로그 근거를 답안 문장으로 바꾸기

자주 나오는 로그 조합

SQL 키워드와 500 오류

UNION SELECT, ORDER BY, 주석 기호가 반복되고 500이 증가하면 SQL Injection 시도와 DB 오류 유발 가능성을 함께 씁니다.

객체 ID 변경과 200 응답

/api/users/101 같은 순차 ID 변경이 모두 성공하면 IDOR 또는 BOLA로 보고 서버 측 소유자 검증 누락을 지적합니다.

업로드 뒤 명령 실행

image.jpg 업로드 후 cmd=whoami 요청이 성공하면 웹셸 업로드로 의심하고 파일 격리, 내용 분석, 실행권한 제거를 연결합니다.

답안 문장 구성 기준

식별 → 근거 → 조치 → 방지

공격명 또는 관리 미흡

로그·상황 근거 2개 이상

차단·격리·보존

정책·절차·기술 통제

예시는 “해당 상황은 SQL Injection 시도로 의심할 수 있다. 그 근거는 SQL 키워드와 500 오류 증가다. 즉시 웹·DB 로그를 분석하고 공격 IP와 취약 URL을 차단한다. 재발 방지를 위해 Prepared Statement, 입력값 검증, DB 권한 최소화, WAF 정책을 적용한다.”처럼 씁니다.

감점 방어

공격명만 쓰면 부족합니다. 증거 훼손 문제는 원본 보존과 해시값, BCP/DRP 문제는 RTO·RPO와 복구훈련, 개인정보 유출은 항목·정보주체 수·신고 검토까지 붙여야 합니다.