리눅스 auvirt 완벽 가이드: KVM/libvirt 감사 로그 추적의 모든 것

누가 내 가상 머신을 건드렸을까? 가상화 감사(Auditing)의 필요성

어느 날 새벽, 중요한 프로덕션 가상 머신(VM)이 갑자기 재부팅되는 상황을 상상해 보십시오. 누가 이런 일을 했을까요? 예약된 작업이었을까요, 관리자의 실수였을까요, 아니면 더 심각한 보안 침해의 징후일까요? 이러한 질문에 명확히 답할 수 없다면, 시스템은 통제 불능 상태에 놓인 것과 같습니다. 이 시나리오가 바로 가상화 환경에서 감사(Auditing)가 왜 필수적인지를 명확하게 보여줍니다.

오늘날의 IT 인프라에서 리눅스 KVM(Kernel-based Virtual Machine)은 가상화의 핵심으로 자리 잡았습니다. 그리고 libvirt는 KVM, QEMU, Xen 등 다양한 하이퍼바이저를 일관된 방식으로 관리할 수 있게 해주는 강력한 API 툴킷입니다. 시스템의 모든 움직임을 기록하는 "블랙박스" 역할을 하는 리눅스 감사 프레임워크(auditd)와 결합될 때, 우리는 비로소 가상화 환경의 모든 활동을 투명하게 들여다볼 수 있습니다.

이 복잡한 생태계에서 auvirt는 바로 libvirt의 세계와 auditd의 세계를 잇는 전문적인 다리 역할을 합니다. auvirt는 단순히 로그를 파싱하는 도구가 아닙니다. 이것은 가상 머신의 활동에 대한 질문에 답하기 위해 특별히 설계된, 가상화 환경을 인지하는(virtualization-aware) 보고 도구입니다.

이 글은 auvirt 명령어에 대한 최종 가이드가 될 것입니다. 독자 여러분은 이 글을 통해 다음을 배우게 될 것입니다:

1. auvirt, virsh, ausearch의 정확한 역할 구분
2. 완벽한 감사를 위한 auditd와 libvirt의 필수 설정 방법
3. auvirt 명령어와 옵션의 단계별 마스터 과정
4. VM 이벤트의 심층 포렌식 분석을 위한 ausearch 활용법
5. 일반적인 문제 해결 방법

이 가이드를 통해 여러분은 더 이상 "누가 내 VM을 건드렸지?"라고 묻는 대신, "언제, 누가, 무엇을, 어떻게 했는지 정확히 보여주지"라고 자신 있게 말할 수 있게 될 것입니다.

감사관의 도구 상자: auvirt vs. virsh vs. ausearch 명확한 구분

가상화 감사를 처음 접하는 많은 이들이 virsh, auvirt, ausearch라는 세 가지 도구의 역할 차이 때문에 혼란을 겪습니다. 이들의 기능을 명확히 이해하는 것이 모든 것의 시작입니다. 각 도구를 관리자(virsh), 보고관(auvirt), 수사관(ausearch)에 비유하여 그 역할을 명확히 구분해 보겠습니다.

이러한 도구들이 각각 다른 목적으로 존재하는 이유는 시스템 관리의 다양한 요구를 충족시키기 위함입니다. 실시간 제어를 위한 도구, 빠른 요약 보고를 위한 도구, 그리고 깊이 있는 조사를 위한 도구가 각각 필요하며, 이 세 가지가 바로 그 역할을 수행합니다.

virsh: VM 관리자 (The "Doer")

virsh는 가상 머신과 하이퍼바이저를 실시간으로 제어하고 관리하는 명령줄 인터페이스(CLI)입니다. 시스템의 현재 상태를 변경하는 데 사용되는 능동적인 도구입니다.

• 목적: 가상 머신(도메인), 스토리지 풀, 네트워크, 스냅샷 등의 생성, 수정, 삭제 등 모든 관리 작업을 수행합니다.
• 사용 예시: virsh start my_vm, virsh edit my_vm, virsh list --all 등 VM의 생명주기를 직접 제어하는 명령어가 포함됩니다.
• 핵심: virsh는 무언가를 실행하기 위한 도구입니다. 과거에 어떤 일이 일어났는지 기록을 보는 용도가 아닙니다.

auvirt: 전문 보고관 (The "Summarizer")

auvirt는 libvirt가 관리하는 가상 머신과 관련된 감사 결과를 요약하여 보여주는 전문 보고 도구입니다. 이 도구는 auditd 로그를 읽어 VM 중심의 인간 친화적인 형태로 정보를 가공하여 제공합니다.

