Security Engineer · 문제풀이

시스템·네트워크 로그형 답안 분해도

로그형 문제에서 시간, 출발지, 목적지, 계정, 행위, 결과값을 분해해 공격 판단과 대응 문장으로 바꾸는 방법을 정리한다.

01

필드 분리

로그 한 줄을 시간, 주체, 대상, 행위, 성공 여부로 나눈다.

parse
02

패턴 비교

실패 반복, 지역 변화, 포트 스캔, 비정상 시간대 접속을 찾는다.

pattern
03

공격명 연결

단서가 충분하면 brute force, scan, spoofing, hijacking 같은 이름을 붙인다.

classify
04

대응 작성

차단, 계정 잠금, 로그 보존, 영향 범위 확인, 재발방지를 순서대로 적는다.

answer
다수 실패
무차별 대입 의심 짧은 시간의 인증 실패와 이후 성공 여부를 함께 본다.
auth log
순차 포트
스캔 의심 한 출발지에서 여러 목적지 포트로 연결 시도가 반복된다.
network log
권한 변경
계정 탈취 또는 내부자 위험 업무 시간, 승인 이력, 변경 대상 권한을 확인한다.
audit log

채점 안정화

근거 먼저 공격명만 쓰지 않고 로그 필드 근거를 붙인다.
추가 확인 단서가 부족하면 확인할 로그와 시스템을 제시한다.
보존 침해 가능성이 있으면 원본 로그 보존을 포함한다.