침해 대응 (Incident Response)

침해 대응 (Incident Response)

보안 사고를 신속하게 탐지·분석·억제·제거·복구하고 교훈을 얻는 체계적 절차

특징: 신속 대응, 피해 최소화, 포렌식 증거 보존

구성요소: IR 팀(CSIRT), 플레이북(Runbook), 도구(EDR/SIEM/포렌식), 커뮤니케이션

NIST 4단계

• •준비: CSIRT 구성, 플레이북 작성, 도구 준비, 모의 훈련(Tabletop Exercise)
• •탐지/분석: SIEM/EDR/IDS 경보, 이벤트→보안사고 트리아지, IOC 분석/MITRE ATT&CK 매핑
• •억제/제거/복구: 단기 억제(네트워크 격리)→장기 억제(패치)→제거(악성코드/백도어)→복구(백업 복원)
• •사후활동: 교훈 회의, 보고서, 정책 업데이트, 재발 방지

포렌식 증거 보존: 휘발성 순서(레지스터→메모리→디스크), Chain of Custody, 쓰기 방지, 해시값 무결성

적용사례: 랜섬웨어 대응, APT 제거, 데이터 유출 조사

연관: 포렌식, EDR, SIEM, SOAR