• 목적: libvirt가 생성한 감사 로그(VIRT_CONTROL, VIRT_RESOURCE 등)를 필터링하여 VM 활동에 대한 요약 보고서를 생성합니다.
• 사용 예시: auvirt --summary --vm testguest --start today와 같이 특정 VM의 특정 기간 동안의 활동 요약을 빠르게 확인할 때 사용합니다.
• 핵심: auvirt는 VM 활동에 대한 빠르고 요약된 보고서를 얻기 위한 도구입니다. 전체적인 상황을 신속하게 파악하는 데 최적화되어 있습니다.

ausearch: 포렌식 수사관 (The "Detective")

ausearch는 감사 데몬의 로그 전체를 대상으로, 매우 광범위한 기준에 따라 특정 이벤트를 검색하는 강력하고 일반적인 도구입니다.

• 목적: 시스템 전반에 걸쳐 발생한 모든 감사 이벤트를 심층적으로 조사하고 분석합니다. libvirt 이벤트뿐만 아니라 시스템의 모든 기록을 다룹니다.
• 숨겨진 연결고리: ausearch는 VM 관련 이벤트를 직접 검색할 수 있는 --vm-name과 --uuid 옵션을 내장하고 있습니다. 이는 auvirt의 기능과 일부 겹치지만, 훨씬 더 강력한 필터링과 다른 시스템 이벤트와의 연관 분석 능력을 제공합니다. 이러한 기능의 존재는 auvirt가 사용자 편의성과 요약 보고에 중점을 둔 반면, ausearch는 VM 이벤트를 사용자 로그인, 파일 접근, 네트워크 연결 등 다른 시스템 활동과 연계하여 분석해야 하는 고급 사용자를 위해 설계되었음을 시사합니다.
• 사용 예시: ausearch -m VIRT_RESOURCE --uuid <guest-uuid> -i 와 같이 특정 VM의 리소스 변경 이벤트를 상세히 추적하거나, 특정 사용자 세션(auid)과 VM 이벤트를 연결하여 분석할 때 사용됩니다.
• 핵심: ausearch는 깊고 상세한 조사 및 VM 이벤트를 다른 시스템 활동과 연관 지어 분석하기 위한 포렌식 도구입니다.

한눈에 보는 도구 비교

기초부터 탄탄하게: 완벽한 가시성을 위한 libvirt와 auditd 설정

auvirt는 그 자체로 마법을 부리는 도구가 아닙니다. 상위 시스템인 auditd와 libvirt가 올바르게 설정되어 데이터를 제공하지 않으면 auvirt는 아무런 정보도 보여줄 수 없는 껍데기에 불과합니다. 많은 사용자가 이 설정 단계에서 실패하며, auvirt가 "그냥 작동"할 것이라 기대합니다. 이 섹션에서는 그러한 실패를 방지하기 위한 실용적이고 단계적인 설정 가이드를 제공합니다. auvirt가 감사 로그 파일이 없을 때 충돌하는 버그가 보고된 바 있는데, 이는 데이터 소스에 대한 의존성이 얼마나 중요한지를 보여주는 단적인 예입니다.

1단계: 감사 데몬(auditd) 설치 및 확인

auditd는 리눅스 감사 프레임워크의 심장부로, 모든 감사 기록을 책임집니다.

1. 패키지 설치: 시스템에 auditd가 설치되어 있는지 확인하고, 없다면 설치합니다.
   • RHEL/CentOS 계열: sudo dnf install audit
   • Debian/Ubuntu 계열: sudo apt install auditd audispd-plugins
2. 서비스 활성화 및 시작: 시스템 부팅 시 auditd가 자동으로 시작되도록 설정합니다.

   sudo systemctl enable --now auditd
   

3. 상태 확인: auditd 서비스가 정상적으로 실행 중인지 확인하고, 현재 로드된 규칙을 확인합니다.

   sudo systemctl status auditd
   sudo auditctl -l
   

   auditctl -l 실행 시 "No rules"라고 표시되면 정상입니다. 이는 아직 커스텀 규칙을 추가하지 않았다는 의미입니다.

