직접 경험 없음 인정하고 탐지 지표 정의·SIEM 룰·IR 플레이북·사후 분석으로 이해 공유결
침해사고 대응 프로세스를 직접 구축한 경험은 아직 없습니다. 다만 이 분야에서 어떤 구조가 중요한지 공부한 내용을 바탕으로 답하겠습니다.
탐지 단계에서 중요한 것은 탐지 지표(IoC)를 명확히 정의하는 것입니다. 어떤 이벤트를 침해 의심으로 볼 것인지 기준이 없으면, 로그가 쌓여도 의미 있는 알림이 나오지 않습니다. SIEM에 위협 인텔리전스와 연동된 탐지 룰을 적용하면 알려진 공격 패턴을 빠르게 식별할 수 있습니다.
대응 단계에서는 IR 플레이북이 핵심입니다. 어떤 침해 유형에 어떤 절차로 대응할지를 사전에 정해두면, 실제 사고 상황에서 판단 지연을 줄일 수 있습니다. 격리, 증거 보존, 복구 순서를 플레이북에 명확하게 담아두는 것이 중요합니다.
사고가 종료된 후에는 사후 분석이 반복을 막습니다. 공격자가 어떻게 들어왔고, 어디서 탐지됐는지를 분석해서 탐지 룰과 대응 절차를 개선하는 것이 사후 분석의 목적입니다.