사이버 위협 인텔리전스(CTI)란 무엇인가요?
거의 모든 산업, 조직, 개인이 디지털 시스템에 점점 더 의존하는 세상에서 사이버 공격의 위험을 식별하고 완화하는 것은 매우 중요한 사전 예방적 보안 조치입니다.
사이버 위협 인텔리전스(CTI)는 조직이 사이버 보안 및 인프라에 대한 잠재적이고 지속적인 위협에 대해 수집하고 분석하는 정보를 의미합니다.
위협 인텔리전스는 최고 정보 보안 책임자(CISO)와 보안 팀에게 잠재적 사이버 위협 행위자의 동기와 방법에 대한 귀중한 인사이트를 제공하여 보안 팀이 위협을 예측하고, 사이버 방어 프로그램을 강화하고, 사고 대응을개선하고, 사이버 취약성을 줄이고, 사이버 공격으로 인한 잠재적 피해를 줄이는 데 도움을 줍니다.
위협 인텔리전스: 중요한 이유
NIST에따르면 사이버 위협 인텔리전스는 조직의 사이버 복원력의 필수 구성 요소로, 시스템에 대한 위협, 공격 또는 손상에 대한 "예측, 견딜 수 있는 능력, 복구 및 적응"을 포함합니다.
위협 인텔리전스는 조직이 사이버 공격을 더 잘 식별하고 대응하는 데 사용할 수 있는 강력한 전술 정보를 제공함으로써 사이버 보안 프로그램을 강화합니다. 이러한 정보를 수집하는 과정은 사이버 보안 시스템의 취약점을 발견하여 위험 관리에도 도움이 됩니다. 그러면 보안 팀은 업계와 가장 관련성이 높은 사이버 위협에 대응하고 소중한 데이터, 자산, 지적 재산을 보호하기 위해 리소스를 더 효과적으로 할당할 수 있습니다.
사이버 위협 인텔리전스의 이점
숙련된 위협 인텔리전스 분석가와 함께하는 강력한 CTI 프로그램은 다음과 같은 여러 수준에서 사이버 보안과 복원력을 강화할 수 있습니다:
- 선제적 사이버 방어 구축: 기존의 사후 대응적 사이버 방어(알려진 위협에 대응)와 달리 CTI는 조직이 잠재적 위협 행위자를 파악하고 잠재적 공격을 예측할 수 있도록 지원합니다.
- 위험 관리 계획 개선: CTI는 잠재적 위협 행위자가 사용하는 동기, 수단, 방법에 대한 실행 가능한 정보를 제공합니다. CISO와 SOC는 위험 프로필을 평가하고 사이버 보안 리소스를 할당할 때 이러한 인사이트를 활용하여 위협 탐지 및 보호를 극대화할 수 있습니다.
- 인시던트 대응 개선: CTI는 공격 예방을 지원할 뿐만 아니라 조직이 사이버 공격에 대응하고 복구할 수 있도록 더 나은 준비를 할 수 있도록 인사이트를 제공합니다. 침해 상황을 철저히 이해하면 침해로 인한 영향을 크게 줄일 수 있습니다.
- 직원 인식 제고: 조직은 CTI를 활용하여 직원들에게 사이버 위협에 대해 교육하고 보안에 중점을 둔 운영 절차 및 교육을 수립할 수 있습니다.
사이버 위협 인텔리전스의 과제
현대의 디지털 환경에서 CTI 수집은 점점 더 중요해지고 있지만, 도전과제가 없는 것은 아닙니다. 다음은 몇 가지 일반적인 문제입니다:
- 정보 과부하: CTI 팀은 방대한 양의 데이터를 수집, 처리, 분석하는 것 외에도 '정상적인' 활동과 '악의적인' 활동을 구분해야 합니다. 또한 위협을 평가하여 조직의 업종, 규모 및 위험 프로필과 가장 관련성이 높은 정보를 결정해야 합니다.
- 정보 업데이트: CTI 프로그램의 효과는 분석 대상 정보의 적시성에 달려 있습니다. 오래된 CTI에 기반한 의사 결정은 조직의 위협 탐지를 방해하고 사이버 공격에 대한 취약성을 높일 수 있습니다.
