에서는 너무 깊게 나오지는 않지만, d가 디렉터리라는 것은 알아두어야 합니다.
숫자 권한
리눅스 권한은 숫자로도 표현합니다.
| 권한 | 숫자 |
|---|---|
| r | 4 |
| w | 2 |
| x | 1 |
권한은 더해서 계산합니다.
| 표현 | 계산 | 숫자 |
|---|---|---|
--- | 0 | 0 |
--x | 1 | 1 |
-w- | 2 | 2 |
r-- | 4 | 4 |
rw- | 4+2 | 6 |
r-x | 4+1 | 5 |
rwx | 4+2+1 | 7 |
chmod 755 해석
예를 들어 다음 명령이 있다고 합시다.
chmod 755 file755는 세 자리입니다.
7 / 5 / 5각 자리는 다음을 의미합니다.
| 자리 | 대상 | 숫자 | 권한 |
|---|---|---|---|
| 첫 번째 | 소유자 | 7 | rwx |
| 두 번째 | 그룹 | 5 | r-x |
| 세 번째 | 기타 사용자 | 5 | r-x |
따라서 755는 다음 뜻입니다.
소유자는 읽기·쓰기·실행 가능,
그룹과 기타 사용자는 읽기·실행 가능자주 나오는 권한 값
정보보안기사에서는 아래 권한값이 자주 나옵니다.
| 숫자 | 권한 | 의미 |
|---|---|---|
| 755 | rwxr-xr-x | 소유자는 전체 권한, 나머지는 읽기·실행 |
| 644 | rw-r--r-- | 소유자는 읽기·쓰기, 나머지는 읽기 |
| 600 | rw------- | 소유자만 읽기·쓰기 |
| 700 | rwx------ | 소유자만 읽기·쓰기·실행 |
| 777 | rwxrwxrwx | 모든 사용자에게 모든 권한 |
특히 시험에서 중요한 것은 777입니다.
777 = 모든 사용자에게 읽기, 쓰기, 실행 권한 부여그래서 보안상 위험합니다.
실기형 답안으로는 이렇게 쓰면 됩니다.
777 권한은 소유자, 그룹, 기타 사용자 모두에게 읽기·쓰기·실행 권한을 부여하므로 권한 없는 사용자가 파일을 수정하거나 실행할 수 있어 보안상 위험하다.디렉터리에서 rwx 의미
파일과 디렉터리에서 rwx의 의미는 약간 다릅니다.
파일에서의 의미
| 권한 | 의미 |
|---|---|
| r | 파일 내용 읽기 |
| w | 파일 내용 수정 |
| x | 파일 실행 |
디렉터리에서의 의미
| 권한 | 의미 |
|---|---|
| r | 디렉터리 안의 파일 목록 보기 |
| w | 디렉터리 안에서 파일 생성·삭제 |
| x | 디렉터리 안으로 접근 또는 이동 |
디렉터리에서 x 권한은 중요합니다.
x가 없으면 디렉터리 안으로 들어가거나 내부 파일에 접근하기 어렵습니다.
시험에서는 깊게 계산하기보다 다음 정도를 기억하면 됩니다.
파일의 x는 실행 권한,
디렉터리의 x는 접근 권한이다.소유권: chown과 chgrp
파일 권한과 함께 소유권도 중요합니다.
| 명령 | 의미 |
|---|---|
| chown | 파일 소유자 변경 |
| chgrp | 파일 그룹 변경 |
| chmod | 파일 권한 변경 |
chown user01 filefile의 소유자를 user01로 변경chmod 600 secret.txtsecret.txt를 소유자만 읽고 쓸 수 있게 설정시험에서는 명령어 자체보다 개념이 중요합니다.
권한은 chmod, 소유자는 chown, 그룹은 chgrp특수 권한 기초: SUID, SGID, Sticky Bit
정보보안기사에서는 특수 권한도 나올 수 있습니다.
이번 절에서는 깊게 들어가지 않고 핵심만 봅니다.
SUID
SUID는 실행 파일에 설정되는 특수 권한입니다.
실행한 사용자가 아니라 파일 소유자의 권한으로 프로그램이 실행되게 하는 권한예를 들어 어떤 프로그램의 소유자가 root이고 SUID가 설정되어 있으면, 일반 사용자가 실행해도 root 권한으로 동작할 수 있습니다.
그래서 보안상 매우 주의해야 합니다.
불필요한 SUID 설정은 권한 상승 위험이 있으므로 점검해야 한다.SGID
SGID는 파일이나 디렉터리에 설정될 수 있는 특수 권한입니다.
파일 실행 시 그룹 권한을 적용하거나,
디렉터리 내 생성 파일이 특정 그룹을 상속받게 할 수 있다.Sticky Bit
Sticky Bit는 주로 공유 디렉터리에 사용됩니다.
대표 예시는 /tmp입니다.
