[네트워크 기초] 네트워크 로그와 분석

네트워크에서 로그와 분석이란 발생한 행위를 기록하고, 이상 행위를 분석하는 개념이다.

로그 분석은 시스템, 애플리케이션, 네트워크 등에서 발생하는 모든 이벤트 기록(로그)을 수집, 분석하여 문제의 근본 원인을 신속히 파악하고, 보안 위협을 탐지하며, 사용자 행동을 이해하여 서비스 성능과 비즈니스 성과를 최적화하는 필수 과정이다. 

아래는 로그 분석의 주요 중요성 및 목적이다.

1. 신속한 문제 해결 및 장애 예방
2. 사고 대응 및 보안 모니터링
3. 애플리케이션 성능 및 부하 테스트
4. 사전 예방적 모니터링 및 알림
5. 규정 준수

 

네트워크에 대한 포스팅이니 네트워크 로그에 대해서 다뤄보겠다.

네트워크 로그의 종류

네트워크 로그는 네트워크 장비나 보안 장비에서 발생한 통신 기록을 의미한다.
로그를 통해 어떤 장비가 어디로 통신했는지, 해당 통신이 허용되었는지 차단되었는지, 비정상적인 접근 시도가 있었는지 확인할 수 있다.

대표적인 네트워크 로그는 다음이 있을 수 있다.

방화벽 로그
VPN 접속 로그
DNS 로그
프록시 로그
WAF 로그
IDS/IPS 로그
로드밸런서 로그
VPC Flow Logs

 

각 로그는 바라보는 관점이 다르다.
예를 들어 방화벽 로그는 출발지와 목적지, 포트, 허용/차단 여부를 중심으로 보고, DNS 로그는 사용자가 어떤 도메인을 조회했는지 확인하는 데 사용된다. VPN 로그는 외부 사용자가 언제, 어디서, 어떤 계정으로 내부망에 접속했는지 확인할 수 있다.

---

 

로그 분석에서 중요한 관점

로그를 분석할 때는 단순히 "허용되었는지, 차단되었는지"만 보는 것이 아니라, 통신의 맥락을 함께 봐야 한다.

예를 들어 다음 질문을 기준으로 분석할 수 있다. 

누가 통신했는가?
어디에서 어디로 통신했는가?
어떤 포트와 프로토콜을 사용했는가?
업무상 필요한 통신인가?
평소와 다른 시간대에 발생했는가?
반복적으로 시도되고 있는가?
차단되어야 할 통신이 허용되고 있지는 않은가?
여러 장비에서 같은 목적지로 통신하고 있지는 않은가?

 

같은 로그라도 상황에 따라 의미가 달라질 수 있다.
예를 들어 업무망에서 서버망으로 443 포트 접근이 발생했다면 정상적인 웹 기반 업무 시스템 접근일 수 있다. 하지만 게스트망에서 DB망으로 3306 포트 접근이 발생했다면 비정상적인 접근 시도로 볼 수 있다.

따라서 로그 분석은 단순한 이벤트 확인이 아니라, 네트워크 구조와 업무 흐름을 이해한 상태에서 판단해야 한다.

---

로그 분석 예시

모든 로그 데이터는 사용하는 장비에 따라서 차이가 있을 수 있다. 아래의 각 로그들은 예를 들어 가정해본 것이다.

1. 방화벽 로그 분석

src=10.10.50.23 dst=10.10.30.10 dport=3306 action=deny

 

이 로그는 10.10.50.23 장비가 10.10.30.10의 3306 포트로 접근하려 했지만 차단되었다는 의미이다.

만약 네트워크 구성이 다음과 같다면:

10.10.50.0/24 = 게스트망
10.10.30.0/24 = DB망

 

게스트망에서 DB망으로 접근하려는 시도이므로 정상적인 업무 흐름으로 보기 어렵다.
이 경우 해당 단말이 악성코드에 감염되었는지, 포트 스캔을 수행했는지, 비인가 사용자가 내부 시스템을 탐색하고 있는지 확인할 필요가 있다.