- 규정 준수: CTI는 종종 개인 식별 정보(PII)를 포함합니다. 조직은 모든 CTI 시스템이 해당 데이터 보호 규정을 준수하는지 확인해야 합니다.
사이버 위협 인텔리전스의 유형
CTI는 사이버 보안과 관련된 광범위한 정보 및 분석을 다룹니다. 그러나 정보 유형과 용도에 따라 세 가지 일반적인 카테고리로 구분할 수 있습니다. 균형 잡힌 CTI 프로그램에는 조직의 고유한 사이버 보안 요구 사항을 충족하기 위해 각 유형별로 다양한 수준이 포함됩니다.
전략적 인텔리전스
전략적 위협 인텔리전스(STI)는 광범위한 사이버 보안 트렌드와 이러한 트렌드가 조직에 미칠 수 있는 영향에 대한 높은 수준의 분석에서 비롯됩니다. 위협 행위자의 동기, 역량, 표적에 대한 인사이트를 제공하고 IT 외부의 경영진과 의사 결정권자가 잠재적인 사이버 위협을 이해하는 데 도움을 줍니다. 일반적으로 다른 유형의 CTI보다 기술적이고 사고별로 덜 구체적인 전략 위협 인텔리전스는 향후 사이버 공격의 영향을 완화하기 위한 위험 관리 전략과 프로그램을 수립하는 데 사용됩니다.
전술 인텔리전스
이름에서 알 수 있듯이 전술적 위협 인텔리전스(TTI)는 위협 행위자의 전술, 기술 및 절차(TTP)에 초점을 맞추고 위협 행위자가 조직을 공격하는 방법을 이해하려고 합니다. 또한 전술적 위협 인텔리전스는 조직 네트워크 내에서 초기에 탐지되지 않은 위협을 선제적으로 검색하는 위협 헌팅을 사용하여 위협 취약성을 탐색합니다. TTI는 STI보다 더 기술적이며 일반적으로 IT 또는 SOC 팀에서 사이버 보안 조치를 강화하거나 사고 대응 계획을 개선하는 데 사용됩니다.
운영 인텔리전스
운영 위협 인텔리전스(OTI)는 STI 및 TTI보다 더 상세하고 사고별로 즉각적이며 적시에 위협 탐지 및 사고 대응을 용이하게 하는 데 사용되는 실시간 데이터입니다. CISO, CIO 및 SOC 구성원은 종종 OTI를 활용하여 공격 가능성을 식별하고 차단합니다.
위협 인텔리전스 소스
위협 인텔리전스의 출처는 사이버 보안 환경만큼이나 다양합니다. 그러나 CTI에는 몇 가지 일반적인 원인이 있습니다.
- 내부 데이터: 조직이 자체 데이터, 네트워크 로그, 인시던트 대응 등에서 수집한 정보입니다.
- 오픈 소스 인텔리전스(OSINT): 공개 도메인으로 간주되는 리소스에서 얻은 정보입니다.
- 비공개 소스 서비스: 일반 대중에게 공개되지 않는 정보입니다.
- 정보 공유 및 분석 센터(ISAC): 실행 가능한 위협 정보를 수집, 분석하고 회원 조직과 공유하는 비즈니스 부문별 조직입니다.
- 정부 권고: FBI(미국), 국가사이버보안센터(영국), 유럽 연합 사이버보안청(ENISA) 등의 기관에서 발표한 정보입니다.
- 심층 및 다크 웹 인텔리전스: 사이버 범죄 및 활동에 관한 정보, 임박한 공격에 대한 조기 경고, 사이버 범죄자의 동기와 방법에 대한 인사이트를 제공하는 암호화된 익명 정보입니다.
외부 및 내부 위협 인텔리전스 활용하기
내부 및 외부 출처의 CTI는 조직의 위협 환경에 대해 서로 다르지만 똑같이 중요한 인사이트를 제공합니다.
내부 데이터를 분석하면 조직이 개별 상황, 비즈니스 시스템, 제품 및 서비스에 따라 가장 관련성이 높은 위협을 식별하고 확인하는 데 도움이 되는 '상황별 CTI'가 생성됩니다. 과거 인시던트의 정보를 검토하면 손상 지표(IOC)를 파악하고, 침해의 원인과 결과를 자세히 파악하며, 인시던트 대응 계획을 개선할 수 있는 기회를 얻을 수 있습니다. 또한 내부 CTI는 조직의 취약성을 더 잘 이해하여 CISO와 SOC가 보다 맞춤화된 타깃형 사이버 보안 조치를 개발할 수 있게 해줍니다.
