인시던트 대응(Incident Response, IR)은 사이버 보안 사고를 체계적으로 탐지, 억제, 복구하는 프로세스다. NIST SP 800-61과 SANS 방법론이 주요 표준이다.
NIST 인시던트 대응 수명주기
1. 준비 (Preparation)
└─ 도구 준비, 팀 구성, 플레이북 작성, 훈련
2. 탐지 및 분석 (Detection & Analysis)
└─ 알림 수신, 범위 파악, 우선순위 결정
3. 억제, 근절, 복구
(Containment, Eradication, Recovery)
├─ 억제: 피해 확산 방지 (네트워크 격리)
├─ 근절: 악성 코드/접근 제거
└─ 복구: 서비스 정상화
4. 사후 활동 (Post-Incident Activity)
└─ 교훈 도출, 보고서 작성, 프로세스 개선
인시던트 분류 및 우선순위
| 심각도 | 예시 | 대응 시간 |
|---|
| 긴급 (P1) | 활성 랜섬웨어, 데이터 유출 진행 중 | 즉시 (15분 내) |
| 높음 (P2) | APT 감염, 내부 시스템 침해 | 1시간 내 |
| 중간 (P3) | 피싱 이메일, 악성코드 격리됨 | 4시간 내 |
| 낮음 (P4) | 단순 정책 위반 | 24시간 내 |
플레이북 예시 (랜섬웨어)
yaml
# 랜섬웨어 대응 플레이북
playbook: ransomware-response
steps:
detection:
- 알림: EDR/SIEM 랜섬웨어 탐지
- 확인: 암호화된 파일 확장자 패턴 확인
- 범위: 영향받은 호스트 수 파악
containment:
- 즉시: 감염 호스트 네트워크 격리 (VLAN 분리 또는 차단)
- 즉시: 도메인 컨트롤러 보호 (연결 차단)
- 백업: 백업 시스템 오프라인 전환
eradication:
- 메모리/디스크 포렌식 수행
- C2 IoC 차단 (방화벽, DNS 싱크홀)
- 악성 프로세스/서비스 제거
recovery:
- 클린 이미지로 시스템 복구
- 백업에서 데이터 복원
- 취약점 패치 후 격리 해제
lessons-learned:
- 72시간 내 사후 보고서 작성
- 탐지 규칙 개선
- 훈련 계획 수립
관련 문서
- •[[forensics|디지털 포렌식]]
- •[[red-team-blue-team|레드팀 vs 블루팀]]
- •[apt|[APT (지능형 지속 위협)]]
- •[malware-types|[악성코드 유형]]
