위협 인텔리전스란 무엇인가?

최소한 20여 년 동안 우리는 위협 환경의 변화가 더욱 발전하고 정교해지는 것을 목격해 왔으며, 조잡한 행위자와 정부 후원 집단 모두가 전 세계 조직을 대상으로 한 정교한 공격 캠페인을 계획하고 있습니다. 2024년에 적들은 평균적으로 분당 11.5회 공격을 진행합니다. 동시에 IAM과 포니먼 연구소에 따르면 SecOps 팀이 데이터 침해를 감지하고 차단하는 데 277일이 소요됩니다. 이러한 지연의 원인 중 하나는 업계 내 엄청난 인재 부족으로 인해 조직의 71%가 채워지지 않은 직책을 보유.

하고 있는 것입니다. 기존의 인재 격차와 계속 증가하는 공격 표면을 고려할 때 적절한 우선순위 설정 및 자원 효율적인 사이버 방어 운영에 대한 정보에 근거한 결정을 내리는 것이 중요합니다. 

위협 인텔리전스 정의

가트너는 위협 인텔리전스, 즉 사이버 위협 인텔리전스(CTI)가 보안 아키텍처의 중요한 요소라고 말합니다. 이는 보안 전문가들이 위협을 감지하고, 선별하며, 조사하는 데 도움을 주어 조직의 보안 상태를 향상시킵니다. 경고의 품질을 개선하고, 조사 시간을 단축하며, 최신 사이버 공격 및 행위자들을 포괄함으로써 CTI는 현대 사이버 방어에서 중요한 역할을 합니다.

에 따르면 가트너에서 위협 인텔리전스는 ‘자산에 대한 기존 또는 새롭게 발생하는 위협이나 위험에 대한 증거 기반 지식(예: 맥락, 메커니즘, 지표, 함의 및 행동 지침)이 포함된 정보’로 정의됩니다. 즉, 위협 인텔은 특정 조직의 사이버 위협을 예측하고 방지하기 위한 포괄적이고 실행 가능한 데이터입니다. CTI는 보안 팀이 데이터 중심의 접근 방식을 통해 사이버 공격이 확산되기 전력을 사전에 저지할 수 있도록 하며, 탐지 및 수색 노력을 용이하게 합니다. 

스타티스타의 연구 에 따르면 CTI 시장은 2033년까지 440억 달러를 초과할 것으로 예측되며, 이는 현대 비즈니스 전략에서 정보에 근거한 데이터 중심 방어의 중요성이 증가하고 있음을 강조합니다. 이 예측은 기록된 미래 2023 위협 인텔리전스 상태 보고서의 결과와 일치하며, 응답자의 70.9%가 위협 인텔리전스를 수집 및 분석하는 전담 팀을 보유하고 있다고 밝혔습니다.

귀하의 사이버 보안 전략에 위협 인텔리전스를 통합하는 것은 도전적일 수 있습니다. 이는 조직의 특정 정보 요구 사항을 우선시하고 보안 통제를 평가하여 위협 인텔리전스를 효과적으로 운영화해야 하기 때문입니다. CTI를 잘못 사용하면 경고 과부하 및 오탐 증가로 이어질 수 있으며, 올바른 구현의 중요성을 강조합니다.

위협 인텔리전스 유형

위협 인텔리전스는 조직의 목표, 관련 당사자, 특정 요구 사항 및 라이프사이클 시나리오에서의 전반적인 목표에 따라 전술, 전략 및 운영으로 그룹화될 수 있습니다.