2단계: libvirt의 감사 추적 기능 활성화

이것이 가장 중요하고 핵심적인 설정 단계입니다. libvirt가 VM 관련 이벤트를 auditd로 보내도록 설정해야 합니다.

1. 설정 파일 열기: libvirt의 주 설정 파일인 /etc/libvirt/libvirtd.conf를 텍스트 편집기로 엽니다.

   sudo vi /etc/libvirt/libvirtd.conf
   

2. 감사 레벨 설정 (audit_level): 파일 내에서 audit_level 항목을 찾아 주석을 해제하고 값을 설정합니다.
   • audit_level = 0: 감사 비활성화.
   • audit_level = 1: (기본값) 호스트의 auditd가 활성화되어 있을 때만 libvirt 감사를 활성화합니다. 대부분의 환경에 권장되는 설정입니다.
   • audit_level = 2: 감사 강제 활성화. auditd가 실행 중이 아니면 libvirtd 데몬 시작이 실패합니다. 높은 보안이 요구되는 환경에 적합합니다.

   대부분의 경우, 다음과 같이 설정합니다.

   # audit_level:
   #   0: auditing is disabled
   #   1: audit messages are sent if host auditd is running (default)
   #   2: audit messages are sent, libvirtd will fail to start if
   #      host auditd is not running
   audit_level = 1
   

3. 감사 로깅 설정 (audit_logging): audit_logging 항목을 통해 감사 메시지를 auditd 외에 libvirtd 자체 로그에도 기록할지 결정할 수 있습니다. 이는 설정 문제를 디버깅할 때 매우 유용합니다.
   • audit_logging = 0: (기본값) 감사 메시지를 auditd에만 보냅니다.
   • audit_logging = 1: 감사 메시지를 auditd와 libvirtd 로그(systemd journal 또는 /var/log/libvirt/libvirtd.log) 양쪽에 모두 보냅니다.

   디버깅을 위해 다음과 같이 설정할 수 있습니다.

   # audit_logging:
   #   0: audit messages are only sent to the audit subsystem (default)
   #   1: audit messages are also sent to the regular logging system
   audit_logging = 1
   

4. 서비스 재시작: 설정을 저장한 후, libvirtd 서비스를 재시작하여 변경 사항을 적용합니다.

   sudo systemctl restart libvirtd
   

3단계: 연동 확인

이제 모든 설정이 올바르게 작동하는지 확인할 차례입니다.

1. VM 이벤트 발생시키기: virsh를 사용하여 간단한 VM 작업을 수행합니다. 예를 들어, 테스트용 VM을 시작했다가 종료합니다.

   sudo virsh start test-vm
   sudo virsh shutdown test-vm
   

2. 감사 로그 확인: 실시간으로 감사 로그를 확인하여 libvirt 이벤트가 기록되는지 살펴봅니다.

   sudo tail -f /var/log/audit/audit.log
   

3. 로그 내용 분석: 로그 출력에서 type=VIRT_CONTROL 또는 type=VIRT_RESOURCE와 같은 문자열을 찾습니다. 이러한 메시지가 보인다면 libvirt가 성공적으로 auditd에 이벤트를 전송하고 있는 것입니다. 이제 auvirt를 사용할 모든 준비가 끝났습니다.

auvirt 마스터하기: 기본 보고서부터 특정 쿼리까지

auvirt는 복잡한 감사 로그를 VM 중심으로 빠르고 간단하게 요약해주는, 관리자의 시간을 아껴주는 도구입니다. 이 섹션에서는 auvirt의 일상적인 사용 사례를 중심으로 그 활용법을 단계별로 익혀보겠습니다.

기본 구문 및 사용법

auvirt의 기본 명령어 구조는 매우 직관적입니다.

auvirt [옵션]

아무런 옵션 없이 auvirt만 실행하면, auditd 로그 전체 기간에 걸쳐 모든 VM에 대한 요약 정보를 보여주려고 시도합니다.

