**사고 대응(incident response)**은 보안 사고(침해, 공격)를 처리하는 프로세스입니다 — 탐지, 봉쇄, 박멸, 복구, 학습. 방어에도 불구하고 침해는 일어날 수 있으므로, 효과적으로 대응할 계획을 갖는 것이 피해를 제한하는 데 중요합니다.
사고 대응이 중요한 이유
text
방어에도 불구하고 보안 사고는 일어난다(완벽히 안전한 시스템은 없다):
→ 대응 준비가 되어 있으면 피해, 다운타임, 데이터 손실을 제한
→ 부실하고/느리고/당황한 대응은 침해를 훨씬 악화시킨다
→ 필요하기 전에 PLAN을 가져라(위기 중에 좋은 대응을 즉흥적으로 만들 수 없다).
사고 대응 라이프사이클
text
1. PREPARATION → 사전에 계획, 도구, 역할, 런북, monitoring/로깅 준비
2. DETECTION & ANALYSIS → 사고 식별(monitoring, 알림); 범위/심각도 평가
3. CONTAINMENT → 확산 중지/피해 제한(영향받은 시스템 격리, 접근 폐기)
4. ERADICATION → 위협 제거(취약점 폐쇄, malware/접근 제거)
5. RECOVERY → 시스템을 안전하게 복원; 깨끗한지 검증; 운영 재개
6. POST-INCIDENT(교훈) → 무슨 일이 있었는지 분석, 방어와 프로세스 개선
(BLAMELESS — 비난이 아닌 수정에 집중)