위협 인텔리전스란 무엇인가요?

위협 인텔리전스는 단순한 위협 정보 그 이상입니다. 보안 전문가에게 조직이 직면한 잠재적 위협에 대한 심층적인 이해와 이를 차단하는 방법을 제공하기 위해 상호 연관성 및 분석이 이루어진 위협 정보입니다.

좀 더 구체적으로 말하자면, 위협 인텔리전스에는 원시 위협 정보와 구별되는 세 가지 주요 특성이 있습니다.  

• 조직에 특화된 정보: 위협 인텔리전스는 가상의 위협 및 공격에 대한 일반적인 정보 그 이상을 제공합니다. 조직의 고유한 상황, 즉 조직 공격 표면의 특정 취약성, 이러한 취약성이 발생시키는 공격 및 노출되는 자산에 중점을 둡니다. 

• 세부성과 컨텍스트: 위협 인텔리전스는 조직에 대한 잠재적 위협 그 이상을 다룹니다. 또한 공격의 배후에 있는 위협 행위자, 그들이 사용하는 전술, 기법 및 절차(TTP), 성공적인 사이버 공격의 신호가 될 수 있는 침해 지표(IoC)도 다룹니다. 

• 실행 가능한 정보: 위협 인텔리전스는 정보 보안팀에 취약점을 해결하고, 위협의 우선순위를 정하고, 위험을 해소하고,  전반적인 보안 태세를 개선하는 데 사용할 수 있는 인사이트를 제공합니다.

IBM의 데이터 유출 비용(CODB) 보고서에 따르면 데이터 유출로 인해 피해 조직은 평균 488만 달러의 비용을 지출합니다. 이 중 탐지 및 에스컬레이션 비용이 163만 달러로 가장 큰 비중을 차지합니다.

위협 인텔리전스 프로그램은 공격을 더 빨리 탐지하고 일부 공격의 발생을 완전히 차단하는 데 도움이 되는 정보를 보안 전문가에게 제공합니다. 이러한 빠르고 효과적인 대응은 탐지 비용을 줄이고 성공적인 침해로 인한 영향을 크게 제한할 수 있습니다.

위협 인텔리전스 라이프사이클은 보안팀이 위협 인텔리전스를 생성하고 공유하는 반복적이고 지속적인 프로세스입니다. 세부 사항은 조직마다 다를 수 있지만 대부분의 위협 인텔리전스팀은 동일한 6단계 프로세스 버전을 따릅니다.

보안 분석가는 조직 이해 관계자와 협력하여 인텔리전스 요구 사항을 설정합니다. 이해 관계자에는 경영진, 부서장, IT 및 보안팀 구성원 및 사이버 보안 의사 결정에 관련된 모든 사람이 포함될 수 있습니다.  

인텔리전스 요구 사항은 본질적으로 위협 인텔리전스가 이해 관계자에게 답해야 하는 질문입니다. 예를 들어, 최고 정보 보안 책임자(CISO)는 헤드라인을 장식하는 새로운 변종 랜섬웨어가 조직에 영향을 미칠 가능성이 있는지 알고 싶을 수 있습니다.

보안팀은 인텔리전스 요구 사항을 충족하고 이해 관계자의 질문에 답하기 위해 원시 위협 데이터를 수집합니다.

예를 들어, 보안팀이 새로운 랜섬웨어 변종을 조사한다고 가정해 보겠습니다. 이 팀은 공격의 배후에 있는 랜섬웨어 집단에 대한 정보를 수집할 수 있습니다. 또한, 이들이 과거에 표적으로 삼은 조직 유형과 이전 피해자를 감염시키기 위해 악용한 공격 벡터에 대해 조사할 것입니다.

이러한 위협 데이터는 다양한 출처에서 얻을 수 있습니다. 가장 일반적인 출처는 다음과 같습니다.

위협 인텔리전스 피드는 실시간 위협 정보의 스트림입니다. 어떤 피드에는 처리되거나 분석된 위협 인텔리전스가 포함되어 있지만 어떤 피드는 원시 위협 데이터로 구성되어 있으므로 명칭에 주의가 필요합니다(후자를 위협 데이터 피드라고도 함).

보안팀은 일반적으로 다양한 위협 인텔리전스 서비스에서 제공하는 여러 오픈 소스 및 상용 피드를 구독합니다. 피드마다 다루는 내용이 다를 수 있습니다.

예를 들어, 조직은 다음과 같은 각 목적별로 피드를 가질 수 있습니다.

• 일반적인 공격의 IoC 추적

• 사이버 보안 뉴스 취합

• 새롭게 나타난 멀웨어 변종에 대한 자세한 분석 제공

• 소셜 미디어와 다크 웹에서 새로운 사이버 위협에 관한 대화 스크랩

정보 공유 커뮤니티는 분석가가 직접적인 경험, 통찰력, 위협 데이터 및 기타 정보를 서로 공유하는 포럼, 전문가 협회 및 기타 커뮤니티입니다.  

