서버 침해 의심 대응 — 격리·조사·증거 보존 — 실습 Lab

INCIDENT RESPONSE

0 / 5 단계 완료

📚 PREREQUISITES

Lablinux-process-cpu-memory

Theoryinfra-ops/security-audit-response

Theoryinfra-ops/security-operations

TRACK

INFRA-OPS

SLA

50분

SEV

SEV-1

PHASES

3단계

ENV

local

INCOMING TICKET

“보안 알람: "프로덕션 서버에서 새벽 3시 비정상 아웃바운드 트래픽 + 모르는 프로세스가 CPU 90%를 쓰고 있습니다."”

YOUR ROLE

인프라/보안 운영 엔지니어인 당신이

IMPACT IF UNRESOLVED

침해 의심. 잘못 대응하면 증거 인멸·공격자 경보·서비스 2차 피해. 격리와 증거 보존을 동시에 해야 함.

🚨INCIDENT BRIEF

새벽 3시, 보안 모니터링이 경고를 보냅니다. "프로덕션 web3에서 외부로 대량 아웃바운드. 모르는 프로세스가 CPU 90%."

첫 충동은 둘 중 하나입니다: (1) 재부팅한다, (2) 그 프로세스를 kill하고 파일을 지운다.

둘 다 최악입니다. 재부팅하면 메모리상 증거(실행 중 악성 코드·연결)가 날아가고, 지우면 침투 경로 분석이 불가능해집니다.

침해 대응의 원칙: "끄지 말고 격리(contain), 지우지 말고 보존(preserve)".

의심 활동을 조사하고, 네트워크를 격리하면서 증거를 보존하고, 어떻게 들어왔는지 단서를 찾습니다.

⏱ 50분📊 고급🔧 3단계#security#incident-response#forensics#persistence

MISSION

의심 프로세스·네트워크 연결 조사 (휘발성 우선)

무엇이 실행 중이고 어디로 연결하는지 — 재부팅하면 사라질 휘발성 증거부터 수집한다

지속성(persistence) 메커니즘 탐색

공격자가 재부팅 후에도 살아남으려 심어둔 흔적(크론·서비스·SSH 키·시작 스크립트)을 찾는다

네트워크 격리 + 침투 경로 추적

증거를 보존한 채 서버를 네트워크에서 격리하고, 인증/웹 로그에서 어떻게 들어왔는지 단서를 찾는다

📌 선수 지식

ℹ️ 실습 환경

환경: local

필요 도구: ps, ss, lsof, journalctl, last, crontab

🔒

실습 실행은 Pro 플랜 전용입니다

인시던트 브리프와 학습 자료는 지금 바로 확인할 수 있습니다. 실제 실습 진행 및 터미널 사용은 Pro 플랜에서 가능합니다.

>_ LAB TERMINAL↔ 너비 조절

NOTES