로그에서 이상 징후를 추적한 경험 중심으로 푸는 결
학부 4학년 캡스톤에서 작은 사내 게시판 서비스를 운영하며 로그 점검을 맡았을 때가 가장 기억에 남습니다. 어느 날 새벽 접속 로그에 같은 IP에서 분당 200건 넘는 로그인 시도가 찍혀 있었습니다. 처음에는 단순 트래픽인 줄 알고 넘겼는데, 응답 코드가 거의 전부 401인 점을 뒤늦게 보고 무차별 대입 시도라고 판단했습니다. 그때 제가 한 일은 우선 해당 IP를 방화벽에서 차단하고, 로그인 실패 5회 시 계정을 잠그는 규칙을 추가한 것입니다. 처음에는 응답 코드를 제대로 안 본 탓에 반나절을 흘려보냈고, 그 경험 이후로는 로그를 볼 때 건수보다 상태 코드 분포를 먼저 확인하는 습관이 생겼습니다. 지금도 새 시스템 로그를 마주하면 정상 패턴이 어떤 모양인지부터 기준선을 잡아두고 시작합니다.