PC의 시스템 로그를 활용하여 위협 행위 탐지하기

본 글은 PC의 시스템 로그를 활용하여 위협 행위를 탐지하는 방법을 다룹니다. 스피어피싱과 같은 사회공학적 공격은 기존 방화벽으로 탐지가 어렵고, 사용자의 인지적 허점을 노려 시스템에 침투한 후 은밀하게 정보를 탈취합니다.

이러한 공격에 대응하기 위해 보안 지점을 네트워크 경계에서 엔드포인트(PC, 노트북 등)로 확장하는 EDR(Endpoint Detection and Response)의 중요성을 강조합니다. EDR은 엔드포인트 에이전트를 통해 시스템 활동을 모니터링하고, 의심스러운 행동을 탐지하여 신속하게 대응하는 것을 목표로 합니다.

특히, 의심스러운 행동의 기준을 설정하고 시스템 이벤트 로그를 분석하여 정상 상태를 정의하고 이상 상태를 탐지하는 구체적인 방법론과 그 결과를 소개합니다.