컨텍스트 확인 → 격리 결정 → 증거 보존
보안 스터디에서 침투 이벤트 시뮬레이션을 다루면서 탐지·확인 절차를 처음 체계적으로 배웠습니다. 이벤트가 들어오면 먼저 오탐 여부를 판단하고, 실제 공격으로 판정되면 격리 여부를 빠르게 결정하는 흐름이 핵심이었습니다. SIEM 알림에서 컨텍스트를 확인하는 방법을 배웠는데, 같은 IP에서 유사한 패턴이 반복되는지, 발생 시간대가 비정상인지를 먼저 보는 방식이 초기 판단에 도움이 됐습니다. 확인 결과를 인시던트 티켓으로 생성하고 관련 로그를 보존하는 단계가 사후 분석에 중요하다는 걸 배웠습니다. 혼자 판단이 어려운 경우 에스컬레이션 기준을 미리 정해 두는 게 대응 속도를 높인다는 것도 이 실습에서 얻은 교훈입니다.
초동 대응 단계에서 증거를 보존하면서 격리를 진행하는 균형이 가장 중요하다고 봅니다.