topics 위협 인텔리전스 위협 인텔리전스란 무엇인가요?
IBM의 위협 인텔리전스 솔루션 살펴보기 보안 주제 업데이트 구독하기
구름, 휴대폰, 지문, 확인 표시의 픽토그램을 콜라주한 일러스트
위협 인텔리전스란 무엇인가요?

위협 인텔리전스("사이버 위협 인텔리전스"(CTI) 또는 "위협 인텔리전스")는 조직을 표적으로 하는 사이버 보안 위협을 예방하고 이에 대응하기 위한 상세하고 실행 가능한 위협 정보입니다.  

위협 인텔리전스를 통해 보안 팀은 보다 사전 예방적으로 효과적인 데이터 기반 조치를 실행하여 사이버 공격이 발생하기 전에 예방할 수 있습니다. 또한 진행 중인 공격을 더 빠르게 탐지하고 대응하는 데도 도움이 됩니다.

보안 분석가는 여러 소스에서 원시 위협 정보와 보안 관련 정보를 수집한 후 데이터 상관 관계를 파악하고 분석하여 실제 위협이나 잠재적 위협에 대해 심층적으로 이해할 수 있는 추세, 패턴 및 관계를 밝혀냄으로써 위협 인텔리전스를 생성합니다. 이를 통해 도출한 인텔리전스는 다음과 같은 특징이 있습니다.

  • 조직에 특화된 정보. 일반적인 정보(예: 일반적인 멀웨어 변종 목록)가 아니라 조직의 공격 표면에 있는 특정 취약점, 이를 이용한 공격, 이로 인해 노출되는 자산에 초점을 맞춥니다.

  • 세부성과 컨텍스트. 기업을 표적으로 하는 위협뿐 아니라 공격을 수행할 수 있는 위협 행위자, 위협 행위자가 사용하는 전술과 기법 및 절차(TTP), 특정 사이버 공격의 신호가 될 수 있는 손상 지표(IOC)를 컨텍스트에 맞게 상세히 다룹니다.

  • 실행 가능성. 보안 팀이 취약점 해결, 위협의 우선 순위 지정 및 교정, 기존 또는 새로운 사이버 보안 도구 평가에 이용할 수 있는 정보를 제공합니다.

IBM의 2022년 데이터 유출 비용 보고서에 따르면, 데이터 유출로 인한 비용이 평균 미화 435만 달러에 이르며 탐지 및 에스컬레이션 비용은 144만 달러로 가장 큰 비중을 차지합니다. 위협 인텔리전스의 정보를 이용해 보안 팀은 공격을 더 빨리 탐지하여 탐지 비용을 절감하고 침해 성공으로 인한 영향을 줄일 수 있습니다.

IBM X-Force Threat Intelligence Index

중요 연구 자료가 제시하는 인사이트와 권장 사항을 확인하여 사이버 위협에 더 빠르고 효과적으로 대응할 태세를 갖추세요.

위협 인텔리전스 라이프사이클

위협 인텔리전스 라이프사이클은 보안 팀이 위협 인텔리전스를 생성 및 전파하고 계속해서 개선하는 반복적이고 지속적인 프로세스입니다. 세부 사항은 조직마다 다를 수 있지만 대부분은 동일한 6단계 프로세스 버전을 따릅니다.

1단계: 계획

보안 분석가가 경영진, 부서장, IT 및 보안 팀 구성원, 그 외 사이버 보안 의사 결정에 관련된 사람 등 조직의 이해관계자와 협력하여 인텔리전스 요구 사항을 설정합니다. 이해관계자가 답변을 원하거나 필요로 하는 사이버 보안 질문이 여기에 주로 포함됩니다. 예를 들어, CISO는 헤드라인에 등장한 새로운 랜섬웨어 변종이 조직에 영향을 미칠 가능성이 있는지 알고 싶어할 것입니다.

2단계: 위협 데이터 수집

보안 팀은 이해관계자가 찾는 해답이 담겨 있거나 해답에 기여할 수 있는 원시 위협 데이터를 수집합니다. 앞에서 예로 든 CISO의 질문을 해결하기 위해 새로운 랜섬웨어 변종을 조사하는 경우, 보안 팀은 공격의 배후에 있는 랜섬웨어 집단, 이들이 과거에 표적으로 삼은 조직 유형, 이전의 피해자를 감염시키기 위해 악용한 공격 벡터에 대한 정보를 수집할 수 있습니다.

이 위협 데이터의 소스는 다음과 같이 다양할 수 있습니다.

위협 인텔리전스 피드 — 실시간 위협 정보의 스트림입니다. 어떤 피드에는 처리되거나 분석된 위협 인텔리전스가 포함되어 있지만 어떤 피드는 원시 위협 데이터로 구성되어 있으므로 명칭에 주의가 필요합니다. (후자를 '위협 데이터 피드'라고도 합니다.)

