Incident 는 먼지 가라앉아도 안 끝나. 그 후 반나절이 이 경험을 영구 개선으로 바꾸는 시점.
세 질문
- 공격자가 실제로 뭐 접근했어? (audit log, session 테이블 archive, 앱 레벨 활동 로그)
- 아무것도 안 했으면 뭐 일어났을까? (어떤 credential/데이터가 노출됐을지)
- 다음에 더 어렵게/덜 해롭게 되려면 뭐 바뀌어야? (실제 강화)
기억 신선할 때 캡처할 거
| 아티팩트 | 이유 | 방법 |
|---|---|---|
Incident 시점 security_sessions 스냅샷 | active 였던 거의 forensic 기록 | cp security.db security.db.incident-2026-04-15 |
| 의심 윈도우의 앱 access 로그 | 어떤 URL 이 언제 쳐졌는지 | uvicorn / nginx access 로그 |
| Tailscale 디바이스 로그 | 디바이스가 mesh 에 active 였던 시점 | Tailscale admin → Logs |
| Find My 위치 히스토리 | 윈도우 동안 디바이스 위치 | iCloud / Google 계정 |
| 네 자신의 타임라인 | "14:32 분실 알아챔, 14:34 revoke 클릭..." | 신선할 때 노트 앱 |
강화 백로그
더 나빴을 수 있는 거마다 작은 변화 file:
- "PIN 이 4자리고 shoulder-surfable" → 5 또는 6자리.
- "이메일 알람 없어서 늦게 알아챔" → 새 IP 에서 Tailscale 디바이스 connect 시 webhook 추가.
- "Killswitch 찾는 데 90초" → 북마크 폴더 + 브라우저 확장 단축키.
- "Tailscale 키 180일" → 30일로; re-auth 마찰 받아들임.
- "태블릿에서 admin 도달 못함" → 태블릿에 Tailscale 설치; 경로 테스트.