Q19. 로그 분석 기반 대응은 사후 대응 아닌가요? 이미 공격이 들어온 뒤라 늦은 것 아닌가요?
A. 그렇지 않습니다.
대부분의 공격은 ‘순간’이 아니라 ‘과정’이며,
로그 분석은 그 과정 중간에 개입하는 실시간 방어입니다.
“로그는 사후 분석용”이라는 인식은
랜섬웨어가 단번에 시스템을 마비시키는 장면만 떠올릴 때 생깁니다.
하지만 현실의 공격은 전혀 다릅니다.
1️⃣ 공격은 1초 만에 끝나지 않습니다
악성코드가 침입했다고 해서
1초 만에 랜섬웨어가 실행되거나
즉시 시스템이 마비되는 경우는 매우 드뭅니다.
실제 공격은 보통 다음과 같은 단계적 흐름을 거칩니다.
- 초기 침투 (피싱, 취약점 악용 등)
- 추가 페이로드 다운로드
- 권한 상승 시도
- 내부 환경 탐색
- 측면 이동(Lateral Movement)
- 데이터 수집 및 통신
- 최종 공격 실행
이 모든 과정은
호스트(PC·서버)에서의 연속적인 행위로 이루어집니다.
2️⃣ 공격자는 ‘조용히’ 움직입니다
공격자는
처음부터 큰 소리를 내지 않습니다.
- 정상 도구를 사용하고
- 정상 계정으로 로그인하며
- 정상 프로세스처럼 보이게 행동합니다.
이 단계에서 중요한 것은
“이 파일이 악성인가?”가 아니라,
“이 행위가 이 시점에,
이 사용자·이 시스템에서 자연스러운가?”
를 판단하는 것입니다.
이 판단은
네트워크 장비가 아니라,
호스트에서 생성되는 로그를 통해서만 가능합니다.
3️⃣ 로그 분석은 ‘사후’가 아니라 ‘진행 중 개입’입니다
PLURA 환경에서 로그 분석은:
- 사고가 끝난 뒤 확인하는 기록 ❌
- 포렌식 전용 데이터 ❌
가 아닙니다.
PLURA는:
- Sysmon
- 운영체제 감사 로그
- 애플리케이션 이벤트
를 실시간으로 분석하여,
- 권한 상승
- 비정상적인 프로세스 체인
- 내부 정찰 및 이동 징후
와 같은 공격 진행 단계를 즉시 포착합니다.
즉,
로그 분석은
공격이 ‘완성되기 전’에 개입하는 방어 방식입니다.
4️⃣ 늦는 것은 ‘로그 분석’이 아니라 ‘로그 부재’입니다
대응이 늦어지는 진짜 이유는
로그를 분석해서가 아닙니다.
- 로그가 없고
- 어떤 행위가 있었는지 모르며
- 공격 단계를 재구성할 수 없기 때문입니다.
이 상태에서는
공격이 이미 끝난 뒤에야
“무슨 일이 있었는지”를 추측하게 됩니다.
그때 비로소
로그 분석이 사후 대응처럼 보일 뿐입니다.
5️⃣ PLURA는 로그 분석을 통한 ‘사전 대비 시스템’입니다
PLURA는 로그를:
- 저장하기 위해서가 아니라
- 실시간으로 해석하기 위해
- 공격 흐름을 끊기 위해
사용합니다.
그래서 PLURA의 로그 분석은
사후 포렌식이 아니라,
공격이 진행되는 동안
가능한 한 앞단에서 개입하는 사전 대비 체계입니다.
정리하면
로그 분석은
공격이 끝난 뒤에 하는 일이 아닙니다.
- 공격은 단계적으로 진행되고
- 각 단계는 반드시 로그를 남기며
- 그 로그를 실시간으로 해석하면
- 공격은 ‘완성되기 전’에 차단될 수 있습니다.
늦는 것은 로그 분석이 아니라,
로그를 남기지 않고,
실시간으로 해석하지 않는 구조입니다.