>
블로그

5가지 위협 인텔리전스 솔루션 사용 사례

게시일: 2024년 6월 25일
작성자: 에스테반 보르헤스

사이버 위협이 점점 더 정교해지고 빈번해지면서 조직은 사이버 위협 인텔리전스를 활용하여 잠재적인 사이버 공격에 한발 앞서 대응하는 것이 필수적입니다. 모든 산업 분야의 조직은 사이버 범죄자보다 앞서 나가고 소중한 자산을 보호하기 위해 강력한 위협 인텔리전스 솔루션을 구현하는 것이 중요하다는 사실을 인식하고 있습니다.

위협 인텔리전스의 역할

조직은 민감한 정보를 보호하고 비즈니스 연속성을 유지하기 위해 보안에 대한 경각심을 갖고 선제적으로 대응해야 합니다. 이것이 바로 위협 인텔리전스가 필요한 이유입니다. 그렇다면 위협 인텔리전스란 무엇일까요?

위협 인텔리전스는 조직이 조직을 공격했거나 공격할 예정인 위협을 파악하는 데 사용하는 정보입니다. 이러한 인텔리전스는 오픈 소스(OSINT), 소셜 미디어, 기술 데이터, 다크웹 모니터링 등 다양한 출처에서 수집됩니다. 위협 인텔리전스의 주요 목표는 사이버 위협을 예방, 탐지 및 대응할 수 있는 실행 가능한 인사이트를 제공하는 것입니다.


위협 인텔리전스란 무엇인가요?


위협 인텔리전스는 크게 네 가지 주요 유형으로 분류할 수 있습니다:

  • 전략적 위협 인텔리전스 - 새로운 트렌드, 지정학적 사건, 주요 위협 행위자 등 위협 환경에 대한 높은 수준의 개요를 제공합니다.
  • 전술적 위협 인텔리전스 - 위협 인텔리전스 행위자가 사용하는 전술, 기술 및 절차(TTP)에 중점을 둡니다.
  • 운영 위협 인텔리전스 - 현재 진행 중이거나 임박한 특정 인시던트 및 캠페인을 자세히 설명하는 보다 즉각적이고 실행 가능한 인텔리전스입니다.
  • 기술 위협 인텔리전스 - IP 주소, 도메인 이름, 파일 해시, 멀웨어 서명 등 특정 침해 지표(IOC)에 대한 데이터를 포함합니다.

이러한 다양한 유형의 위협 인텔리전스를 활용하여 조직은 잠재적인 사이버 위협에 대한 포괄적이고 계층화된 방어 체계를 구축할 수 있습니다.

위협 인텔리전스가 중요한 이유는 무엇인가요?

마켓 인사이더 보고서에 따르면 2023년에 취약점 악용이 3배나 증가했다고 합니다. 이러한 현저한 증가는 민감한 정보를 보호하기 위한 효과적인 위협 인텔리전스의 필요성을 강조합니다.

위협 인텔리전스의 중요성은 원시 데이터를 의미 있는 정보로 변환하여 보안팀이 정보에 입각한 의사 결정을 내리는 데 사용할 수 있다는 점입니다. 위협 행위자의 전술, 기술 및 절차(TTP)를 이해함으로써 조직은 잠재적인 공격으로부터 더 효과적으로 방어할 수 있습니다. 또한 위협 인텔리전스는 새로운 위협을 식별하고, 최신 취약점의 우선순위를 정하며, 전반적인 보안 태세를 유지하는 데 도움이 됩니다.

