해킹 시도 긴급 대응 — 격리·로그 보존·에스컬레이션 순서 실습
해킹 시도 대응 경험은 보안 수업에서 웹 서버 공격 시뮬레이션 시나리오를 다룬 것이 가장 가깝습니다. 비정상 트래픽 패턴이 감지됐을 때 가장 먼저 한 건 영향받은 시스템을 네트워크에서 격리하는 것이었습니다. 확산을 막는 것이 피해 최소화의 첫 단계입니다. 격리 이후에는 로그를 훼손하지 않고 보존하는 것이 중요합니다. 공격자가 로그를 지우는 경우도 있어 스냅샷을 즉시 뜨는 것이 포렌식을 위한 기반이 됩니다. 상황을 파악하면서 담당자 혼자 판단하지 않고 보안팀과 상위 보고 라인에 빠르게 에스컬레이션하는 것도 배웠습니다. 공격이 진행 중인 상황에서 복구를 서두르면 오히려 증거가 사라질 수 있어, 대응 순서를 지키는 것이 중요합니다.
빠른 복구보다 정확한 원인 파악이 재발 방지로 이어집니다.