 

방화벽 로그는 다양한 유형의 데이터를 포함하며, 분석을 위해서는 로그별 핵심 메타데이터를 파악하는 것이 중요하다.

 

접근 로그(Traffic Log)는 네트워크에서 허용되거나 차단된 세션 기록을 의미한다. 어떤 출발지 IP와 포트에서 어떤 목적지 IP와 포트로 통신했는지, 사용한 프로토콜은 무엇인지, 해당 통신이 허용되었는지 차단되었는지 확인할 수 있다. 또한 전송된 바이트 수를 통해 트래픽 규모도 파악할 수 있다.

 

이벤트 로그(System Log)는 방화벽 정책 변경, 시스템 오류, 장비 상태 변화처럼 장비 자체에서 발생한 이벤트를 기록한다. 이를 통해 누가 정책을 변경했는지, 어떤 설정이 바뀌었는지, 장비에 오류가 발생했는지 확인할 수 있다.

 

보안 로그(Threat Log)는 IDS/IPS 탐지, 악성코드 차단, 공격 시도 탐지처럼 보안 기능에 의해 기록되는 로그이다. 위협 이름, 위협 유형, 심각도, 외부 위협 점수 등을 확인하여 실제 공격 가능성이 있는 이벤트인지 판단하는 데 사용된다.

 

VPN 연결 로그는 원격 사용자가 VPN을 통해 접속한 기록이다. 사용자 ID, 터널 이름, 접속 시작 및 종료 시간, 인증 방식 등을 확인할 수 있다. 이를 통해 누가 언제 어디서 VPN에 접속했는지 파악하고, 비정상 시간대 접속이나 의심스러운 외부 IP 접속 여부를 분석할 수 있다.

 

정리하면, 접근 로그는 트래픽 흐름, 이벤트 로그는 장비 상태와 설정 변경, 보안 로그는 위협 탐지, VPN 연결 로그는 원격 접속 내역을 확인하는 데 사용된다.

2. VPN 로그 분석

user=yubyeong
src_ip=185.23.x.x
time=03:12
result=success

 

이 로그는 yubyeong 계정이 새벽 3시 12분에 외부 IP에서 VPN 접속에 성공했다는 의미이다.

만약 해당 사용자가 평소 국내에서 업무 시간에만 접속하던 사용자라면 계정 탈취 가능성을 의심할 수 있다.
이 경우 다음 항목을 함께 확인해야 한다.

사용자 본인 접속 여부 확인
MFA 성공 여부 확인
접속 후 내부 시스템 접근 내역 확인
동일 계정의 다른 로그인 실패 기록 확인
비밀번호 변경 또는 계정 잠금 필요 여부 판단

 

VPN 로그는 외부에서 내부망으로 들어오는 접점이기 때문에 보안 모니터링에서 매우 중요하다.

3. DNS 로그 분석

client=10.10.20.15
query=yubyeong123.example-domain.com
result=203.0.113.50

 

DNS 로그는 사용자가 어떤 도메인을 조회했는지 보여준다.

일반적인 웹사이트 도메인이 아니라 랜덤한 문자열 형태의 도메인을 반복적으로 조회한다면 악성코드의 C2 통신이나 위협 행위를 의심할 수 있다.

DNS 로그에서 주의해서 볼 만한 패턴은 다음과 같다.

랜덤 문자열 형태의 도메인 반복 조회
짧은 시간 동안 대량의 DNS 요청
악성 도메인 또는 피싱 도메인 조회
업무와 무관한 해외 도메인 접속
동일 도메인을 여러 내부 PC가 반복 조회

 

DNS는 대부분의 네트워크 통신 전에 발생하는 경우가 많기 때문에, 보안 위협의 초기 흔적을 찾는 데 유용하다.

4. 프록시 로그 분석

user=yubyeong
src=10.10.10.25
url=http://malicious-example.com/download.exe
action=blocked

 

프록시 로그는 사용자가 어떤 웹사이트에 접속했는지, 어떤 파일을 다운로드하려 했는지 확인할 수 있다.

위 로그는 yubyeong 사용자가 악성으로 의심되는 사이트에서 실행 파일을 다운로드하려 했지만 차단된 상황이다.