• 전략적 위협 인텔 은 글로벌 공격 표면 및 조직이 그 안에서 어떻게 위치하는지에 대한 고급 통찰력을 제공합니다. 이는 주로 사이버 보안 프로그램을 발전시키고 프로세스를 변형시키는 장기적인 결정을 위해 사용됩니다. 이해관계자는 전략적 위협 인텔리전스를 활용하여 조직의 사이버 보안 전략 및 투자를 사이버 보안 환경에 맞추게 됩니다.
• 전술적 위협 인텔 은 보안 통제로 소비되지만 수사 중에 수동으로 사용되는 IP 주소, 도메인, URL 또는 해시 등의 침해 지표(IOCs)를 포함합니다. 이는 보안 운영 센터(SOC)가 지속적인 사이버 공격을 탐지하고 대응하는 데 도움을 주며, 적 C2 서버와 연결된 IP 주소, 식별된 사건의 파일 해시 또는 피싱 공격과 관련된 이메일 제목과 같은 일반적인 IOC에 집중합니다. 이러한 유형의 위협 인텔은 오탐을 필터링하고 숨겨진 공격자를 밝혀내어 보안 팀이 일상적인 SOC 작업을 수행하는 데 도움을 줍니다. 요컨대, 전술적 CTI는 긴급 경보 발행, 사이버 보안 프로세스 확대, 기존 인프라 내에서의 구성 조정을 포함한 단기적 결정을 돕기 위한 것입니다.
• 운영적 위협 인텔은 기술적 CTI라고도 불리며, 알려진 적 설치 기술을 중심으로 조직이 사이버 공격을 사전 예방적으로 저지할 수 있도록 합니다.  보안조직(CISO)와 보안 운영 관리자는 이 유형의 CTI를 활용하여 잠재적 위협 행위자를 예측하고 비즈니스에 가장 도전적인 공격을 대응하는 타겟 예방법을 구현합니다.

누가 위협 인텔리전스의 혜택을 받을 수 있을까요?

위협 인텔리전스는 조직의 크기, 업계 또는 사이버 보안 성숙도를 불문하고 특정 위협을 예상하고 저지하도록 설계된 광범위하고 실행 가능한 데이터를 포함합니다. CTI는 보안 팀에 사이버 공격으로부터 사전 예방적이고 효과적으로 방어하기 위해 필요한 데이터를 제공하여 탐지 및 대응 노력 모두를 용이하게 하며, 기존 위협 및 아직 사이버 공격과 연결되지 않은 사전 예방 조치를 총체적으로 이해할 수 있도록 합니다.

중소기업의 경우, 위협 인텔리전스는 다른 방법으로는 달성하기 어려운 수준의 보호를 제공합니다. 광범위한 보안 팀을 보유한 대기업은 외부 위협 인텔리전스를 사용하여 비용과 기술 요구 사항을 줄이며 분석가의 효율성을 높일 수 있습니다.

위협 인텔리전스 유형에 따라 보안 팀의 어느 구성원이라도 CTI를 최대한 활용하여 조직의 방어력을 높일 수 있습니다:

• 보안 및 IT 분석가 는 탐지 능력을 향상시키고 방어를 강화할 수 있습니다. 그들은 대규모 개방형 CTI 피드, 정보 교환 협력 커뮤니티 또는 내부 조직의 특정 로그 소스를 포함한 다양한 출처에서 원시 위협 데이터와 보안 관련 세부 정보를 수집하여 CTI를 상호 관련시킵니다. 
• SOC 분석가 는 전술적 위협 인텔을 상호 관련 및 분석하여 추세, 패턴 및 적 행동을 식별하고, 사건의 위험 및 잠재적 영향을 분류하여 위협 식별의 정확을 개선하고 오탐을 줄입니다.
• 위협 헌터 는 가설 중심의 조사에서 운영적 CTI에 의존하여 가장 중요한 위협을 우선시하도록 공격자 TTP에 대한 통찰력을 제공합니다. 그들은 또한 전술적 위협 인텔을 활용하여 IOC 기반 사냥을 용이하게 하고, 새로 떠오르거나 기존의 위협과 연결된 침해 지표를 문서화합니다. CTI는 사전 예방적 위협 사냥을 가능하게 하여, 심각한 피해를 초래하기 전에 가능한 초기 공격 단계에서 잠재적 위협을 감지합니다. 
• CSIRT(컴퓨터 보안 사건 대응 팀) 은 위협 인텔리전스를 활용하여 사건 대응 능력을 가속화할 수 있습니다. 위협 인텔리전스는 CSIRT에게 최신 위협에 대한 중요한 통찰력을 제공하여 악의적인 행위자에 사용된 IOCs 및 공격 패턴을 포함해 조직 내 사건을 신속하게 식별하고 해결할 수 있게 합니다. CTI를 워크플로에 통합함으로써 CSIRT는 사건의 우선순위화 및 대응의 효율성을 향상시켜, 빠른 행동과 사이버 공격으로 인한 영향을 줄일 수 있게 됩니다.
• 경영진, CISO, SOC 매니저 및 기타 정보 보안 결정권자들은 전략적 위협 인텔을 통해 비즈니스에 가장 도전적인 위협에 대한 포괄적인 가시성을 얻습니다. 이는 미래의 위협 및 취약성을 예상하고 그 영향을 효과적으로 완화하기 위한 전략적 계획을 촉진합니다.

