전자신문은 지난 2월 27일 서울 코엑스에서 '시큐리티 마켓 플레이스: 사이버 위협 정보 인텔리전스' 세미나를
열었습니다. 이 자리에서 메타넷글로벌은 사이버 위협을 인텔리전스를 통해 대응을 강화하는 방법에 대해 소개했습니다.


관련 자료와 함께 본 세미나의 주요 내용에 대해 살펴보겠습니다.



사이버 위협 인텔리전스의 필요성


현재 국내 기업은 위협 인텔리전스를 도입하지 않거나 전체 보안 운영 모델에서 단절된 상황입니다. 각 기업 상황에 맞는 위협 인텔리전스를 도입해야 효과적인 사이버 공격 대응이 가능합니다.


사이버 위협 인텔리전스는 주요 보안 위협을 수집해 과거 공격 지표를 비교 분석하고 연관성을 찾는 분야입니다. 보안 기업은 수년 간, 수백 개의 사이버 위협 조직을 찾아 특성을 분석했습니다. 방대한 양의 위협 지표를 바탕으로 새로 나타난 공격과 연관성을 찾고 있습니다.


'위협 인텔리전스 도입 기업이 체크해야 할 리스트'에 대해 발표하고 있는 이창열 메타넷글로벌 전무


기업은 보안 운영 요구에 따라 어떤 위협 인텔리전스 솔루션이 적합한지 많은 고민을 합니다. 기업의 보안 준비 수준이 각각 다른 상황에서 위협 인텔리전스를 제대로 활용할 방법을 찾는 것입니다.



위협 인텔리전스 서비스(Threat Intelligence) 유형


포레스터(Forrester)에 따르면, 위협 인텔리전스 서비스는 △완성된 인텔리전스(Finished Intelligence) △전술 지표(Tactical Indicator) △가공하지 않은 인텔리전스(Raw Intelligence) 등 3가지로 나눌 수 있습니다.


완성된 인텔리전스(Finished Intelligence)

최고책임자(C)레벨이 볼 수 있을 정도로 만든 콘텐츠입니다. 위협 탐지와 식별을 선제적으로 대응하기 위해 최신 정보를 제공하여 위협 분석 능력을 강화시키고 사전 정보를 파악합니다. 위협 정보와 위험 감소에 대한 보고서, 공격 패턴이 확보되지 않은 위협에 대한 헌팅 정보, 취약점에 대한 위협 정보 등이 있습니다. 이 유형은 보안 정책과 전략 및 관리 체계로 활용할 수 있습니다. 


전술 지표(Tactical Indicator)

기존 보안 장비의 보안 경고를 인텔리전스를 활용한 지표로 우선 순위와 정확한 정보에 따라 위협 식별을 보완합니다. 침해 사고 지표(IOC)와 위협 식별 정보 등을 제공합니다.


가공하지 않은 인텔리전스(Raw Intelligence)

가공하지 않은 인텔리전스는 API 연결로 위협 상황 정보를 검색하고 알려 침해 당한 계정과 악성 코드를 분석합니다. 전술 지표와 가공하지 않은 인텔리전스는 모두 SOC 등 보안 오퍼레이션 영역에서 활용됩니다.




위협 인텔리전스(Threat Intelligence)를 위한 데이터 소스(Data Source)


위협 인텔리전스를 위한 데이터 소스는 서페이스 웹(Surface Web), 딥/다크웹(Deep/Dark Web), 소셜미디어(Social Media), 센서 네트워크(Sensor Network) 등 네 가지로 나뉩니다.


서페이스 웹(Surface Web)

먼저, 서페이스 웹은 일반 검색 엔진으로 검색이 가능한 인터넷 환경으로, 오픈 소스로 외면 받는 경우가 많지만 유의미한 정보가 다수 존재합니다.


딥웹/다크웹(Deep / Dark Web)

딥웹은 일반 검색엔진으로는 일반 검색엔진으로는 검색되지 않거나 유료 데이터 뱅크에 있는 콘텐츠의 인터넷 환경으로, 각국 정부 부처나 기업, 연구소 등의 기밀 자료 등을 말합니다. 다크웹은 인터넷을 사용하지만 접속을 위해서는 특정 프로그램이 필요한 웹을 말합니다.


소셜 미디어(Social Media)
소셜 미디어는, 검색 엔진으로 색인되지 않기 때문에 딥웹으로 분류가 가능합니다. 광범위한 커버리지로 인해  “Shallow Web”이라고도 부릅니다. 평판 리스크와 연관되어 있어 디지털 리스크 모니터링 솔루션에서 주로 다루고 있습니다.

센서 네트워크(Sensor Network)
전 세계 도메인 등록을 탐지하는 네트워크 모니터링부터 알려지지 않은 파일의 정적 분석을 수행하는 엔드포인트 제품입니다. 글로벌 관리형 보안 서비스 공급 업체에서 제공하는 SIEM 경고에 이르기까지 다양하며, 완성된 인텔리전스가 되기까지 많은 분석이 필요합니다.


위협 인텔리전스(Threat Intelligence) 서비스 활용

기업별 보안 역량 수준을 고려, 일반적으로 완성된 인텔리전스에서 가공하지 않은 인텔리전스 순으로 활용의 폭을 넓혀가는 것이 효과

메타넷글로벌은 위협 인텔리전스 서비스의 활용 경로에 대해 "기업별 보안 역량 수준을 고려하여, 일반적으로 완성된 인텔리전스에서 가공하지 않은 인텔리전스 순으로 활용의 폭을 넓혀가는 것이 효과적"이라고 제안합니다.

이와 관련해 이창열 메타넷글로벌 전무 또한 “위협 인텔리전스 유형과 데이터 소스를 고려해 각 기업 보안 수준과 요구에 맞는 서비스를 선택해야 한다”고 전했습니다.

이 전무는 "솔루션별로 제공되는 위협 인텔리전스 유형과 커버리지가 다르기 때문이다. 기업 고객은 자사 데이터 분석과 해석 역량을 고려해야 한다"며, “일반적으로 완성된 인텔리전스로 부터 가공하지 않은 인텔리전스 순으로 활용 폭을 넓혀가는 것이 효과적이다"고 조언했습니다.


티스토리 툴바