소개

대부분의 온콜 엔지니어가 한 번쯤은 겪어본 악몽이 있습니다. 새벽 2시 37분, 뭔가 크게 잘못됐고, 알람이 쏟아지며, 당신은 처음 20분을 오직 이 질문 하나에 쓰고 있습니다.

지금 정확히 무슨 일이 벌어지고 있고, 여기까지 어떻게 온 거지?

대시보드, SIEM 로그, 채팅 기록, 티켓 히스토리, 런북을 정신없이 뒤집니다. 머릿속에서 사건의 흐름을 겨우 이어 붙였을 때쯤에는 이미 지쳐 있고 한참 뒤처져 있죠.

이제 전혀 다른 현실을 상상해 보겠습니다.

당신은 온콜 근무를 시작하면서 **접을 수 있는 시각적 “인시던트 스토리보드”**를 하나 꺼냅니다. 필요할 때 언제든 펼칠 수 있는, 컴팩트한 종이형 타임라인입니다. 초기 침해부터 복구까지 인시던트의 전체 흐름—누가, 언제, 무엇을 했고, 왜 중요했는지—가 한눈에 보입니다. 각 단계는 MITRE ATT&CK 같은 프레임워크에 매핑되어 있고, 명확한 인시던트 대응(Incident Response, IR) 프로세스에 기반해 정리되어 있습니다. 이 단 한 장의 뷰에서 바로 적절한 런북으로 점프하고, 현재 상황을 몇 초 안에 파악한 뒤, 다음에 무엇을 해야 할지 결정할 수 있습니다.

이게 바로 **“아날로그 인시던트 스토리보드 백팩(Analog Incident Storyboard Backpack)”**의 개념입니다. 자동화된 데이터 수집과 구조화된 IR 실무를 바탕으로, 접이식 종이 타임라인을 모든 온콜 근무에 들고 들어가는 것이죠.

왜 접이식 인시던트 타임라인이 필요한가

인시던트는 결국 “이야기”입니다. 온콜 엔지니어의 역할은 다음 세 가지로 요약할 수 있습니다.

1. 지금까지의 이야기를 이해한다
2. 다음 챕터를 결정한다
3. 그 이야기를 다른 사람에게 전달한다

하지만 현대 인시던트 툴링은 이 이야기를 여러 도구와 채널로 쪼개 버립니다. 우리는 이벤트만 보고, 전체 **내러티브(이야기)**를 보지 못하는 경우가 많습니다.

여기에서 접이식 시각적 타임라인이 게임 체인저가 됩니다.

• 펼쳐서 맥락 확보: 첫 탐지부터 격리·봉쇄, 복구 단계까지 전체 흐름을 한 화면에서 볼 수 있습니다.
• 접어서 현재에 집중: “지금 어디에 와 있는가”에 초점을 맞추되, 언제든 과거 맥락을 빠르게 참조할 수 있습니다.
• 역할을 넘어 공유: 주니어 온콜 엔지니어부터 CISO까지 모두가 같은 타임라인을 바라보며 같은 이야기를 할 수 있습니다.

구체적으로는 삼단 접이식(tri-fold) 또는 아코디언 형태의 레이아웃을 떠올리면 됩니다.

• 왼쪽 패널: 초기 침입 & 탐지(Initial Compromise & Detection)
• 가운데 패널들: 조사 & 격리(Investigation & Containment)
• 오른쪽 패널: 제거(Eradication), 복구(Recovery), 사후 분석(Lessons Learned)

종이로 인쇄하든 디지털로 구현하든, 핵심 가치는 동일합니다. 인시던트는 더 이상 알람 더미가 아니라, 구조화된 시각적 이야기로 재구성됩니다.

이야기를 MITRE ATT&CK(그리고 그 친구들)에 매핑하기

타임라인만 있어도 유용합니다. 여기에 MITRE ATT&CK 주석까지 붙으면 강력해집니다.

스토리보드의 각 이벤트에는 다음과 같은 태그를 붙일 수 있습니다.

