ISMS-P 2.9.5 로그 및 접속기록 점검 High Risk

로그 및 접속기록 점검이 수행되고 있는가?

ISMS-P 2.9.5는 로그 및 접속기록에 대해 정기적으로 점검하여 이상행위 여부를 분석하도록 요구합니다. 클라우드 환경에서는 CloudTrail 전체 리전 수집과 정기 점검 자동화를 통해 이상행위를 분석해야 합니다.

📋

ISMS-P 인증 기준

ISMS-P 2.9.5 로그 및 접속기록 점검 요구사항

2.9.5

로그 및 접속기록 점검

인증 기준 정의

"서버, 네트워크시스템, 보안시스템 등에서 생성된 로그 및 접속기록은 정기적으로 점검하고 이상행위 여부를 확인하여야 하며, 로그기록은 별도의 저장장치에 백업·보관하여야 한다."

📌 클라우드 환경 적용 포인트

CloudTrail Athena Query S3 Object Lock CloudWatch Logs

CloudTrail 전체 리전 + 조직 활성화
Athena로 정기 로그 점검 자동화
S3 Object Lock으로 로그 변조 방지
EventBridge로 이상행위 탐지 자동화

⚠️ 미준수 시 심사 영향

결함: CloudTrail 비활성화
결함: 일부 리전만 로그 수집
결함: 정기 점검 미수행
결함: 로그 무결성 검증 미설정
결함: 보관 기간 미준수 (1년 미만)

📄 KISA ISMS-P 인증기준 안내서 ↗ ☁️ Athena CloudTrail 분석 ↗

📰

실제 보안 사고 사례

로그 점검 미흡으로 발생한 실제 사고

2019.03 Capital One

1억 명 이상 고객 데이터 유출

AWS 환경에서 SSRF 공격을 통해 IAM 자격 증명 탈취. CloudTrail 로그 정기 점검 미수행으로 수개월간 이상 API 호출 탐지 못함.

💡 교훈: CloudTrail 로그 자동 분석, 이상 API 호출 실시간 탐지 필수

출처: Bank Info Security ↗

2020.12 SolarWinds

18,000개 조직 공급망 침해

SolarWinds Orion에 악성코드 삽입, 9개월간 탐지 못함. 로그 정기 점검 미수행, 이상행위 분석 체계 부재로 미국 정부 기관 포함 대규모 침해.

💡 교훈: 로그 정기 점검 + 이상행위 자동 분석 체계 구축 필수

출처: CISA ↗

⚡

클라우드 환경의 위험

불완전한 로그 설정으로 인한 위험

❌ AS-IS: 불완전한 로그 설정

# CloudTrail (문제)
resource "aws_cloudtrail" "main" {
  name           = "main-trail"
  s3_bucket_name = aws_s3_bucket.logs.id
  # is_multi_region_trail 미설정 → 단일 리전만
  # enable_log_file_validation 미설정 → 변조 탐지 불가
}

# S3 (문제)
resource "aws_s3_bucket" "logs" {
  bucket = "cloudtrail-logs"
  # object_lock 미설정 → 로그 삭제 가능
  # lifecycle 미설정 → 보관 기간 관리 불가
}

단일 리전만 수집, 무결성 검증 없음, Object Lock 없어 로그 변조/삭제 위험

✓ TO-BE: 완전한 로그 관리

# CloudTrail (권장)
resource "aws_cloudtrail" "org" {
  is_multi_region_trail      = true   # 전체 리전
  is_organization_trail      = true   # 조직 전체
  enable_log_file_validation = true   # 무결성 검증
}

# S3 (권장)
resource "aws_s3_bucket" "logs" {
  object_lock_enabled = true  # 변조 방지
}
# + Lifecycle: 1년 Glacier, 7년 삭제

전체 리전 수집, 무결성 검증, Object Lock으로 로그 완전 보호

ISMS-P 2.9.5 위반 사항

●

정기 점검 미수행 - 로그 분석 체계 없음

●

일부 리전만 수집 - 전체 리전 로그 누락

●

무결성 검증 미설정 - 로그 변조 탐지 불가

●

백업 보관 부재 - Object Lock 미설정

🔍

사전 탐지 방안

Terraform Plan 단계에서 OPA/Rego 정책으로 로그 점검 설정 검증

로그 수집/점검 설정 탐지 로직

탐지 대상	판단 조건	탐지 결과
CloudTrail	`aws_cloudtrail` 리소스 미존재	Critical - 로그 수집 비활성화
CloudTrail	`is_multi_region_trail = true`	✓ Pass - 전체 리전 수집
CloudTrail	`is_multi_region_trail = false`	High - 일부 리전 로그 미수집
CloudTrail	`enable_log_file_validation = false`	High - 무결성 검증 미설정
S3 Bucket	`object_lock_enabled = false`	High - 로그 변조/삭제 가능
S3 Bucket	Lifecycle 1년 미만	Medium - 보관 기간 미준수

