격리 → IOC 추출 → 메모리 분석
보안 스터디 중 모의 환경에서 랜섬웨어 샘플을 분석했던 경험이 가장 인상적인 대응 사례입니다. 먼저 네트워크를 격리하고 Wireshark로 C2 서버와의 통신 패턴을 캡처해 IOC를 뽑아냈습니다. 프로세스 트리를 추적하다가 정상 시스템 프로세스에 인젝션된 쉘코드를 발견했고, 파일 없이 메모리에서만 실행되는 방식임을 확인했습니다. 분석 결과를 정리할 때는 발견 시각, 영향 범위, 대응 단계 순으로 작성해 팀원과 공유했습니다. 실제 현업에서는 모의 환경보다 훨씬 복잡한 상황이 올 거라 생각하고, 사고 대응 플레이북을 미리 정의해 두는 연습을 계속하고 있습니다. 특히 역할별 대응 순서를 미리 갖춰 두는 것이 실제 대응 속도를 높인다는 것도 이 경험에서 배웠습니다.