외부 CTI는 현재 및 향후 위협 행위자보다 앞서 나가는 데 필요한 인사이트를 제공합니다. 글로벌 TTP부터 ISAC 및 업계 동료 그룹과 같은 출처의 부문별 인텔리전스에 이르기까지 외부 CTI는 위협 인식을 높이고 조직이 더욱 강력한 사이버 보안 프로그램을 구축할 수 있는 능력을 향상시킵니다.
위협 탐지에서 인텔리전스 기반 데이터의 가치
모든 사이버 위협 탐지 및 대응 프로그램에서 중요한 요소인 인텔리전스 기반 데이터는 조직이 취약성을 더 잘 이해하고, 사이버 위협을 예측하고, 가장 중요한 위협에 리소스를 집중하고, 사이버 공격의 영향을 최소화하는 사고 대응 계획을 개발하는 데 도움이 되는 선제적 방어 태세를 구축하는 데 원동력이 됩니다.
또한 인텔리전스 기반 데이터는 위험 관리 및 규정 준수 문제에 대한 심층적인 이해를 제공하여 데이터 유출로 인한 잠재적인 재정적 및 평판 손실을 줄일 수 있습니다.
위협 인텔리전스 도구 및 서비스
사이버 위협 인텔리전스를 생성하는 도구는 점점 더 다양해지고 있으며, 각 도구는 조직의 사이버 보안 요구사항에 맞게 고유한 형태와 기능을 갖추고 있습니다.
여러 도구와 위협 인텔리전스 플랫폼의 기능을 결합하면 가장 완벽하고 철저한 위협 탐지 및 방지 프로그램을 만들 수 있습니다.
위협 인텔리전스 도구와 그 기능에 대한 개요
- 위협 인텔리전스 플랫폼( TIP) : 외부 위협 데이터를 자동으로 수집, 집계, 분석합니다.
- 보안 정보 및 이벤트 관리(SIEM) 시스템 : 시스템 로그, 이벤트 데이터 및 기타 상황별 소스로 구성된 내부 위협 데이터를 수집하고 분석합니다.
- 위협 인텔리전스 피드: 현재 또는 진행 중인 사이버 위협과 관련된 실시간 정보 스트림을 제공하며, 특정 관심 영역(IP 주소, 도메인, 멀웨어 서명 등)에 초점을 맞추는 경우가 많습니다.
- 샌드박싱 도구: 조직이 조직 내부 시스템에 대한 위험 없이 잠재적으로 위험한 파일이나 프로그램을 분석하거나 열 수 있는 제어된 환경을 제공합니다.
- 오픈 소스 인텔리전스(OSINT) 도구: 공개 소스(소셜 미디어, 블로그, 공개 토론 포럼 등)에서 데이터를 수집합니다.
위협 인텔리전스 서비스: 사이버 보안을 강화하는 방법
위협 인텔리전스 서비스는 사이버 위협 분석, 방지 및 복구 프로그램을 개발하고 최적화할 수 있는 도구를 CISO와 SOC에 제공하여 조직의 사이버 보안 노력을 지원합니다. 효과적인 CTI 지원은 전반적인 위협 인식을 높이고, 선제적 방어 조치를 가능하게 하며, 사고 대응 계획을 강화하고, 의사 결정 및 위험 관리를 개선합니다.
위협 인텔리전스 프로그램에서 사고 대응의 역할
IRP(사고 대응 계획) 는 위협 인텔리전스 프로그램에서 여러 가지 용도로 사용됩니다. IRP는 조직이 사이버 보안 사고에 대응하고 복구하는 방법을 간략하게 설명합니다. 잘 계획된 IRP는 사이버 공격에 대한 조직의 대비를 보장할 뿐만 아니라 향후 사이버 보안 조치를 개선하는 데 사용할 수 있는 다양한 유형의 위협 인텔리전스를 제공합니다.

