[보안 101] 더보기 ▶

매달 하나의 주제를 선정해 질문을 던지며, 보안에 한 걸음 더 가까이 다가갑니다.
복잡하고 어렵게 느껴질 수 있는 보안 지식을 초보자도 쉽게 이해할 수 있도록, 기초 개념부터 최신 이슈까지 차근차근 풀어갑니다.

보안이 알고 싶을 땐, 보안 101으로 시작해 보세요.
물음표를 느낌표로 바꾸는 여정을 이글루코퍼레이션이 함께합니다.

01. API 취약점에서 시작된 위기, 위협 인텔리전스로 막아내다

# 삑삑 삑삑! 새벽 3시 4분, 글로벌 금융사 A사의 보안 상황실. 한 모니터링 시스템이 붉은 경고창을 띄웁니다. “신규 게시글 발견: A사 고객 데이터 판매”라는 알람이었죠. 당직 분석가가 확인하니, 익숙한 A사 로고와 함께 이메일과 해시 처리된 (원문을 숨긴 채 비교·검증만 가능하도록 변환된) 비밀번호가 샘플로 올라와 있었습니다. 당직 분석가는 즉시 경보를 상위 보안팀에 전달했습니다. 몇 분 뒤, 위협 인텔리전스 분석가들이 샘플 데이터를 내부 DB와 대조합니다. 설마 했는데, 일부 정보가 실제 고객 계정과 일치하네요. 더 큰 우려는 판매자가 “A사에서 빼낸 총 5만 건의 계정 정보를 보유하고 있다”라고 주장하며, 다크웹 포럼을 통해 거래를 제안하고 있다는 점이었죠.

[ 1단계 ]
위협 인텔리전스 분석가들은 즉각 진위 확인과 데이터 유출 경로 추적에 나섭니다. 다행히도 직접적인 시스템 침입 흔적은 없었습니다. 대신, 공격자가 A사와 연동된 외부 결제 대행사와 A사의 시스템이 데이터를 주고받는 애플리케이션 프로그래밍 인터페이스(API)의 취약점을 악용해, 고객 인증 정보를 빼낸 정황이 포착되었죠.

[ 2단계 ]
A사는 즉각 피해 확산 차단을 위한 전사 비상 대응 체계를 가동합니다. 공격자가 이미 확보한 자격 증명을 무력화하고자, 해당 계정 5만 건의 비밀번호를 강제 초기화합니다. 동일 비밀번호를 다른 서비스에 사용한 고객을 보호하기 위해, 고객 전원에게 비밀번호 재설정 안내 내용을 발송하죠. 비밀번호만으로는 계정 접근이 불가능하도록, 다중 인증(MFA) 적용 범위를 확대합니다. 더불어 계정 탈취 가능성을 최소화할 수 있도록, 의심 로그인 시도 차단 규칙을 강화합니다.

[ 3단계 ]
동시에 A사는 공공기관, 전문 기관, 외부 파트너사와의 공조에 나섭니다. 사건 개요, 유출된 데이터 유형, 발견 시간, 공격 경로 등의 핵심 정보를 국가 사이버수사대에 공식 보고하고, 침해사고대응팀(CERT)에 기술 분석 자료를 전달하죠. 유출 데이터의 2차 확산 차단을 위해, CERT 또는 수사기관을 통한 다크웹 내 판매 게시글 삭제를 진행합니다. 동일한 수법이 재발되는 일을 방지하고자, 파트너 결제 서비스사와의 협업을 통해 취약점 패치 작업에도 즉각 착수합니다.

[ 4단계 ]
72시간 동안의 사투 끝에 모든 대응이 완료되었습니다. 조기 대응에 따라 공격자가 탈취한 로그인 정보는 무효화되었고 공격으로 인한 금전적인 손실도 없었습니다. 이후 A사는 위협 인텔리전스 모니터링 범위를 확대하고, 일반 검색엔진에 노출되지 않는 다크웹·딥웹 데이터 수집 주기를 단축했습니다.

A사가 다크웹의 고객 데이터 판매 정황을 조기에 포착하지 못했다면, 어떤 일이 일어났을까요? 그러나 A사에게는 강력한 무기가 있었습니다. 위협을 예측하거나 적시에 입수하여 선제적으로 대응하는 ‘위협 인텔리전스’ 말이죠. 스파이 영화에서 적국의 암호를 해독하듯, 오늘날 보안팀은 위협 인텔리전스를 통해 공격자를 발견하여 그들의 움직임을 읽고 다음 수를 예측하고자 분투하고 있습니다.

세상 모든 것이 연결되면서, 공격자가 노릴만한 기업의 공격 표면(Attack Surface)은 날로 확장되고 있습니다. 조직의 모든 자산, 사용자, 애플리케이션에 대한 가시성 확보가 그 무엇보다 중요해졌죠. 이번 보안 101에서는 전략적 방어의 핵심으로 떠오른 ‘위협 인텔리전스’의 개념과 발전 방안을 하나씩 짚어보겠습니다.

02. 위협 인텔리전스란 무엇인가요?

위협 인텔리전스(Threat Intelligence)는 사이버 위협과 관련된 데이터 수집·분석에 기반해 보안 의사결 정을 도와줄 수 있는 정보입니다. 위협 인텔리전스의 가치를 결정짓는 요소는 바로 ‘실행 가능성(Actionable)’입니다. 단순한 사실 전달을 넘어 어떤 공격자가 어떤 방식으로 어떤 자산을 노렸는지를 파악해, 실제 대응에 활용할 수 있어야 하는 것이죠.

