정보보안에서의 Triage
- 많은 분석 대상 가운데, 악성이 의심되는 파일을 선별하는 과정
- 분석 대상을 선별하여 위험도에 따라 우선순위를 정하기 위해 분석 사전 작업 수행
- 한정된 수의 분석가와 장비로 모든 악성코드를 분석하기에 한계가 있어 악성 파일 트리아지를 수행 함
| 선별 순위 | 설명 |
| 1 | 알려진 Hash 값을 가진 파일 |
| 2 | 내부에 스크립트 및 다른 실행 파일을 포함하고 있는 파일 |
| 3 | 인터넷 접속, 파일 편집 등의 라이브러리를 호출하는 파일 |
| 4 | 전자서명이 없거나, 믿을 수 없는 전자 서명 혹은 개인 전자서명을 가진 파일 |
| 5 | 믿을 수 있는 전자서명이 있으며, 공식 홈페이지에 공개된 Hash 값과 동일한 Hash 값을 가진 파일 |
1. 인시던트 대응 (Incident Response) Triage
보안 경보(Alert)가 발생했을 때 가장 먼저 수행하는 단계입니다.
- 목적: 실제 위협인지 오탐(False Positive)인지 판별
- 주요 질문:
- 실제 침해(True Positive)인가?
- 영향 받는 시스템/데이터의 범위는?
- 현재 공격이 진행 중인가?
- 결과: 조사 계속 → 격리 → 무시(False Positive) 중 판단
2. 취약점 Triage (Vulnerability Triage)
스캐너가 수백~수천 개의 취약점을 발견했을 때, 어느 것부터 패치할지 결정합니다.
| CVSS 점수 | 취약점 심각도 수치화 (0~10) |
| Exploitability | 실제 익스플로잇 코드가 존재하는가? |
| 자산 중요도 | 해당 시스템이 얼마나 중요한가? |
| 노출 여부 | 인터넷에 노출된 시스템인가? |
3. SOC(Security Operations Center) Alert Triage
SIEM 등에서 하루에도 수천 건의 알림이 발생하는데, 이를 분류하고 처리합니다.
Alert 발생
↓
1단계 분석가 (L1): 초기 분류 — False Positive 필터링
↓
2단계 분석가 (L2): 심층 분석 — 공격 유형/범위 파악
↓
3단계 분석가 (L3): 전문 대응 — 포렌식, 고급 위협 분석
Triage의 핵심 판단 기준
심각도(Severity) × 자산 중요도(Asset Criticality) × 긴급도(Urgency)
- Critical: 즉각 대응 (수 분 내)
- High: 신속 대응 (수 시간 내)
- Medium: 계획적 대응 (수 일 내)
- Low: 정기 패치 사이클에 포함
핵심 우선순위 결정 공식
우선순위 = 심각도(Severity) × 자산 중요도(Criticality) × 긴급도(Urgency)
심각도(Severity) 등급
| Critical | 9~10 | 시스템 완전 장악, 랜섬웨어, 데이터 유출 진행 중 | 즉시 (15분 이내) |
| High | 7~8 | 권한 상승, 외부 노출 취약점, 악성코드 감염 | 1~4시간 이내 |
| Medium | 4~6 | 내부 취약점, 의심스러운 행동 패턴 | 24~72시간 이내 |
| Low | 1~3 | 정책 위반, 낮은 위험 설정 오류 | 정기 패치 사이클 |
'보안 > 보안 개념' 카테고리의 다른 글
| TTPs (0) | 2026.04.13 |
|---|---|
| DLL(Dynamic Link Library, 동적 연결 라이브러리) 개념 (0) | 2026.04.07 |
| 크로스C2(CrossC2) (0) | 2025.12.03 |
| BPFDoor(BPF도어) (0) | 2025.12.02 |
| IOC (Indicator of Compromise, 침해지표) (0) | 2025.11.13 |