로그 이상징후 점검

log triage

로그 이상징후는 행위, 시간, 권한, 흔적을 묶어 본다

로그 한 줄만 외우기보다 반복 패턴과 평소 기준의 차이를 본다. 같은 사건도 빈도, 시간, 권한 수준에 따라 위험도가 달라진다.

누가

계정, IP, 국가, User-Agent가 평소와 다른지 본다.

무엇을

로그인, 관리자 접근, 중요 파일 접근, 서비스 중지를 확인한다.

얼마나

짧은 시간 반복, 대량 오류, 업무시간 외 발생을 묶어 본다.

징후

가능한 의미

우선 확인

대응 방향

로그인 실패 반복

무차별 대입 가능성

계정, IP, 실패 횟수, 시간 간격

계정 잠금, IP 차단, 추가 인증 확인

다른 국가 로그인

계정 탈취 가능성

최근 정상 접속 위치와 장치 정보

세션 종료, 비밀번호 변경, MFA 점검

권한 상승 행위

오남용 또는 침해 후 이동

권한 변경자, 대상 계정, 승인 이력

권한 회수와 변경 경로 조사

로그 삭제 흔적

침입 흔적 은폐 가능성

삭제 시각, 삭제 권한, 원격 접속 기록

원본 보존, 중앙 로그 대조, 포렌식 전환

반복성

짧은 시간에 같은 실패가 몰리면 공격 자동화 가능성이 높다.

평소 기준

업무시간, 접속 국가, 장치 지문이 평소와 다른지 비교한다.

권한 수준

관리자 권한과 중요 파일 접근은 작은 징후도 우선순위가 높다.

흔적 은폐

로그 삭제나 서비스 중지는 단순 오류보다 침해 가능성을 더 강하게 본다.

시험식 연결

로그인 실패 반복은 무차별 대입 또는 사전 공격, 평소와 다른 관리자 로그인은 비정상 접근 가능성으로 연결한다.