위협 인텔리전스(Threat Intelligence): 사이버 위협과 관련된 데이터 수집/분석에 기반해 보안 의사결정을 도와줄 수 있는 정보
- 데이터(Data): 가공되지 않은 원시 형태
- 정보(Information): 분석과 상관관계 도출을 통해 의미를 부여한 결과물
- 인텔리전스(Intelligence): 의사결정과 행동을 가능하게 하는 수준까지 정제된 형태의 정보
위협 인텔리전스의 가치를 결정짓는 요소: 실행 가능성(Actionable)
-> 실제 행동에 옮길 수 있는 형태가 아니라면 가치가 없음을 의미
실행 가능한 위협 인텔리전스: 맥락(Context), 의미(Meaning)가 포함되어 있어야 함.
-> 어떤 상황에서 발생했는가, 이 정보가 어떤 영향을 줄 수 있느냐 파악
-> 위협 인텔리전스는 단순 정보X 지금 무엇을 해야 하는지 제시O
위협 인텔리전스 구성 요소
1) 데이터 수집
- 내부 소스: 네트워크, 엔드포인트, 클라우드 등
- 외부 소스: 보안 전문 기관과 커뮤니티에서 제공하는 최신 위협 피드(Threat Feeds), 다크웹 모니터링, 오픈소스 인텔리전스(OSINT) 등
2) 분석 및 상관관계 도출
데이터를 의미 있는 정보로 가공: 반복되는 공격 방식, 해킹 그룹 특징, 공격 전략/전술/절차를 분석 -> 공격 패턴 식별
침해 지표(Indicators of Compromise, IoC)
| 구분 | 내용 |
| 네트워크 기반 IoC | -악성 IP 주소, 도메인, URL -C2 서버 주소 -비정상적인 트래픽 패턴 |
| 파일/시스템 기반 IoC | -악성코드 파일 해시 -비정상적인 시스템 파일 변경 -레지스트리 키 변조, 의심스러운 실행 파일 경로 |
| 계정/인증 관련 IoC | -평소와 다른 위치/시간대에서의 로그인 시도 -비인가 계정 생성, 권한 상승 -반복적인 로그인 실패 기록 |
| 이메일/메시지 기반 IoC | -피싱 메일 발송 계정 -발신자 위조 주소 -악성 첨부파일/링크 포함 메시지 |
마이터어택(MITRE ATTACK) 기반 매핑 -> 공격자의 공격 흐름 파악, 단계별 탐지/차단 방법을 만듦.
*마이터어택: 해킹 공격 사례 분석을 토대로 공격자의 목표, 전술, 기술을 정리해 둔 해커 행동 패턴 도감
3) 실행 가능한 인사이트 제공
행동에 옮길 수 있는 형태로 분석 결과를 가공
1. 대응 우선순위 설정
판단 기준)
- 위협 심각도: 조직에 미치는 잠재 피해 규모
- 악용 가능성: 이미 공격에 사용되고 있는 취약점인지, 실증 자료(PoC, Proof of Concept)가 공개되었는지
- 자산 중요도: 공격 대상이 핵심 비즈니스 시스템인지, 민감 데이터가 저장된 서버인지
- 노출 범위: 취약점이 내부 일부에만 있는지, 인터넷에 직접 노출된 서비스인지
예시: 보안 취약점의 심각도를 수치화해 평가하는 표준화된 시스템 (CVSS) 점수가 높은 취약점 중 실제 공격 징후가 있는 시스템부터 패치 / 진행 중인 공격 캠페인과 관련된 침해 지표(IoC) 우선 차단
2. 방어 정책 수정, 사전 차단
분석 결과를 토대로 보안 장비와 솔루션의 정책 업데이트 -> 유사 공격이 발생하지 않도록 선제 차단
위협 인텔리전스 발전 과정
1) 시그니처 기반 보안 -> 정보 공유 (1990-2000년대 후반)
1990-2000년대 초반: 이미 알려진 적을 막는 시그니처 기반 방어 중심, 알려지지 않은 취약점을 악용한 공격(=제로데이 공격)이나 변종에는 무력하다는 한계점 존재
2000년대 후반: 지능형 지속 위협(Advanced Persistent Threat, APT) 확산 -> 위협 정보를 공유하는 ISAC(Information Sharing and Analysis Center) 모델 확산
- ISAC 역할: 침해사고 징후, 공격 기법, 침해 지표(IoC) 공유 / 취약점 정보, 대응 방법 전파 / 업종/국가별 보안 협력 네트워크 운영
- ISAC 운영 방식: 업종별 ISAC 운영 / 참여 기관이 실시간으로 위협 정보 제출 및 조회 / 분석센터가 이를 정리, 검증 후 회원사에 배포
- ISAC 운영 효과: 공격 조기 탐지 및 확산 방지 / 개별 기업의 보안 역량 한계 보완 / 업계 전반의 보안 수준 향상
2) 표준화와 협력 (2010년대)
서로 다른 조직과 솔루션 간 위협 정보를 주고받기 위한 공용의 언어와 통신 수단 마련 -> STIX, TAXII
STIX(Structured Threat Information Expression): 사이버 위협 정보를 구조화된 형시긍로 표현하는 국제 표준 언어
TAXII(Trusted Automated eXchange of Intelligence Information): STIX로 작성된 위협 정보를 안전하게 전송하기 위한 통신 프로토콜, 크게 컬렉션과 채널로 구분
컬렉션(Collection): STIX 데이터 묶음
채널(Channels): 정보 생산자들이 정보 소비자들에게 데이터를 전송하고, 정보 소비자들이 정보 생산자들이 발송한 데이터를 받는 경로
3) 인공지능/머신러닝(AI/ML)과 협업 (2020년대-)
인공지능(AI), 머신러닝(ML)이 위협 데이터 분석에 활용 -> 알려지지 않은 위협까지 선제적으로 예측하고 탐지하는 발전을 거듭
- 내외부를 아우르는 다양한 출처에서 수집된 비정형의 대규모 데이터를 자동으로 정리, 분석 가능
- 비지도 학습으로 정상과는 다른 의미 있는 패턴 발견 가능 -> 이미 알려진 침해 지표가 없는 제로데이 혹은 신변종 악성코드 포착 가능
- 공격자의 전술/기술/절차(TTPs)를 마이터어택 프레임워크에 맞춰 매핑, 맥락과 의미를 짚어낼 수 O
본 게시글은 아래의 링크 속 콘텐츠를 기반으로 작성.
[보안 101] 위협 인텔리전스란 무엇인가요?
[보안 101] 더보기 ▶ 매달 하나의 주제를 선정해 질문을 던지며, 보안에 한 걸음 더 가까이 다가갑니다.복잡하고 어렵게 느껴질 수 있는 보안 지식을 초보자도 쉽게 이해할 수 있도록, 기초 개념
www.igloo.co.kr
'소학회 > 기술스터디' 카테고리의 다른 글
| [AhnLab]비밀번호 그 다음은? 패스워드리스의 현재와 미래 (0) | 2025.11.03 |
|---|---|
| [SAMSUNG SDS]사물인터넷 표준화 전쟁: 프로토콜 간 경쟁과 전망 (0) | 2025.10.27 |
| [Theori]보안 담당자라면 꼭 알아야 할 점검 전략 가이드 | 모의해킹 vs 모의침투 vs 취약점 진단 (0) | 2025.09.22 |
| [IGLOO]랜섬웨어란 무엇인가요? (0) | 2025.05.19 |
| [Theori]CoSoSys Endpoint Protector에서 발견한 0-day 원격 코드 실행 취약점 (0) | 2025.05.12 |