C-02: 제어시스템 계정의 로그인/로그아웃, 사용 명령 등 사용기록을 저장

분류: Control System

중요도: 상

개요

운영자, 관리자 등의 계정 접근을 허용하는 제어시스템의 계정 접속 로그인 및 사용 기록(Log) 저장 여부 점검

제어시스템(운영체제, HMI 등)의 계정 접속 로그인 및 사용 기록(Log)이 저장되도록 하여 계정 사용에 대한 책임 추적성(Accountability)을 높일 수 있도록 함

계정 접속 로그인 및 사용내역 등의 접속기록(Log)이 생성되지 않거나 접속기록의 내용이 미흡(예시: 사용내역 누락)하여 책임 추적이 어려울 수 있음

접속기록(Log)

시스템(운영체제) 또는 응용 프로그램의 접속기록은 접속자(예시: ID), 접속일시, 접속자의 위치(예시: IP주소), 사용내역(예시: 운영체제의 명령 실행 또는 제어설비에 밸브 조작 명령 실행) 등 4가지 유형의 정보를 포함하는 데이터

대상 시스템에 접속하기 위해 계정(ID) 접근이 요구되는 제어시스템 구성요소

✅ 양호: 대상 기기에 로그인/로그아웃, 사용 명령 등의 사용기록을 저장하고 있는 경우

❌ 취약: 대상 기기에 로그인/로그아웃, 사용 명령 등의 사용기록이 저장되지 않아 확인할 수 없는 경우

대상 구성요소에 사용기록이 저장되도록 설정을 적용하거나, 다른 기기를 이용하여 대상 구성요소의 사용기록이 저장되도록 설정

일반적인 경우 영향 없음

로그인/로그아웃, 사용 명령 등의 사용기록이 저장되도록 설정되어 있는지 확인
- 생성된 사용기록(별도 파일 또는 DB)의 내용에 사용자의 로그인, 로그아웃, 사용 명령의 내용을 포함하고 있는지 확인

로깅 설정 및 로그 파일의 로깅 정보 확인
- 제어판 > 관리 도구 > 로컬 보안 정책 > 보안 설정 > 로컬 정책 > 감사 정책
- 계정 로그온 이벤트 감사 > “성공”, “실패” 설정
- 권한 사용 감사 > “성공”, “실패” 설정

파일에서 로그 설정 확인
```
# cat /etc/syslog.conf
```
/var/adm/loginlog, authlog, sulog의 파일을 열어 로깅 정보 확인
```
# cat /var/adm/{loginlog,authlog,sulog}
```
/etc/syslog.conf 파일 설정 변경
```
# vi /etc/syslog.conf
```
Unix 계열 운영체제의 생성 로그 종류
- auth: 로그인 등의 인증 프로그램 유형이 발생한 메시지
- authpriv: 개인인증을 요구하는 프로그램 유형이 발생한 메시지
- cron: cron이나 at과 같은 프로그램이 발생하는 메시지
- daemon: telnetd, ftpd 등과 같은 데몬이 발생한 메시지
- kern: 커널이 발생한 메시지
- lpr: 프린터 유형의 프로그램이 발생한 메시지
- mail: 메일시스템에서 발생한 메시지
- news: 유즈넷 뉴스 프로그램 유형이 발생한 메시지
- syslog: syslog 프로그램 유형이 발생한 메시지
- user: 사용자 프로세스
- uucp: 시스템이 발생한 메시지
- local0: 여분으로 남겨둔 유형
주의

조치 시, 시스템 운영 특성상 사용기록을 남기도록 변경할 수 없는 경우, 기기 운영기관에서 자체적으로 이에 대한 보완대책 수립