위협 인텔리전스 (TI, Threat Intelligence)란?

이번 글은 데이터 기반의 사이버 보안 의사결정의 핵심으로 신속하고 정확한 위협 대응을 가능하게 하는 위협 인텔리전스에 대해서 알아보도록 하겠습니다.

목차

• 글 핵심 요약
• 위협 인텔리전스의 개념과 필요성
• 위협 인텔리전스의 주요 유형 4가지
• 위협 인텔리전스 사이클 6단계
• 위협  인텔리전스 현재와 미래
• FAQ
• 결론

글 핵심 요약

• 위협 인텔리전스는 데이터 기반의 사이버 보안 의사결정을 신속하고 정확하게 수행하기 위한 데이터 중심의 접근 방식입니다. 기업은 다양한 위협 데이터를 분석해 알맞은 위협 인텔리전스를 생성하고 활용해 보안 태세를 강화할 수 있습니다.
• 현대의 사이버 보안 공격은 점점 정교해지며 다양화되고 있습니다. 위협 인텔리전스는 발생할 수 있는 사이버 위협을 사전에 예측하고 대응할 수 있도록 돕습니다.
• 위협 인텔리전스는 그 목적에 따라 전략적 인텔리전스, 전술적 인텔리전스, 운영적 인텔리전스, 기술적 인텔리전스로 분류할 수 있습니다.
• 위협 인텔리전스는 계획 > 수집 > 처리 > 분석 > 배포 > 피드백의 프로세스에 따라 생성하고 활용됩니다. 모든 단계를 기업 내부에서 수행하기 힘들다면 Criminal IP와 같은 CTI(Cyber Threat Intelligence) 플랫폼을 활용할 수 있습니다.
• 위협 인텔리전스와 AI와의 결합은 데이터 정합성 및 과탐, 오탐, 미탐 문제를 해소하며, 실시간 위협 식별 및 자동화 위기 대응을 통해 부족한 보안 인력 문제를 해결하고 있습니다. 

위협 인텔리전스의 개념과 필요성

위협 인텔리전스란?

위협 인텔리전스는 데이터 기반 사이버 보안 의사 결정의 핵심입니다. 위협 행위자, 공격 기법, 취약점(CVE), 악용된 IP 주소 및 피싱 사이트, 그리고 보안 환경에서 발생할 수 있는 잠재적 위험 요소를 식별하고 이에 대한 정보를 수집, 분석하여 기업의 보안 태세를 강화합니다. 위협 인텔리전스는 데이터에 기반한 보안 의사결정을 지원하며 이를 통해 보다 신속하고 정확한 위협 대응을 가능하게 합니다.

위협 인텔리전스의 필요성

현대의 사이버 공격은 점점 더 정교해지고 다양화되고 있습니다. APT(Advanced Persistent Threat)와 같은 고도화된 위협 행위자는 기업의 내부 시스템과 데이터를 지속해서 노리고 있으며, 제로데이 취약점과 소셜 엔지니어링 공격도 빈번하게 발생하고 있습니다. 여기에 편리해지는 소프트웨어 개발 환경은 공급망 위협이라는 새로운 사이버 위협을 가져왔습니다. 이러한 환경에서 위협 인텔리전스는 기업이 위협을 예측하고 사전에 대응하도록 하며, 산업군에 특화된 위협 데이터를 선별하고 활용할 수 있도록 돕습니다.

위협 인텔리전스의 주요 유형 4가지

위협 인텔리전스의 유형은 전략적 인텔리전스, 전술적 인텔리전스, 운영적 인텔리전스, 기술적 인텔리전스로 구분할 수 있습니다. 우선 정리된 표로 알아본 뒤 각각의 인텔리전스 유형을 좀 더 상세히 알아보도록 하겠습니다.