보안 팀은 일반적으로 여러 오픈 소스 및 상용 피드를 구독합니다. 예를 들면 다음과 같은 피드가 있습니다.

  • 일반적인 공격의 IoC 추적
  • 사이버 보안 뉴스 취합
  • 멀웨어 변종에 대한 자세한 분석 제공
  • 소셜 미디어와 다크 웹에서 새로운 사이버 위협에 관한 대화 스크랩

이러한 모든 피드는 위협에 대한 심층적인 이해에 도움이 됩니다.

정보 공유 커뮤니티 — 전 세계의 분석가들이 직접적인 경험, 인사이트 및 자신의 위협 데이터를 공유하는 포럼, 전문 협회 및 기타 커뮤니티입니다.

미국에서는 의료, 금융 서비스, 석유 및 가스 산업과 같은 많은 핵심 인프라 부문에서 산업별 정보공유분석센터(ISAC)를 운영합니다. 이러한 ISAC는 NSI(National Council of ISACs)(ibm.com 외부 링크)를 통해 서로 협력합니다.

국제적으로 활동하는 오픈 소스 MISP Threat Sharing 인텔리전스 플랫폼(ibm.com 외부 링크)은 다양한 지역, 산업 및 주제를 중심으로 구성된 여러 정보 공유 커뮤니티를 지원합니다. MISP는 NATO와 유럽 연합으로부터 재정적 지원을 받았습니다.

내부 보안 로그 — 다음과 같은 보안 및 규정 준수 시스템의 내부 보안 데이터입니다.

  1. SIEM(보안 정보 및 대응)
  2. SOAR(보안 오케스트레이션, 자동화 및 대응)
  3. EDR(엔드포인트 탐지 및 대응)
  4. XDR(확장 탐지 및 대응)
  5. 공격 표면 관리(ASM) 시스템

이 데이터는 조직이 직면한 위협 및 사이버 공격에 대한 기록을 제공하며, 이전에 인식되지 않은 내부 또는 외부 위협의 증거를 발견하는 데 도움이 될 수 있습니다.

이러한 서로 다른 소스의 정보는 주로 SIEM 또는 위협 인텔리전스 플랫폼과 같은 중앙 집중식 대시보드에 집계되어 보다 쉽게 관리할 수 있습니다.

3단계: 처리

이 단계에서 보안 분석가는 더 손쉽게 분석하기 위해 수집한 원시 데이터를 집계 및 표준화하고 상관 관계를 파악합니다. 여기에는 오탐을 필터링하거나 이전의 보안 인시던트 관련 데이터에 MITRE ATT&CK와 같은 위협 인텔리전스 프레임워크를 적용하는 것이 포함될 수 있습니다.

많은 위협 인텔리전스 도구는 인공 지능(AI) 및 머신 러닝을 사용하여 여러 소스의 위협 정보 간 상관 관계를 파악하고 데이터의 초기 추세 또는 패턴을 찾아냄으로써 이러한 처리를 자동화합니다.

4단계: 분석

분석은 원시 위협 데이터가 진정한 위협 인텔리전스로 바뀌는 지점입니다. 이 단계에서 보안 분석가는 이해관계자의 보안 요구 사항에 답변하고 권장 사항을 제시하는 데 사용할 수 있는 추세, 패턴 및 기타 인사이트를 테스트하고 검증합니다.

예를 들어, 보안 분석가는 새로운 랜섬웨어 변종과 연결된 집단이 업계의 다른 기업을 표적으로 삼았다는 것을 발견하기도 합니다. 그리고 조직의 IT 인프라에서 이 집단이 악용할 가능성이 있는 특정 취약점과 이러한 취약점을 완화하거나 제거할 수 있는 보안 제어 또는 패치를 파악합니다.

5단계. 배포

보안 팀은 인사이트와 권장 사항을 관련 이해관계자와 공유합니다. 이러한 권장 사항에 따라 새로 확인된 IoC에 대응하는 새로운 SIEM 탐지 규칙을 설정하거나 새로 파악된 의심스러운 IP 주소의 트래픽을 차단하도록 방화벽 블랙리스트를 업데이트하는 등의 조치를 취할 수 있습니다.

많은 위협 인텔리전스 도구는 SOAR 또는 XDR과 같은 보안 도구에 데이터를 통합하고 공유하여 활성 공격에 대한 경고를 자동으로 생성하고 위협 우선 순위 지정을 위한 위험 점수를 할당하거나 다른 작업을 트리거합니다.

