Auditd로 시스템 콜 수준 침입 감지 구축

Auditd 시스템 콜 수준 침입 감지 구축 가이드

시스템 보안은 끊임없이 진화하는 위협에 맞서 싸우는 지속적인 과정입니다. 침입 탐지 시스템(IDS)은 이러한 위협을 식별하고 대응하는 데 중요한 역할을 합니다. Auditd는 Linux 시스템에서 시스템 콜 수준의 활동을 감사하는 강력한 도구이며, 이를 활용하여 효과적인 침입 탐지 시스템을 구축할 수 있습니다.

Auditd란 무엇인가

Auditd는 Linux 감사 시스템의 사용자 공간 구성 요소입니다. 커널의 감사 기능을 사용하여 시스템 콜, 파일 접근, 사용자 로그인 등 다양한 시스템 이벤트를 기록합니다. 이러한 로그는 시스템 활동을 모니터링하고 보안 위협을 식별하는 데 사용될 수 있습니다. Auditd는 규칙 기반으로 동작하며, 설정 파일(/etc/audit/audit.rules)에 정의된 규칙에 따라 감사할 이벤트를 결정합니다.

Auditd를 사용해야 하는 이유

• 세밀한 감사: 시스템 콜 수준에서 활동을 기록하므로, 비정상적인 시스템 동작을 정확하게 식별할 수 있습니다.

• 맞춤형 규칙: 특정 보안 요구 사항에 맞춰 감사 규칙을 정의할 수 있습니다.
• 사후 분석: 발생한 보안 사고에 대한 자세한 정보를 제공하여 사고 원인 분석 및 대응에 도움을 줍니다.
• 규정 준수: PCI DSS, HIPAA 등 다양한 규정 준수를 위한 감사 로그를 제공합니다.

Auditd 설정 및 사용 방법

Auditd 설치

대부분의 Linux 배포판에서 Auditd는 기본적으로 설치되어 있지 않습니다. 다음 명령을 사용하여 설치할 수 있습니다.

sudo apt-get install auditd # Debian/Ubuntu

sudo yum install audit # CentOS/RHEL/Fedora

Auditd 시작 및 중지

Auditd를 시작하고 중지하는 방법은 다음과 같습니다.

sudo systemctl start auditd

sudo systemctl stop auditd

sudo systemctl restart auditd

sudo systemctl status auditd

Auditd 규칙 설정

Auditd의 핵심은 규칙 설정입니다. 규칙은 감사할 이벤트와 기록할 정보를 정의합니다. 규칙은 `/etc/audit/audit.rules` 파일에 정의됩니다. 다음은 몇 가지 예제 규칙입니다.

• 모든 실행 파일 실행 감사:

-a always,exit -F arch=b64 -S execve,execveat -k execution

• 특정 파일 접근 감사:

-a always,exit -F path=/etc/passwd -F perm=wa -k passwd_changes

• 사용자 로그인/로그아웃 감사:

-w /var/log/wtmp -p wa -k logins



  -w /var/log/btmp -p wa -k logins

규칙 옵션 설명:

• -a always,exit: 항상 감사하고, 시스템 콜 종료 시 기록합니다.
• -F arch=b64: 64비트 아키텍처에서 실행되는 시스템 콜만 감사합니다.
• -S execve,execveat: execve 및 execveat 시스템 콜을 감사합니다 (프로그램 실행).
• -F path=/etc/passwd: /etc/passwd 파일에 대한 접근을 감사합니다.
• -F perm=wa: 쓰기(w) 또는 속성 변경(a) 권한으로 접근하는 경우 감사합니다.
• -k: 감사 레코드에 태그를 지정합니다 (검색 및 필터링에 사용).
• -w: 파일 또는 디렉토리를 감시합니다.
• -p: 접근 권한을 지정합니다 (r: 읽기, w: 쓰기, x: 실행, a: 속성 변경).

규칙 적용: `/etc/audit/audit.rules` 파일을 수정한 후에는 Auditd를 재시작하여 변경 사항을 적용해야 합니다.

sudo auditctl -R /etc/audit/audit.rules

Audit 로그 분석

Auditd는 `/var/log/audit/audit.log` 파일에 로그를 기록합니다. 로그는 텍스트 형식으로 저장되며, `ausearch` 및 `aureport` 명령을 사용하여 분석할 수 있습니다.

• ausearch: 특정 이벤트에 대한 로그를 검색합니다.

sudo ausearch -k execution # execution 태그가 있는 이벤트 검색

sudo ausearch -f /etc/passwd # /etc/passwd 파일에 대한 접근 이벤트 검색

sudo ausearch -ua <사용자 ID> # 특정 사용자의 이벤트 검색

• aureport: 감사 로그에 대한 요약 보고서를 생성합니다.

sudo aureport -au # 사용자별 이벤트 보고서



sudo aureport -f # 파일별 이벤트 보고서

sudo aureport -k # 키워드별 이벤트 보고서

실생활 활용 방법

• 악성코드 탐지: 알려진 악성코드의 실행 패턴을 감사 규칙으로 정의하여 악성코드 실행을 탐지할 수 있습니다. 예를 들어, 특정 디렉토리에서 실행되는 스크립트 파일에 대한 감시 규칙을 설정할 수 있습니다.

