일 안 났을 때 한 번 연습. 훈련된 거 5분 드릴. 즉흥은 위협 시계 째깍거리는 동안 2시간 scramble.
순서
| 분 | 액션 | 왜 먼저 |
|---|---|---|
| 0–1 | 노트북 열고, 북마크된 admin 페이지 가서 "Revoke All" 클릭 | 모든 쿠키 session 즉시 자름; 가장 싸고 넓은 방어 |
| 1–2 | Tailscale admin: 폰 찾고 "Remove" 클릭 | 폰이 mesh 에서 빠짐; (있었으면) SSH 도 작동 멈춤 |
| 2–4 | Find My iPhone / Find My Device: 폰 잠금 (아직 wipe X) | 잠금화면이 opportunistic 접근 줄임; wipe 는 증거/복구 옵션 없앰 |
| 4–6 | 1Password / Bitwarden admin: 모든 session lock, autofill 이벤트 검토 | vault 가 다른 모든 거 로그인할 수 있는 단일 거였음 |
| 6–8 | 이메일: "여기 로그인" session revoke; 접근 의심되면 비밀번호 reset 이메일 회전 | 이메일이 다른 모든 거의 복구 채널; 왕관 보석 |
| 8–10 | 중요 계정: GitHub, 호스팅, 뱅킹 — re-auth 강제 또는 토큰 회전 | 침해 시 진짜 blast radius 가진 것들 |
하지 말 것
- 즉시 wipe X. Wipe 된 폰은 forensic 복구 불가 ("잠금 전 실제로 뭐 접근했어?"). 먼저 잠금, wipe 결정은 후에.
- 방금 revoke 한 노트북에서 트윗 X. 공격자가 네 SNS 모니터하면 윈도우 알려준 거.
- "다시 로그인하려고" PIN 더 쉬운 거로 바꾸기 X. PIN 은 괜찮음; session 이 문제였음.