프록시 로그에서는 다음과 같은 항목을 주의해서 볼 수 있다.

악성 URL 접속 시도
피싱 사이트 접속
실행 파일 다운로드
대량 파일 다운로드
업무와 무관한 사이트 반복 접속
차단된 사이트에 대한 반복 접근

 

프록시 로그는 사용자 행위 분석과 웹 기반 위협 탐지에 유용하다.

---

네트워크 로그 분석 절차

네트워크 로그를 분석할 때는 다음 순서로 접근하면 좋다.

1. 이벤트 발생 시간 확인
2. 출발지 IP와 목적지 IP 확인
3. 포트와 프로토콜 확인
4. 허용 또는 차단 여부 확인
5. 해당 통신이 정상 업무 흐름인지 판단
6. 동일 출발지 또는 목적지의 반복 이벤트 확인
7. 관련 로그와 교차 분석
8. 필요 시 차단, 격리, 계정 조치 수행

 

예를 들어 방화벽에서 내부 PC가 여러 서버의 445(SMB: Windows에서 사용하는 네트워크 파일 공유 프로토콜), 3389(RDP: 원격 데스크톱 프로토콜) 포트로 접근하는 로그가 반복된다면 단순 차단 로그로 끝내면 안 된다.
EDR 로그, NAC 로그, Windows 이벤트 로그를 함께 확인하여 내부 감염 단말인지 판단해야 한다.

로그 분석은 하나의 로그만 보는 것이 아니라 여러 로그를 연결해서 보는 과정이다.

---

상관분석의 중요성

상관분석은 여러 로그를 함께 연결해서 의미 있는 보안 이벤트를 찾는 과정이다.

예를 들어 하나의 VPN 로그인 성공 로그만 보면 정상 접속처럼 보일 수 있다.
하지만 다음 로그들이 함께 나타난다면 위험도가 높아진다.

새벽 시간대 해외 IP에서 VPN 로그인 성공
이후 내부 서버 여러 대에 RDP 접속 시도
방화벽에서 다수의 차단 로그 발생
EDR(엔드포인트 탐지 및 대응)에서 의심스러운 PowerShell 실행 탐지

 

이처럼 여러 로그를 연결하면 단일 이벤트로는 보이지 않던 공격 흐름을 파악할 수 있다.

보안관제에서는 이러한 상관분석을 위해 SIEM을 사용한다.
SIEM은 방화벽, VPN, DNS, EDR, 서버, 클라우드 로그를 한곳에 모아 탐지 룰을 적용하고, 이상 행위가 발생하면 알림을 생성한다. SIEM은 필수적인 보안 솔루션이며 이는 사고 대응 효율성을 크게 향상시키며, 조직의 IT 환경 내에서 보안 이벤트 및 사고를 식별하고 해결하는 속도를 획기적으로 높여준다. 다음 포스팅에 자세히 다뤄보겠다.

방화벽 로그
VPN 로그
DNS 로그
EDR 로그
서버 로그
클라우드 로그
  ↓
SIEM
  ↓
상관분석
  ↓
보안 이벤트 탐지

---

정리

네트워크 로그와 분석은 네트워크에서 발생한 행위를 기록하고, 그 기록을 바탕으로 장애 원인과 보안 위협을 파악하는 과정이다.

네트워크 로그를 통해 다음과 같은 내용을 확인할 수 있다.

누가 어디로 통신했는지
어떤 포트와 프로토콜을 사용했는지
통신이 허용되었는지 차단되었는지
비정상적인 접근 시도가 있었는지
공격이 어느 경로로 확산되었는지

 

로그 분석의 핵심은 단순히 로그를 많이 모으는 것이 아니라, 네트워크 구조와 업무 흐름을 이해한 상태에서 의미 있는 이벤트를 찾아내는 것이다.

마지막으로 한 문장으로 정리하면 다음과 같다.

네트워크 로그 분석은 방화벽, VPN, DNS, 프록시, 보안 장비 등에서 발생한 통신 기록을 바탕으로 정상과 이상 행위를 구분하고, 장애 대응과 보안 위협 탐지에 활용하는 과정이다.