감사로그를 읽을 때 관리자가 놓치는 세 가지

감사로그는 보안 사고 때만 열어보는 문서가 아니라, 운영 품질을 점검하는 일기에 가깝습니다. 현장에서는 이벤트 이름만 보고 ‘문제 없음’으로 넘어가는 경우가 많은데, 실제로는 동일 사용자가 짧은 시간에 서로 다른 지역에서 접속했는지, 앱 토큰이 예상보다 넓은 범위를 요청했는지 같은 패턴이 중요합니다.

첫째, 시간축을 먼저 고정합니다. 한 세션의 시작·종료와 이벤트 버스트가 겹치는지 확인합니다. 둘째, 주체를 분리합니다. 사용자 행위와 관리자 행위, 시스템 계정의 자동 작업을 한 표에 섞으면 해석이 흐려집니다. 셋째, 범위를 기록합니다. 어떤 워크스페이스·팀·사이트 컬렉션에 대한 이벤트인지 범위가 빠지면 나중에 재현이 어렵습니다.

이 글에서 제시한 프레임은 교육 과정의 주간 점검표와 연결됩니다. 팀마다 로그 필드를 조금씩 다르게 쓰기 때문에, 표를 복사해 필드 이름만 바꾸는 식으로 현장에 맞게 조정하길 권합니다. 법적 분쟁이 예상될 때는 내부 보안팀과 법무팀에 동일한 타임라인을 공유하는 것이 안전합니다.