[IGLOO] 위협 인텔리전스란 무엇인가요?

[보안 101] 위협 인텔리전스란 무엇인가요? - Security & Intelligence 이글루코퍼레이션

[보안 101] 위협 인텔리전스란 무엇인가요?

 

1. 위협 인텔리전스의 역할

한 글로벌 금융사는 새벽에 다크웹에서 자사 고객 정보가 거래된다는 경보를 받았는데, 분석 결과, 내부 시스템 침입 흔적은 없었지만 외부 결제 대행사와 연동된 API의 취약점을 통해 인증 정보가 유출된 것으로 드러남.
이후 회사는 비밀번호 강제 초기화, 다중 인증 확대, 의심 로그인 차단 규칙 강화, 수사기관 협조, 다크웹 게시글 삭제 등 일련의 대응을 신속히 진행했다. 조기 탐지 덕분에 금전 피해 없이 사태를 막을 수 있었다

-> 이처럼 위협 인텔리전스(Threat Intelligence)는 공격을 사후에 발견하는 것이 아니라, 위협을 예측하고 식별해 대응할 수 있게 하는 체계적 정보입니다.

2. 위협 인텔리전스란?

위협 인텔리전스는 사이버 공격과 관련된 데이터를 수집·분석해 보안 의사결정을 지원하는 정보를 의미한다. 핵심은 실행 가능성(Actionable).
단순 데이터가 아니라, '이 정보로 무엇을 해야 하는가'까지 알려주는 수준으로 정제되어야 한다.

• 데이터(Data): 로그, IP, 해시 등 원시 자료
• 정보(Information): 상관관계 분석으로 의미를 부여한 결과
• 인텔리전스(Intelligence): 의사결정과 행동을 이끌 수 있는 실질적 정보

맥락(Context)과 의미(Meaning)가 포함되어야 함

예를 들어 “다크웹에 A사 이메일이 있다”는 단순 사실이지만, “해당 이메일이 직원 계정이며 최근 로그인 시도가 비정상적”이라면 즉시 계정 차단 조치가 가능하다.

3. 위협 인텔리전스의 구성 요소

1) 데이터 수집

내부 로그, 네트워크, 엔드포인트, 클라우드 데이터뿐 아니라 외부 위협 피드, OSINT(공개출처 정보), 다크웹 정보 등 다양한 출처에서 데이터를 수집한다.

2) 분석 및 상관관계 도출

수집된 데이터를 기반으로 공격자의 행위 패턴과 침해지표(IoC, Indicators of Compromise)를 식별한다.

IoC 예시 :

네트워크 기반	악성 IP, 도메인, C2 서버, 이상 트래픽
파일/시스템 기반	악성코드 해시, 비정상 파일 변경, 레지스트리 변조
계정/인증 기반	비인가 계정 생성, 권한 상승, 비정상 로그인
이메일 기반	피싱 발신자, 악성 첨부파일, 링크

또한 MITRE ATT&CK 프레임워크로 공격자의 전술·기술·절차(TTPs)를 매핑해 공격 흐름과 조직 취약점을 분석한다.

 

3) 실행 가능한 인사이트 제공

분석 결과는 대응 우선순위 설정으로 이어진다 우선순위는 위협의 심각도, 악용 가능성, 자산 중요도, 노출 범위를 기준으로 정하며, 보안 장비(방화벽, IDS/IPS, EDR) 정책에 즉시 반영한다

 

4. 발전 과정

(1) 1990~2000년대: 시그니처 중심 방어

이미 알려진 공격 패턴을 기반으로 탐지하는 시그니처 방식이 주였지만 제로데이 공격과 변종 악성코드에는 취약했습니다.

(2) 2000년대 후반: ISAC 등장

APT(지능형 지속 위협)의 등장으로 기업 간 위협 정보 공유의 필요성이 커졌고
ISAC(Information Sharing and Analysis Center)은 업종별·국가별로 침해사고 징후와 IoC를 공유하는 협력 네트워크로, 산업 전반의 방어 수준을 끌어올렸습니다

(3) 2010년대: 표준화와 자동화

STIX(Structured Threat Information Expression)와 TAXII(Trusted Automated eXchange of Intelligence Information)가 등장하며 위협 정보를 구조화·자동화해 교환할 수 있게 되었고
이는 서로 다른 기관·솔루션 간 정보 호환성과 실시간 연동을 가능하게 합니다