• 전술(Tactic) (예: Initial Access, Lateral Movement, Exfiltration)
• 기술 / 서브-기술(Technique / Sub-technique) (예: T1078 – Valid Accounts, T1059 – Command and Scripting Interpreter)
• 방어 결과(Defensive outcome) (Detected / Blocked / Missed / Delayed 등)

스토리보드 상에서는 다음과 같이 표현됩니다.

• 01:12 – 알 수 없는 IP에서 의심스러운 로그인 발생
  → Initial Access – T1078 (Valid Accounts) – 탐지됨, 차단 실패
• 01:19 – C2 도메인으로 향하는 PowerShell 비콘 동작
  → Execution – T1059.001 (PowerShell) – 늦게 탐지됨
• 01:27 – 데이터베이스 스냅샷이 외부 버킷으로 Export
  → Exfiltration – T1567 (Exfiltration to Cloud Storage) – 미탐지(Missed)

이런 매핑이 주는 이점은 다음과 같습니다.

• 공격 체인(Attack Chain)의 즉각적인 가시성: 고립된 알람이 아닌, TTP(전술·기술·절차)의 전체 체인을 볼 수 있습니다.
• 방어 공백(Defensive Gap) 가시화: 어디에서 탐지·차단이 실패했는지 한눈에 드러납니다.
• 이해관계자 커뮤니케이션 향상: 경영진과 감사인은 ATT&CK를 인지하고 있기 때문에, 공격 경로를 빠르게 이해할 수 있습니다.
• 지식의 재사용: 비슷한 인시던트를 티켓 ID가 아닌 TTP 프로파일 관점에서 비교·분석할 수 있습니다.

이제 “이상한 로그인들이 있었고, 그다음에 데이터가 나갔어요”라고 말하는 대신,

“이번에는 자격 증명 탈취 이후 T1078 → T1059 → T1567 순으로 진행되었고, Execution 단계에서 탐지가 지연됐으며 Exfiltration 단계에서는 예방 조치가 없었습니다.”

라고 훨씬 구체적으로 설명할 수 있습니다.

스토리보드를 명확한 IR 프로세스에 기반 두기

타임라인만으로는 반쪽짜리입니다. 온콜 현장에서 반드시 알아야 할 또 하나의 질문은 다음과 같습니다.

지금 우리는 인시던트 대응 라이프사이클의 어디에 있는가?

스토리보드를 반복 가능한 IR 모델에 고정(anchor)시키세요. 예를 들어, 다음과 같은 단순한 6단계 프로세스를 활용할 수 있습니다.

1. Preparation(준비)
2. Identification / Detection(식별 / 탐지)
3. Containment(격리 / 봉쇄)
4. Eradication(제거)
5. Recovery(복구)
6. Lessons Learned(사후 분석 / 회고)

이 라이프사이클을 스토리보드 전체에 가로 밴드나 색깔을 구분한 스윔레인(swimlane) 형태로 깔아 둡니다.

• 발견 및 트리아지 시점의 이벤트는 Identification 구간에 위치합니다.
• 시스템 격리, 임시 우회 등의 조치는 Containment에 배치됩니다.
• 악성코드 제거, 크리덴셜 리셋 등은 Eradication에 속합니다.
• 서비스 복구, 모니터링 강화는 Recovery 단계에 들어갑니다.

이 구조 덕분에 온콜 엔지니어는 항상 다음과 같이 즉시 답할 수 있습니다.

• “우리는 아직 Recovery 단계가 아니라, 분명히 Containment에 머물러 있습니다.”
• “제거(Eradication) 작업은 끝냈지만, 아직 Lessons Learned를 완료하지 않았습니다.”

스토리보드를 프로세스에 기반 두면 일관성이 생깁니다. 엔지니어가 누구든, 인시던트가 무엇이든 같은 사고 틀을 공유하게 됩니다.

스토리에 런북을 직접 연결하기

언제 무엇이 일어났는지 아는 것만으로는 충분하지 않습니다. 그 정보가 자연스럽게 다음에 무엇을 해야 하는가로 이어져야 합니다.

스토리보드를 설계할 때, 타임라인의 핵심 지점마다 **구체적인 런북(runbook) 또는 플레이북(playbook)**이 직접 연결되도록 만드세요.

