Incident Answer Frame
로그형 답안은 공격명보다 근거, 조치, 재발 방지를 함께 맞혀야 한다
시스템·웹·네트워크·개인정보 유출 지문은 같은 답안 구조로 읽고,
증거가 없는 추측은 뒤로 미룬다.
근거 묶음
로그
시간, 출발지, 계정, URL, 실패 코드, 반복 패턴을 먼저 고른다.
상황
장애, 유출, 침입, 권한 남용 중 어느 시나리오인지 좁힌다.
채점
식별, 근거, 즉시 조치, 재발 방지를 빠뜨리지 않는다.
01
증거 추출
지문에서 반복 값, 비정상 값, 시간 순서, 영향 범위를 표시한다.
02
문제 식별
공격명은 로그 근거로 설명할 수 있을 때만 확정한다.
03
영향 범위
계정, 서버, DB, 개인정보, 서비스 중 무엇이 영향을 받는지 쓴다.
04
즉시 조치
차단, 격리, 계정 잠금, 키 폐기, 백업 전환처럼 지금 할 일을 적는다.
05
재발 방지
설정 개선, 모니터링, 정책, 교육, 정기 점검으로 마무리한다.
| 문제군 | 대표 단서 | 즉시 조치 | 재발 방지 |
|---|---|---|---|
| 웹 로그 |
UNION, 비정상 파라미터, 500 오류
|
차단, 취약 기능 점검, 로그 보존 | 입력 검증, Prepared Statement |
| 계정 침해 | 짧은 시간 다수 실패, 낯선 IP 성공 | 계정 잠금, 비밀번호 초기화, 세션 폐기 | MFA, Rate Limit, 알림 |
| 개인정보 유출 | 대량 조회, 외부 전송, 권한 초과 접근 | 접근 차단, 범위 산정, 통지 검토 | 권한 최소화, DLP, 감사 |
| 장애 상황 | 서비스 중단, RTO 초과, 백업 실패 | 복구 절차 실행, 우회 운영 | BCP/DRP 훈련, 백업 검증 |
감점 방지
공격명만 쓰고 근거를 빼면 부분점이 크게 줄어든다.
답안 순서
현상, 근거, 영향, 조치, 예방 순서를 지키면 문장이 덜 흔들린다.
표현 원칙
로그에 나온 값은 직접 언급하고, 추정은 가능성으로 낮춰 쓴다.