주요 옵션과 실용적인 예제

요약 보고서 생성 (--summary)

이것은 auvirt의 기본 기능이자 가장 많이 사용되는 기능입니다. VM 활동에 대한 높은 수준의 개요를 제공합니다.

• 모든 VM의 이벤트 요약 보기:

  sudo auvirt --summary
  # 또는 간단하게
  sudo auvirt
  

• 특정 VM의 이벤트 요약 보기 (이름으로):

  sudo auvirt --vm prod-web-01
  

• 특정 VM의 이벤트 요약 보기 (UUID로):

  sudo auvirt --uuid 5e8c1b2a-4f5d-4a1e-8c7b-9f0a1b2c3d4e
  

원본 로그 데이터 보기 (--raw)

요약된 정보가 아닌, 감사 로그에 기록된 원본(raw) 데이터를 그대로 확인하고 싶을 때 사용합니다. 포렌식 분석의 초기 단계에 유용합니다.

• 특정 VM의 모든 원본 감사 기록 보기:

  sudo auvirt --raw --vm prod-db-01
  

  이 명령은 prod-db-01 VM과 관련된 모든 감사 레코드를 필터링 없이 출력합니다.

시간으로 필터링 (--start, --end)

특정 기간 동안 발생한 이벤트만 보고 싶을 때 매우 유용합니다. today, yesterday, this-week와 같은 인간 친화적인 시간 형식과 특정 날짜/시간 형식을 모두 지원합니다.

• 지난 24시간 동안의 VM 활동 보기:

  sudo auvirt --start yesterday --end today
  

• 특정 시점 이후의 이벤트 보기:

  sudo auvirt --start "11/25/2023 09:00:00" --vm critical-app
  

  이 명령은 critical-app VM에 대해 2023년 11월 25일 오전 9시 이후에 발생한 모든 이벤트를 보여줍니다.

출력 결과 해석하기

auvirt --summary의 출력은 일반적으로 다음과 같은 형식을 가집니다.

Virtual Machine Summary Report
===========================================================
Time | VM (UUID) | Event | User | Result
-------------------------------------------------------------------------------------------------
11/26/2023 14:20:10 | prod-web-01 (5e8c...3d4e) | start | root | success
11/26/2023 14:25:05 | prod-web-01 (5e8c...3d4e) | disk-add | jdoe | success
11/26/2023 15:00:12 | prod-web-01 (5e8c...3d4e) | stop | root | success

• Time: 이벤트가 발생한 시간입니다.
• VM (UUID): 이벤트가 발생한 가상 머신의 이름과 고유 식별자(UUID)입니다.
• Event: 발생한 이벤트의 유형입니다 (예: start, stop, pause, resource-change).
• User: 작업을 수행한 사용자입니다.
• Result: 작업의 성공 또는 실패 여부입니다.

ausearch로 모든 권한 발휘하기: 포렌식 심층 분석

auvirt가 빠르고 편리한 보고서라면, ausearch는 사건의 전말을 파헤치는 강력한 수사 도구입니다. ausearch를 사용하면 auvirt만으로는 불가능했던, VM 이벤트를 시스템의 다른 활동과 연관 지어 분석하는 진정한 포렌식 조사가 가능해집니다.

"어떤 사용자가 SSH로 로그인해서 virsh 명령을 내렸는가?"와 같은 질문에 대한 답은 ausearch만이 줄 수 있습니다. 이 섹션은 독자를 단순한 보고서 사용자에서 포렌식 조사관으로 한 단계 격상시킬 것입니다.

ausearch로 libvirt 이벤트 검색하기

ausearch는 VM 관련 이벤트를 직접 필터링할 수 있는 강력한 옵션을 제공합니다.

• VM 이름 또는 UUID로 직접 필터링: --vm-name과 --uuid 옵션을 사용하면 auvirt와 유사하게 특정 VM의 이벤트를 쉽게 찾을 수 있습니다. -i 옵션을 함께 사용하면 숫자 ID(UID, GID 등)를 사람이 읽을 수 있는 텍스트로 변환해주어 분석이 훨씬 용이해집니다.