유형	정의	주요 활용 분야	예시 활용 방안
전략적 인텔리전스	장기적, 고위급 의사결정 지원	정책 수립, 투자 결정	산업별 위협 보고서 제공
전술적 인텔리전스	TTPs에 대한 정보	운영 팀 방어 전략 수립	공격자 프로파일링 및 TTPs 분석
운영적 인텔리전스	실시간 위협 탐지 및 대응 지원	SOC, 인시던트 대응	악성 IP 및 봇 차단, C2 탐지
기술적 인텔리전스	세부적 기술 데이터(IoC)	자동화된 시스템 탐지 및 차단	SIEM에 IoC 업데이트 및 악성코드 제거

전략적 인텔리전스(Strategic Intelligence)

기업의 고위 경영진이나 의사결정자를 위한 장기적인 관점에서 제공되는 위협 정보입니다. 사이버 위협 환경의 전반적인 트렌드, 기술 발전, 그리고 산업 내 위협 동향 등을 분석하여 정책과 전략을 수립하는데 도움을 줍니다. 좀 더 거시적인 관점에서 위협 인텔리전스를 활용한다고 볼 수 있습니다. 활용 방안으로는 기업의 보안 예산을 어디에 우선하여 투자할지 판단하며, 전 세계적인 위협 동향을 기반으로 리스크를 관리합니다. 마지막으로 특정 산업(금융, 의료 등)이 직면한 주요 사이버 보안 위협을 파악하는데 활용됩니다.

전술적 인텔리전스(Tacticalical Intelligence)

사이버 공격 기법, 전술 및 절차(TTPs: Tactics, Techniques, and Procedures)에 대한 상세한 정보를 제공하여 보안 운영팀이 특정 위협에 대응하도록 돕는 정보입니다. 활용 방안으로 공격자들이 사용하는 도구, 기법 및 행동 패턴에 대한 정보를 수집하고 보안 운영팀에 최신 위협 트렌드와 대응 방안, 방어 방법을 교육하는 데 사용됩니다.

운영적 인텔리전스(Operational Intelligence)

실시간 또는 단기적인 위협 활동에 대한 정보를 제공하여 보안 팀이 사고에 즉각적으로 대응할 수 있도록 지원하는 정보입니다. 사고 발생 시 실시간으로 위협을 분석하고 적절한 대응 절차를 안내합니다. 또, 보안 이벤트를 분석해 실시간으로 경고를 제공하는 SOC(Secure Operation Center) 강화를 수행하도록 돕습니다. 마지막으로 위협 프로파일링을 통해 특정 위협 행위자나 공격 캠페인에 대한 상세 정보를 수집하여 대응 전략을 마련합니다.

기술적 인텔리전스(Technical Intelligence)

악성코드 샘플, 해시값, 피싱 도메인 주소 및, 악성 IP 주소 등 기술적이고 세부적인 위협 데이터를 포함하며 보안 시스템과 자동화 도구에서 직접 활용할 수 있는 정보입니다. SIEM, IDS/IPS, 방화벽과 같은 위협 탐지 시스템에 기술적 데이터로 활용합니다. 또, 알려진 악성 IP 주소 및 피싱 도메인을 차단하거나 공격 표면 관리로 식별된 자산에 대한 위협 평가에 사용됩니다. 공격자들의 공격 지표를 업데이트하여 최신 위협 대비에도 활용합니다.

위협 인텔리전스 사이클 6단계

위협 인텔리전스는 단순히 데이터를 수집하고 분석하는 데 그치지 않고 체계적이고 반복적인 프로세스를 통해 인텔리전스를 생성합니다. 이 프로세스는 위협 인텔리전스 사이클로 불리며 6단계로 구성됩니다. 먼저 표를 통해 알아본 뒤 각각의 단계에 대해서 상세히 알아보도록 하겠습니다.

단계	주요 목적	활용 사례 및 도구
계획	목표와 요구사항 정의	위협 데이터 수집 방향 설정
수집	데이터 소스 확보	OSINT, HUMINT, TECHINT 활용
처리	데이터 정리 및 변환	데이터 구조화 및 분류
분석	위협 식별 및 평가	상관관계 분석, 리스크 평가, 머신러닝 분석
배포	실행 가능한 정보 전달	맞춤형 리포트, CTI 플랫폼 통한 실시간 공유
피드백	프로세스 개선	효과 분석 및 전략 수정, 협업 피드백 공유

1. 계획

목적: 위협 인텔리전스를 생성하기 위한 명확한 목표를 설정하고 기업의 보안 요구사항에 따라 데이터를 수집 및 분석하는 방향을 정의합니다.

주요 활동: 정보 요구사항 정의와 수집 계획 수립이 있습니다. 정보 요구사항 정의의 경우 기업이 해결해야 할 주요 위협과 정보 우선순위를 설정합니다. 수집 계획은 위협 인텔리전스를 어디서 수집할 것인지 결정합니다. 대표적으로 OSINT(Open Source Intelligence), HUMINT(Human Intelligence), TECHINT(Technical Intelligence) 등의 소스가 있습니다.

