사고 발생시 PC를 절대 꺼서는 안된다. ∵ 기존에 제공하던 서비스를 제공하기 위해 KISA(한국 인터넷 진흥원)에 신고한다. 다음 두 곳에 해킹의 흔적이 남는다. 1. 하드드라이브 2. 메모리(RAM) 해킹 사고 대응 절차 memory dump 메모리 dump를 CD-ROM에 한다. (위/변조가 거의 불가능하여 법적 효력을 갖는다.) 해커의 접속 차단 : 현재 접속한 해커의 접속을 끊음. (ex. 방화벽, TCPWrapper 같은 접근 제어 이용, 해커의 셸 프로세스 확인) 시스템 이미지 확보 : 2개(CD-ROM)를 만들어 1개는 법적 증거, 1개는 Forensic 용으로 운영자에게 통보 [memory dump & image] FTK Imager download [Image File Analysis]..