위협 인텔리전스란 무엇인가요?

위협 인텔리전스는 단순한 위협 정보가 아닙니다. 위협 인텔리전스는 상관관계를 분석해 보안 담당자들이 조직이 직면할 잠재적 위협과 이를 방지할 방법을 심층적으로 이해할 수 있도록 하는 위협 정보입니다.

더 구체적으로 살펴보면, 위협 인텔리전스에는 원시 위협 정보와 구별되는 세 가지 주요 특성이 있습니다. 

• 조직에 특화된 정보: 위협 인텔리전스는 가상의 위협 및 공격에 대한 일반적인 정보 그 이상을 제공합니다. 조직의 고유한 상황, 즉 조직 공격 표면의 특정 취약성, 이러한 취약성이 발생시키는 공격 및 노출되는 자산에 중점을 둡니다. 

• 세부적이고 문맥을 고려한 정보: 위협 인텔리전스에는 조직에 직면할 수 있는 잠재적 위협, 그 이상이 포함됩니다. 여기에는 공격의 배후에 있는 위협 행위자, 이들이 사용하는 전술, 기법과 절차(TTP), 사이버 공격의 신호가 될 수 있는 침해 지표(IoC)도 포함됩니다. 

• 실행 가능한 정보: 위협 인텔리전스는 정보 보안팀에 취약점을 해결하고, 위협의 우선순위를 정하고, 위험을 해소하고,  전반적인 보안 태세를 개선하는 데 사용할 수 있는 인사이트를 제공합니다.

IBM의 데이터 유출 비용(CODB) 보고서에 따르면 데이터 유출로 인해 피해 조직은 평균 444만 달러의 비용을 지출합니다. 이 중 탐지 및 에스컬레이션 비용이 147만 달러로 가장 큰 비중을 차지합니다.

위협 인텔리전스 프로그램은 공격을 더 빨리 탐지하는 데 도움이 되는 정보를 보안 담당자에게 제공합니다. 일부 공격의 경우 발생을 완전히 차단하는 것도 가능합니다. 이러한 빠르고 효과적인 대응 덕분에 탐지 비용이 절감되고 보안 침해의 영향이 대폭 줄어듭니다.

위협 인텔리전스 라이프사이클은 보안팀이 위협 인텔리전스를 생성하고 공유하는 반복적이고 지속적인 프로세스를 말합니다. 세부 사항은 조직마다 다를 수 있지만 대부분의 위협 인텔리전스팀은 동일한 6단계 프로세스 버전을 따릅니다.

보안 분석가는 조직 이해관계자와 협력하여 인텔리전스 요구 사항을 설정합니다. 이해관계자에는 경영진, 부서장, IT 및 보안팀 구성원 및 사이버 보안 의사 결정에 관련된 모든 사람이 포함될 수 있습니다.  

인텔리전스 요구 사항은 본질적으로 위협 인텔리전스가 이해관계자들에게 답해야 하는 질문과도 같습니다. 예를 들어, 최고 정보 보안 책임자(CISO)는 뉴스 헤드라인을 장식하는 새로운 변종 랜섬웨어가 조직에 영향을 미칠 가능성이 있는지 알고 싶어할 수 있습니다.

보안팀은 인텔리전스 요구 사항을 충족하고 이해관계자의 질문에 답하기 위해 원시 위협 데이터를 수집합니다.

예를 들어, 보안팀이 새로운 랜섬웨어 변종을 조사한다고 가정해 보겠습니다. 이 팀은 공격의 배후에 있는 랜섬웨어 집단에 대한 정보를 수집할 것입니다. 또한, 이들이 과거에 표적으로 삼은 조직 유형과 이전 피해자를 감염시키기 위해 악용한 공격 벡터에 대해 조사할 것입니다.

이러한 위협 데이터는 다양한 출처에서 얻을 수 있습니다. 가장 일반적인 출처는 다음과 같습니다.

위협 인텔리전스 피드는 실시간으로 전달되는 위협 정보의 흐름을 의미합니다. 어떤 피드에는 처리되거나 분석된 위협 인텔리전스가 포함되어 있지만, 어떤 피드는 원시 위협 데이터로 구성되어 있어 명칭에 주의가 필요합니다(후자의 경우 위협 데이터 피드라고도 불립니다).

보안팀은 일반적으로 다양한 위협 인텔리전스 서비스에서 제공하는 여러 오픈 소스와 상업적 피드를 구독합니다. 다루는 내용은 피드마다 다를 수 있습니다.

예를 들어, 조직은 아래의 목적에 따라 각각 다른 피드를 보유할 수 있습니다.

• 일반적인 공격의 IoC 추적

• 사이버 보안 뉴스 취합

• 새롭게 출현한 멀웨어 변종에 대한 자세한 분석 정보 제공

• 소셜 미디어와 다크 웹에서 새로운 사이버 위협에 관한 대화 스크래핑

정보 공유 커뮤니티는 분석가들이 직접적인 경험, 인사이트, 위협 데이터, 기타 정보를 공유하는 포럼과 전문가 협회, 기타 커뮤니티를 말합니다.  