(4) 2020년대: AI·ML 결합

AI와 머신러닝은 방대한 위협 데이터를 자동으로 분석하고, 비정형 패턴을 학습해 제로데이 공격이나 신종 악성코드까지 포착하는데, 또한 SOAR, XDR 등 자동화된 보안 체계와 연동되어 탐지-대응-보고 전 과정을 자동화하며, AI 모델은 피드백을 통해 정밀도를 높입니다,

5. 위협 인텔리전스의 실무적 가치

• 단순 탐지를 넘어 공격 의도와 영향까지 해석한다.
• 위협 대응의 우선순위를 명확히 설정해 효율을 높인다.
• 조직 내외의 정보 공유 체계를 정비해 확산을 방지한다.
• 자동화된 정책 반영으로 보안 운영 속도를 단축한다.
• 궁극적으로 “누가, 무엇을, 왜 노리는가”를 파악해 사전에 방어한다.

 

 

 

 

 

 

---

 

+ 추가 공부

1. 로그 기반 위협 탐지(Log-based Threat Detection)

 

개념: ‘로그(log)’는 시스템의 모든 행동 흔적이다.
서버, 방화벽, 네트워크 장비, 애플리케이션, 클라우드 서비스 등에서 발생하는 이벤트를 기록한 데이터로, 공격자의 흔적도 여기에 남는다.

로그 기반 위협 탐지란, 이 방대한 로그 속에서 정상 행위와 다른 이상징후를 찾아내는 과정이다.
예를 들어 다음과 같은 패턴들이 대표적인 탐지 신호가 된다.

인증 로그	같은 계정의 여러 지역 로그인, 비정상 로그인 시도 반복
시스템 로그	관리자 권한 상승, 서비스 비정상 종료
네트워크 로그	외부 C2 서버와 통신, 포트 스캔 탐지
애플리케이션 로그	SQL Injection, XSS 공격 흔적

이러한 로그는 단순히 저장하는 게 아니라 중앙에서 수집·분석해야 의미가 있어서 이를 위해 등장한 것이 SIEM이다.

 

2. SIEM (Security Information and Event Management)

개념: SIEM은 ‘보안 정보 관리(SIM, Security Information Management)’와 ‘보안 이벤트 관리(SEM, Security Event Management)’를 결합한 시스템이다.
-> 모든 로그를 모아 분석하고 위협을 탐지하는 중앙 플랫폼.

- 주요 기능

a) 수집

-다양한 장비·서버 로그를 수집

-Syslog, API, Agent 방식으로 수집

b) 정규화

서로 다른 로그 포맷을 공통 형태로 변환 

c) 상관분석

서로 다른 로그를 연관시켜 단일 이벤트로 해석

예: 외부 IP 로그인 시도 > 관리자 권한 상승 > 공격 시나리오로 감지

d) 경보 및 대시보드

룰에 따른 이상행위 탐지 후 알림

시각화 대시보드로 실시간 모니터링

e) 포렌식 및 리포팅

공격 이력 추적, 규제 준수 보고서 생성

대표적인 SIEM 솔루션으로는 Splunk, ELK Stack(Elastic SIEM), IBM QRadar, ArcSight 등이 있다.

 

3. Splunk, ELK Stack(Elasticsearch · Logstash · Kibana) 에 대해

(1) Splunk

- 상용 SIEM의 대표 주자

- 수집한 로그를 인덱싱하고, 쿼리 언어(SPL, Search Processing Language)로 분석한다.

간단한 예시:→ 192.168.* 대역에서 차단된 트래픽이 많이 발생한 목적지 IP 목록을 집계.

index=firewall action=blocked src_ip="192.168.*" | stats count by dest_ip

장점: 안정적, 직관적 UI, 다양한 보안 앱 제공
단점: 라이선스 비용 높음(데이터 용량 기반)

(2) ELK Stack

오픈소스 기반 SIEM 대안으로 가장 많이 사용됨.

세 구성요소의 역할은 다음과 같다.

Elasticsearch	로그를 저장·검색하는 데이터베이스
Logstash	로그 수집 및 변환(파싱) 담당
Kibana	시각화 대시보드 제공

-> 이후 Elastic Security(Elastic Stack의 SIEM 기능)를 추가하면 룰 기반 탐지, 상관분석, 알람 설정까지 가능하다