2. 수집

목적: 다양한 데이터 소스에서 위협 데이터를 수집합니다. 이는 위협 인텔리전스를 생성하는 데 필요한 가장 기본적인 단계입니다.

주요 활동: 누구나 접근할 수 있는 OSINT를 통해 공개된 취약점 및 취약점에 노출된 소프트웨어 공급망 정보를 수집합니다. 또, IP 주소에 대한 WHOIS 정보 및 노출된 IoT(Internet Of Things) 기기 정보, 피싱 사이트 및 URL 데이터를 수집합니다. 다른 방법으로는 TECHINT를 활용한 기술적 데이터 수집과 인간 네트워크 및 내부 소식통을 통해 정보를 획득하는 HUMINT 등의 소스를 활용해 위협 데이터를 수집합니다. MITRE ATT&CK 프레임워크를 활용하여 공격자의 공격 패턴과 기술 등을 수집할 수도 있습니다.

3. 처리

목적: 수집된 위협 데이터를 구조화 하고 분류해 목적에 맞게 사용할 수 있는 데이터로 가공하는 단계입니다.

주요 활동: 중복 되거나 불필요한 데이터를 제거하는 정리 과정과 비정형 데이터를 정형화 된 데이터(CSV, JSON)로 변환하는 구조화 과정을 진행합니다. 이후 목적에 맞춰 사용할 수 있도록 분류합니다. (악성 IP 주소, 피싱 도메인, 파비콘 해시 등)

4. 분석

목적: 정리된 데이터를 분석하여 위협에 활용 가능한 의미 있는 인텔리전스를 생성합니다.

주요 활동: 공격자 TTP를 기반으로 위협 행위자를 프로파일링 하는 위협 패턴 식별 작업, 네트워크 이벤트와 위협 데이터를 연결하여 공격 경로 추적 등의 위협 상관관계 분석, 공격자 식별 및 위협의 심각도와 발생 가능성을 평가하는 리스크 평가 작업이 분석 단계에서 진행됩니다. 이 과정에서 대량의 위협 데이터를 머신러닝 기반으로 분석하기도 하며, 다양한 데이터 소스를 연결해 위협 이벤트를 도출하기도 합니다.

5. 배포

목적: 생성된 인텔리전스를 기업 내 이해관계자에게 배포하여 실행 가능한 형태로 제공합니다. 이를 통해 기업은 위협 인텔리전스를 활용해 다양한 보안 위협에 대비하고 대처할 수 있습니다.

주요 활동: 보안 리포트 및 실시간 경고 알림 등 기업 상황에 맞춰 위협 인텔리전스를 제공합니다. 내부적으로 위협 인텔리전스를 생성하기 어려운 경우 Criminal IP와 같은 CTI 플랫폼을 통해 팀 간 실시간 데이터 공유, 기업의 노출된 자산의 위협 분석을 통한 선제 대응에 활용합니다. 

6. 피드백

목적: 이전 사이클의 결과를 평가하고 개선할 부분을 찾아 다음 사이클에 반영합니다. 이 과정을 통해 기업의 상황과 문제에 더욱 알맞는 위협 인텔리전스를 구축할 수 있습니다.

주요 활동: 제공된 위협 인텔리전스가 실제로 위협 탐지 및 대응에 얼마나 기여했는지 분석하는 효과성 평가 과정과 위협 인텔리전스를 구축하고 활용하는 단계에서의 전반적인 프로세스를 점검하고 개선합니다. 마지막으로 협업 부서 간의 피드백 과정을 통해 더 나은 활용 방안을 모색합니다.

위협 인텔리전스의 현재와 미래

위협 인텔리전스의 현재와 도전 과제

위협 인텔리전스는 기업의 보안 태세를 강화하는 데 필수적이지만 실무에서 이를 활용하는 데는 여러 한계와 도전 과제가 존재합니다. 데이터 품질, 분석 인력과 전문성 부족, 데이터 과잉 및 오탐 문제 등이 대표적입니다. 각 문제와 개선 방안을 같이 알아보도록 하겠습니다.

