1. 감사 로그란 무엇인가?
(키워드: 감사 로그, 감사 정책, 보안 이벤트 추적)
감사 로그(Audit Log)는 Windows Server가 시스템 내부에서 발생하는 중요한 활동을 기록하여 보안 위협이나 운영 이슈를 추적하고 분석할 수 있도록 도와주는 기능입니다. 서버에 누가 로그인했는지, 어떤 파일에 접근했는지, 보안 정책을 누가 변경했는지 등의 활동을 기록하며, 이는 보안사고 대응뿐만 아니라 내부 통제 및 감사를 위한 핵심 자료로 활용됩니다.
특히 기업에서는 내부 보안 감사 및 컴플라이언스 규제 준수를 위해 감사 로그를 필수로 설정하고 유지해야 하며, 이상 행위가 발생했을 때 이를 조기에 감지하고 대응할 수 있는 기반이 됩니다.
따라서 감사 로그 설정은 단순한 옵션이 아니라, 보안 운영의 첫걸음이라 할 수 있습니다.
2. 로컬 보안 감사 정책 설정 방법
(키워드: 로컬 감사 정책, 이벤트 뷰어, 감사 범주)
Windows Server에서 로컬 감사 로그를 설정하는 가장 기본적인 방법은 **로컬 보안 정책(Local Security Policy)**을 이용하는 것입니다. 이는 도메인에 가입되지 않은 독립 서버나 테스트 환경에서 주로 사용됩니다.
설정 절차는 다음과 같습니다:
- secpol.msc 실행 (시작 메뉴 → 실행 → secpol.msc 입력)
- [로컬 정책] > [감사 정책] 항목 선택
- 감사할 항목 선택 후 더블 클릭
- 성공/실패 여부 체크 후 [확인]
예를 들어, 로그인 성공/실패를 기록하려면 [로그온 이벤트 감사] 항목을 설정합니다.
파일 접근 기록을 원하면 [객체 접근 감사] 항목을 활성화해야 합니다.
**이벤트 뷰어(Event Viewer)**에서는 설정된 감사 로그가 기록되며,
경로는 [Windows 로그] → [보안] 입니다. 이곳에서 시간, 사용자, 이벤트 ID 등 상세 정보를 확인할 수 있습니다.
로컬 환경에서 시작하더라도 감사 항목의 의미와 이벤트 분석 흐름을 익히는 것이 중요합니다.
추후 도메인 환경으로 확장할 때 큰 도움이 됩니다.
3. 그룹 정책(GPO)으로 도메인 감사 로그 설정하기
(키워드: 도메인 감사 정책, 그룹 정책 개체, 감사 로그 중앙 관리)
조직이 Active Directory(AD)를 기반으로 운영되는 경우, 감사 로그 설정은 **그룹 정책(GPO)**을 통해 중앙에서 통합적으로 관리할 수 있습니다. 이 방식은 수십~수백 대의 서버 및 사용자 계정에 일괄 적용이 가능해 보안 관리 효율성을 극대화할 수 있습니다.
설정 방법 요약:
- 그룹 정책 관리 콘솔(GPMC.msc) 실행
- 도메인 또는 OU 대상에 새 GPO 생성
- [컴퓨터 구성] > [Windows 설정] > [보안 설정] > [로컬 정책] > [감사 정책] 설정
- 원하는 감사 항목을 활성화
- gpupdate /force로 정책 즉시 반영
감사 항목은 다음과 같이 상황에 맞게 설정할 수 있습니다:
| 로그온 이벤트 | 로그인/로그아웃 기록 | 성공+실패 |
| 계정 로그온 | 도메인 인증 활동 | 성공+실패 |
| 객체 접근 | 파일/폴더 접근 감시 | 선택적 설정 |
| 디렉터리 서비스 접근 | AD 수정 내역 | 성공+실패 |
| 정책 변경 | GPO 수정, 감사 설정 변경 | 성공+실패 |
도메인 기반 감사 설정은 단순한 기록이 아니라, 변조 방지, 악성 사용자 추적, 내부 감사에 핵심적인 정보를 제공합니다.
4. 고급 감사 정책(AAP)으로 더 세밀한 제어
(키워드: 고급 감사 정책, 세부 이벤트 추적, GPO 상세 설정)
Windows Server 2008 R2 이후부터는 고급 감사 정책(Advanced Audit Policy) 기능을 통해 기존의 단순 감사 항목보다 더 세분화된 이벤트 추적이 가능해졌습니다.
