이번 주는 위협 탐지·대응의 두 번째 축인 *대응(Response)*을 다뤘다. 자동 대응 파이프라인(EventBridge+SSM+Lambda), 침해 인스턴스 격리·포렌식, 자격증명 유출 회수, 그리고 이 모두를 묶는 NIST IR 프레임워크와 자동화/사람의 경계. 오늘은 이들을 하나의 대응 결정 체계로 통합한다. 시험은 개별 API 지식보다 *"이 사고에서 어떤 순서로, 어떤 메커니즘으로, 무엇을 자동화하고 무엇을 사람이 판단하는가"*를 묻는다. 핵심은 **단계(NIST) × 대상(인스턴스/자격증명) × 행위자(자동/사람)**의 3차원 사고다.
| 사고/신호 | 봉쇄(즉시) | 증거·추적 | 근절·복구 | 자동/사람 |
|---|---|---|---|---|
| EC2 C2 통신(GuardDuty) | 격리 SG 교체(실행 유지) | EBS 스냅샷+메모리 덤프 | 골든 AMI 재배포 후 종료 | 봉쇄 자동, 종료 승인 게이트 |
| 침해 인스턴스 역할 토큰 유출 | aws:TokenIssueTime Deny(세션 폐기) | CloudTrail로 토큰 활동 | 신뢰 정책 축소·재발급 | 자동(가역) |
| 액세스 키 공개 노출 | update-access-key Inactive | CloudTrail by accessKeyId | 새 키 회전→삭제, Secrets Manager | 봉쇄 자동, 회전 사람 |
| 루 |