malware response
악성코드는 먼저 격리해 확산을 멈추고, 분석 뒤 제거하고 복구한다
감염 의심 상황에서는 원인 분석보다 확산 차단이 먼저다. 이후 피해
범위와 감염 경로를 확인하고 복구와 재발 방지를 묶어 수행한다.
징후
CPU 급증, 의심 프로세스, 외부 C2 통신, 파일 암호화를 본다.
원칙
확산 차단, 증거 보존, 업무 복구를 동시에 고려한다.
마무리
패치, 권한 조정, 보안 설정 강화, 사용자 교육으로 재발을 줄인다.
01
탐지
백신 경고, 로그, 프로세스, 네트워크 이상 징후를 확인한다.
02
격리
감염 시스템을 네트워크에서 분리해 확산과 외부 통신을 막는다.
03
분석
감염 경로, 피해 범위, 악성 행위, 지속성 항목을 파악한다.
04
제거
악성 파일, 프로세스, 자동 실행 항목과 계정 악용 흔적을 제거한다.
05
복구
검증된 백업으로 복원하고 서비스와 데이터 무결성을 확인한다.
06
재발 방지
패치, 최소 권한, EDR 정책, 사용자 교육과 탐지 규칙을 보강한다.
징후
가능한 의미
먼저 볼 증거
CPU·메모리 급증
악성 프로세스 또는 채굴 프로그램
프로세스 목록, 실행 경로, 부모 프로세스
외부 통신 증가
C2 서버 통신 또는 정보 유출
목적지 IP, 도메인, 프로토콜, 주기성
파일 암호화
랜섬웨어 가능성
변경된 확장자, 대량 파일 수정, 백업 접근 흔적
로그 삭제
침입 흔적 은폐
삭제 시각, 계정, 원격 접속, 중앙 로그 대조
답안 흐름
감염 시스템을 네트워크에서 격리하고, 로그·프로세스·파일을 분석한 뒤
제거, 백업 복구, 패치와 권한 조정으로 재발을 방지한다.