위협 인텔리전스 라이프사이클

CTI 관련 운영은 원시 데이터를 실행 가능한 통찰력으로 변환하여 정보에 근거한 의사 결정을 가능하게 하는 지속적 프로세스입니다. CTI 라이프사이클은 보안 운영 부서가 위협 정보 기반의 사이버 방어에 대한 노력과 자원을 최적화할 수 있도록 간단한 프레임워크를 제공합니다. 접근 방식은 약간 다를 수 있지만 일반적으로 위협 인텔리전스 라이프사이클은 효과적인 워크플로우와 대규모 개선을 위한 지속적 피드백 루프를 형성하는 6가지 주요 마일스톤으로 구성됩니다.

1. 방향. 이 단계에서는 보안 팀이 특정 CTI 운영의 요구 사항과 목표를 설정합니다. 이 계획 단계에서는 팀이 관련 당사자의 필요에 따라 목표, 방법론 및 도구가 정의된 로드맵을 작성합니다.
2.  수집. 목표와 목적이 명확해지면 팀은 데이터 수집 프로세스를 시작할 수 있습니다. 이것은 보안 로그, 위협 피드, 포럼, 소셜 미디어, 주제 전문가 등을 포함한 다양한 출처에서 데이터를 수집하는 것을 포함합니다. 실제로 목표는 가능한 관련 정보를 최대한 많이 수집하는 것입니다.
3. 처리. 모든 필수 정보가 제공되면 라이프사이클의 다음 단계는 정보를 활용 가능한 형태로 처리하고 조직하는 것입니다. 일반적으로 이 단계에는 데이터의 관련성을 평가하고, 필터링하고, 관련 없는 세부 정보를 제거하며, 외국 소스로부터 번역하고, 철저한 분석을 위해 핵심 데이터를 구조화하는 것이 포함됩니다.
4. 분석. 준비된 데이터 세트를 손에 쥐고 팀은 철저한 분석을 진행하여 분리된 데이터 조각을 실행 가능한 CTI로 변환하며, 위협 행위자 프로파일링, 위협 상관관계, 행동 분석 등을 포함합니다.
5. 배포. 분석이 수행되면, 배포 단계에서 팀은 핵심 결론과 권장 사항이 이해관계자에게 전달되는 것을 보장합니다.
6. 피드백. 최종 단계는 관련 당사자 및 이해관계자로부터 피드백을 받아 다음 주기 동안 조정 및 개선해야 할 사항을 결정하는 것입니다.

다중 위협 방어를 위한 SOC Prime 플랫폼 은 CTI 기능을 즉시 제공하여 각 위협 인텔리전스 라이프사이클 단계를 완료하는 데 필요한 시간과 노력을 크게 줄일 수 있게 합니다. SOC Prime을 사용하여 보안 전문가들은 대규모 데이터 탐색과 연구된 문맥을 탐험하는데 있어 빠르게 진행할 수 있으며, 제로데이, MITRE ATT&CK® 참조 및 레드 팀 도구를 포함하여 강력하고 어택체인의 맥락에서 관련 위협을 사전에 식별하고 저지할 수 있습니다. 모든 위협 인텔과 실행 가능한 메타데이터는 13K+ Sigma 규칙에 연결되어 있으며, 현재의 필요에 완벽하게 부합하는 위협 연구를 가능하게 하기 위해 분류 및 감사 구성 권장 사항을 포함합니다.

위협 인텔리전스 사용 사례

위협 인텔리전스는 다양한 보안 영역에서 탐지, 대응 및 전반적인 사이버 보안 태세를 향상시키기 위한 실질적 응용을 갖춘 종합적인 사이버 보안 프로그램의 필수 요소입니다. 사건 선별 및 경고의 우선 순위를 가속화하고 일일 보안 작업을 지원하며 사전 예방적 위협 사냥을 수행하는 등, 일반적인 위협 인텔리전스 사용 사례에 중요한 통찰을 제공합니다.

