Security Engineer · Incident Response

침해사고 대응 단계와 증거 보존 체인

탐지부터 보고까지의 대응 단계에서 어떤 증거를 언제 수집하고 원본성, 무결성, 인계 기록을 어떻게 지키는지 연결한다.

01

초기 기록

발견 시각, 탐지 경로, 최초 조치자를 즉시 기록한다.

timestamp
02

원본 보호

디스크, 메모리, 로그를 가능한 원본 상태로 보존하고 작업본을 분리한다.

preserve
03

무결성 확인

수집 파일의 hash와 보관 위치, 접근자를 증거 목록에 남긴다.

integrity
04

인계 관리

분석자, 관리자, 외부 기관으로 이동할 때 chain of custody를 기록한다.

custody
격리 전
휘발성 정보 우선 네트워크 연결, 프로세스, 메모리처럼 사라질 정보를 먼저 판단한다.
volatile
분석 중
원본과 사본 분리 원본은 보존하고 분석은 복제본에서 수행해 훼손 위험을 줄인다.
forensic
보고 시
사실과 추정 분리 확인된 증거, 추정 원인, 추가 확인 필요 항목을 나누어 적는다.
report

채점 포인트

절차성 탐지, 분석, 차단, 제거, 복구, 재발방지를 순서대로 쓴다.
무결성 해시와 접근기록을 언급하면 증거 보존 답안이 단단해진다.
보고 개인정보 유출 여부와 외부 신고 필요성을 함께 판단한다.