N-13(중) 정책에 따른 로깅 설정

※ 해당 가이드는 2017년 기준입니다.

주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.

주요정보통신기반시설 취약점 네트워크 장비 점검 항목

■ 취약점 개요

○ 점검개요 : 정책에 따른 로깅 설정이 이루어지고 있는지 점검

○ 점검목적 : 로그 정보를 통해 장비 상태, 서비스 정상 여부 파악 및 보안사고 발생 시 원인파악 및 각종 침해 사실에 대한 확인

○ 보안위협 : 로깅 설정이 되어 있지 않을 경우 원인 규명이 어려우며, 법적 대응을 위한 충분한 증거로 사용할 수 없는 상황이 발생

○ 점검대상 : CISCO, Juniper 등

○ 판단기준

- 양호 : 로그 기록 정책에 따라 로깅 설정이 되어있는 경우

- 취약 : 로그 기록 정책 미 수립 또는 로깅 설정이 미흡한 경우

 

■ 점검방법

○ 장비별 점검방법 예시

CISCO	Router> enable Router# show logging 로그에 대한 정보 확인
Juniper	user@juniper> configure [edit] user@juniper# show log messages 로그에 대한 정보 확인

 

■ 조치방안

○ 라우터에 기본적으로 설정된 로그 파일 설정을 변경하지 않으면 로깅을 효율적으로 사용할 수 없으므로 크게 6가지로 이루어진 아래의 방법을 활용

Step 1

ㆍ콘솔 로깅 콘솔 로그 메시지는 오직 콘솔 포트에서만 보이므로 이 로그를 보기 위해서는 반드시 콘솔 포트에 연결   ㆍBuffered 로깅 Buffered 로깅은 로그를 라우터의 RAM에 저장하는데 이 버퍼가 가득 차게 되면 오래된 로그는 자동으로 새로운 로그에 의해 대체   ㆍTerminal 로깅 Terminal monitor 명령을 사용하여 로깅을 설정하면 라우터에서 발생하는 로그 메시지를 VTY terminal에 전송   ㆍSyslog 시스코 라우터는 라우터의 로그 메시지가 외부의 syslog 서버에 저장되도록 설정 가능   ㆍSNMP traps SNMP trap이 설정되면 SNMP는 특별한 상황을 외부의 SNMP 서버에 전송하도록 설정 가능   ㆍACL 침입 로깅 표준 또는, 확장된 액세스 리스트를 설정할 때 특정한 룰에 매칭하였을 경우 해당 패킷 정보를 로그에 남기도록 설정할 수 있는데, 이는 액세스 리스트 룰의 끝에 로그나 로그 인풋을 추가(로그 인풋은 로그와는 달리 인터페이스 정보도 함께 남기게 되므로 어떤 인터페이스를 통해 로그가 남았는지 파악 가능)

 

■ 조치 시 영향

일반적인 경우 무관