“로그는 거짓말을 하지 않는다.”
Windows 보안의 시작은 바로 이벤트 로그(Event Log)입니다.
✅ 들어가며
Windows 시스템에서는 우리가 몰라도 수많은 일이 백그라운드에서 일어나고 있습니다.
- 누가 로그인했는지
- 어떤 파일에 접근했는지
- 시스템 설정이 변경됐는지
이 모든 내용은 기록(로그)으로 남습니다. 이러한 기록을 모아서 보여주는 도구가 바로 이벤트 뷰어(Event Viewer)입니다.
오늘은 보안 관점에서 꼭 알아야 할 이벤트 뷰어의 기본 개념과 주요 보안 이벤트를 쉽고 정확하게 설명드리겠습니다.
🖥️ 이벤트 뷰어(Event Viewer)란?
Windows 운영체제의 이벤트(시스템 내부 활동)를 기록하고 분석하는 도구
이벤트 뷰어는 시스템 내부에서 발생한 다양한 작업을 카테고리별로 분류하고 기록합니다.
📌 보안 이벤트뿐만 아니라 시스템 이벤트, 응용 프로그램 이벤트 등도 확인할 수 있습니다.
🧭 실행 방법
- 단축키: Win + R → eventvwr.msc 입력
- 또는: 시작 메뉴 → "이벤트 뷰어" 검색
📂 주요 로그 종류
| 로그 종류 | 설명 |
| Application | 응용 프로그램 실행 정보 |
| System | 드라이버, 시스템 동작 정보 |
| Security | 로그인, 로그아웃, 권한 사용 등 보안 관련 기록 |
| Setup | 시스템 설치 및 업데이트 관련 로그 |
| Forwarded Events | 다른 시스템에서 전달받은 이벤트 (도메인 환경 등) |
이 중에서 보안 담당자가 가장 많이 보는 항목은 ‘Security’ 로그입니다.
🔐 보안 이벤트(Security Log) 이해하기
보안 로그는 사용자 인증, 권한 사용, 객체 접근, 정책 변경 등의 내용을 기록합니다.
이 항목은 감사 정책이 활성화되어 있어야 상세 기록이 저장됩니다.
📋 자주 확인하는 보안 이벤트 ID
| 이벤트 ID | 설명 | 예시 상황 |
| 4624 | 로그온 성공 | 사용자가 로그인함 (예: 로컬 로그인, 원격 로그인) |
| 4625 | 로그온 실패 | 잘못된 비밀번호 입력 등 |
| 4634 | 로그오프 | 사용자가 로그아웃했거나 세션 종료 |
| 4672 | 특수 권한 할당 | 관리자 권한을 가진 계정이 로그인 |
| 4688 | 프로세스 생성 | 프로그램 실행됨 (예: cmd.exe, notepad.exe) |
| 4719 | 감사 정책 변경 | 감사 설정이 바뀐 경우 |
| 4720 | 사용자 계정 생성 | 새 계정이 만들어짐 |
| 4722 | 사용자 계정 활성화 | 비활성화된 계정을 다시 사용 가능하게 함 |
| 4732 | 그룹 멤버 추가 | 계정이 특정 그룹에 추가됨 (예: Administrators) |
📌 각 이벤트는 발생 시간, 사용자 이름, 로그온 타입, 작업 경로 등의 상세 정보와 함께 기록됩니다.
🔍 예시로 보는 이벤트 4624 (로그온 성공)
| 필드 | 설명 |
| Account Name | 로그인한 사용자 계정 이름 |
| Logon Type | 로그인 방식 (예: 2=로컬, 10=원격 데스크톱) |
| Workstation Name | 로그인 요청을 보낸 장비 이름 |
| Process Name | 로그인 시 사용된 프로세스 경로 (예: C:\Windows\System32\winlogon.exe) |
이 정보를 통해, 언제, 어디서, 누가, 어떤 방식으로 로그인했는지를 파악할 수 있습니다.
🛡️ 실무에서 유용한 활용 팁
- 📌 정상 접속 여부 확인
업무 시간 외에 Logon Type 10(RDP)이 있다면 점검 필요 - 📌 관리자 권한 확인
Event ID 4672가 반복된다면 관리자 권한 계정 사용 여부 확인 - 📌 계정 생성/변경 모니터링
Event ID 4720, 4732는 의심스러운 계정 추가 시 즉시 확인 대상
⚠️ 참고: 너무 많은 로그는 오히려 부담
이벤트 로그는 모든 기록을 남기면 용량이 급격히 증가할 수 있으므로, 감사 정책을 목적에 맞게 적절히 설정하는 것이 중요합니다.
또한, 중요한 로그는 주기적으로 백업 또는 중앙 서버로 전송하여 보존하는 것이 권장됩니다.
📌 정리 요약
| 항목 | 요약 설명 |
| Event Viewer | Windows의 로그 분석 도구 |
| Security 로그 | 로그인, 권한, 계정 변경 등 보안 관련 기록 |
| 중요 이벤트 ID | 4624(로그인 성공), 4625(실패), 4688(프로세스), 4720(계정 생성) 등 |
| 활용 목적 | 이상 징후 탐지, 내부 감사, 사용자 행위 추적 |
✍️ 마무리하며
이벤트 로그는 시스템의 블랙박스와도 같습니다.
눈에 보이지 않던 사용자의 활동이나 시스템의 변화가 모두 기록으로 남기 때문에, 이벤트 뷰어는 보안의 시작점이자 끝점이라고 해도 과언이 아닙니다.
'정보보안' 카테고리의 다른 글
| 🔥 Windows 방화벽과 기본 방화벽 정책 개요 (0) | 2025.06.27 |
|---|---|
| 🛡️ 그룹 정책(GPO)을 통한 보안 설정 개요 (0) | 2025.06.27 |
| 🧾 Windows 권한 확인 명령어 정리 – whoami, net user 등 쉽게 이해하기 (0) | 2025.06.27 |
| 🧾 Windows 로그온 타입(Logon Type) 설명과 예시 정리 (0) | 2025.06.27 |
| 🔐 Windows 서비스 계정 종류와 보안 설정 방법 (1) | 2025.06.27 |