S-13: 원격 로그 서버 사용

분류: Security Equipment

중요도: 중

개요

보안 장비 원격 로그 설정((r)syslog)이 기관 정책에 맞게 설정되어 있으며 보안 장비 로그를 원격 로그 서버에 별도로 보관하도록 설정되어 있는지 점검

보안 장비 로그를 별도로 구축된 원격 로그 서버에 기관의 정책에 맞는 로그를 보관하도록 설정되어 있는지를 점검하여 로그 삭제 및 변조에 대비하고 있는지 확인하기 위함

별도의 원격 로그 서버가 구축되어 있지 않거나, 원격 로그 서버에 저장될 로그가 기관 정책에 맞게 설정되어 있지 않을 경우, 비인가자의 공격 및 침입 사고 또는 보안 장비 문제 발생 시 로그가 삭제되거나 변조되어 사고 원인 분석이 어려운 위험이 존재함

원격 로그 서버

정보시스템(서버, 네트워크, 보안 장비 등)의 로그를 통합적으로 보관하는 서버

방화벽, VPN, IDS, IPS, Anti-DDoS, 웹 방화벽 등

✅ 양호: 별도의 원격 로그 서버가 구축되어 있고, 원격 로그 서버에 저장될 로그가 기관 정책에 맞게 설정된 경우

❌ 취약: 별도의 원격 로그 서버가 구축되어 있지 않거나, 원격 로그 서버에 저장될 로그가 기관 정책에 맞게 설정되지 않은 경우

기관 정책에 맞게 원격 로그 서버에 저장될 로그 설정 후 보안 장비 로그 설정 메뉴에서 (r)syslog 설정 또는 주기적으로 별도 저장 매체에 백업((r)syslog 미지원일 경우)

일반적인 경우 영향 없음