윈도우 서버에서 파일 감사(File Auditing) 정책 설정 가이드

1. 파일 감사란 무엇인가?

(키워드: 파일 감사, 보안 로그, 파일 액세스 추적)

파일 감사(File Auditing)는 윈도우 서버 보안 설정 중 하나로, 특정 파일이나 폴더에 대한 사용자 접근 활동을 기록하는 기능입니다. 예를 들어 회사의 중요 문서를 누가 열었는지, 누가 삭제했는지, 누가 이름을 변경했는지를 알고 싶을 때 유용합니다. 이러한 로그는 서버의 보안성을 높이고 내부 통제(내부자 위협 방지) 또는 외부 감사 대응에도 큰 도움이 됩니다.

파일 감사 기능을 활용하면 다음과 같은 상황을 추적할 수 있습니다:

• 중요 문서가 언제 누가 열었는가?
• 누군가가 파일을 삭제하거나 이름을 변경했는가?
• 접근 권한이 없는 사용자가 파일에 접근을 시도했는가?

특히 병원, 금융, 공공기관처럼 로그가 법적 증빙자료가 되는 환경에서는 이 기능이 필수적입니다. 하지만 단순히 로그만 남기는 것이 아니라, 어떤 설정을 어떻게 구성해야 하는지가 핵심이며, 이 문서에서는 초보자도 쉽게 따라할 수 있도록 단계별로 설명합니다.

 

 

2. 감사 정책 활성화하기 (로컬 및 도메인 환경)

(키워드: 감사 정책, 로컬 보안 정책, 그룹 정책)

파일 감사 기능을 사용하려면 먼저 윈도우 서버의 감사 정책을 활성화해야 합니다. 로컬 단위와 도메인 단위의 설정 방식은 조금 다르지만, 기본적인 절차는 유사합니다.

로컬 서버에서 설정하는 방법:

1. 시작 > 실행 > secpol.msc 입력 후 로컬 보안 정책 창을 엽니다.
2. 보안 설정 > 로컬 정책 > 감사 정책 > 객체 접근 감사 항목을 “성공 및 실패”로 설정합니다.
3. 적용 후 gpupdate /force를 실행하거나 시스템을 재시작합니다.

도메인 환경(GPO)에서 설정하는 방법:

1. 도메인 컨트롤러에서 Group Policy Management Console 실행
2. 기존 정책을 수정하거나 신규 GPO를 만들어 OU에 연결
3. 컴퓨터 구성 > Windows 설정 > 보안 설정 > 로컬 정책 > 감사 정책 > 객체 접근 감사 항목을 활성화
4. 정책을 배포하고 대상 서버에서 gpupdate /force 실행

이렇게 하면 감사 로그를 남길 준비가 완료되며, 다음 단계로 개별 파일 또는 폴더에 감사 항목을 설정할 수 있습니다.

 

 

3. 감사 항목 추가하기: 폴더에 감시 항목 지정

(키워드: 파일 감사 설정, 고급 보안 설정, 감사 항목 추가)

감사 정책을 활성화했더라도, 어떤 파일 또는 폴더를 감시할지 명시하지 않으면 로그는 생성되지 않습니다. 그래서 개별 폴더에 감사 항목을 직접 설정해야 합니다. 예를 들어, 회계부서의 연간 재무보고서 폴더를 감사하려면 다음과 같이 설정합니다:

1. 감사 대상 폴더를 오른쪽 클릭 > 속성 > 보안 > 고급 선택
2. “감사” 탭 > 추가 버튼 클릭
3. 주체 선택에서 Everyone 또는 특정 그룹/사용자를 지정
4. 감사하려는 동작 선택: 파일 열람(Read), 삭제(Delete), 쓰기(Write) 등
5. 성공/실패 항목을 선택하여 로그를 남길 조건을 설정

설정을 완료하고 나면 해당 폴더에 접근이 있을 때마다 이벤트 로그에 기록됩니다. 중요한 점은 불필요한 감사 항목을 과도하게 설정하면 로그가 과도하게 쌓여 서버 성능에 영향을 줄 수 있다는 점입니다. 따라서 감사 항목은 꼭 필요한 동작만 최소화하여 설정하는 것이 좋습니다.

 

4. 감사 로그 확인 방법과 이벤트 ID 분석

(키워드: 이벤트 로그, 이벤트 뷰어, 감사 이벤트 ID)

감사 항목이 설정된 이후에는 사용자 활동이 이벤트 로그에 기록됩니다. 로그는 이벤트 뷰어(Event Viewer)를 통해 확인할 수 있으며, 로그 종류는 다음 경로에 저장됩니다:

• 경로: 이벤트 뷰어 > Windows 로그 > 보안

파일 감사와 관련된 주요 이벤트 ID는 다음과 같습니다:

이벤트 ID설명

4656	파일에 접근을 시도했을 때
4663	파일에 실제로 접근했을 때
4658	파일 핸들 닫힘 (작업 종료)
4670	파일 권한 변경 발생 시

 

예를 들어 누군가가 파일을 삭제했다면 4663 이벤트에서 "Delete" 작업을 찾을 수 있습니다. 이벤트 로그에는 사용자 계정, 시각, 접근한 파일 경로, 수행된 동작 등의 정보가 포함되어 있어 감사 및 문제 분석에 매우 유용한 자료가 됩니다.

보안 위협이 발생했을 경우, 로그를 통해 누가 어떤 행위를 했는지 추적하고 적절한 대응이 가능해집니다. 정기적으로 로그를 백업하거나 이벤트 로그 모니터링 도구와 연동하는 방법도 고려해볼 수 있습니다.

 

 

5. 실무 적용 팁과 주의사항

(키워드: 감사 운영 전략, 감사 로그 용량, 실무 권장 설정)

파일 감사 기능은 강력하지만, 실무에 적용할 때는 다음과 같은 점들을 유의해야 합니다:

1. 모든 폴더에 감사 설정을 하면 안 됩니다. 감사 항목이 많아지면 이벤트 로그가 너무 커지고 서버 디스크 용량도 빠르게 소모됩니다. 꼭 감사가 필요한 폴더(예: 내부통제 대상 문서, 기밀자료)에만 적용하세요.
2. 감사 로그는 주기적으로 백업 또는 자동 순환 설정이 필요합니다. 기본적으로 윈도우는 로그 용량이 초과되면 이전 로그를 덮어쓰는데, 중요한 기록이 삭제될 수 있으므로, 보존 정책을 설정하는 것이 중요합니다.
3. 보안 감사는 운영자 권한으로만 설정 가능합니다. 일반 사용자나 로컬 관리자 권한으로는 감사 항목을 수정할 수 없습니다.
4. 보안 사고 대응을 위한 감사 로그 보관 기간을 명확히 정하세요. 조직 정책 또는 법적 요구에 따라 6개월~1년 이상 보관이 필요할 수 있습니다.
5. 이벤트 로그 모니터링 도구와 연동하여 자동 알림을 설정하면 더 효과적입니다. 예: Splunk, Windows Event Forwarding, SIEM 시스템 등

 

마무리 정리

윈도우 서버의 파일 감사 기능은 단순한 로그 기록을 넘어서 보안 관제, 내부 통제, 데이터 보호에 이르기까지 매우 넓은 범위에서 활용될 수 있습니다. 감사 정책 활성화, 감사 항목 설정, 로그 분석까지 단계별로 진행하면 실무에 효과적으로 적용할 수 있으며, 무분별한 설정보다는 전략적 설정이 중요합니다. 초보자도 이 가이드를 통해 실무 환경에 감사 기능을 안전하게 적용할 수 있습니다.