1. 데이터 품질 문제

수집된 위협 데이터가 부정확하거나 불완전한 경우, 중복 데이터 및 오래된 IoC(Indicator of Compromise)인 경우 이를 활용하는 보안 팀에 혼란을 초래할 수 있으며 이로 인해 데이터 전반의 신뢰도가 하락할 수 있습니다. 또, 데이터 출처에 따라 상이한 신뢰도로 오탐 및 과탐, 미탐 문제가 발생할 수 있습니다. 이런 경우 최신성과 신뢰도를 평가하는 프로세스를 자동화하여 여러 다중 소스 간의 교차 검수를 진행하고, 오래된 IoC 제거 및 실시간 업데이트를 통해 데이터의 유효성을 유지합니다.

2. 분석 인력과 전문성 부족 문제

위협 데이터를 분석하고 실행할 수 있는 인텔리전스를 생성할 수 있는 숙련된 인력이 부족하거나 기업 내 보안 팀이 위협 데이터를 처리하기 위한 충분한 역량과 시간이 없는 경우가 많습니다. 이런 경우 Criminal IP와 같은 위협 인텔리전스 플랫폼을 활용할 수 있습니다. 기업은 이를 활용하는데 중점을 둠으로써 생성에 대한 부담을 덜고, 분석 및 실행 인력 부족 문제를 해결할 수 있습니다.

3. 데이터 과잉 및 오탐 문제

과도한 데이터로 인해 실제 중요한 위협을 발견하지 못할 가능성이 있으며, 위협 탐지 중 많은 부분이 오탐으로 이어져 보안 팀의 피로도가 증가합니다. 이 경우 단순히 IP 주소나 해시값만 제공하는 대신 위협의 배경, 공격자의 TTP 정보 등을 포함한 실행 가능성 높은 위협 인텔리전스로 생성해 문제를 해결할 수 있습니다. 오탐 문제의 경우 AI와 머신러닝 모델을 활용해 경고의 신뢰도를 높이며 데이터 교차 검증으로 오탐 문제를 해결합니다.

AI와 결합한 위협 인텔리전스

AI는 위협 인텔리전스의 한계를 극복하고 데이터 분석과 위협 탐지 능력을 대폭 강화할 수 있는 잠재력을 가지고 있습니다. AI와 결합한 위협 인텔리전스를 알아보도록 하겠습니다.

1. 위협 예측 모델 구축

AI는 과거 데이터를 학습하여 예측 분석을 수행할 수 있습니다. 이를 통해 기업은 다가올 보안 위협에 선제적으로 대응할 수 있습니다. 시간, 장소, IoC 패턴 등을 기반으로 다음에 발생할 가능성이 높은 공격을 예측합니다. 

2. 위협 자동화 대응

생성한 위협 인텔리전스를 SOAR(보안 오케스트레이션, 자동화 및 대응)와 연동하여 방화벽 정책을 업데이트하거나 악성 IP 주소 및 도메인, 의심스러운 계정 차단 등의 작업을 수행합니다.

3. 맞춤형 위협 인텔리전스 생성

각 산업 군별 구축한 위협 데이터는 다를 수 있습니다. AI는 각기 다른 위협 데이터를 기반으로 해당 산업, 기업에 최적화된 위협 인텔리전스를 생성합니다. 이를 통해 기업은 실제 직면한 고유의 보안 위협에 대응할 수 있는 역량을 갖추게 됩니다. 

FAQ

위협 인텔리전스를 수집하는 주요 데이터 소스(OSINT, HUMINT, TECHINT)의 차이점은 무엇인가요?

OSINT (Open Source Intelligence): 공개된 인터넷 리소스에서 수집된 데이터로, IP 주소 및 웹사이트, 소셜 미디어, 뉴스, 공개 보고서 등에서 정보를 얻습니다. 비용 효율적이고 쉽게 접근할 수 있지만, 신뢰도와 정확성을 검증하는 데 추가 작업이 필요합니다.

HUMINT (Human Intelligence): 사람 간의 네트워크를 통해 수집되는 정보로, 내부 소식통, 보안 커뮤니티, 포럼 등을 포함합니다. 일반적으로 고급 정보이지만, 수집 과정이 복잡하고 시간이 걸릴 수 있습니다.