공유 디렉터리에서 사용자가 자신이 만든 파일만 삭제할 수 있게 제한하는 권한시험식으로는 이렇게 기억하면 됩니다.
| 특수 권한 | 핵심 |
|---|---|
| SUID | 파일 소유자 권한으로 실행 |
| SGID | 그룹 권한 적용 또는 그룹 상속 |
| Sticky Bit | 공유 디렉터리에서 타인 파일 삭제 제한 |
이번 절 단계에서는 특히 SUID만 조심해서 기억하면 됩니다.
SUID 오남용 = 권한 상승 위험접근통제란?
접근통제는 주체가 객체에 접근하는 행위를 허용하거나 차단하는 보안 기능입니다.
여기서 주체와 객체가 중요합니다.
| 용어 | 의미 | 예시 |
|---|---|---|
| 주체 | 접근하려는 사용자나 프로세스 | 사용자, 프로그램, 프로세스 |
| 객체 | 보호해야 할 자원 | 파일, DB, 서버, 네트워크 자원 |
user01이 secret.txt 파일을 읽으려고 한다.이때,
| 구분 | 값 |
|---|---|
| 주체 | user01 |
| 객체 | secret.txt |
| 접근 행위 | 읽기 |
| 접근통제 판단 | 허용 또는 거부 |
시험식 정의는 다음입니다.
접근통제는 사용자나 프로세스와 같은 주체가 파일, 시스템, DB와 같은 객체에 접근하는 것을 권한에 따라 허용하거나 차단하는 보안 기능이다.접근통제의 3대 유형
정보보안기사에서 매우 자주 나오는 접근통제 모델은 다음 세 가지입니다.
DAC
MAC
RBACDAC: 임의적 접근통제
DAC는 Discretionary Access Control입니다.
한국어로는 임의적 접근통제라고 합니다.
핵심은 다음입니다.
객체의 소유자가 접근 권한을 설정하거나 변경할 수 있는 방식예를 들어 파일 소유자가 다른 사용자에게 읽기 권한을 줄 수 있습니다.
| 특징 | 내용 |
|---|---|
| 권한 결정 주체 | 객체 소유자 |
| 장점 | 유연함 |
| 단점 | 권한 남용 가능성 |
| 예시 | 일반적인 파일 권한 설정 |
DAC는 객체 소유자가 자신의 객체에 대한 접근 권한을 임의로 설정할 수 있는 접근통제 방식이다.MAC: 강제적 접근통제
MAC는 Mandatory Access Control입니다.
한국어로는 강제적 접근통제입니다.
핵심은 다음입니다.
시스템이 보안 등급이나 정책에 따라 접근 권한을 강제로 통제하는 방식예를 들어 군사 보안처럼 정보 등급이 있다고 생각하면 됩니다.
1급 비밀
2급 비밀
대외비
일반사용자와 문서에 보안 등급이 있고, 시스템 정책에 따라 접근이 결정됩니다.
사용자가 마음대로 권한을 바꿀 수 없습니다.
| 특징 | 내용 |
|---|---|
| 권한 결정 주체 | 시스템 정책 |
| 장점 | 보안성 높음 |
| 단점 | 유연성 낮음 |
| 예시 | 군사, 정부, 고보안 환경 |
MAC는 중앙 보안 정책과 보안 등급에 따라 접근을 강제로 통제하는 방식으로, 사용자가 임의로 권한을 변경할 수 없다.RBAC: 역할 기반 접근통제
RBAC는 Role-Based Access Control입니다.
한국어로는 역할 기반 접근통제입니다.
핵심은 다음입니다.
사용자에게 직접 권한을 주는 것이 아니라 역할에 권한을 부여하고, 사용자를 역할에 배정하는 방식예를 들어 회사 시스템을 생각해봅시다.
| 역할 | 권한 |
|---|---|
| 일반 직원 | 본인 정보 조회 |
| 인사 담당자 | 직원 정보 관리 |
| 회계 담당자 | 정산 정보 관리 |
| 관리자 | 시스템 설정 관리 |
| 감사자 | 로그 조회 |
사용자에게 직접 권한을 하나하나 주는 대신, 역할을 부여합니다.
김철수 → 인사 담당자 역할
박영희 → 감사자 역할그러면 역할에 연결된 권한이 적용됩니다.
| 특징 | 내용 |
|---|---|
| 권한 기준 | 역할 |
| 장점 | 조직 업무와 잘 맞음 |
| 효과 | 권한 관리가 편리함 |
| 예시 | 기업 시스템, 업무 시스템 |
RBAC는 직무나 역할에 권한을 부여하고 사용자를 해당 역할에 배정하여 접근을 통제하는 방식이다.DAC, MAC, RBAC 비교
| 구분 | DAC | MAC | RBAC |
|---|---|---|---|
| 한국어 | 임의적 접근통제 | 강제적 접근통제 | 역할 기반 접근통제 |
| 기준 | 소유자 | 보안 등급·정책 | 역할 |
| 권한 변경 | 소유자가 가능 | 사용자가 임의 변경 불가 | 관리자 또는 정책에 따라 역할 부여 |
| 장점 | 유연함 | 보안성 높음 | 관리 편리 |
| 단점 | 권한 남용 가능 | 유연성 낮음 | 역할 설계 필요 |
| 예시 | 파일 소유자가 권한 설정 | 군사 보안 등급 | 인사팀, 회계팀, 관리자 역할 |
외우는 방법은 다음입니다.