위협 인텔리전스의 실질적인 구현
사이버 위협 인텔리전스의 실질적인 구현은 명확한 목표를 정의하고 다양한 내부 및 외부 소스에서 관련 데이터를 수집하는 것에서 시작됩니다. 분석된 데이터는 기존 사이버 보안 프로그램에 통합할 수 있도록 설계된 실행 가능한 인텔리전스를 생성하는 데 사용할 수 있습니다.
위협 인텔리전스를 사이버 보안 전략에 통합하기
CTI 프로그램에서 얻은 인사이트를 전반적인 사이버 보안 전략에 적용하면 위협 인식, 공격 방지 및 사고 대응을 강화할 수 있습니다. 이러한 통합을 위해서는 기존 프로세스를 조정하거나, 제어 조치를 조정하거나, 계획을 업데이트하거나, 사용자 교육 프로그램을 수정해야 할 수도 있습니다.
위협 헌팅: 사이버 보안에 대한 선제적 접근 방식
정교한 해커는 네트워크에 침투하여 데이터, 로그인 자격 증명 또는 기타 민감한 자료를 검색하거나 수집하는 동안 탐지되지 않은 채로 남아있을 수 있습니다. 위협 헌팅은 내부 네트워크에서 이전에 탐지되지 않은 사이버 위협을 선제적으로 검색하는 작업입니다. 위협 헌팅은 지능형 지속 위협(APT)을 제거하는 데 매우 중요합니다.
위협 인텔리전스 수명 주기: 개요
위협 인텔리전스 수명 주기는 CISO가 사이버 위협 인텔리전스 프로그램을 개발하고 구현하는 프로세스의 개요입니다. 이는 원시 위협 데이터를 실행 가능한 위협 인텔리전스로 지속적으로 변환하여 조직의 사이버 보안에 대한 위협을 식별하고 방지하는 데 활용할 수 있는 프레임워크입니다.

그림 2. Unit 42 위협 인텔리전스 수명 주기
위협 인텔리전스 수명 주기 단계 이해하기
- 발견: 내부 조사 및 소스, 위협 인텔리전스 피드, 파트너십, 기타 오픈 소스 위협 인텔리전스(OSINT) 등 다양한 소스에서 위협 인텔리전스 데이터(지표, 적의 전술, 도구 등)를 발견하세요.
- 컬렉션: 위협 인텔리전스 데이터가 발견되면 추가 처리 및 분석을 위해 해당 데이터를 수집하고 저장하세요.
- 처리: 데이터를 정리하여 중복, 불일치, 관련 없는 정보를 제거합니다. 그런 다음 원시 데이터를 분석에 적합한 형식으로 변환하고 추가 컨텍스트 및 메타데이터로 개선합니다.
- 분석: 처리된 데이터를 심층적으로 분석하여 패턴, 트렌드, 잠재적 위협을 파악하고 다양한 기법을 사용하여 숨겨진 인사이트를 찾아냅니다. 그런 다음 식별된 위협의 신뢰성과 영향을 평가합니다.
- 조치: 사고 대응팀, SOC, 경영진 등 관련 이해관계자에게 실행 가능한 인텔리전스를 준비하여 배포합니다. 간결하고 명확하도록 다양한 오디언스의 특정 요구 사항에 맞게 정보를 맞춤화하세요.
- 피드백 루프: 제공된 위협 인텔리전스의 효과와 관련성에 대한 주요 이해관계자의 피드백을 수집합니다. 그런 다음 피드백과 교훈을 바탕으로 수집, 처리, 분석 및 프로세스를 지속적으로 개선하고 개선합니다.
효과적인 위협 인텔리전스 프로그램 구축하기
효과적인 CTI 프로그램을 구축하려면 올바른 도구를 찾고 데이터를 검색하는 것 이상으로 전략 중심의 계획, 전문가 팀, 잘 조직된 프로세스, 지속적인 학습과 개선을 위한 조직 전체의 노력이 필요합니다.
위협 인텔리전스 프로그램 설정의 주요 단계
- 목표와 목적을 정의합니다.
- 리소스와 적절한 숙련된 직원을 할당합니다.
- 관련 데이터 수집을 위한 프로세스를 구현합니다.
- 데이터 분석 및 인텔리전스 생성을 위한 방법론을 개발합니다.
- 사이버 보안 프로그램에 인텔리전스를 통합하고 활용합니다.
