최근 국내에서는 APT(Advanced Persistent Threat) 공격으로 인한 사이버 침해 사고가 연이어 발생하고 있다. APT 공격에는 알려지지 않은 악성 코드를 사용해 공격자는 공격 대상 엔드포인트 PC에 오랜 시간 악성 코드를 감염시키는 것을 시작으로 한다. 기존의 침해대응을 위한 빅 데이터 로그 수집은 IT와 관련된 장치에서 발생하는 모든 로그를 수집해 공격 징후를 탐지하는데, 모든 로그를 수집하는 것은 물리적인 한계가 있고 기술적으로 어려움에 부닥친 것이 현실이다. 엔드포인트 PC 보안의 추세는 탐지 후 차단에서 탐지 후 대응으로 변화하고 있다. 이에 본 논문에서는 사용자의 최초 감염 경로를 역 추적해 침해 사고의 사건 재구성을 할 수 있는 사용자의 직접 행위와 응용 프로그램의 간접행위 로그를 수집하는 행위 정보 수집 시스템을 구현하였다. 수집된 정보를 토대로 침해 사고에서 가장 많이 사용되는 원격 접속 악성 코드와 DBD(Drive By Download) 악성 코드를 프로파일링하여 역 추적하였고, 최초 감염에 원인이 되는 의심 프로세스를 찾아냈다. 본 논문에서 구현한 시스템을 적용하면 침해 사고의 사건 재구성을 할 수 있어 빠르게 침해 사고 대응을 할 수 있으며 유사한 공격 발생 시 기존보다 능동적으로 대응할 것으로 기대한다.