DAC = 소유자가 정한다
MAC = 시스템 정책이 강제한다
RBAC = 역할로 정한다ACL
ACL은 Access Control List의 약자입니다.
한국어로는 접근제어목록입니다.
객체별로 어떤 주체가 어떤 권한을 갖는지 목록으로 관리합니다.
예를 들어 report.txt 파일에 대한 ACL이 다음과 같다고 합시다.
| 사용자 | 권한 |
|---|---|
| user01 | 읽기 |
| user02 | 읽기, 쓰기 |
| admin | 읽기, 쓰기, 실행 |
이런 목록을 통해 접근을 허용하거나 거부합니다.
ACL은 객체에 대해 사용자나 그룹별 접근 권한을 목록 형태로 정의한 접근통제 방식이다.로그란?
로그는 시스템에서 발생한 사건의 기록입니다.
예를 들어 다음과 같은 행위가 로그에 남을 수 있습니다.
로그인 성공
로그인 실패
관리자 권한 사용
파일 접근
서비스 시작과 중지
설정 변경
네트워크 접속
오류 발생보안에서 로그는 매우 중요합니다.
왜냐하면 침해사고가 발생했을 때 다음을 확인할 수 있기 때문입니다.
누가 접속했는가?
언제 접속했는가?
어디서 접속했는가?
무엇을 했는가?
어떤 파일에 접근했는가?
공격 흔적이 있는가?로그는 시스템 접속, 인증 실패, 권한 사용, 파일 접근 등 주요 행위를 기록하므로 침해사고 발생 시 원인 분석, 공격 경로 추적, 피해 범위 파악, 재발 방지 대책 수립에 활용된다.로그의 종류
시스템보안에서 자주 나오는 로그는 다음과 같습니다.
| 로그 종류 | 내용 |
|---|---|
| 인증 로그 | 로그인 성공·실패, 계정 잠금, 인증 관련 기록 |
| 시스템 로그 | 시스템 오류, 서비스 시작·중지, 커널 메시지 |
| 관리자 작업 로그 | sudo, 권한 변경, 설정 변경 기록 |
| 파일 접근 로그 | 중요 파일 접근, 수정, 삭제 기록 |
| 웹 로그 | 웹 요청, 접속 IP, URL, 상태 코드 기록 |
| 보안 장비 로그 | 방화벽, IDS/IPS, WAF 탐지 기록 |
| DB 로그 | DB 접속, 쿼리 수행, 권한 변경 기록 |
이번 절에서는 시스템보안 범위이므로 특히 아래 로그가 중요합니다.
인증 로그
시스템 로그
관리자 작업 로그
파일 접근 로그Linux 로그 기초
리눅스에서는 환경에 따라 로그 파일 이름이 조금 다를 수 있지만, 시험에서는 대표적인 것만 알면 됩니다.
| 로그 파일 | 주요 내용 |
|---|---|
/var/log/auth.log | 인증, 로그인, sudo 기록 계열 |
/var/log/secure | 인증, 보안 관련 기록 계열 |
/var/log/messages | 시스템 전반 메시지 |
/var/log/syslog | 시스템 로그 |
/var/log/wtmp | 로그인·로그아웃 이력 |
/var/log/btmp | 로그인 실패 이력 |
/var/log/lastlog | 사용자별 마지막 로그인 정보 |
배포판에 따라 다르므로 시험에서는 이런 식으로 이해하면 됩니다.
auth.log 또는 secure = 인증 관련 로그
messages 또는 syslog = 시스템 전반 로그
wtmp = 로그인 성공 이력
btmp = 로그인 실패 이력Windows 로그 기초
Windows에서는 이벤트 뷰어를 통해 로그를 확인합니다.
대표 로그는 다음입니다.
| 로그 | 내용 |
|---|---|
| Security | 로그인, 로그오프, 권한 사용, 감사 이벤트 |
| System | 시스템 서비스, 드라이버, 오류 이벤트 |
| Application | 응용 프로그램 오류와 이벤트 |
| Setup | 설치 관련 이벤트 |
보안 관점에서는 특히 Security 로그가 중요합니다.
Windows Security 로그 = 로그인, 인증 실패, 권한 사용, 감사 이벤트 확인웹 로그 기초
웹 서버 로그도 실기에서 자주 연결됩니다.