미국에서는 의료, 금융 서비스, 석유 및 가스 산업 등의 다양한 핵심 인프라 부문에서 업계별 정보 공유 분석 센터(ISAC)를 운영합니다. ISAC은 NSI(National Council of ISACs)를 통해 서로 협력합니다.

오픈 소스 플랫폼 MISP Threat Sharing은 서로 다른 지역, 산업, 주제에 따라 조직된 전 세계의 다양한 정보 공유 커뮤니티를 지원합니다. MISP는 NATO와 유럽 연합으로부터 재정적 지원을 받기도 했습니다.

내부 보안 솔루션과 위협 탐지 시스템의 데이터는 실제 및 잠재적 사이버 위협에 대한 귀중한 인사이트를 제공할 수 있습니다. 내부 보안 로그의 일반적인 소스는 다음과 같습니다.

• 보안 정보 및 이벤트 관리(SIEM) 시스템 

• 보안 오케스트레이션, 자동화, 대응(SOAR) 플랫폼

• 엔드포인트 탐지 및 대응(EDR) 도구

• 확장된 탐지 및 대응(XDR) 플랫폼

• 공격 표면 관리(ASM) 솔루션 

내부 보안 로그는 조직이 직면한 위협과 사이버 공격에 대한 기록을 제공하며, 이전에 인식하지 못한 내부 또는 외부 위협의 증거를 발견하도록 도와줍니다.

이렇게 다양한 소스에서 가져온 정보는 일반적으로 SIEM나 전용 위협 인텔리전스 플랫폼과 같은 중앙 집중식 대시보드에 취합되어 관리가 용이하고 자동으로 처리가 가능합니다.

이 단계에서 보안 분석가는 수집한 원시 데이터를 집계, 표준화 및 상관관계를 파악하여 분석을 더 쉽게 수행할 수 있습니다. 처리에는 MITRE ATT&CK 또는 다른 위협 인텔리전스 프레임워크를 적용하여 데이터를 컨텍스트화하고, 오탐을 필터링하고, 유사한 인시던트를 그룹화하는 것이 포함될 수 있습니다.

많은 위협 인텔리전스 도구는 인공 지능(AI)과 머신 러닝을 사용해 여러 소스의 위협 정보를 상호 연결하고 데이터의 초기 추세 또는 패턴을 식별함으로써 이러한 처리를 자동화합니다. 일부 최신 위협 인텔리전스 플랫폼에는 위협 데이터를 해석하고 분석에 따라 조치 단계를 생성하도록 지원하는 생성형 AI 모델이 통합되어 있습니다.

분석 단계는 원시 위협 데이터가 진정한 위협 인텔리전스가 되는 지점입니다. 보안 분석가들은 이 단계에서 인텔리전스 요구 사항을 충족하고 다음 단계를 계획하는 데 필요한 인사이트를 확보합니다.

예를 들어, 새로운 랜섬웨어 변종과 연관된 집단이 조직이 속한 업계에서 활동하는 다른 기업을 표적으로 삼았다는 것을 발견할 수 있습니다. 이러한 발견은 이 랜섬웨어 변종이 조직에도 문제가 될 수 있음을 암시합니다.  

이러한 정보로 무장하면 랜섬웨어 집단이 악용할 수 있는 조직 IT 인프라의 취약점과 이러한 취약점을 완화하는 데 사용할 수 있는 보안 제어 기능이 무엇인지 파악할 수 있습니다.

보안팀은 인사이트와 권장 사항을 관련 이해관계자와 공유합니다. 이러한 권장 사항에 따라 새로 확인된 위협 지표에 대응하는 새로운 SIEM 탐지 규칙을 설정하거나 의심스러운 IP 주소와 도메인 이름을 차단하도록 방화벽을 업데이트하는 등의 조치를 취할 수 있습니다.

많은 위협 인텔리전스 도구가 데이터를 SOAR, XDR, 취약성 관리 시스템 등의 보안 도구와 통합하고 공유하는 기능을 지원합니다. 이러한 도구는 위협 인텔리전스를 사용해 진행 중인 공격에 대한 경고를 자동으로 생성하고, 위험 점수를 매겨 위협의 우선순위를 정할 수 있도록 지원하고, 이외의 대응 조치를 실행하는 기능을 제공합니다.

이 단계에서 이해관계자와 분석가들은 가장 최근의 위협 인텔리전스 주기를 검토해 요구 사항이 충족되었는지를 확인합니다. 새로운 질문이 발생하거나 인텔리전스 간의 차이가 확인되면 이를 바탕으로 라이프사이클의 다음 라운드를 진행합니다.

보안팀은 목표에 따라 다양한 유형의 인텔리전스를 생성해 사용합니다. 위협 인텔리전스의 유형은 다음과 같습니다.