😊침해사고 대응 7단계 한눈에 정리
| 단계 | 이름 | 쉽게 이해하기 | 주요 활동 예시 | 포인트 / 암기팁 |
|---|---|---|---|---|
| 1단계 | 사고 전 준비 | 사고가 터지기 전에 미리 대비하는 단계 | 보안 정책 수립, 대응 매뉴얼 작성, 담당자 지정, 모의훈련, 백업/로그 설정 | “사고 나기 전에 준비”라는 말 그대로. 시험에서 ‘사전 예방 활동’ 관련 내용은 대부분 이 단계. |
| 2단계 | 사고 탐지 | 이상 징후를 찾아내는 단계 | IDS/IPS, SIEM 모니터링, 로그 분석, 사용자 제보 접수, 경보(Alert) 확인 | “이상 징후 발견 = 탐지”. 알람, 경보, 로그 분석 → 무조건 사고 탐지 단계 연상. |
| 3단계 | 초기 대응 | 사고가 의심되면 확산을 막기 위한 응급 조치 단계 | 네트워크 차단, 계정 잠금, 악성 프로세스 종료, 긴급 패치, 증거 보존 조치 시작 | “더 이상 퍼지지 않게 막는 단계”. 차단, 격리, 응급조치 키워드 기억하기. |
| 4단계 | 대응 전략 체계화 | 상황을 파악하고 어떻게 대응할지 계획을 세우는 단계 | 사고 범위/영향 분석, 우선순위 결정, 복구 전략 수립, 외부 기관 협조 여부 결정 | “전략/계획 세우는 단계”. 무작정 복구 X, 체계적인 대응 방안 수립이 핵심. |
| 5단계 | 사고 조사 | 사고의 원인과 과정(타임라인)을 파헤치는 단계 | 디지털 포렌식, 로그/패킷 분석, 침입 경로 파악, 피해 범위 분석 | “누가, 언제, 어떻게, 무엇을 했는가”를 밝히는 단계. 포렌식, 타임라인, 원인 분석 키워드. |
| 6단계 | 보고서 작성 | 조사 결과를 문서로 정리하는 단계 | 사고 개요, 영향, 원인, 조치 내용, 재발 방지 대책 정리, 경영진·관계기관 보고 | “기록과 보고”. 결과 문서화, 경영진·관련 기관 보고가 나오면 이 단계. |
| 7단계 | 해결 | 시스템을 정상 상태로 복구하고, 재발 방지까지 마무리하는 단계 | 시스템 복구, 패치 적용, 취약점 제거, 추가 보안 강화, 재발 방지 대책 실행, 사후 교육 | “복구 + 재발 방지”. 단순 복구가 아니라 보안 수준까지 끌어올리는 것이 포인트. |
설명 예시
침해사고 대응은 단순히 “사고 나면 고치기”가 아니라,
사고 전 준비 → 탐지 → 응급조치 → 전략 수립 → 조사 → 보고 → 해결로 이어지는 7단계 프로세스입니다.
-
사고 전 준비
-
사고가 나기 전에 정책, 매뉴얼, 조직, 백업, 로그 등을 미리 준비하는 단계입니다.
-
이 단계가 잘 되어 있어야 이후 단계가 흔들리지 않아요.
-
-
사고 탐지
-
IDS/IPS, 로그, 모니터링 시스템, 사용자 신고 등을 통해 이상 행위를 발견하는 단계입니다.
-
“침해 징후를 인지했다”는 표현이 나오면 대부분 탐지 단계에 해당합니다.
-
-
초기 대응
-
더 이상 피해가 커지지 않도록 네트워크 차단, 계정 잠금, 시스템 격리 등 긴급 조치를 하는 단계입니다.
-
이때 증거(로그, 이미지, 메모리 등)를 훼손하지 않도록 주의하는 것도 중요합니다.
-
-
대응 전략 체계화
-
사고 규모, 중요도, 영향을 분석하고, 어떤 순서와 방법으로 대응할지 계획을 세웁니다.
-
무작정 복구하는 것이 아니라, 체계적인 대응 전략을 설계하는 단계입니다.
-
-
사고 조사
-
디지털 포렌식, 로그 분석 등을 통해 누가, 언제, 어떻게 침입했는지, 그리고 어디까지 피해가 갔는지를 조사합니다.
-
시험에서 타임라인, 원인 분석, 포렌식 키워드가 보이면 이 단계와 연결해서 기억하세요.
-
-
보고서 작성
-
지금까지의 조사 결과, 영향, 대응 내용, 재발 방지 방안을 문서로 정리해 경영진이나 관계 기관에 보고합니다.
-
보안 사고는 법적/관리적 이슈가 크기 때문에, 문서화가 매우 중요합니다.
-
-
해결
-
시스템을 원상 복구하고, 패치·구성 변경·추가 통제 등으로 재발을 막는 단계입니다.
-
단순히 “원래대로 돌리기”가 아니라, 더 안전한 상태로 만들고 마무리하는 것이 포인트입니다.
-
암기 팁
-
“준–탐–대–체–조–보–해” 순서로 외우기
-
준비 → 탐지 → 초기대응 → 대응전략 체계화 → 사고조사 → 보고서 → 해결
두음스토리:
“준탐이 대체로 조보해를 임명하자~”
-
-
앞의 3단계는 사고 발생 직전/직후 대응,
뒤의 4단계는 분석·정리·복구와 재발 방지에 초점이 있다는 느낌으로 구분하면 기억하기 쉽습니다.😄