대표적으로 Apache나 Nginx 웹 로그가 있습니다.
| 로그 | 내용 |
|---|---|
| access log | 누가 어떤 URL에 접속했는지 |
| error log | 서버 오류, 처리 실패 기록 |
웹 로그에는 보통 다음 정보가 들어갑니다.
접속 IP
접속 시간
요청 URL
HTTP 메서드
상태 코드
User-Agent예를 들어 단순화하면 다음과 같습니다.
192.168.0.10 - - [26/Apr/2026] "GET /login HTTP/1.1" 200
192.168.0.20 - - [26/Apr/2026] "POST /admin HTTP/1.1" 403여기서 볼 수 있는 것은 다음입니다.
| 항목 | 의미 |
|---|---|
| 192.168.0.10 | 접속 IP |
| GET /login | 로그인 페이지 요청 |
| 200 | 정상 응답 |
| POST /admin | 관리자 페이지 요청 |
| 403 | 접근 거부 |
로그에서 주의해서 볼 이상 징후
로그 분석에서 초보자가 먼저 봐야 하는 이상 징후는 다음입니다.
| 이상 징후 | 의미 |
|---|---|
| 짧은 시간에 로그인 실패 반복 | 무차별 대입 공격 가능성 |
| 평소와 다른 국가나 IP에서 로그인 | 계정 탈취 가능성 |
| 업무시간 외 관리자 로그인 | 비정상 접근 가능성 |
| 일반 사용자의 관리자 권한 사용 | 권한 상승 또는 오남용 가능성 |
| 중요 파일 접근 또는 삭제 | 정보 유출·파괴 가능성 |
| 서비스 갑작스러운 중지 | 장애 또는 공격 가능성 |
| 로그 삭제 흔적 | 침입 흔적 은폐 가능성 |
| 관리자 페이지 반복 접근 | 권한 없는 접근 시도 가능성 |
| 404, 403 요청 다량 발생 | 스캔 또는 취약점 탐색 가능성 |
시험에서는 보통 이렇게 묻습니다.
로그인 실패가 짧은 시간에 반복되었다. 어떤 공격 가능성이 있는가?무차별 대입 공격 또는 사전 공격 가능성이 있다.로그 분석 예시 1: 로그인 실패 반복
다음과 같은 로그가 있다고 가정합니다.
09:01 user01 login failed from 203.0.113.10
09:01 user01 login failed from 203.0.113.10
09:02 user01 login failed from 203.0.113.10
09:02 user01 login failed from 203.0.113.10
09:03 user01 login failed from 203.0.113.10이 로그에서 의심할 수 있는 것은 다음입니다.
동일 계정에 대한 반복 로그인 실패가능한 공격은 다음입니다.
무차별 대입 공격
사전 공격
계정 탈취 시도대응 방안은 다음입니다.
계정 잠금 정책 적용
접속 IP 차단 또는 제한
MFA 적용
패스워드 변경
로그 추가 분석동일 계정에 대해 짧은 시간 동안 로그인 실패가 반복되고 있으므로 무차별 대입 공격이나 사전 공격 가능성이 있다. 대응 방안으로 계정 잠금 정책 적용, 출발지 IP 차단, MFA 적용, 패스워드 변경, 추가 로그 분석을 수행해야 한다.로그 분석 예시 2: 관리자 권한 사용
다음 로그를 봅시다.
10:15 user02 sudo command executed
10:16 user02 modified /etc/passwd
10:17 user02 modified /etc/shadow여기서 중요한 점은 다음입니다.
일반 사용자로 보이는 user02가 sudo를 사용했고,
계정 관련 중요 파일을 수정했다.확인해야 할 사항은 다음입니다.
| 확인 항목 | 이유 |
|---|---|
| user02가 sudo 권한을 가져도 되는가? | 과도한 권한 여부 확인 |
| 작업이 승인된 작업인가? | 관리자 작업 승인 여부 확인 |
| 변경 내용이 정상인가? | 계정 조작 여부 확인 |
| 이후 로그인 기록은 어떤가? | 신규 계정 생성 또는 권한 상승 확인 |
user02가 sudo를 사용하여 /etc/passwd와 /etc/shadow를 수정한 기록이 있으므로 계정 정보 변경이나 권한 상승 가능성을 확인해야 한다. 해당 사용자의 권한 부여 사유, 작업 승인 여부, 변경된 계정 정보, 이후 로그인 기록을 점검해야 한다.로그 분석 예시 3: 웹 관리자 페이지 접근
다음 웹 로그를 봅시다.
203.0.113.5 "GET /admin HTTP/1.1" 403
203.0.113.5 "GET /admin/login HTTP/1.1" 403
203.0.113.5 "GET /manager HTTP/1.1" 404
203.0.113.5 "GET /phpmyadmin HTTP/1.1" 404여기서 의심할 수 있는 것은 다음입니다.
