사고 대응에서 가장 안타까운 순간은, 좋은 의도로 한 행동이 단서를 지워버릴 때입니다. “일단 껐어요”라는 말을 들으면 마음이 철렁합니다. 침해사고의 피해는 ‘언제 터졌나’보다 ‘첫 한 시간을 어떻게 보냈나’로 갈리는 경우가 많거든요. 이 글은 그 골든타임에 무엇을 먼저 하면 좋은지를, 현장에서 가장 자주 어긋나는 판단을 중심으로 정리했습니다.
먼저, 첫 60분의 갈림길
경보가 울렸을 때, 머릿속에 이 그림 한 장만 있어도 많은 게 달라집니다.
의심 정황 발견
│
├─ 단말 전원을 끈다? ──► ✕ 잠깐만요
│ └ 확산은 멈추지만, 메모리 속 증거가 함께 사라집니다
│
└─ 네트워크만 격리한다 ─► ◎ 보통 이쪽
│ (랜선 분리/격리 VLAN — 전원은 유지)
▼
휘발성 증거부터 보존 (메모리 → 활성 연결 → 프로세스)
│
▼
대응 체계 가동 (연락망·권한·플레이북) → 분석 시작핵심은 단순합니다 — 끄지 말고, 끊으세요. 전원을 내리면 확산은 멈출지 몰라도, ‘무슨 일이 있었는지’를 재구성할 증거가 같이 날아갑니다.
초기 트리아지 — 휘발성이 높은 것부터
가장 빨리 사라지는 증거부터 챙깁니다. 메모리, 지금 맺고 있는 연결, 실행 중인 프로세스, 그리고 의심스러운 지속성(자동 실행·서비스·예약 작업) 순서입니다.
# 지금 무엇과 통신하고, 무엇이 돌고 있나
netstat -anob
tasklist /v
# 어디에 ‘심어두었나’ (자동 실행·예약 작업)
schtasks /query /fo LIST /v
wmic startup list full
# 이후 메모리 확보 → 디스크 이미징 (전용 도구로)단계로 보면
단계 | 이때 하는 일 |
|---|---|
준비 | 로그·연락망·권한·플레이북을 ‘미리’ 갖춰두기 |
탐지·분석 | 진짜 사고인지, 범위는 어디까지인지 판단 |
차단 | 전원이 아니라 네트워크로 확산을 끊기 |
근절 | 진입점·지속성·생성 계정까지 완전히 제거 |
복구 | 검증된 백업으로, 모니터링하며 단계적으로 |
교훈 | 타임라인·근본원인·탐지 공백을 기록해 환류 |
특히 ‘근절’을 건너뛰면 안 됩니다. 근본 원인을 남긴 채 복구하면 재감염은 시간문제거든요.
한 걸음 더 — 랜섬웨어와 ‘어떻게 들어왔나’
요즘 랜섬웨어는 암호화 전에 데이터를 먼저 빼돌려 협박하는 ‘이중 갈취’가 일반적입니다. 그래서 “무엇이 암호화됐나”만큼 “무엇이 유출됐나”와 “애초에 어떻게 들어왔나”가 중요합니다. 진입로가 외부 노출 컴포넌트의 알려진 취약점(1-day)인 경우가 많아, 근절 단계에서 그 부분까지 확인합니다. 이런 진입로를 사고 ‘전에’ 찾아두는 게 사실 가장 좋은 대응이고요. (관련: 모의해킹 진행 글)
현장 노트: 가장 빠르게 회복하는 조직의 공통점은 의외로 ‘평소 준비’였습니다. 로그가 남아 있고, 연락망이 살아 있고, 한 번이라도 훈련해 본 팀은 첫 60분이 확연히 다릅니다. 골든타임은 사고가 난 뒤가 아니라, 그 전에 만들어지는 것 같습니다.
자주 묻는 질문
사고가 의심되면 가장 먼저 뭘 해야 하나요?
단말을 끄지 마시고 네트워크부터 격리하세요. 그다음 휘발성 증거를 보존하고 대응 체계를 가동하시면 됩니다. 성급한 종료가 분석을 가장 많이 망칩니다.
평소엔 어떻게 준비하면 좋을까요?
로그 수집·보관, 연락·권한 체계, 플레이북, 그리고 가벼운 모의 훈련(테이블탑)만 해두셔도 첫 60분의 질이 크게 달라집니다.
마치며
사고는 누구에게나 일어날 수 있습니다. 다만 첫 60분의 판단과 평소의 준비가 피해의 크기를 가릅니다. 대응 체계를 미리 점검하고 진입로를 사고 전에 찾아두고 싶으시면 레드팀·침해 대응 상담으로 편하게 연락 주세요.