위협 인텔리전스의 구성 요소

효과적인 위협 인텔리전스는 데이터 수집과 정교한 분석을 기반으로 합니다. 여기에는 수집된 정보가 관련성 있고 정확하며 실행 가능한지 확인하는 다각적인 접근 방식이 포함됩니다. 다음은 몇 가지 주요 구성 요소입니다:

  • 데이터 수집: 네트워크 로그, 보안 인시던트, 외부 위협 인텔리전스 피드 등 다양한 소스에서 원시 데이터를 수집합니다.
  • 데이터 분석: 수집된 데이터를 처리하고 분석하여 잠재적 위협의 패턴, 추세 및 지표를 식별합니다.
  • 배포: 분석된 인텔리전스를 조직 내 관련 이해관계자와 공유하여 보안 결정 및 조치를 알립니다.
  • 실행 가능한 인사이트: 분석된 데이터를 위험을 완화하고 보안 조치를 강화하는 데 사용할 수 있는 실행 가능한 인사이트로 전환합니다.

위협 인텔리전스 사용 사례는 조직이 사이버 위협에 어떻게 대응할 수 있을까요?

위협 인텔리전스는 조직이 끊임없이 진화하는 새로운 사이버 위협의 환경을 방어하는 데 중추적인 역할을 합니다. 위협 인텔리전스 솔루션은 다양한 방식으로 사용될 수 있으므로, 솔루션을 선택한 후 해당 솔루션의 강점에 사용 사례를 맞추려고 하기보다는 위협 인텔리전스 플랫폼을 선택하기 전에 잠재적인 사용 사례를 파악하는 것이 중요합니다.

위협 인텔리전스 사용 사례는 사고 대응 프로세스를 간소화할 수 있습니다. 기술 리서치 회사인 Gartner는 최근 Market Guide에서 사이버 위협 인텔리전스 솔루션의 최종 사용자가 '사용 사례 중심'으로 접근하여 최적의 솔루션을 찾을 것을 제안합니다.

예를 들어, 향후 위협을 방지하고 보안을 조정 또는 업데이트하기 위해 기업을 표적으로 삼는 위협 행위자의 신원, 방법 및 동기에 대한 인사이트를 얻고자 하거나, 훈련 연습에 사용할 사례 연구를 만들고자 하거나, 조직이 특히 취약한 위험에 따라 취약성 관리의 우선 순위를 정하기 위해 더 많은 위협 데이터를 수집하고자 하는 경우 등 Gartner는 솔루션을 선택하기 전에 고려해야 할 중요한 사용 사례의 목록을 제시하고 있습니다.

보안 운영 및 프로그램을 개선하는 방법에 대해 많은 비용과 정보를 바탕으로 보안 결정을 내리기 전에 위협 인텔리전스 플랫폼의 가장 효과적인 사용에 대한 아래 가트너의 5가지 사례를 살펴보세요.


위협 인텔리전스 사용 사례


1. 위협 인텔리전스 통합을 통한 다른 보안 기술 강화

사이버 위협 인텔리전스를 기존 보안 프로세스에 통합하면 사고 대응을 위한 의사 결정을 개선하고 보안 정책을 강화할 수 있습니다. Gartner에 따르면 최근 사이버 위협 인텔리전스는 보안 정보 및 이벤트 관리(SIEM), 방화벽 및 통합 위협 관리 시스템, 침입 탐지 및 방지, 보안 웹 게이트웨이 및 보안 이메일 게이트웨이, 엔드포인트 보호, 웹 애플리케이션 보호, 분산 서비스 거부, 취약성 관리, 보안 오케스트레이션 등 대부분의 보안 기술 분야에 널리 통합되기 시작했다고 합니다.

조직에서 보안 프로그램에 위협 인텔리전스를 아직 포함하지 않은 경우, 이미 사용 중인 보안 프로그램을 살펴보고 위협 인텔리전스를 통해 더 효과적인 보안 프로그램을 만들 수 있는 방법을 알아보는 것이 좋습니다. 많은 위협 인텔리전스 솔루션이 이미 사용 중인 보안 제품과 원활하게 통합할 수 있는 기계 판독 가능 인텔리전스를 제공하며, 오픈 소스 표준을 사용하는 솔루션이 늘어나면서 플랫폼 간 데이터 공유가 그 어느 때보다 쉬워지고 있습니다.