• Lateral Movement(횡적 이동) 탐지 → “Lateral Movement Containment Runbook”
• 자격 증명 탈취 의심 → “Account Compromise Response Runbook”
• 데이터 유출(exfiltration) 확정 → “Data Breach Notification & Legal Escalation Runbook”

종이 기반이라면 각 이벤트 옆에 단순한 ID나 QR 코드를 인쇄할 수 있습니다.

• 01:19 – PowerShell 비콘 → 런북 RB‑EXE‑01
• 01:27 – 데이터 유출 확정 → 런북 RB‑DB‑04

디지털 환경에서는 이를 클릭 가능한 링크나 통합 버튼으로 만들면 됩니다.

이 구조의 결과는 다음과 같습니다.

• 새로운 온콜 엔지니어가 브리지에 합류합니다.
• 스토리보드를 펼쳐서, 인시던트 상 현재 위치를 확인합니다.
• 단 한 번의 클릭으로 적절한 런북으로 이동합니다. 추측이 개입할 여지가 없습니다.

즉, 내러티브와 액션을 직접 연결한 셈입니다.

인지 부하 줄이기: 시스템이 타임라인을 만들어야 한다

사람이 인시던트를 일일이 복원하는 일은 느리고, 실수하기 쉽고, 정신적으로도 큰 부담입니다. 스토리보드는 인간이 수작업으로 계속 업데이트해야 하는 또 하나의 일을 추가하는 도구가 되어서는 안 됩니다.

대신 스토리보드를 **시스템이 생성해 주는 뷰(view)**로 취급해야 합니다.

• SIEM, IDS, EDR, 클라우드 로그에서 나오는 알람 → 자동으로 타임라인 이벤트로 추가
• 채팅 메시지 중 #decision 또는 #action 같은 태그가 붙은 것 → 의사결정 노드로 승격
• 런북 실행 내역 → 타임스탬프와 결과를 포함한 구조화된 단계로 기록
• 티켓 변경, 에스컬레이션, 상태 업데이트 → 모두 같은 이야기 안에 엮어 넣기

시스템이 담당해야 할 일:

• 타임스탬프 정합성 맞추기(코릴레이션)
• 이벤트 소스 중복 제거(Deduplication)
• MITRE ATT&CK 태깅 (알람 메타데이터와 룰 매핑 기반)

사람은 여기에 집중합니다.

• 이야기를 해석하고
• 의사결정을 내리며
• 핵심 이벤트에 “왜 그런 결정을 했는지”에 대한 짧은 메모를 남기는 것

인지 부하를 줄이면 다음과 같은 효과가 발생합니다.

• 온콜 엔지니어의 스트레스 감소
• 상황 파악까지 걸리는 시간, 실제 대응까지 걸리는 시간 단축
• 추가 수작업 없이도, 사후 리뷰(Post-Incident Review)에 활용 가능한 데이터 품질 향상

공유 가능한 휴대용 플레이북: 온콜은 혼자가 아니다

“아날로그 인시던트 스토리보드 백팩”은 단순한 시각화 도구를 넘어, 조직이 위기를 다루는 방식에 대한 휴대 가능한 사회적 계약에 가깝습니다.

모든 인시던트를 스토리보드 형태로 구성하면 다음과 같은 일이 벌어집니다.

• 누구든 온콜에 투입될 수 있음: 포맷이 익숙하기 때문에 어디를 봐야 하고, 무엇이 빠져 있으며, 다음 단계가 무엇인지 바로 파악할 수 있습니다.
• 협업이 더 안전해짐: 여러 엔지니어가 같은 지도를 보며 작업하기 때문에, 중복 작업이나 상충되는 조치를 줄일 수 있습니다.
• 에스컬레이션 경로가 명확해짐: 스토리보드는 어느 지점에서 보안 리더십, 법무, PR, 경영진의 참여가 필요한지 보여 줍니다.
• 심리적 안전감이 향상됨: 온콜 엔지니어는 더 이상 암흑 속에서 맨몸으로 절벽을 오르는 느낌을 받지 않습니다. 하네스(안전 장비)와 등반 경로, 연락해야 할 사람들의 디렉터리를 갖고 있는 셈입니다.

