위협 인텔리전스의 정의
 

사이버 범죄자가 공격할 새로운 취약점을 발견함에 따라 컴퓨터 시스템과 네트워크에 대한 다양한 공격 방법은 끊임없이 진화합니다. 조직은 사이버 위협 인텔리전스(CTI)를 활용하여 새로운 위협에 대한 정보를 계속해서 인지하면서 스스로를 보호할 수 있습니다. 사이버 보안 전문가는 공격에 관해 수집한 정보를 정리, 분석, 개선하여 새로운 내용을 학습하고 이를 활용하여 보다 효율적으로 비즈니스를 보호합니다.  

또한 위협 인텔리전스(또는 보안 인텔리전스)는 진행 중인 공격을 중단하거나 완화하는 데 도움을 주기도 합니다. IT 팀에서 공격에 대해 더 잘 이해할수록, 그 대응 방법에 대해 정보를 기반으로 한 더 나은 의사 결정을 내릴 수 있습니다.

위협 인텔리전스의 유형

기술적이지 않은 개략적인 정보로부터 특정 공격에 관한 기술 세부 정보에 이르기까지, 다양한 유형의 위협 인텔리전스가 존재합니다. 다음은 위협 인텔리전스의 몇 가지 유형입니다.

• 전략적: 전략적 위협 인텔리전스는 위협을 맥락에 맞게 파악하는 개략적인 정보입니다. 이는 조직의 임원진에게 제시될 수 있는 기술적이지 않은 정보에 해당합니다. 전략적 위협 인텔리전스의 예로는 비즈니스 의사 결정으로 인해 조직이 어떻게 사이버 공격에 취약해질 수 있는지에 대한 위험 분석을 들 수 있습니다.  
• 전술적: 전술적 위협 인텔리전스에는 공격 벡터, 도구, 공격자가 사용하는 인프라, 대상 비즈니스 또는 기술 유형, 회피 전략 등 위협과 이에 대한 방어가 이루어지는 방식의 세부 정보가 포함됩니다. 이는 조직에서 다양한 공격 유형의 대상이 될 가능성이 얼마나 높은지도 파악하는 데 도움이 됩니다. 사이버 보안 전문가는 정보를 기반으로 보안 제어 및 방어 관리에 관한 의사 결정을 내리는 데 전술적 정보를 활용합니다. 
•  실무적: 실무적 위협 인텔리전스는 IT 부서에서 특정 공격에 대해 조치를 취하는 적극적 위협 관리의 일환으로 사용할 수 있는 정보입니다. 공격의 성격과 시점에 관한 정보뿐 아니라 공격의 의도에 관한 정보도 포함되어 있습니다. 이 정보는 공격자로부터 직접 수집하는 것이 이상적이며, 그러므로 획득하기 어려운 정보이기도 합니다.
• 기술적: 기술적 위협 인텔리전스는 공격이 발생하고 있다는 구체적인 증거 또는 침해 지표(IOC)입니다. 위협 인텔리전스 도구 중 일부는 인공 지능을 사용하여 피싱 캠페인의 e-메일 콘텐츠, C2 인프라의 IP 주소, 알려진 맬웨어 샘플의 아티팩트 등의 지표를 스캔하기도 합니다.

위협 인텔리전스의 역할

조직은 위협 인텔리전스와 사이버 위협 도구를 사용하여 다양한 유형의 공격과 이에 대응하는 최선의 방법을 더 쉽게 파악할 수 있습니다. 또한 사이버 위협 인텔리전스는 이미 발생한 공격을 완화하는 데 도움이 됩니다. 조직의 IT 부서에서는 자체적으로 위협 인텔리전스를 수집하거나 최적의 보안 모범 사례에 관한 정보와 조언을 수집하는 위협 인텔리전스 서비스를 활용할 수 있습니다. 소프트웨어 정의 네트워킹(SDN)을 채택한 조직은 위협 인텔리전스를 사용하여 특정 유형의 사이버 공격을 막을 수 있도록 네트워크를 신속하게 재구성할 수 있습니다. 

위협 인텔리전스가 중요한 이유

위협 인텔리전스를 활용할 경우 조직은 사이버 공격에 단순히 대응하는 데 그치지 않고 적극적으로 사전 조치를 취할 수 있습니다. 보안 취약점, 위협 지표, 위협의 진행 방식에 대한 이해가 없으면 사이버 공격을 효과적으로 막아낼 수 없습니다. 위협 인텔리전스를 통해 이러한 공격을 예방하고 신속하게 억지할 수 있으므로 비즈니스는 수십만 달러의 비용을 절감할 수 있습니다. 위협 인텔리전스는 네트워크 보안과 클라우드 보안 등 모든 수준의 기업 보안 제어를 향상시킬 수 있습니다.