2. 보안 팀을 위한 취약점 우선순위 지정

효과적인 위협 인텔리전스 프로그램의 가장 좋은 용도 중 하나는 데이터를 수집하고 분석을 수행하여 조직이 취약성을 평가하기 위한 간단한 지표를 만드는 데 도움이 되는 것입니다. 이 메트릭은 사용 가능한 시간과 리소스를 고려할 때 해결할 수 있는 문제와 가장 큰 변화를 가져올 솔루션이 얼마나 겹치는지를 측정하는 지표여야 합니다.

취약점의 우선 순위를 정하는 전통적인 접근 방식은 "모든 것을, 항상, 어디서나, 패치하는 것"이 최선의 보안 접근 방식이라는 태도에서 비롯됩니다. 이 목표를 달성하면 이론적으로는 완벽하게 뚫을 수 없는 시스템이 될 수 있지만, 이는 불가능할 정도로 높은 기준을 설정하는 것입니다. 따라서 이 접근 방식을 따르는 조직은 필연적으로 타협을 하고 '가장 큰' 문제부터 해결해야 합니다.

그러나 일반적인 생각과는 달리, (실제로 피해를 입히는 정도를 기준으로) '가장 큰' 문제는 제로데이 위협이나 교묘한 새로운 익스플로잇 같은 문제가 아니라 계속해서 악용되는 오래된 취약점인데, 이는 많은 조직이 근본적인 개선에 집중하는 대신 새로운 위협을 우선시하기 때문에 발생하는 문제입니다.

위협 행위자도 여러분과 마찬가지로 시간과 가용 리소스의 제한을 받습니다. 이들은 계속해서 결과를 제공하는 한 가장 간단하고 리소스 집약적인 익스플로잇을 사용하는 경향이 있습니다.

지난 10년간 발견된 취약점을 분석한 결과, 가트너는 새로운 CVE가 대부분 꾸준한 속도로 발견되는 반면 익스플로잇의 수는 같은 기간 동안 기하급수적으로 증가했다는 사실을 발견했습니다. 이는 새로운 익스플로잇의 대부분이 기존 익스플로잇의 변형이라는 것을 의미하며, 모든 조직의 최우선 순위는 새로운 위협에 대한 걱정보다는 이미 알려진 취약점을 패치하는 것이어야 한다는 것을 분명히 보여줍니다.

3. 오픈, 딥, 다크 웹 모니터링

위협 인텔리전스 솔루션은 인터넷의 오픈 소스 및 비공개 소스 모두에서 위협 데이터를 수집해야 합니다.

간단히 말해 오픈소스는 인터넷에서 누구나 사용할 수 있는 공개 소스입니다. 여기에는 검색 엔진에서 색인되는 모든 데이터가 포함되며, 이를 서피스 웹이라고도 합니다. 이는 약 45억 6,000만 페이지에 달하지만, 인터넷의 공개 부분은 전체 온라인 데이터의 약 4%에 불과합니다.

나머지 96%는 딥 웹과 다크 웹으로 나뉩니다. 이러한 데이터의 약 90%를 차지하는 딥 웹은 보안 로그인이나 페이월 뒤에 숨어 있어 검색 엔진 크롤러의 손이 닿지 않는 인터넷의 일부를 말합니다. 이러한 정보에는 과학, 학술 또는 정부 보고서, 재무 기록이나 병력 등의 개인 정보, 민간 기업 데이터베이스가 대부분 포함됩니다.

인터넷 전체 데이터의 나머지 6%를 차지하는 다크 웹은 암호화와 익명성을 제공하는 토르와 같은 브라우저를 통해서만 접속할 수 있는 웹사이트로 구성되어 있습니다. 이러한 사례만 있는 것은 아니지만, 많은 웹사이트가 불법 상품과 서비스를 판매하는 마켓플레이스를 제공하고 있습니다.