예를 들어, 로그인 유형별(원격 데스크톱, 대면 로그인 등) 이벤트 분류, 인증 토큰 생성, 권한 상승 시도 등을 각각 따로 감사할 수 있습니다.
설정 위치:
- [컴퓨터 구성] > [Windows 설정] > [보안 설정] > [고급 감사 정책 구성] > [감사 정책]
예시 설정 항목:
| 로그온/로그오프 | 원격 또는 직접 로그인 구분 가능 |
| 파일 시스템 접근 | 특정 경로 또는 확장자 접근 감사 |
| 인증 정책 변경 | 인증 설정이나 SSO 관련 변경 감사 |
| 권한 사용 | 특정 권한 사용 시도 추적 가능 |
이 기능은 특히 **보안이 중요한 서버(예: AD DS, CA, 파일 서버)**에 필수적으로 적용되며,
조직 내 보안 정책 수준에 따라 일반 감사 정책과 병행하여 사용할 수 있습니다.
5. 감사 로그 운영과 분석 시 주의사항
(키워드: 감사 로그 유지 관리, 용량 관리, 분석 팁)
감사 로그는 설정만 한다고 끝이 아닙니다. 운영, 저장, 분석까지 주기적인 관리가 필요합니다.
주요 운영 팁:
- 저장 기간 설정: 이벤트 뷰어에서 로그 저장 기간 또는 용량 제한을 지정할 수 있습니다. 로그가 꽉 차면 오래된 정보가 삭제되므로 충분한 공간 확보와 백업 정책이 중요합니다.
- 필터링 및 알림 설정: Event Viewer에서 특정 이벤트 ID(예: 4625 – 로그인 실패)를 필터링해 확인하거나, 이벤트 발생 시 이메일 알림을 설정할 수 있습니다.
- SIEM 연동: 기업 환경에서는 감사 로그를 Splunk, Sentinel, QRadar 등의 SIEM(보안 정보 및 이벤트 관리) 솔루션과 연동해 중앙 분석 및 자동 경보 체계를 구축합니다.
- 오탐 최소화: 너무 많은 항목을 감사하면 이벤트가 과도하게 생성되어 실제 이상징후를 놓칠 수 있습니다. 핵심 이벤트만 선별적으로 설정하는 것이 중요합니다.
보안 감사 로그는 '보는 사람'이 있어야 의미가 있습니다.
자동으로 쌓이는 정보에만 의존하지 말고, 정기 점검, 분석 보고서 작성, 알림 설정 등을 통해 실질적인 보안 운영이 가능하도록 만들어야 합니다.
마무리 요약
Windows Server에서 감사 로그 설정은 단순한 보안 기능이 아니라, 실제 운영에서 위협 탐지와 책임 추적을 가능하게 하는 강력한 도구입니다.
로컬 단위든 도메인 환경이든, 초보자도 GUI 환경에서 시작할 수 있으며, 고급 정책을 통해 정밀한 통제와 자동화된 로그 분석 체계로 확장해 나갈 수 있습니다.
이 글을 통해 감사 로그의 의미를 이해하고, 실무 환경에서 바로 적용해 보안 수준을 한 단계 끌어올리는 계기가 되길 바랍니다.
'윈도우 서버' 카테고리의 다른 글
| Windows Server 2022에서 BitLocker로 드라이브 암호화하기 (0) | 2025.07.23 |
|---|---|
| 윈도우 서버에서 파일 감사(File Auditing) 정책 설정 가이드 (0) | 2025.07.23 |
| 윈도우 서버에서 로컬 GPO와 도메인 GPO의 차이 이해하기 (0) | 2025.07.22 |
| 윈도우 서버 성능 모니터링: Performance Monitor 활용법 (0) | 2025.07.22 |
| NIC 팀 구성으로 네트워크 속도 향상시키기 (0) | 2025.07.22 |
| Active Directory 사용자 대량 등록 및 일괄 관리 팁 (0) | 2025.07.21 |
| 윈도우 서버 스냅샷과 체크포인트 차이점과 사용법 (0) | 2025.07.20 |
| SQL Server 라이선스 구성 전략 (0) | 2025.07.20 |