• 무단 파일 접근 탐지: 중요한 시스템 파일 (예: /etc/shadow, /etc/passwd)에 대한 무단 접근을 감지할 수 있습니다.
• 시스템 설정 변경 감지: 시스템 설정 파일 변경을 감지하여 무단 설정 변경을 방지할 수 있습니다.
• 침해 사고 분석: 침해 사고 발생 시 Auditd 로그를 분석하여 공격 경로, 공격자가 수행한 작업 등을 파악할 수 있습니다.

유용한 팁과 조언

• 규칙 단순화: 복잡한 규칙은 시스템 성능에 영향을 줄 수 있으므로, 필요한 이벤트만 감사하도록 규칙을 단순화하는 것이 좋습니다.

• 로그 로테이션 설정: Auditd 로그 파일이 너무 커지지 않도록 로그 로테이션을 설정해야 합니다. `/etc/logrotate.d/auditd` 파일을 수정하여 로그 로테이션 설정을 변경할 수 있습니다.
• 실시간 모니터링: Auditd 로그를 실시간으로 모니터링하여 즉각적인 대응이 가능하도록 구성하는 것이 좋습니다. Logstash, Elasticsearch, Kibana (ELK 스택) 등을 사용하여 실시간 모니터링 시스템을 구축할 수 있습니다.
• 정기적인 규칙 검토: 보안 환경은 끊임없이 변화하므로, Auditd 규칙을 정기적으로 검토하고 업데이트해야 합니다.

흔한 오해와 사실 관계

• 오해: Auditd는 모든 보안 문제를 해결해준다.

  사실: Auditd는 침입 탐지를 위한 도구일 뿐이며, 완벽한 보안을 보장하지 않습니다. 다른 보안 도구 (방화벽, IPS 등)와 함께 사용해야 효과적입니다.

• 오해: Auditd는 시스템 성능에 큰 영향을 미친다.

  사실: 규칙을 적절하게 설정하면 시스템 성능에 미치는 영향을 최소화할 수 있습니다. 불필요한 이벤트 감사를 피하고, 규칙을 최적화하는 것이 중요합니다.

• 오해: Auditd 로그는 이해하기 어렵다.

  사실: `ausearch` 및 `aureport` 명령을 사용하면 Auditd 로그를 쉽게 분석할 수 있습니다. 또한, 다양한 시각화 도구를 사용하여 로그 데이터를 효과적으로 표현할 수 있습니다.

전문가의 조언

보안 전문가들은 Auditd를 효과적으로 사용하기 위해 다음과 같은 조언을 제공합니다.

• 기본 규칙 세트 활용: CIS (Center for Internet Security) 벤치마크와 같은 보안 표준에서 제공하는 Auditd 기본 규칙 세트를 활용하여 보안 수준을 빠르게 향상시킬 수 있습니다.
• 위협 인텔리전스 활용: 최신 위협 정보를 기반으로 Auditd 규칙을 업데이트하여 새로운 공격 기법에 대응할 수 있도록 합니다.
• 자동화된 분석 시스템 구축: Auditd 로그를 자동으로 분석하고 이상 징후를 탐지하는 시스템을 구축하여 보안 운영 효율성을 높입니다.

자주 묻는 질문과 답변

• Q: Auditd 로그 파일이 너무 커서 디스크 공간이 부족합니다. 어떻게 해야 하나요?

  A: 로그 로테이션을 설정하거나, 로그 레벨을 조정하여 로그 파일 크기를 줄일 수 있습니다. 또한, 로그 파일을 압축하여 저장 공간을 절약할 수 있습니다.

• Q: Auditd 규칙을 어떻게 테스트할 수 있나요?

  A: `auditctl -t` 명령을 사용하여 Auditd 규칙을 테스트할 수 있습니다. 이 명령은 실제로 이벤트를 기록하지 않고 규칙이 올바르게 작동하는지 확인합니다.

• Q: Auditd 로그를 다른 시스템으로 전송할 수 있나요?

  A: 네, syslog, rsyslog 등을 사용하여 Auditd 로그를 중앙 집중식 로그 관리 시스템으로 전송할 수 있습니다.

비용 효율적인 활용 방법

• 오픈 소스 도구 활용: ELK 스택, Graylog 등 오픈 소스 로그 관리 및 분석 도구를 사용하여 Auditd 로그를 효과적으로 관리하고 분석할 수 있습니다.
• 클라우드 기반 SIEM 서비스 활용: Amazon GuardDuty, Azure Sentinel 등 클라우드 기반 SIEM (Security Information and Event Management) 서비스를 활용하여 Auditd 로그를 통합적으로 관리하고 보안 위협에 대응할 수 있습니다.
• 커뮤니티 지원 활용: Auditd 관련 커뮤니티 포럼, 메일링 리스트 등을 활용하여 문제 해결 및 정보 공유를 통해 비용을 절감할 수 있습니다.