관리자 페이지나 관리 도구 경로를 탐색하는 시도권한 없는 접근 시도
취약한 관리자 페이지 탐색
스캐닝 또는 사전 탐색 행위관리자 페이지 접근 IP 제한
인증 강화
불필요한 관리 도구 제거
웹 로그 추가 분석
WAF 또는 IDS 탐지 정책 확인동일 IP에서 /admin, /manager, /phpmyadmin 등 관리자 또는 관리 도구 경로에 반복 접근하고 있으므로 권한 없는 접근 시도나 취약점 탐색 가능성이 있다. 관리자 페이지 접근을 허용 IP로 제한하고, 불필요한 관리 도구를 제거하며, 인증 강화와 웹 로그 추가 분석을 수행해야 한다.로그 관리 보안
로그는 기록하는 것도 중요하지만, 안전하게 관리하는 것도 중요합니다.
공격자는 침입 후 흔적을 지우려고 할 수 있습니다.
따라서 로그 관리에서는 다음이 중요합니다.
| 항목 | 설명 |
|---|---|
| 로그 보관 | 일정 기간 로그 유지 |
| 접근통제 | 로그 파일은 관리자나 보안 담당자만 접근 |
| 무결성 보호 | 로그 변조 방지 |
| 시간 동기화 | 로그 시간의 정확성 확보 |
| 중앙 집중 관리 | 여러 시스템 로그를 중앙 서버에 저장 |
| 정기 점검 | 이상 행위 탐지 |
| 백업 | 로그 손실 방지 |
| 알림 설정 | 중요 이벤트 발생 시 통보 |
로그는 침해사고 분석의 핵심 근거이므로 적절한 보관 기간을 설정하고, 접근통제와 무결성 보호를 적용하며, 시간 동기화와 중앙 집중 관리를 통해 신뢰성을 확보해야 한다.시간 동기화가 중요한 이유
로그 분석에서 시간은 매우 중요합니다.
예를 들어 여러 시스템에서 사고가 발생했다고 합시다.
웹 서버
DB 서버
방화벽
사용자 PC각 장비의 시간이 다르면 공격 흐름을 정확히 맞추기 어렵습니다.
그래서 시간 동기화가 필요합니다.
시간 동기화 = 여러 시스템의 시간을 일치시켜 로그 분석의 정확성을 확보하는 것보통 NTP 같은 시간 동기화 방식을 사용합니다.
시간 동기화는 여러 시스템의 로그 발생 시각을 일치시켜 침해사고 발생 순서와 공격 경로를 정확히 분석하기 위해 필요하다.책임추적성과 로그
2장 1절에서 책임추적성을 배웠습니다.
책임추적성 = 누가 어떤 행위를 했는지 추적할 수 있는 성질책임추적성을 확보하려면 로그가 필요합니다.
하지만 로그만 있다고 충분하지 않습니다.
다음 조건이 필요합니다.
| 조건 | 이유 |
|---|---|
| 개별 계정 사용 | 사용자별 행위 구분 |
| 공유 계정 제한 | 실제 행위자 식별 |
| 관리자 작업 기록 | 고위험 작업 추적 |
| 시간 동기화 | 정확한 시점 분석 |
| 로그 접근통제 | 로그 삭제·변조 방지 |
| 로그 보관 | 사고 이후 분석 가능 |
책임추적성을 확보하기 위해 사용자별 개별 계정을 부여하고, 공유 계정 사용을 제한하며, 접속·권한 사용·관리자 작업 로그를 기록해야 한다. 또한 로그의 시간 동기화, 접근통제, 무결성 보호를 적용하여 사고 발생 시 실제 행위자를 추적할 수 있어야 한다.학습 내용 연결 정리
서버에서 파일 접근이 발생하는 전체 흐름은 다음과 같습니다.
1. 사용자가 계정으로 로그인한다.
2. 운영체제가 사용자를 인증한다.
3. 사용자가 파일에 접근한다.
4. 운영체제가 파일 권한과 접근통제 정책을 확인한다.
5. 허용되면 접근을 허용하고, 거부되면 차단한다.
6. 접속, 권한 사용, 파일 접근 기록이 로그에 남는다.