마치 모든 엔지니어가 같은 접이식 플레이북을 백팩에 넣고 다니는 것과 같습니다. 문제가 발생하면 모두가 그 플레이북을 펼치고, 즉시 조직 전체가 공유하는 동일한 세계 안으로 들어갈 수 있습니다.

사후 리뷰를 위한 이야기 자동 캡처

불이 꺼진 뒤, 팀이 종종 **포스트-인시던트 리뷰(Post-Incident Review)**를 부담스러워하는 이유는, 과거를 다시 복원해야 하기 때문입니다.

하지만 인시던트가 진행되는 동안 스토리보드가 도구들로부터 자동으로 피드를 받고 있다면, 사후 리뷰는 훨씬 수월해집니다.

• 알람, 액션, 의사결정이 포함된 타임라인이 이미 완성되어 있습니다.
• ATT&CK 매핑과 IR 단계 태깅도 대체로 끝나 있습니다.
• 이제 팀은 근본 원인(root cause), 기여 요인(contributing factors), 개선점에 집중할 수 있습니다.

이후에는 다음과 같은 작업을 할 수 있습니다.

• 스토리보드에 Lessons Learned와 개선 조치 제안을 주석으로 추가
• 타임라인 이벤트 중 일부를 교육용 사례나 훈련 시나리오로 지정
• 최종 스토리보드를 감사인·파트너에게 공유 가능한 가명/마스킹 아티팩트로 변환

각 인시던트는 다음 인시던트의 스토리보드를 강화합니다. 더 나은 매핑, 개선된 런북, 더 명확한 의사결정 포인트가 누적됩니다.

실제로 적용해 보기

“아날로그 인시던트 스토리보드 백팩” 접근법을 도입하려면 다음 단계를 따라가 보세요.

1. 표준 IR 라이프사이클을 정의하고 (예: 위 6단계), 조직 전반에 공유합니다.
2. 물리/디지털 스토리보드 템플릿을 설계합니다.
   • 가로축에 IR 단계(Preparation~Lessons Learned)
   • 이벤트, 의사결정, 런북 참조를 위한 공간
   • ATT&CK Tactic/Technique 주석 영역
3. 기존 알람 유형과 플레이북을 ATT&CK 및 런북 ID에 매핑합니다.
4. 도구들을 통합하여, 알람·채팅 태그·런북 실행·티켓 업데이트 등이 자동으로 구조화된 이벤트로 스토리보드에 흘러 들어가도록 합니다.
5. 몇 개의 실제 인시던트에 파일럿 적용해 보고, 레이아웃과 데이터 캡처 방식을 반복 개선합니다.
6. 온콜 로테이션을 교육하여, 스토리보드를 “가장 먼저 열어보는 것”이자 “마지막까지 참고하는 것”으로 사용하도록 만듭니다.

핵심은 일관성입니다. 모든 인시던트에 같은 구조, 모든 온콜에게 같은 백팩.

결론

인시던트는 언제나 스트레스를 줍니다. 하지만 반드시 혼란스러울 필요는 없습니다.

접이식 인시던트 스토리보드는 자동화, MITRE ATT&CK 매핑, 명확한 IR 프로세스, 런북으로의 직접 연결이 결합될 때, 온콜 업무를 즉흥적 소방전에서 구조화된 협업 문제 해결 과정으로 바꿉니다.

시스템이 타임라인을 자동으로 구축해 주고, 사람들이 그 타임라인을 들고 각자의 근무에 들어갈 수 있게 되면, 인간은 인간이 가장 잘하는 일에 집중할 수 있습니다.

• 복잡한 이야기를 이해하고
• 판단을 내리고
• 명확하게 커뮤니케이션하는 일 말입니다.

“아날로그 인시던트 스토리보드 백팩”은 종이냐 디지털이냐의 문제가 아닙니다. 어느 온콜 엔지니어도 두 손 빈 채로 인시던트에 뛰어들지 않도록 보장하는 것에 대한 이야기입니다.