6단계. 피드백

이 단계에서 이해관계자와 분석가는 가장 최근의 위협 인텔리전스 주기를 검토하여 요구 사항이 충족되었는지 여부를 확인합니다. 새로운 질문이 발생하거나 새로운 인텔리전스 격차가 확인되면 라이프사이클의 다음 라운드에 전달합니다.

위협 인텔리전스 유형

위협 인텔리전스 라이프사이클은 관련된 이해관계자, 설정된 요구 사항, 라이프사이클 특정 인스턴스의 전반적인 목표에 따라 다양한 유형의 인텔리전스를 생성합니다. 위협 인텔리전스에는 크게 세 가지 카테고리가 있습니다.

전술적 위협 인텔리전스 보안 운영 센터(SOC)에서 진행 중인 사이버 공격을 탐지하고 대응하는 데 사용됩니다. 주로 일반적인 IOC(예: 명령 및 제어 서버와 관련된 IP 주소, 알려진 멀웨어 및 랜섬웨어 공격과 관련된 파일 해시, 피싱 공격과 관련된 이메일 제목 줄)에 중점을 둡니다.

전술적 위협 인텔리전스는 인시던트 대응 팀이 오탐을 걸러내고 실제 공격을 차단하는 것 외에도, 위협 헌팅 팀이 지능형 지속 위협(APT)을 비롯해 기타 활동 중이지만 숨겨진 공격자를 추적하는 데도 이용됩니다.

운영 위협 인텔리전스는 조직이 미래의 공격을 예측하고 예방하는 데 도움이 됩니다. 알려진 위협 행위자의 TTP와 행동(예: 사용하는 공격 벡터, 악용하는 취약점 및 대상 자산)을 자세히 설명하기 때문에 '기술 위협 인텔리전스'라고도 합니다.

CISO, CIO 및 기타 정보 보안 의사 결정권자는 운영 위협 인텔리전스를 사용하여 조직을 공격할 가능성이 있는 위협 행위자를 파악하고 공격을 막기 위한 보안 제어 및 기타 조치로 대응합니다.

전략적 위협 인텔리전스는 글로벌 위협 환경과 그 안에서 조직의 위치에 대한 높은 수준의 인텔리전스입니다. 전략적 위협 인텔리전스는 CEO 및 기타 경영진과 같은 IT 외부의 의사 결정권자에게 조직이 직면한 사이버 위협에 대한 정보를 제공합니다.

전략적 위협 인텔리전스는 주로 지정학적 상황, 특정 산업의 사이버 위협 동향, 조직의 특정 전략적 자산이 표적이 된 방법 또는 이유와 같은 문제에 중점을 둡니다. 이해관계자는 전략적 위협 인텔리전스를 사용하여 광범위한 조직 위험 관리 전략 및 투자를 사이버 위협 환경에 맞게 조정합니다.

관련 솔루션
IBM X-Force Threat Intelligence 서비스

세계적인 수준의 인텔리전스 분석가 팀을 활용하여 위협 환경의 변화와 위협 행위자가 사용하는 최신 기술을 파악하세요.

위협 인텔리전스 서비스 살펴보기
위협 탐지 및 대응 솔루션

IBM 위협 탐지 및 대응 솔루션을 활용하여 보안을 강화하고 위협 탐지를 가속화하세요.

위협 탐지 및 대응 솔루션 살펴보기
IBM AI 사이버 보안 솔루션

위협 탐지를 가속화하고, 대응을 신속하게 처리하며, 사용자 ID와 데이터 세트를 보호하여 분석가의 시간을 최적화하는 혁신적인 AI 기반 솔루션입니다.

AI 사이버 보안 솔루션에 대해 자세히 알아보기
리소스 데이터 유출로 인한 손해 보고서(Cost of a Data Breach)

데이터 침해의 원인과 비용 증감에 영향을 미치는 요인을 이해하여 침해에 대비할 수 있습니다.

위협 관리란?

위협 관리는 사이버 보안 전문가가 사이버 공격을 방지하고 사이버 위협을 탐지하며 보안 인시던트에 대응하기 위해 사용하는 프로세스입니다.

위협 헌팅이란 무엇인가요?

위협 헌팅은 조직의 네트워크 내에서 알 수 없거나 진행 중인 해결되지 않은 위협을 식별하기 위한 사전 예방적 접근 방식입니다.

다음 단계 안내

IBM 사이버 보안 서비스는 자문, 통합 및 매니지드 보안 서비스와 공격 및 방어 기능을 제공합니다. 글로벌 전문가 팀과 독점 및 파트너 기술을 결합하여 위험을 관리하는 맞춤형 보안 프로그램을 공동 개발합니다.

사이버 보안 서비스 살펴보기 Think 뉴스레터 구독하기