• 경고 선별 및 우선순위화. 위협 인텔리전스는 SOC 분석가가 경고 선별을 가속화할 수 있도록 도와줍니다. 그들이 경고를 완전히 이해하고 우선 순위를 매길 수 있는 맥락 정보 및 사건의 에스컬레이션 또는 완화가 필요한지 쉽게 평가할 수 있도록 도와줍니다. 실행 가능한 CTI로 경고를 풍부하게 함으로써 방어자는 쉽게 소음을 줄이고 오탐율을 감소시킬 수 있습니다. 
• 사전 예방적 위협 탐지 및 사냥. 위협 인텔리전스는 TTP 기반 위협 사냥에서 특히 중요하여, 보안 팀이 환경 내 주요 위협의 징후를 사전 예방적으로 찾을 수 있게 합니다. 위협 인텔을 운영함으로써, 보안 팀은 전통적인 보안 통제를 피하는 숨겨진 위협 및 취약점을 발견하고, 사냥 중 의심스러운 행동을 신속하게 식별하며, 공격 전 위협을 차단할 수 있습니다. 위협 인텔리전스는 위협 탐지 및 대응 노력의 효율성을 평가하는 데 도움을 주는 평균 탐지 시간(MTTD)과 같은 중요한 성과 지표 추적도 용이하게 합니다.
• 취약점 관리. 위협 인텔리전스는 신흥 취약점 및 제로데이 악용에 대한 통찰력을 제공합니다. 이를 통해 조직은 인프라에 실질적으로 관련된 위협을 기준으로 패치 및 완화 노력을 우선시할 수 있습니다.
• 피싱 및 사기 탐지. AI의 해에 피싱 공격이 58.2% 증가했으며, 이는 이전 해와 비교하여 적의 정교함과 확장이 증가했음을 나타내면서 피싱 캠페인에 대한 방어 강화의 필요성을 강조합니다. 위협 인텔리전스는 피싱 캠페인, 악성 도메인 및 사기 활동과 관련된 의심스러운 IP 주소 식별에 도움을 줍니다. 이를 통해 조직은 악성 통신을 차단하고 어떤 규모의 피싱 공격에도 사전 방어할 수 있습니다.
• 전략적 의사 결정. 위협 인텔리전스는 위협 환경을 매핑하고, 위험을 평가하며, 현 비즈니스 우선 순위에 따라 사이버 보안 전략을 조정하는 데 필요한 중요한 문맥을 제공하여 시의적절한 의사 결정을 할 수 있도록 돕습니다. 진화하는 위협 환경을 이해함으로써 조직은 전반적인 사이버 보안 태세를 강화할 수 있도록 자원을 효과적으로 할당할 수 있습니다.
• 커뮤니티 협력 및 지식 공유. 위협 인텔리전스는 정보 교환 및 글로벌 업계 협력을 촉진하여 신흥 위협, 공격 추세 및 적의 전술에 대한 귀중한 통찰력을 제공하는 데 기여합니다. 보안 팀은 업계 동료, 정부 기관 및 동료 주도 커뮤니티와 CTI를 공유하여 집단적으로 방어를 강화하고 위험을 경감하며 사이버 보안 환경 전반에 대한 상황 인식을 높일 수 있습니다. 또한 위협 인텔리전스는 커뮤니티 중심의 접근 방식을 선도하여 조직이 신진 보안 엔지니어와 전문 지식을 공유하고 함께 전략을 적응하여 사이버 위협에 효과적으로 대응할 수 있게 합니다. SOC Prime의 디스코드 는 다양한 경험 수준과 배경을 가진 사이버 보안 전문가가 신규 진입자와 함께 지식과 통찰력을 교환하고, 행동 기반 탐지 알고리즘 및 위협 인텔리전스를 공유하며, 적에 대한 경쟁 우위를 얻기 위해 최신 사이버 보안 트렌드를 논의하는 커뮤니티 주도 플랫폼으로 자리 잡고 있습니다. 

 SOC Prime의 제품군은 고급 위협 탐지, AI 기반 탐지 엔지니어링 및 자동화된 위협 사냥을 위한 아웃 오브 더 박스 CTI 기능을 제공하여 보안 팀이 위협 인텔 운영에 소요되는 시간과 노력을 절감할 수 있게 합니다. 이를 통해 SOC Prime 플랫폼은 조직이 실제 환경에서 사용하는 최신 TTP뿐만 아니라 아직 사이버 공격과 연결되지 않은 사전 예방적 방법에 대한 최신 정보를 원활하게 유지할 수 있도록 하며, 13K+ Sigma 규칙에 관련된 문맥을 탐색하여 제로데이, CTI 및 MITRE ATT&CK 참조, 레드 팀 도구를 포함하여 위협 인텔리전스를 운영화하는 데 도움을 제공합니다.