일반적인 침해 지표

보안 인력이 올바른 위치에서 비정상적인 동작을 감시할 경우, 공격이 발생 중이거나 발생했다는 양상을 찾을 수 있는 경우가 많습니다. 이러한 노력에 인공 지능이 크게 도움이 될 수 있습니다. 다음은 IOC에 일반적으로 포함되는 항목입니다.

• 권한이 부여된 사용자 계정의 비정상적인 활동: 공격자는 더 높은 계정 권한을 획득하거나, 침해를 입은 계정으로부터 더 높은 권한을 가진 다른 계정으로의 이동을 시도하는 경우가 많습니다.
• 로그인 이상: 승인되지 않은 파일에 액세스하려는 근무 외 시간 로그인, 전 세계 여러 IP에서 동일한 계정에 대해 빠르고 연속적으로 이루어지는 로그인, 존재하지 않는 사용자 계정에 의한 로그인 실패 등은 모두 무언가 잘못되었음을 나타내는 신호에 해당됩니다.
• 데이터베이스 읽기 용량 증가: 데이터베이스 읽기 용량이 급증했다면 이는 비정상적으로 큰 용량의 데이터(예: 데이터베이스에 보관된 모든 신용 카드 번호)를 추출하고 있다는 신호일 수 있습니다.
• 비정상적인 DNS 요청: 특정 호스트에 대한 DNS 요청의 급증 및 외부 호스트에 대한 DNS 요청 패턴은 조직 외부의 누군가가 명령과 제어 트래픽을 전송하고 있다는 의미일 수 있으므로 모두 위험 신호에 해당합니다.
• 동일한 파일에 대한 대규모 요청: 사이버 범죄 활동의 많은 부분이 반복적인 공격과 관련되어 있으며, 이러한 공격은 누군가 취약점을 찾고 있다는 사실을 의미할 수도 있습니다. 예를 들어, 동일한 파일에 500건의 요청이 이루어진다면 이는 누군가 약점을 찾기 위해 다양한 방법을 시도 중이라는 의미일 수 있습니다.
• 이유 없는 구성 또는 시스템 파일 변경: 신용 카드 수확 도구를 찾는 것은 쉽지 않지만, 해당 도구를 설치하면서 발생하는 시스템 파일 변경 사항은 쉽게 찾을 수 있습니다. 

사용 가능한 위협 인텔리전스 도구

다양한 위협 인텔리전스 도구가 판매되고 있으며 오픈 소스 커뮤니티를 통해 무료로 제공되기도 합니다. 모든 도구는 위협 인텔리전스 수집 방식에서 조금씩 다른 접근 방식을 취합니다.

• 맬웨어 디셈블러: 이 도구는 맬웨어의 작동 방식을 파악하고 향후 유사한 공격을 막는 방법을 판단하기 위해 맬웨어를 리버스 엔지니어링합니다.
• 보안 정보 및 이벤트 관리(SIEM) 도구: SIEM 도구를 사용하면 보안 팀에서는 네트워크를 실시간으로 모니터링하여 비정상적인 행동과 의심스러운 트래픽에 관한 정보를 수집할 수 있습니다.
• 네트워크 트래픽 분석 도구: 네트워크 트래픽 분석 도구는 네트워크 정보를 수집하고 네트워크 활동을 기록하여 침입을 보다 쉽게 탐지할 수 있도록 돕는 정보를 제공합니다.
• 위협 인텔리전스 커뮤니티 및 리소스 컬렉션: 자유롭게 액세스할 수 있으며, 알려진 침해 지표와 위협에 대해 커뮤니티에서 생성한 정보를 취합하는 웹사이트는 위협 인텔리전스의 중요한 소스가 될 수 있습니다. 이러한 커뮤니티 중에는 공동 연구를 지원하고 위협 예방 또는 퇴치 방법에 관해 실행 가능한 조언을 제공하는 곳도 있습니다.

새로운 위협을 인지하고 이를 회피하는 방법을 파악하는 조직은 공격이 발생하기 전에 예방 조치를 취할 수 있습니다. 모든 조직은 위협 인텔리전스를 수집하고 검토하는 작업을 기업 보안 전략의 일부로 포함해야 합니다.