W-50 보안 감사를 로그할 수 없는 경우 즉시 시스템 종료

가이드라인 원문

항목	내용
항목코드	W-50
점검내용	‘보안감사를로그할수없는경우즉시시스템종료’정책설정여부점검
점검대상	Windows NT, 2000, 2003, 2008, 2012, 2016, 2019, 2022
판단기준	양호: ‘보안감사를로그할수없는경우즉시시스템종료’정책이’사용안함’으로되어있는경우
판단기준	취약: ‘보안감사를로그할수없는경우즉시시스템종료’정책이’사용’으로되어있는경우
조치방법	‘보안감사를로그할수없는경우즉시시스템종료’정책을’사용안함’으로설정

이 항목은 보안 감사 로그(Security Log)가 가득 차서 더 이상 새로운 로그를 기록할 수 없을 때, **시스템을 즉시 정지(블루스크린)**시켜서라도 로그 누락을 막을 것인지 결정하는 정책입니다.

보안성 vs 가용성의 딜레마

보안성 최우선 (사용): “로그 없는 작업은 용납할 수 없다.” 로그를 못 남길 바에야 시스템을 끄는 것이 낫다고 판단하는 군사/금융 등 최고 등급의 보안 시스템에 적용합니다.
가용성 최우선 (사용 안 함): “로그가 좀 누락되더라도 서비스는 죽으면 안 된다.” 일반적인 기업/서비스 환경에서는 이 설정이 권장됩니다. 이 기능이 켜져 있으면 로그 용량 부족 시 서버가 다운되기 때문입니다.

보안 위협 시나리오

구분	기준
양호	“보안 감사를 로그할 수 없는 경우 즉시 시스템 종료” 정책이 사용 안 함으로 설정된 경우 (일반적인 환경)
취약	해당 정책이 사용으로 설정되어 있어, 로그 풀(Full) 시 시스템 다운 위험이 있는 경우

1
2
3
4
5
1. 시작 > 실행 > secpol.msc
2. 로컬 정책 > 보안 옵션
3. **"감사: 보안 감사를 로그할 수 없는 경우 즉시 시스템 종료"** 정책 확인
   - **사용 안 함**: 양호
   - **사용**: 취약 (운영 환경 고려 필요)

1
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "CrashOnAuditFail"

서비스 가용성을 위해 해당 기능을 비활성화합니다.

1
2
3
4
5
1. 시작 > 실행 > secpol.msc
2. 로컬 정책 > 보안 옵션
3. **"감사: 보안 감사를 로그할 수 없는 경우 즉시 시스템 종료"** 더블클릭
4. **[사용 안 함]** 선택
5. 확인

1
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "CrashOnAuditFail" -Value 1

주의사항	설명
로그 관리 병행	이 설정을 끄더라도, 로그는 계속 기록되어야 합니다. W-42(이벤트 로그 관리 설정)에서 “필요한 경우 이벤트 덮어쓰기"나 “자동 보관"을 설정하여 로그가 꽉 차지 않도록 순환 구조를 만들어야 안전합니다.
특수 목적	국방/기밀 시스템 등 가용성보다 ‘책임 추적성’이 절대적으로 중요한 곳에서는 이 옵션을 켜야 할 수도 있습니다. (취약/양호 기준은 조직의 성격에 따라 달라질 수 있음)

W-50 보안감사를로그할수없는경우즉시시스템종료는 양날의 검입니다. 일반 서버라면 “로그 때문에 서버가 죽는 일"을 막기 위해 사용 안 함으로 설정하세요.