7. 보안 담당자는 로그를 분석해 이상 행위를 탐지한다.여기서 시험에 나오는 핵심은 다음입니다.
| 단계 | 시험 키워드 |
|---|---|
| 로그인 | 인증, 계정 관리 |
| 파일 접근 | rwx, chmod, ACL |
| 권한 판단 | 접근통제, 최소권한 |
| 고위험 권한 | root, sudo, SUID |
| 기록 | 로그, 책임추적성 |
| 분석 | 침해사고 대응, 공격 경로 추적 |
시험에 나오는 포인트
이번 절 내용 중 필기와 실기에 자주 나오는 포인트입니다.
| 주제 | 시험 포인트 |
|---|---|
| rwx | read, write, execute |
| 권한 대상 | 소유자, 그룹, 기타 사용자 |
| chmod 755 | 소유자 rwx, 그룹 r-x, 기타 r-x |
| chmod 644 | 소유자 rw-, 그룹 r--, 기타 r-- |
| chmod 777 | 모든 사용자에게 모든 권한, 위험 |
| SUID | 파일 소유자 권한으로 실행, 권한 상승 위험 |
| 접근통제 | 주체의 객체 접근을 권한에 따라 허용·거부 |
| DAC | 소유자가 권한 설정 |
| MAC | 시스템 정책과 보안 등급으로 강제 통제 |
| RBAC | 역할에 따라 권한 부여 |
| ACL | 사용자·그룹별 접근 권한 목록 |
| 로그 | 침해사고 분석, 책임추적성 확보 |
| 인증 로그 | 로그인 성공·실패 확인 |
| 시스템 로그 | 서비스, 오류, 시스템 이벤트 |
| 시간 동기화 | 로그 분석 정확성 확보 |
| 중앙 로그 관리 | 로그 변조·삭제 대응에 유리 |
필기형 문제풀이
문제 1
리눅스 파일 권한 rwx의 의미로 올바른 것은?
A. 읽기, 쓰기, 접근
B. 읽기, 쓰기, 소유자 변경
C. 읽기, 쓰기, 권한 변경
D. 읽기, 쓰기, 실행
rwx는 read, write, execute입니다.
문제 2
chmod 755 file의 의미로 가장 적절한 것은?
A. 모든 사용자의 모든 권한 제거
B. 소유자는 rwx, 그룹과 기타 사용자는 r-x 권한 부여
C. 소유자만 읽기 가능
D. 기타 사용자에게만 쓰기 권한 부여
755는 rwxr-xr-x입니다.
문제 3
777 권한이 보안상 위험한 이유는?
A. 소유자에게만 읽기 권한이 부여되기 때문에
B. 그룹 권한이 모두 제거되기 때문에
C. 모든 사용자에게 읽기, 쓰기, 실행 권한이 부여되기 때문에
D. 실행 권한 없이 쓰기 권한만 부여되기 때문에
777은 모든 사용자에게 모든 권한을 부여하므로 보안상 위험합니다.
문제 4
파일 권한을 변경하는 명령으로 적절한 것은?
A. chown
B. chgrp
C. umask
D. chmod
chmod는 파일 권한을 변경하는 명령입니다.
chown은 소유자 변경입니다.
문제 5
SUID에 대한 설명으로 적절한 것은?
A. 실행 파일이 실행한 사용자의 일반 권한으로만 실행되게 한다
B. 실행 파일이 파일 소유자의 권한으로 실행되게 할 수 있다
C. 디렉터리 안의 새 파일이 항상 root 그룹을 상속하게 한다
D. 공유 디렉터리에서 타인의 파일 삭제만 제한한다
SUID는 파일 소유자 권한으로 실행되게 하는 특수 권한입니다.
불필요한 SUID는 권한 상승 위험이 있습니다.
문제 6
접근통제의 설명으로 가장 적절한 것은?
A. 사용자의 신원을 확인하는 인증 기능
B. 데이터를 암호문으로 변환하는 기능
C. 주체가 객체에 접근하는 것을 권한에 따라 허용하거나 차단하는 기능
D. 시스템 이벤트를 기록하는 감사 기능
접근통제는 주체의 객체 접근을 권한에 따라 통제하는 기능입니다.
문제 7
DAC의 특징으로 적절한 것은?
A. 객체 소유자가 접근 권한을 설정할 수 있다
B. 시스템 보안 등급만으로 강제 통제한다
C. 역할에만 권한을 부여한다
D. 중앙 정책에 따라 사용자의 임의 권한 변경을 금지한다
DAC는 객체 소유자가 권한을 임의로 설정할 수 있는 방식입니다.
문제 8
MAC의 특징으로 적절한 것은?
A. 객체 소유자가 임의로 권한을 배분한다
B. 역할에 따라 권한을 묶어 부여한다
C. 사용자 요청이 있으면 소유자가 권한을 자유롭게 변경한다
D. 중앙 보안 정책이나 보안 등급에 따라 접근을 강제 통제한다
MAC는 시스템 정책과 보안 등급에 따라 접근을 강제로 통제합니다.
문제 9
RBAC의 설명으로 적절한 것은?
A. 시스템 보안 등급에 따라 강제 통제한다
B. 역할에 권한을 부여하고 사용자를 역할에 배정한다
C. 객체 소유자가 접근 권한을 직접 부여한다
D. 사용자별 ACL만으로 모든 권한을 관리한다
RBAC는 역할 기반 접근통제입니다.
문제 10
로그 분석이 보안에서 중요한 이유로 적절한 것은?