  # prod-web-01 VM과 관련된 모든 이벤트를 해석하여 출력
  sudo ausearch --vm-name prod-web-01 -i
  

• libvirt 메시지 유형으로 필터링: -m 옵션을 사용하여 특정 유형의 libvirt 이벤트만 골라낼 수 있습니다.
  • VIRT_CONTROL: VM의 시작, 중지, 재부팅 등 생명주기 관련 이벤트.
  • VIRT_RESOURCE: CPU, 메모리, 디스크, 네트워크 인터페이스 등 리소스의 추가/제거 이벤트.
  • VIRT_MACHINE_ID: SELinux와 같은 보안 컨텍스트가 VM에 할당되는 이벤트.

  # prod-db-01 VM의 리소스 변경 이벤트만 검색
  sudo ausearch -m VIRT_RESOURCE --vm-name prod-db-01 -i
  

상관관계 분석의 힘: 실제 조사 시나리오

이것이 이 글의 핵심 예제입니다. 프로덕션 VM에 예기치 않은 디스크가 추가된 상황을 가정하고, 누가, 언제, 어떻게 이 작업을 수행했는지 추적해 보겠습니다.

시나리오: 프로덕션 데이터베이스 VM(prod-db-01)에 승인되지 않은 가상 디스크가 추가되었습니다. 범인을 찾아야 합니다.

1단계: 이벤트 찾기
먼저, 최근에 발생한 디스크 리소스 변경 이벤트를 찾습니다.

# 최근 발생한 VIRT_RESOURCE 이벤트 중 'resrc=disk'를 포함하는 로그 검색
sudo ausearch -m VIRT_RESOURCE -ts recent -i | grep "resrc=disk"

이 명령의 결과에서 다음과 같은 로그를 발견했다고 가정합니다.

type=VIRT_RESOURCE msg=audit(1319602467.134:33): pid=14103 uid=0 auid=1001 ses=123 msg='resrc=disk reason=attach vm="prod-db-01" uuid=... new-disk="/path/to/new.img": exe="/usr/sbin/libvirtd" res=success'

2단계: 행위자 식별
1단계의 로그에서 가장 중요한 정보는 auid=1001입니다. auid(Audit User ID)는 사용자가 시스템에 로그인할 때 할당되는 고유한 세션 ID입니다. 이 auid가 바로 모든 것을 연결하는 열쇠입니다.

3단계: 검색 범위 확장
이제 auid를 사용하여 해당 사용자가 로그인 세션 동안 수행한 모든 활동을 추적합니다.

# auid가 1001인 사용자의 최근 활동을 모두 검색
sudo ausearch -ua 1001 -ts recent -i

이 명령의 결과는 다음과 같은 전체 스토리를 보여줄 것입니다.

1. 사용자 evil_user(UID 1001)가 특정 IP에서 SSH로 로그인 (type=USER_LOGIN).
2. sudo -i 명령을 통해 root 권한 획득 (type=USER_CMD).
3. virsh attach-disk prod-db-01 /path/to/new.img vdb 명령 실행 (type=SYSCALL 및 type=VIRT_RESOURCE).
4. 로그아웃.

시나리오 결론: 이 과정을 통해 우리는 VM에서 발생한 하나의 이벤트를 시작으로, 해당 작업을 수행한 실제 사용자와 그가 로그인해서 로그아웃할 때까지의 모든 행적을 완벽하게 재구성했습니다. 이것이 바로 ausearch를 통한 포렌식 분석의 힘입니다.

문제 해결 및 전문가 팁

가장 완벽한 가이드라도 실제 현장에서 마주치는 문제들을 해결해주지 못하면 무용지물입니다. 이 섹션에서는 auvirt와 auditd를 사용하면서 발생할 수 있는 일반적인 문제들과 그 해결책, 그리고 프로덕션 환경을 위한 전문가 팁을 제공합니다.

