침해사고 대응 절차를 실습 경험 기반으로 단계별 서술
침해사고 대응 절차는 격리 → 증거 보존 → 원인 분석 → 복구 → 재발 방지 순서로 진행하는 것이 기본이라고 배웠고, 실습에서 직접 경험했습니다.
보안 수업 시뮬레이션에서 악성코드 감염 시나리오를 다뤘는데, 가장 먼저 한 것은 감염된 시스템을 네트워크에서 분리하여 피해가 확산되지 않게 하는 것이었습니다. 이후 로그와 메모리 덤프를 수집하여 어떤 경로로 침투가 이루어졌는지를 분석했습니다. 실패는 처음에 격리보다 원인 분석을 먼저 하려다가 감염이 옆 시스템으로 퍼진 것이었는데, 격리가 항상 첫 번째라는 것을 그 실습에서 명확히 배웠습니다.
침해사고 대응에서 빠른 격리가 피해 범위를 결정하고, 그 이후 분석 품질이 재발 방지를 결정합니다.