침해사고분석 매뉴얼의 개요: 인터뷰

◎ 인터뷰 가이드
 - 사고 탐지 및 초기대응
  > 실제 공격이 시작된 시간(년/월/일/시/분)과 발견시간, 사고가 어떻게 탐지(이메일, NMS, SIEM 등)되었는지, 누가(사용자, 관리자 등) 보고했는지를 확인합니다.
  > 사고 발생 순간 어떤 작업(정책적용, 보안패치, 장비교체 등)이 있었는지 확인합니다.
  > 초기 격리 조치(네트워크 분리, 계정 비활성화, 전원종료/재부팅, 방화벽 규칙 적용 등) 수행 내역을 파악합니다.
  > 수집된 증거(로그, 디스크 이미지, 메모리 덤프) 및 사용된 포렌식 도구(예: FTK, EnCase) 정보를 확인합니다.
  
 - 시스템·네트워크 환경 정보
  > 피해 시스템의 운영체제·버전, 설치 애플리케이션, 시스템 역할(예: 메일서버, DB서버, 파일서버 등), 위치(내부망/외부망 구분), 중요도(취급 정보) 등을 파악해 자산 가치를 이해합니다.
  > 해당 시스템이 연결된 네트워크 구조(IP 대역, VLAN/세그먼트), 방화벽/IDS·IPS 등 보안장비 현황, 망분리 현황 그리고 외부·내부 네트워크 연결 경로를 면밀히 파악합니다.
  > 피해 시스템에 접근 가능한 계정 종류(관리자·서비스 계정·사용자 계정), 권한 분배 현황을 묻습니다.
  
 - 피해 범위 및 증상
  > 직접적 피해 대상 외에도 공격자가 접근했을 수 있는 연계 시스템이나 계정도 파악합니다.
  > 시스템·서비스의 실제 관측된 이상 증상(시스템 오작동, 데이터 손상, 비정상 트래픽 등)을 상세히 기술합니다.
  > 증상이 언제부터 시작되었는지(예: 특정 시간 이후부터)와 어떤 순서로 진행되었는지를 시간 흐름(timeline) 형식으로 정리하도록 합니다.
  > 데이터 유출 여부(파일명·크기, 데이터 유형: 개인 식별 정보, 지적재산, 금융정보 등)가 있는지 확인합니다.
  > 피해 시스템 외에도 연관된 시스템이나 데이터의 영향을 확인합니다. 네트워크·애플리케이션 관점에서 피해 범위를 묻는 것이 중요합니다.
  > 서비스 중단 시간, 업무 영향 범위(가용성 저하, 사용자 불편 등)를 구체화합니다.
  
 - 사고 전후 징후 및 유사 사건
  > 사고 직전이나 그 이전에 나타난 비정상 징후를 꼼꼼히 묻습니다.
  > 사건 이전 또는 이후에 동일 네트워크나 유사 시스템에서 다른 침해 징후가 발견되었는지 묻습니다.
  > 사고 직전에 시스템 구성·설정 변경 여부도 중요한 징후입니다.
  
 - 취약점 정보 및 보안통제
  > 조직에서 과거에 수행한 위험 평가나 취약점 진단 내역을 확인합니다.
  > 이번 사고와 관련 있을 만한 알려진 CVE나 보안 공지 유무를 묻는 것도 좋습니다.
  > 사고 발생 전 보안정책·교육 이행 상황(예: 패스워드 변경 주기, 2단계 인증 도입 등)도 함께 점검합니다.
  
 - 인터뷰 시 유의사항 및 팁
  > 간결한 핵심 질문을 통해 사실을 이끌어내야 합니다.
  > 단답형이 아닌 설명을 유도하는 개방형 질문을 사용하고 충분히 경청합니다.
  > 필요 시 질문을 구체화하여 상세 정보를 얻습니다.
  > 질문은 중립적이고 비난하지 않는 어투로 하며, 면담자는 추가 의문이 떠오르면 즉시 기록합니다.
  > 사건 관련자(관리자, 일반 사용자, 보안 담당자 등)를 모두 인터뷰하여 중복되는 정보를 확인하거나 상충되는 부분을 교차 검증합니다.
  > 여러 명의 인터뷰를 통해 전체적인 타임라인과 인과관계를 조립합니다
  > 인턴뷰 내용은 100% 신뢰하지 말고 참고하되, 분석을 통해 확인이 필요합니다.