Windows Event Log 기반 공격 흐름 분석 — Event ID 4624 중심
개요
Event ID 4624는 Windows 보안 로그에서 "로그온 성공(An account was successfully logged on)"을 기록한다. 단일 이벤트만으로 모든 공격을 확정할 수는 없으나, 4624를 출발점으로 주변 이벤트(예: 4672, 4688 등)를 연계하면 공격자의 활동 흐름을 추적하는 데 유의미한 단서를 얻을 수 있다. 이 문서는 4624 로그 필드 구조를 해부하고, Logon Type별 해석, 일반적인 공격 시나리오(정상/원격 데스크톱/RDP 기반 lateral movement 등), 그리고 실무에서 사용할 수 있는 이벤트 연결·탐지 기준을 제시한다.
1) 4624 로그 구조와 핵심 필드
일반적으로 Security 이벤트의 상세는 XML 형태로 보관된다. 기본적으로 다음 필드가 중요하다.
- Subject/User: 이벤트를 기록한 계정(주로 시스템/로컬 서비스)
- Account Name/Domain: 로그인한 계정
- Logon ID: 유니크 식별자(세션 추적용)
- Logon Type: 로그온 방식(중요)
- Process Name / New Logon 정보: 로그온을 야기한 프로세스와 세부정보
- Source Network Address / Port: 원격 연결의 IP/포트
4624 예시 (XML)
code snippet
XML
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" />
<EventID>
</EventID>
<TimeCreated SystemTime="2026-03-25T00:12:34.000Z" />
</System>
<EventData>
<Data Name="SubjectUserSid">
</Data>
<Data Name="SubjectUserName">
</Data>
<Data Name="SubjectDomainName">
</Data>
<Data Name="TargetUserSid">
</Data>
<Data Name="TargetUserName">
</Data>
<Data Name="TargetDomainName">
</Data>
<Data Name="LogonType">
</Data>
<Data Name="LogonProcessName">
</Data>
<Data Name="AuthenticationPackageName">
</Data>
<Data Name="IpAddress">
</Data>
<Data Name="IpPort">
</Data>
<Data Name="WorkstationName">
</Data>
</EventData>
</Event>
위 XML에서 특히 주목할 필드는 LogonType(숫자), LogonID(세션 추적), IpAddress/IpPort(원격 발신지), 그리고 TargetUserName/Domain이다. LogonType은 인증의 문맥을 제공하므로 공격 시나리오 구분의 첫 번째 실마리이다.
2) Logon Type별 해석 및 분석 포인트
간단 요약(중요한 타입):
- 2: Interactive — 로컬 물리적 로그인 또는 콘솔 접속
- 3: Network — 네트워크를 통한 접근(파일 공유 등)
- 4: Batch — 예약 작업
- 5: Service — 서비스 계정
- 7: Unlock — 잠금 해제
- 8: NetworkCleartext — 평문 인증(드물지만 중요)
- 9: NewCredentials — RunAs / pass-the-hash 계열
- 10: RemoteInteractive — 원격 데스크톱 (RDP)
- 11: CachedInteractive — 도메인 컨트롤러 비가용 시 캐시 로그인
분석 포인트:
- LogonType 10(또는 2에서의 이상 패턴)은 원격 데스크톱 기반 침입 가능성 증거다. 같은 계정으로 짧은 시간에 여러 LogonType이 기록되거나, 비정상적 IP에서의 10 타입 접근은 우선 조사 대상이다.
- LogonID는 동일 사용자/세션을 여러 이벤트에서 연결하는 키다. 4624의 LogonID가 이후 4688(프로세스 실행)이나 4672(특권 할당) 이벤트와 같은 LogonID로 연결되는지 확인하면 활동의 연속을 추적할 수 있다.
3) 공격 시나리오(정상 vs RDP vs Lateral Movement)
정상적 사용
- 내부 직원이 정상 업무 시간에 사무용 PC에서 LogonType 2로 로그인하고, 이후 네트워크 리소스 접근으로 LogonType 3 이벤트를 기록한다。
RDP 기반 침입
- 외부 IP에서 LogonType 10으로 로그인(4624) → 즉시 관리자 권한 또는 민감 프로세스 실행(4688) → 4672(특권 이벤트) 기록。
- 특징: 동일한 IP/Port 조합이 여러 계정에 대해 시도되거나, 짧은 시간에 다수 계정이 성공하면 lateral movement 시도로 의심。
Lateral movement (이동 수단 다양)
- 초기 액세스(예: 피싱)로 획득한 자격증명으로 RDP(10) 또는 SMB/WinRM(3/9) 등을 통해 내부 호스트로 이동。
- 이동 시 흔한 흐름: 4624(로그온 성공) → 4672(관리자 권한 사용 감지) → 4688(심각한 명령/스케줄러 실행) → 추가 네트워크 연결 이벤트。
4) 이벤트 흐름 연결(실무적 기준)
핵심 연결 방법(우선순위):
- 4624(Logon Success) 에서 LogonID 추출
- 같은 LogonID가 4672(특권) 또는 4688(새 프로세스) 이벤트에 재사용되는지 확인
- IpAddress/WorkstationName을 교차검증하여 같은 원격지에서 발생하는지 확인
- 시간 창(예: 5분 이내 연속 이벤트)으로 연관성 검증
탐지 룰 예시(간단):
- 조건: 4624(LogonType=10) && 이후 4672 또는 4688이 같은 LogonID로 300초 내 발생 → 경보
- 조건: 동일 계정의 서로 다른 IP에서 10분 내 다수 로그인 성공(임계값 N) → 조사 필요
5) 실제 분석 체크리스트 (IP / 계정 / 시간 / 유형)
- IP
- 공용 IP인가(지리·ASN 검사), VPN/프록시 흔적
- 계정
- Service 계정/관리자 계정 여부, 최근 취약점/패스워드 변경 기록
- 시간
- 주간/업무시간 외인지, 평소 활동 패턴과 차이
- 유형
- LogonType 조합(예: 10→2 전환), 인증 패키지(Negotiate/NTLM) 등
6) 결론 및 권장 절차
4624는 단독으로는 결정적인 증거가 되지 않지만, LogonID·LogonType·원격지 정보(IP)와의 결합 분석은 공격 흐름의 첫 단추를 제공한다. 실무에서는 4624를 중심으로 4672/4688 등과의 연계를 자동화해 의심스러운 세션을 빠르게 식별하는 것이 핵심이다。
References
- Windows Security Log Event 4624 (Microsoft)
- Forensic analysis patterns (internal reference)