A. 인증 실패와 권한 사용 이력을 확인하지 않기 위해
B. 침해사고 원인 분석, 공격 경로 추적, 책임추적성 확보를 위해
C. 파일 권한을 자동으로 777로 변경하기 위해
D. 접속 기록을 보관하지 않고 즉시 폐기하기 위해
로그는 침해사고 분석과 책임추적성 확보의 핵심 근거입니다.
실기형 답안 훈련
실기 예제 1
문제: 리눅스 파일 권한 777이 보안상 위험한 이유를 설명하시오.
좋은 답안
777 권한은 소유자, 그룹, 기타 사용자 모두에게 읽기·쓰기·실행 권한을 부여한다. 따라서 권한 없는 사용자도 파일을 수정하거나 실행할 수 있어 악성코드 실행, 파일 변조, 정보 유출 등의 위험이 증가한다.채점 포인트
| 요소 | 포함 여부 |
|---|---|
| 모든 사용자 | 필요 |
| 읽기·쓰기·실행 | 필요 |
| 권한 없는 수정·실행 | 중요 |
| 악성코드, 변조, 유출 위험 | 좋음 |
실기 예제 2
문제: DAC, MAC, RBAC의 차이를 설명하시오.
좋은 답안
DAC는 객체 소유자가 접근 권한을 임의로 설정할 수 있는 방식이다. MAC는 시스템의 보안 정책이나 보안 등급에 따라 접근을 강제로 통제하는 방식이며, RBAC는 직무나 역할에 권한을 부여하고 사용자를 역할에 배정하여 접근을 통제하는 방식이다.채점 포인트
| 요소 | 포함 여부 |
|---|---|
| DAC = 소유자 기준 | 필요 |
| MAC = 정책·등급 기준 | 필요 |
| RBAC = 역할 기준 | 필요 |
| 차이를 구분해 설명 | 중요 |
실기 예제 3
문제: 로그 분석이 침해사고 대응에서 중요한 이유를 설명하시오.
좋은 답안
로그는 사용자 접속, 인증 실패, 권한 사용, 파일 접근, 서비스 오류 등 시스템 행위를 기록한다. 침해사고 발생 시 공격 시점, 공격 경로, 피해 범위, 행위 주체를 분석하고 재발 방지 대책을 수립하는 데 활용된다.채점 포인트
| 요소 | 포함 여부 |
|---|---|
| 접속·인증 실패·권한 사용 기록 | 좋음 |
| 공격 시점 분석 | 중요 |
| 공격 경로 추적 | 중요 |
| 피해 범위 파악 | 중요 |
| 재발 방지 | 좋음 |
실기 예제 4
문제: 로그 관리 시 고려해야 할 보안 대책을 설명하시오.
좋은 답안
로그는 침해사고 분석의 핵심 근거이므로 일정 기간 보관하고, 접근통제와 무결성 보호를 적용해야 한다. 또한 시스템 간 시간 동기화를 수행하고, 중앙 로그 서버를 통해 로그를 통합 관리하여 삭제나 변조에 대비해야 한다.채점 포인트
| 요소 | 포함 여부 |
|---|---|
| 보관 기간 | 필요 |
| 접근통제 | 중요 |
| 무결성 보호 | 중요 |
| 시간 동기화 | 중요 |
| 중앙 로그 관리 | 좋음 |
핵심 요약
| 개념 | 한 줄 요약 |
|---|---|
| 파일 권한 | 사용자가 파일에 대해 할 수 있는 행위를 정한 것 |
| r | read, 읽기 |
| w | write, 쓰기 |
| x | execute, 실행 |
| 소유자 | 파일을 소유한 사용자 |
| 그룹 | 파일과 연결된 사용자 그룹 |
| 기타 사용자 | 소유자도 그룹도 아닌 사용자 |
| chmod | 파일 권한 변경 명령 |
| 755 | 소유자 rwx, 그룹 r-x, 기타 r-x |
| 644 | 소유자 rw-, 그룹 r--, 기타 r-- |
| 777 | 모두에게 rwx, 보안상 위험 |
| SUID | 파일 소유자 권한으로 실행되는 특수 권한 |
| 접근통제 | 주체의 객체 접근을 권한에 따라 통제 |
| DAC | 소유자가 권한을 정함 |
| MAC | 정책과 보안 등급이 강제함 |
| RBAC | 역할에 따라 권한을 부여함 |
| ACL | 사용자·그룹별 접근 권한 목록 |
| 로그 | 시스템 행위 기록 |
| 로그 분석 | 침해사고 원인, 경로, 피해 범위 파악 |
| 시간 동기화 | 로그 분석 정확성 확보 |
| 책임추적성 | 누가 어떤 행위를 했는지 추적 가능 |
필수 암기 문장
아래 문장은 필기와 실기 모두에 중요합니다.
rwx는 읽기, 쓰기, 실행 권한을 의미한다.
