EC2 인스턴스가 침해됐다는 신호(GuardDuty의 C2 통신, 암호화폐 채굴, 백도어 탐지)를 받았을 때 대응자의 머릿속에는 두 개의 상충하는 본능이 동시에 작동한다: *"빨리 끄고 싶다(봉쇄)"*와 "증거를 잃고 싶지 않다(보존)". 침해 인스턴스 대응의 본질은 이 둘을 올바른 순서와 방법으로 양립시키는 것이다. 무작정 종료하면 메모리·연결 상태 같은 휘발성 증거가 사라지고, 무작정 방치하면 측면 이동과 데이터 유출이 진행된다. 시험은 "어떤 순서로, 어떤 메커니즘으로 격리·보존·회수하는가"를 묻는다.
표준 절차는 NIST IR의 Containment → Eradication → Recovery 단계(Day 4 상세)를 EC2에 매핑한 것이다. 오늘은 그 봉쇄·증거 보존·자격증명 회수의 구체적 메커니즘을 다룬다.
격리의 목표는 침해 인스턴스가 더 이상 통신하지 못하게 하되, 증거 수집을 위해 인스턴스 자체는 실행 상태로 유지하는 것이다. 종료(terminate)나 중지(stop)는 메모리 등 휘발성 증거를 파괴하므로 격리의 첫 수단이 아니다.
격리 메커니즘 세 가지:
ModifyInstanceAttribute로 즉시 적용.
2