사고 대응
이 태그가 달린 문서 5건
중대규모 조직을 위한 보안 베이스라인: 팀을 위한 표준 토대
규모가 커지면 베이스라인은 '체크리스트'에서 '담당자가 있는 프로그램'으로 옮겨갑니다. 우선순위는 1인 버전과 같습니다: 1) 신원, 2) 시크릿과 공급망, 3) 앱과 인프라, 4) 탐지와 대응, 그리고 가로지르는 사람·거버넌스 계층. 큰 변화: 침해의 주원인이 실수에서 사람·프로세스·퇴직자 접근·제3자로 이동합니다.
EDR이란 — 엔드포인트의 '행위'를 기록해 빠져나간 공격을 탐지·대응하기
EDR은 엔드포인트의 행위를 지속적으로 기록하고, 의심스러운 활동을 탐지(IOA 방식)하며, 대응(격리, 조사)을 돕습니다. 시그니처/IOC 기반 안티바이러스가 놓치는 파일리스·정상 도구 악용 공격을 행위와 타임라인으로 잡아냅니다. 소규모 팀은 흔히 풀 EDR이 필요 없으며 — OS 내장 보호 + 로그 + IOA 사고방식으로 상당한 가치를 얻습니다.
IOA(Indicator of Attack)란 — 흔적이 아니라 행위로 침해를 알아채기
IOA(Indicator of Attack)는 진행 중인 공격의 행위(권한 상승 → 측면 이동 → 탈취)로 침해를 알아챕니다. 사후의 IOC와 짝을 이루는 개념입니다. 공격자는 해시와 IP를 즉시 바꾸지만, 기법(행위)은 바꾸기 어려워 — IOA는 더 오래 유효합니다. 소규모 팀도 '평소와 다른 행위'를 지켜보는 것으로 접근할 수 있습니다.
IOC(Indicator of Compromise)란 — 침해를 드러내는 흔적
IOC(Indicator of Compromise)는 침해가 남긴 흔적 — 알려진 악성 파일 해시, 공격자 IP/도메인, URL, 이상한 프로세스 — 입니다. 가치는 알려진 악성을 기계적으로 탐지·차단하는 것입니다. 하지만 공격자가 값싸게 바꿀 수 있는 사후적 단서이므로, IOC 대조는 치료제가 아니라 마지막 점검입니다. 진짜 방어는 타지 않는 설계(최소 권한, 패치, MFA)입니다.
C2(명령 제어)란 — 침해 후 공격자가 기기를 조종하는 통로
C2는 감염된 기기가 공격자 서버로 콜백(비콘)하여 명령을 받고 데이터를 빼내는 통로로, 침해 이후 단계입니다. 포착의 핵심은 의심스러운 주기적 아웃바운드 트래픽과 알려진 악성 목적지입니다. 방어: 이그레스 필터링, DNS 모니터링, IOC/IOA 대조, 최소 권한. '잔존 C2 없음'을 확인하는 것은 침해 조사의 핵심 단계입니다.