리눅스 파일 권한은 소유자, 그룹, 기타 사용자로 나누어 부여된다.
chmod 755는 소유자에게 rwx, 그룹과 기타 사용자에게 r-x 권한을 부여한다.
777 권한은 모든 사용자에게 읽기, 쓰기, 실행 권한을 부여하므로 보안상 위험하다.
SUID는 실행 파일이 파일 소유자의 권한으로 실행되게 하는 특수 권한이며, 오남용 시 권한 상승 위험이 있다.
접근통제는 주체가 객체에 접근하는 것을 권한에 따라 허용하거나 차단하는 보안 기능이다.
DAC는 소유자가 권한을 정하고, MAC는 보안 정책이 강제하며, RBAC는 역할에 따라 권한을 부여한다.
로그는 침해사고 발생 시 원인 분석, 공격 경로 추적, 피해 범위 파악, 책임추적성 확보에 활용된다.
로그 관리를 위해 접근통제, 무결성 보호, 시간 동기화, 중앙 집중 관리가 필요하다.연습 과제
다음 문제에 답한다.
계산 문제가 포함되어 있으므로 직접 풀어보아야 한다.
A. 단답형
1. rwx의 의미를 쓰시오.
2. 리눅스 파일 권한에서 소유자, 그룹, 기타 사용자는 각각 무엇을 의미하는가?
3. chmod 755의 의미를 설명하시오.
4. chmod 644의 의미를 설명하시오.
5. 777 권한이 보안상 위험한 이유를 설명하시오.
6. SUID가 위험할 수 있는 이유를 설명하시오.
7. 접근통제란 무엇인가?
8. DAC란 무엇인가?
9. MAC란 무엇인가?
10. RBAC란 무엇인가?
11. ACL이란 무엇인가?
12. 로그 분석이 중요한 이유를 설명하시오.
13. 로그인 실패가 짧은 시간에 반복되면 어떤 공격을 의심할 수 있는가?
14. 로그 관리 시 시간 동기화가 필요한 이유는 무엇인가?B. 권한 해석 문제
다음 권한을 해석한다.
15. -rw-r--r--
16. -rwxr-xr-x
17. -rw-------
18. drwxr-x---15. 일반 파일이며, 소유자는 읽기·쓰기 가능, 그룹과 기타 사용자는 읽기만 가능하다.C. 실기형 답안 작성
다음 3문제는 2~3문장으로 작성한다.
19. 리눅스 파일 권한 777이 보안상 위험한 이유를 설명하시오.
20. DAC, MAC, RBAC의 차이를 설명하시오.
21. 로그 분석이 침해사고 대응에서 중요한 이유를 설명하시오.보강 개념: 특수 권한 4755, 2775, 1777
| 권한 예시 | 의미 | 보안 관점 |
|---|---|---|
4755 | 일반 755에 SUID가 추가된 실행 파일 | 실행자가 누구든 파일 소유자 권한으로 실행되므로 root 소유 SUID 파일은 권한 상승 위험이 크다. |
2775 | 일반 775에 SGID가 추가된 디렉터리 또는 실행 파일 | 디렉터리에서는 새 파일이 상위 디렉터리의 그룹을 상속해 협업에 유용하지만 그룹 권한 관리가 필요하다. |
1777 | 일반 777에 Sticky Bit가 추가된 디렉터리 | /tmp처럼 모두 쓰기 가능하되 파일 소유자만 삭제하도록 제한한다. Sticky Bit가 없으면 타인 파일 삭제 위험이 크다. |
특수 권한 점검 시에는 find / -perm -4000, find / -perm -2000, find / -perm -1000처럼 SUID, SGID, Sticky Bit 대상을 분리해 확인하고, 불필요한 root 소유 SUID 파일은 제거하거나 권한을 낮춘다.
연습 과제 정답 및 해설
권한 해석: -rw-r--r--는 일반 파일, 소유자 읽기·쓰기, 그룹과 기타 읽기만 가능하다. -rwxr-xr-x는 일반 실행 파일, 소유자 모든 권한, 그룹과 기타 읽기·실행 가능이다. -rw-------는 소유자만 읽기·쓰기 가능하다. drwxr-x---는 디렉터리, 소유자 모든 권한, 그룹 읽기·실행 가능, 기타 접근 불가이다.
단답형 핵심 키워드: rwx, 소유자·그룹·기타, 755, 644, 777 위험, SUID 권한 상승, 접근통제, DAC/MAC/RBAC, ACL, 로그 분석, 시간 동기화가 포함되어야 한다.
실기형 채점 기준: 777 위험 답안은 무단 수정·삭제·악성 파일 실행 가능성을 포함한다. DAC/MAC/RBAC 비교는 권한 결정 주체를 기준으로 구분한다. 로그 분석 답안은 원인 분석, 공격 경로, 피해 범위, 책임추적성을 포함한다.