TECHINT (Technical Intelligence): 네트워크 트래픽, 악성코드 분석, 디지털 포렌식 같은 기술적 데이터를 다룹니다. 이 데이터는 실시간 위협 탐지 및 대응에 유용하며, 기술적 전문 지식이 있어야 합니다.

위협 인텔리전스는 다른 보안 솔루션과 어떻게 연계되나요?

위협 인텔리전스는 다양한 보안 솔루션과 연계되어 기업의 보안 태세를 강화할 수 있습니다. 공격 표면 관리(ASM) 솔루션에 통합되어 식별된 기업의 다양한 공격 표면에 대한 위협 분석을 진행하기도 하며, 방화벽, IDS/IPS와 위협 인텔리전스의 통합은 악성 트래픽을 식별해 차단합니다. 또, 보안 자동화 대응 기술인 SOAR와의 결합을 통해 위협 탐지 및 분석, 대응 과정을 자동화할 수 있습니다.

위협 인텔리전스를 어떻게 기업의 보안 강화에 사용할 수 있나요?

위협 인텔리전스를 활용한 위협 탐지 및 예방은 기업의 보안을 강화하는 데 중요한 역할을 합니다.

• 위협 예측과 사전 대응: 위협 인텔리전스는 과거의 위협 데이터를 분석하여 미래의 공격 패턴을 예측할 수 있습니다. 이를 통해 공격자가 기업의 시스템을 침투하기 전에 선제적으로 대응할 수 있습니다.
• 정확한 탐지와 차단: 위협 인텔리전스는 알려진 위협 데이터를(IP 주소, 도메인, 해시 등)을 데이터베이스화하여 이를 기반으로 신속하게 탐지하고 차단할 수 있습니다. 제로데이 공격 및 APT 공격을 효과적으로 탐지하고 방어할 수 있는 능력을 제공합니다.
• 위협 정보를 기반으로 한 보안 정책 강화: 위협 인텔리전스는 기업이 직면한 실제 위협을 반영한 보안 정책을 수립하는 데 도움을 줍니다. 위험 기반 접근 방식을 통해 보안 수준을 향상할 수 있습니다.
• 실시간 위협 분석: 위협 인텔리전스 플랫폼과 도구는 실시간으로 데이터를 분석하여 위협을 탐지하고 경고합니다. 이에 따라 보안 팀은 빠르게 대응할 수 있으며, 대응 시간과 피해를 최소화할 수 있습니다.
• 지속적인 업데이트와 학습: 위협 인텔리전스는 지속해서 새로운 위협을 수집하고 분석하여 보안 시스템을 최신 상태로 유지합니다. 이를 통해 점점 더 고도화되는 사이버 공격에 대해 유연하게 대응할 수 있습니다.

결론

기업의 디지털 전환이 가속화됨에 따라 국경을 초월하는 사이버 위협은 더욱 고도화, 전문화되었습니다. 위협 인텔리전스는 나날이 증가하는 사이버 위협 속에서 기업이 대응할 수 있도록 최신 보안 위협 데이터를 제공하는 것을 목표로 합니다. 최신화된 위협 인텔리전스는 더욱 고도화된 보안 솔루션에 통합되어 궁극적으로 기업을 사이버 보안 위협으로부터 보호합니다.

---

위협 인텔리전스 검색엔진 Criminal IP는 최신 위협 데이터의 제공을 목표로 합니다. 악성 IP 주소 및 인터넷 환경에 노출된 IoT 기기, Domain 정보 및 사이트 코드 분석, 최신 취약점 정보와 최근 활동한 해킹 그룹 정보 등 다양한 위협 인텔리전스를 제공합니다. 또, 기업이 사이버 보안 위협에 선제적으로 대응하며 효과적인 위협 관리를 할 수 있도록 위협 인텔리전스를 통합한 공격 표면 관리 솔루션 Criminal IP ASM과 결제 사기 및 크리덴셜스터핑 공격에 대비하기 위한 Criminal IP FDS, 최신 위협 인텔리전스를 로컬 서버에 다운로드 할 수 있는 Criminal IP CTIDB를 제공합니다. 위협 인텔리전스를 활용한 Criminal IP의 보안 솔루션에 관심이 있다면 각각의 개별 솔루션을 클릭해 보세요.

참고 문헌
MWR threat intelligence report (2015)
Ishikawa Tomohisa, 위협인텔리전스의 교과서 (2022)