일반적인 문제 및 해결책 체크리스트

• 문제: bash: auvirt: command not found
  • 원인: auvirt 명령어를 포함하는 audit 패키지가 설치되지 않았거나, PATH 환경 변수에 해당 경로가 포함되어 있지 않습니다.
  • 해결책: audit 패키지를 설치합니다. RHEL/CentOS에서는 sudo dnf install audit, Debian/Ubuntu에서는 sudo apt install auditd를 실행합니다.
• 문제: auvirt를 실행해도 아무런 출력이 없거나 "No events found" 메시지만 나옵니다.
  • 체크 1: auditd 서비스가 실행 중인가요?
    sudo systemctl status auditd 명령으로 서비스 상태를 확인하세요.
  • 체크 2: libvirtd가 감사를 보내도록 설정되었나요?
    /etc/libvirt/libvirtd.conf 파일에서 audit_level이 1 또는 2로 설정되어 있는지 확인하세요.
  • 체크 3: 설정 이후 VM 이벤트가 실제로 발생했나요?
    테스트 VM을 시작하거나 중지하여 감사 이벤트가 생성되는지 확인하세요.
  • 체크 4: 권한이 충분한가요?
    감사 로그 파일(/var/log/audit/audit.log)은 일반적으로 root 사용자만 읽을 수 있습니다. sudo auvirt와 같이 sudo를 사용하여 명령을 실행하세요.
  • 체크 5: SELinux가 접근을 막고 있지는 않나요?
    sudo ausearch -m AVC -ts recent 명령으로 libvirtd나 auditd와 관련된 거부(denial) 로그가 있는지 확인하세요.
• 문제: auvirt가 "Segmentation fault"와 함께 비정상 종료됩니다.
  • 원인: 이 문제는 감사 로그 파일인 /var/log/audit/audit.log가 존재하지 않을 때 발생하는 것으로 알려진 버그입니다.
  • 해결책: 로그 파일과 디렉토리가 올바른 권한으로 생성되어 있는지 확인하고, 없다면 생성해 줍니다.

    sudo touch /var/log/audit/audit.log
    sudo chmod 600 /var/log/audit/audit.log
    

프로덕션 환경을 위한 전문가 팁

• 로그 로테이션(Log Rotation): 바쁜 프로덕션 시스템에서는 감사 로그가 디스크 공간을 빠르게 채울 수 있습니다. /etc/audit/auditd.conf 파일에서 max_log_file (최대 로그 파일 크기)와 max_log_file_action (크기 초과 시 수행할 동작, 예: ROTATE) 옵션을 설정하여 로그가 자동으로 관리되도록 하는 것이 필수적입니다.
• aureport 활용: auvirt가 개별 이벤트에 대한 보고서라면, aureport는 통계적 요약 보고서를 생성하는 데 탁월합니다. 예를 들어, aureport --vm 명령은 VM 관련 이벤트에 대한 통계적 개요를 제공하여 auvirt의 기능을 보완합니다.
• 키(Key) 기반 감사: auditctl로 복잡한 규칙을 설정할 때 -k my_custom_key와 같이 고유한 키를 부여하면, 나중에 ausearch -k my_custom_key 명령으로 해당 규칙에 의해 생성된 로그만 매우 빠르고 효율적으로 검색할 수 있습니다. 이는 특정 감사 목적(예: 'PCI-DSS-compliance')에 맞는 로그를 필터링할 때 매우 강력합니다.

마무리: 사후 대응에서 사전 감독으로

이 글을 통해 우리는 가상화 환경의 감사라는 복잡한 여정을 함께했습니다. virsh (관리자), auvirt (보고관), ausearch (수사관)라는 세 도구의 명확한 역할을 이해했고, auditd와 libvirt의 연동이라는 견고한 기반을 다지는 방법을 배웠습니다. 또한, auvirt의 단순함과 ausearch의 강력한 포렌식 능력을 실제 시나리오를 통해 확인했습니다.

이러한 수준의 감사를 구현하는 것은 단순히 장애 발생 후 원인을 찾는 사후 대응(Reactive Troubleshooting)에서 벗어나, 시스템의 모든 활동을 투명하게 감독하고 통제하는 사전 감독(Proactive Oversight) 체계로 전환하는 것을 의미합니다. 이제 여러분은 보안 정책을 준수하고, 규제 요구사항을 충족하며, 시스템의 동작을 깊이 있게 이해할 수 있는 강력한 가시성을 확보하게 되었습니다.

지금 바로 여러분의 시스템으로 돌아가 이 가이드의 설정 단계를 적용하고, 가상 환경의 감사 추적을 시작해 보십시오. 가시성은 안전하고 잘 관리되는 인프라의 가장 중요한 초석입니다.