취약점과 그 익스플로잇은 다크 웹과 딥 웹의 공간에서 취약점을 안전하게 보호하고자 하는 당사자와 위협 행위자 모두에 의해 일반적으로 논의되고 거래됩니다. 따라서 이러한 위협 인텔리전스 소스에서 위협 데이터를 수집하여 어떤 위협이 존재하는지 보다 포괄적이고 최신 상태로 파악하는 것이 필수적입니다.

이러한 공간에 액세스하려면 더 많은 기술이 필요하고 더 높은 위험이 따르기 때문에 특정 위협 인텔리전스 솔루션의 주요 가치 중 하나는 이러한 작업을 대신 수행해 준다는 것입니다. 가트너의 마켓 가이드에 따르면, 이러한 공간에 효과적으로 침투하여 효과적이고 시기적절한 분석을 제공하려면 다년간의 경험이 필요하며, 가장 효과적인 위협 인텔리전스 프로그램은 어떤 알고리즘으로도 복제할 수 없는 전문가 분석이 제공될 것입니다.

4. 브랜드 모니터링

취약점과 익스플로잇에 대한 논의는 대부분 인터넷의 폐쇄적인 부분에서 이루어지지만, 특히 소셜 미디어 채널의 새로운 사이버 위협에 대해 오픈 소스도 모니터링할 수 있는 실행 가능한 위협 인텔리전스 플랫폼을 선택하는 것은 여전히 큰 가치가 있습니다. 이 분야에서 위협을 식별하는 것은 그 자체로 기술이며, 조직의 브랜드와 위협 행위자가 이를 악용할 수 있는 다양한 방법에 대한 인식이 필요합니다.

이러한 위협은 공공장소에서 나타나고 더 광범위한 조사의 대상이 되기 때문에 소프트웨어 익스플로잇 대신 사회 공학 기술에 의존하는 등 더 교묘할 수 있으며 인식하는 데 어느 정도의 전문 지식이 필요합니다.

예를 들어, 브랜드 모니터링이 포함된 위협 인텔리전스 솔루션은 직원이 승인한 가짜 또는 악성 소셜 미디어 프로필을 찾거나 직원의 프로필을 모방하고, 소셜 미디어 프로필에 게시된 악성 링크를 식별하거나 지적 재산 손실 및 도용을 평가할 수 있습니다.

소셜 미디어 및 브랜드 모니터링을 통해 식별할 수 있는 사이버 공격에는 피싱, 허위 플래그 체계, 도메인 사기, 활동가 또는 '트롤링' 공격 등이 있습니다. 전문적으로 개발된 위협 인텔리전스 솔루션은 오픈 소스 도구나 임시 접근 방식보다 훨씬 더 효율적이고 오탐을 적게 발생시킵니다.

5. 위협 지표 조사, 강화 및 대응

물론 모든 공격을 예방할 수는 없으며, 많은 위협 인텔리전스 솔루션의 가치 중 하나는 운영 위협 인텔리전스를 통해 사고 대응의 속도와 정확성을 개선하는 기능입니다. 가트너는 이 가이드에서 예방에 초점을 맞추는 것에서 벗어나 위협 탐지와 대응을 모두 포함하는 보다 균형 잡힌 접근 방식으로 전환할 것을 권장합니다.

이 프레임워크의 일부에는 위에서 설명한 대로 취약점의 우선순위를 정하는 방법을 재고하는 것도 포함됩니다. 파일 또는 개체에 대한 온디맨드 액세스를 허용하고 의심스러운 파일 해시, 도메인 이름 또는 주소와 같은 침해 지표를 찾아 일부 솔루션이 유지하는 대규모 데이터 세트와 비교하여 조직의 데이터를 보강하는 위협 인텔리전스 솔루션을 사용하는 것도 도움이 될 수 있습니다.

일부 솔루션은 선제적으로 위협을 찾아내는 기능까지 갖추고 있습니다. 사고 대응은 정의상 사후 대응 프로세스인 반면, 고급 솔루션은 위협이 조직에 실제로 실행되기 전에 위협을 찾아낼 수 있습니다.