🔔

사후 대응 방안

CloudTrail Insights, Athena Query로 이상행위 탐지 및 정기 점검 자동화

CloudTrail Runtime 이벤트 대응 로직

탐지 시나리오	탐지 조건	대응 조치
CloudTrail 중지 시도	`StopLogging` API 호출	Critical - 즉시 알림 + 자동 재활성화 Auto
S3 로그 삭제 시도	`DeleteObject` 로그 버킷	Critical - 즉시 알림 + 삭제 차단 Auto
야간 Root 로그인	비업무 시간 Root 콘솔 접속	High - 보안팀 알림 Auto
정기 점검 자동화	매주 Athena 쿼리 실행	Schedule - 이상행위 분석 리포트 Auto
월간 점검 리포트	매월 초 자동 생성	Schedule - ISMS-P 증적 자동 생성 Auto

✓

조치 가이드

CloudTrail + S3 Object Lock + 정기 점검 자동화

권장 설정 - CloudTrail + S3 Object Lock + 정기 점검

log-management.tf

# 1. CloudTrail - 전체 리전 + 무결성 검증
resource "aws_cloudtrail" "organization" {
  name                          = "organization-trail"
  s3_bucket_name                = aws_s3_bucket.log_archive.id
  is_multi_region_trail         = true       # 전체 리전
  is_organization_trail         = true       # 조직 전체
  enable_log_file_validation    = true       # 무결성 검증
  include_global_service_events = true
}

# 2. S3 - Object Lock (로그 변조 방지)
resource "aws_s3_bucket" "log_archive" {
  bucket              = "log-archive-${var.account_id}"
  object_lock_enabled = true
}

resource "aws_s3_bucket_object_lock_configuration" "logs" {
  bucket = aws_s3_bucket.log_archive.id
  rule {
    default_retention {
      mode  = "GOVERNANCE"
      years = 1  # 1년 보관
    }
  }
}

# 3. S3 Lifecycle - 비용 최적화 + 장기 보관
resource "aws_s3_bucket_lifecycle_configuration" "logs" {
  bucket = aws_s3_bucket.log_archive.id
  rule {
    id     = "log-retention"
    status = "Enabled"
    transition {
      days          = 90
      storage_class = "STANDARD_IA"
    }
    transition {
      days          = 365
      storage_class = "GLACIER"
    }
    expiration { days = 2555 }  # 7년 후 삭제
  }
}

# 4. 정기 점검 스케줄 (주간)
resource "aws_cloudwatch_event_rule" "weekly_review" {
  name                = "weekly-log-review"
  schedule_expression = "cron(0 9 ? * MON *)"  # 매주 월요일 9시
}

# 5. CloudTrail 변경 감지 (StopLogging 방지)
resource "aws_cloudwatch_event_rule" "cloudtrail_change" {
  name = "detect-cloudtrail-change"
  event_pattern = jsonencode({
    source = ["aws.cloudtrail"]
    detail = { eventName = ["StopLogging", "DeleteTrail"] }
  })
}

💡 핵심 포인트

전체 리전 + 조직 CloudTrail 활성화
무결성 검증으로 로그 변조 탐지
S3 Object Lock으로 로그 삭제 방지

주간 Athena 쿼리로 정기 점검 자동화
StopLogging 탐지로 로그 비활성화 방지
Lifecycle 정책으로 법적 보관기간 준수

📚 참고 자료

☁️ Athena CloudTrail 분석 ↗ 📘 S3 Object Lock 가이드 ↗ 🔧 CloudTrail 무결성 검증 ↗

📊

리포트 방안

ISMS-P 심사 증적 및 정기 보고

📋 점검 항목별 증적

점검 항목	증적 자료
로그 수집 현황	CloudTrail 활성화 리전, 수집 대상 서비스 목록
정기 점검 이력	주간/월간 Athena 쿼리 결과, 점검 리포트
이상행위 탐지	EventBridge 알림 내역, 대응 조치 기록
백업 및 보관	S3 Object Lock 설정, Lifecycle 정책
무결성 검증	Log File Validation 설정, 검증 로그

🔧 자동화 증적 수집

# CloudTrail 전체 리전 활성화 확인
aws cloudtrail describe-trails \
  --query 'trailList[*].[Name,IsMultiRegionTrail,\
IsOrganizationTrail]'

# 무결성 검증 상태 확인
aws cloudtrail describe-trails \
  --query 'trailList[*].[Name,LogFileValidationEnabled]'

# S3 Object Lock 설정 확인
aws s3api get-object-lock-configuration \
  --bucket log-archive-bucket

⚡

BSG 차별점

기존 도구가 놓치는 점검 영역

기존 도구 방식

탐지 방식: CloudTrail 활성화 여부만 검사
탐지 로직: 전체 리전 활성화 미확인
한계: 무결성 검증 설정 미검사
한계: S3 Object Lock 미확인
한계: 정기 점검 체계 미검증

한계: CloudTrail 활성화 여부만 확인, 실질적 로그 점검 체계 미검증

BSG 접근 방식

탐지 방식: CloudTrail + S3 + 정기점검 통합 검증
사전 탐지: 전체 리전 + 조직 활성화 확인
보안 설정: 무결성 검증 + Object Lock 설정 확인
자동화: 정기 점검 자동화 체계 검증
차별점: 수집 → 점검 → 백업 → 증적 자동화

차별점: 인증 기준 관점에서 수집 → 점검 → 백업 → 증적 전 과정 자동화

← ISMS-P 매핑 목록으로 돌아가기