- 인텔리전스 배포를 위한 형식 정의.
- 피드백 수집 및 검토.
- 업계 표준, 규정 및 내부 거버넌스 정책을 준수하고 준수하도록 보장합니다.

그림 3. Unit 42 CTI 프로그램 단계
위협 인텔리전스에서 지속적인 학습과 적응의 중요성
사이버 위협 환경은 위협 행위자들의 지식이 풍부해지고 정교해짐에 따라 지속적으로 변화하고 있습니다. 효과적인 CTI 프로그램은 차단하려는 위협만큼이나 역동적이어야만 그 효과를 유지할 수 있습니다. 조직은 이전 인시던트와 위협 인텔리전스 피드백으로부터 학습하여 CTI 프로그램의 요소를 지속적으로 조정하고 개선하여 최대한 적절하고 효과적으로 유지할 수 있습니다.
위협 인텔리전스 FAQ
사이버 위협 인텔리전스는 조직에 대한 잠재적 및 기존 사이버 위협에 대한 정보를 수집하고 분석하는 프로세스입니다.
사이버 위협 인텔리전스의 목표는 위협 행위자가 사용하는 전술, 기술 및 절차를 이해하는 데 도움이 되는 실행 가능한 인사이트를 조직에 제공하는 것입니다. 수집된 정보를 통해 조직은 사이버 공격의 영향을 예방하거나 완화할 수 있는 효과적인 보안 조치를 개발하고 구현할 수 있습니다.
사이버 위협 인텔리전스 트렌드는 산업, 지역, 위협 유형에 따라 달라질 수 있습니다. 그러나 모든 종류의 비즈니스와 조직에 영향을 미치는 몇 가지 일반적인 트렌드가 있습니다.
- 사이버 공격은 점점 더 증가하고 있으며 그 비용도 점점 더 커지고 있습니다.
- 사이버 범죄자들은 서로 협력하고 전문화되고 있습니다.
- 봇넷과 자동화된 멀웨어 구축 툴은 점점 더 정교해지고 있습니다.
- 국가가 후원하는 행위자와 사이버 범죄자 간의 협력이 증가하고 있습니다.
- 모든 규모의 조직, 특히 중소기업(SMB)이 위험에 처해 있습니다.
인터넷의 등장으로 전례 없는 수준의 정보 공유와 연결이 이루어졌습니다. 디지털 환경이 확장됨에 따라 증가하는 사이버 공격의 위협으로부터 개인과 조직을 보호해야 할 필요성도 커졌습니다.
빠르게 증가하는 위협으로 인해 IP 및 URL 블랙리스트와 같은 초기 사이버 보호 프로토콜과 안티바이러스 프로그램 및 방화벽과 같은 사이버 위협 차단 시스템이 등장했습니다.
2000년대 들어 사이버 범죄는 150억 달러 이상의 피해를 입힌 'ILOVEYOU' 웜과 같은 주목할 만한 사이버 공격으로 증가했습니다. 스팸, 봇넷, 트로이목마가 더욱 기승을 부리면서 보다 강력하고 선제적인 사이버 보안 조치의 필요성이 더욱 분명해졌습니다. 그러나 사이버 위협 인텔리전스 운동에 불을 붙인 것은 지능형 지속 위협(APT)의 출현이었습니다. 기업과 정부 모두 사이버 위협 인텔리전스 팀을 만들었고, 사이버 보안 회사는 조직이 사이버 위협을 더 잘 예측하고 예방할 수 있도록 지원하기 시작했습니다.
2010년 이후 사이버 공격은 더욱 정교해지고 피해가 커지고 있습니다. 복잡한 해킹, 멀웨어, 랜섬웨어 공격으로 인해 위협 행위자의 전술, 기법, 절차에 초점을 맞춘 CTI로 전환되었으며, 현재는 TTP라고 불립니다. 이러한 종합적인 분석을 통해 조직은 단순히 위협에 대응하는 것이 아니라 위협을 예측하는 데 필요한 인사이트와 이해를 얻을 수 있습니다.
최신 사이버 위협 인텔리전스는 모든 사이버 보안 프로그램에 필수적이며 리소스 할당, 위협 분석 정책, 사고 대응 계획에 영향을 미칩니다.