격리·증거 보전·원인 조사·복구 순서로 보안 사고 대응 절차 설명결
보안 사고가 발생했을 때 가장 먼저 취하는 것은 피해 확산 방지를 위한 격리입니다. 감염된 시스템이나 계정을 네트워크에서 분리해서 공격자가 추가로 움직이는 경로를 차단합니다. 격리가 늦어질수록 피해 범위가 넓어지기 때문에 다른 조치보다 우선합니다.
격리와 함께 증거 보전이 중요합니다. 로그를 삭제하거나 시스템을 재시작하면 나중에 무슨 일이 있었는지를 추적하기 어렵습니다. 메모리 덤프와 로그 파일을 가능한 한 원본 상태로 확보하는 것이 이후 원인 조사의 기반이 됩니다.
원인 조사 단계에서는 언제, 어떤 경로로 침입이 이뤄졌는지를 타임라인으로 재구성합니다. 이 분석이 끝나야 동일한 경로가 다시 사용되지 않도록 막을 수 있습니다. 복구는 조사 후에 진행하고, 복구된 시스템이 정상 상태인지를 검증한 뒤에 서비스에 복귀하는 순서를 지킵니다.