미국에서는 의료, 금융 서비스, 석유 및 가스 산업과 같은 많은 핵심 인프라 부문에서 산업별 정보공유분석센터(ISAC)를 운영합니다. 이러한 ISAC는 NSI(National Council of ISACs)를 통해 서로 협력합니다.

국제적으로 활동하는 오픈 소스 MISP Threat Sharing 인텔리전스 플랫폼은 다양한 지역, 산업 및 주제를 중심으로 구성된 여러 정보 공유 커뮤니티를 지원합니다. MISP는 NATO와 유럽 연합으로부터 재정적 지원을 받았습니다.

내부 보안 솔루션과 위협 탐지 시스템의 데이터는 실제 및 잠재적 사이버 위협에 대한 귀중한 통찰력을 제공할 수 있습니다. 내부 보안 로그의 일반적인 소스는 다음과 같습니다.

• 보안 정보 및 이벤트 관리(SIEM) 시스템 

• 보안 오케스트레이션, 자동화 및 대응(SOAR) 플랫폼

• 엔드포인트 탐지 및 대응(EDR) 도구

• 확장 탐지 및 대응(XDR) 플랫폼

• 공격 표면 관리(ASM) 솔루션 

내부 보안 로그는 조직이 직면한 위협 및 사이버 공격에 대한 기록을 제공하며, 이전에 인식되지 않은 내부 또는 외부 위협의 증거를 발견하는 데 도움이 될 수 있습니다.

이러한 다양한 소스의 정보는 일반적으로 SIEM 또는 전용 위협 인텔리전스 플랫폼과 같은 중앙 집중식 대시보드에 집계되므로 관리가 용이하고 자동으로 처리됩니다.

이 단계에서 보안 분석가는 수집한 원시 데이터를 집계, 표준화 및 상관 관계를 파악하여 분석을 더 쉽게 수행할 수 있습니다. 처리에는 MITRE ATT&CK 또는 다른 위협 인텔리전스 프레임워크를 적용하여 데이터를 컨텍스트화하고, 오탐을 필터링하고, 유사한 인시던트를 그룹화하는 것이 포함될 수 있습니다.

많은 위협 인텔리전스 도구는 인공 지능(AI) 및 머신 러닝을 사용하여 여러 소스의 위협 정보를 상호 연결하고 데이터의 초기 추세 또는 패턴을 식별함으로써 이러한 처리를 자동화합니다. 일부 위협 인텔리전스 플랫폼은 이제 위협 데이터를 해석하고 분석에 따라 조치 단계를 생성하는 데 도움이 되는 생성형 AI 모델을 통합합니다.

분석은 원시 위협 데이터가 진정한 위협 인텔리전스가 되는 지점입니다. 이 단계에서 보안 분석가는 인텔리전스 요구 사항을 충족하고 다음 단계를 계획하는 데 필요한 통찰력을 추출합니다.

예를 들어, 보안 분석가는 새로운 랜섬웨어 변종과 관련된 갱단이 해당 조직의 산업 분야에서 활동하는 다른 기업을 표적으로 삼았다는 것을 발견할 수 있습니다. 이러한 발견은 이 랜섬웨어 변종이 해당 조직에도 문제가 될 수 있음을 나타냅니다.  

이 정보로 무장한 팀은 악용될 수 있는 조직 IT 인프라의 취약점과 이러한 취약점을 완화하는 데 사용할 수 있는 보안 제어를 식별할 수 있습니다.

보안팀은 통찰력과 권장 사항을 관련 이해 관계자와 공유합니다. 이러한 권장 사항에 따라 새로 확인된 위협 지표에 대응하는 새로운 SIEM 탐지 규칙을 설정하거나 의심스러운 IP 주소와 도메인 이름을 차단하도록 방화벽을 업데이트할 수 있습니다.

많은 위협 인텔리전스 도구는 SOAR, XDR 및 취약성 관리 시스템과 같은 보안 도구와 데이터를 통합하고 공유합니다. 이러한 도구는 위협 인텔리전스를 사용하여 활성 공격에 대한 경고를 자동으로 생성하고, 위협 우선순위를 지정하기 위한 위험 점수를 할당하고, 기타 대응 조치를 트리거할 수 있습니다.

이 단계에서 이해관계자와 분석가는 가장 최근의 위협 인텔리전스 주기를 검토하여 요구 사항이 충족되었는지 여부를 확인합니다. 새로운 질문이 발생하거나 새로운 인텔리전스 격차가 확인되면 라이프사이클의 다음 라운드에 전달합니다.

보안팀은 목표에 따라 다양한 유형의 인텔리전스를 생성하고 사용합니다. 위협 인텔리전스의 유형은 다음과 같습니다.