위협 헌팅은 시스템을 최신 상태로 유지하고 자체 네트워크를 면밀히 모니터링하는 등 보안 태세의 기본을 이미 유지하고 있는 성숙한 조직에 필요하지만, 이를 효과적으로 수행할 수 있는 조직에게는 귀중한 추가 보안 계층을 제공합니다.

사용 사례 평가를 위한 또 다른 프레임워크

가트너의 마켓 가이드는 또한 두 가지 척도에 따라 다양한 위협 인텔리전스 서비스를 쉽게 평가할 수 있는 방법을 제공합니다:

시간대별 또는 위험 유형별 위협 인텔리전스 사용 사례 예시

  • 전술적 - 전략적: 이 척도는 시간을 측정합니다. 대략적으로 말하면, 단기적으로는 전술적 위협 인텔리전스 솔루션이 더 효과적일 수 있지만 장기적으로는 전략적 솔루션이 더 효과적일 수 있습니다. 예를 들어, 위협 데이터를 신속하게 처리하고 잠재적 위협을 식별하는 기능이 강점인 솔루션은 전술적 솔루션으로 간주할 수 있지만, 미래를 위한 장기 계획에 적합한 심층 분석을 제공하는 솔루션은 전략적 솔루션으로 정의하는 것이 더 적절할 수 있습니다.
  • 기술 - 비즈니스: 이 척도는 위험 유형을 측정합니다. 일반적으로 기술적 위협 인텔리전스 솔루션은 보안 운영에 더 중점을 두는 반면, 전략적 위협 인텔리전스 접근 방식은 디지털 위험 관리를 다루게 됩니다. 예를 들어, 보다 기술적인 솔루션은 불량 IP 주소나 도메인과 같은 즉각적인 침해 지표에 초점을 맞출 수 있지만, 새로운 수법이나 특정 산업 분야의 위험을 측정하는 솔루션은 비즈니스 위험에 더 부합합니다.

사이버 위협 인텔리전스 구현의 필요성

조직의 사이버 보안 전략에 위협 인텔리전스를 통합하는 것은 진화하는 사이버 위협에 앞서 나가기 위해 매우 중요합니다. 사이버 보안 태세를 강화하고 점점 더 정교해지는 사이버 위협을 방어하려는 조직(또는 보안 팀)에게 위협 인텔리전스 솔루션의 구현은 매우 중요합니다.

위협 인텔리전스는 위협을 예측, 식별 및 대응하는 데 필요한 실행 가능한 인사이트를 제공하여 보안팀이 사이버 공격자보다 항상 한 발 앞서 나갈 수 있도록 합니다. 조직은 사고 대응 강화, 선제적 위협 헌팅, 취약성 관리 등 다양한 사용 사례에 위협 인텔리전스를 활용하여 자산을 선제적으로 보호하고, 위험을 줄이며, 더욱 안전한 디지털 환경을 보장할 수 있습니다.

위협 인텔리전스가 사이버 보안 전략과 보안 팀을 어떻게 강화할 수 있는지 알아보려면 Recorded Future에 데모를 요청하세요.


이 문서는 2018년 1월 23일에 처음 게시되었으며 2024년 6월 25일에 마지막으로 업데이트되었습니다.

에스테반 보르헤스
에스테반 보르헤스

에스테반은 시스템 및 네트워크 강화, 블루팀 운영 주도, 사이버 보안 방어 강화를 위한 철저한 공격 표면 분석 등을 전문으로 하는 20년 이상의 경력을 가진 IT 전문가입니다. 또한 콘텐츠 전략, 기술 SEO, 전환율 최적화를 전문으로 하는 숙련된 마케팅 전문가이기도 합니다. 레코디드 퓨처에 합류하기 전에는 시큐리티트레일즈에서 보안 연구원 및 마케팅 책임자로 근무했습니다.

관련