- 데이터(Data): 로그, IP 주소, 해시값 등 가공되지 않은 원시 형태
- 정보(Information): 분석과 상관관계 도출을 통해 의미를 부여한 결과물
- 인텔리전스(Intelligence): 의사결정과 행동을 가능하게 하는 수준까지 정제된 형태의 정보

이는 역으로 아무리 많은 데이터를 모았더라도, 그것이 보안팀이 실제 행동에 옮길 수 없는 형태가 아니라면 가치가 없음을 의미하기도 합니다. 예를 들어, “다크웹에 A사 이메일이 올라왔다”는 단순한 사실이지만, “해당 이메일은 A사 직원 계정이고, 최근 로그인 시도 기록이 비정상적이다”라는 분석까지 포함된다면, 즉시 계정을 잠그고 비밀번호 변경 등의 조치를 취할 수 있는 실행가능한 정보가 됩니다.

‘실행 가능한’ 위협 인텔리전스에는 반드시 데이터에 대한 ‘맥락(Context)’과 ‘의미(Meaning)’가 포함되어 있어야 합니다. 이 정보가 어떤 상황에서 발생했는지, 그리고 이 정보가 우리 조직에 어떤 영향을 줄 수 있는지에 대한 파악이 이뤄져야 하죠. 예를 들면, 어떤 전략·전술·절차(TTPs)를 통해 특정 시스템이 노출되었고, 양상을 볼 때 유사한 공격이 지속 발생할 수 있다는 해석을 할 수 있습니다.

정리하자면, 위협 인텔리전스는 단순한 정보를 넘어, 보안팀이 ‘지금 무엇을 해야 하는지’ 그 방향을 제시해 주시는 실전 지침서와 같다고 할 수 있습니다. 무엇보다 ‘실행 가능성’이 중요할 수밖에 없는 것이지요.

03. 위협 인텔리전스의 주요 구성 요소

① 데이터 수집

위협 인텔리전스는 정확하고 다양한 데이터를 확보하는 데서 시작합니다. 이에 네트워크, 엔드포인트, 클라우드를 아우르는 내부 소스는 물론, 보안 전문 기관과 커뮤니티에서 제공하는 최신 위협 피드(Threat Feeds), 해커들이 정보를 공유 및 거래하는 다크웹 모니터링, 공개된 정보에서 위협 요소를 추출하는 오픈소스 인텔리전스(OSINT) 등 외부 소스를 총체적으로 수집합니다.

② 분석 및 상관관계 도출

데이터를 수집했다면, 이를 의미 있는 정보로 가공할 차례입니다. 반복되는 공격 방식, 해킹 그룹의 특징, 이들의 공격 전략·전술·절차를 분석하여 공격 패턴을 식별합니다. 네트워크, 시스템, 애플리케이션에서 관찰된 악의적인 활동의 흔적 또는 침해 사실을 입증할 수 있는 침해 지표 (Indicators of Compromise, IoC)를 추출하죠. 이미 발생하거나 진행 중인 공격을 식별하고, 이를 탐지·차단 규칙에 반영해 추가적인 피해 발생을 방지합니다.

구분	내용
네트워크 기반 IoC	· 악성 IP 주소, 도메인, URL · C2(Command & Control) 서버 주소 · 비정상적인 트래픽 패턴
파일/시스템 기반 IoC	· 악성코드 파일 해시 · 비정상적인 시스템 파일 변경 · 레지스트리 키 변조, 의심스러운 실행 파일 경로
계정/인증 관련 IoC	· 평소와 다른 위치·시간대에서의 로그인 시도 · 비인가 계정 생성, 권한 상승 · 반복적인 로그인 실패 기록
이메일/메시지 기반 IoC	· 피싱 메일 발송 계정 · 발신자 위조 주소 · 악성 첨부파일·링크 포함 메시지

또한, 마이터어택(MITRE ATT&CK) 기반 매핑도 진행합니다. 마이터어택은 전 세계에서 수집된 해킹 공격 사례 분석을 토대로 공격자의 목표, 전술, 기술을 정리해 둔 해커 행동 패턴 도감이라고 할 수 있습니다. 이를 토대로 해커가 한 행동을 분류하고 연결합니다. 공격자의 공격 흐름을 한눈에 파악하고, 각 단계별 탐지·차단 방법을 만들며, 우리 조직의 취약 부분을 미리 간파하는 것입니다.

③ 실행 가능한 인사이트 제공

이후, 보안 팀이 즉시 행동에 옮길 수 있는 형태로 분석 결과를 가공합니다. 먼저, ‘대응 우선순위 설정’에 나섭니다. 모든 위협을 동시에 처리할 수는 없는 만큼, 고위험군 위협부터 처리할 수 있게 순서를 정하는 것이지요. 위협 분석가들은 하기와 같은 판단 기준을 토대로 순서를 정합니다.

- 위협 심각도: 조직에 미치는 잠재 피해 규모 (시스템 마비, 대규모 데이터 유출 등)
- 악용 가능성: 이미 공격에 사용되고 있는 취약점인지, 실증 자료 (PoC, Proof of Concept)가 공개되었는지
- 자산 중요도: 공격 대상이 핵심 비즈니스 시스템인지, 민감 데이터가 저장된 서버인지
- 노출 범위: 취약점이 내부 일부에만 있는지, 인터넷에 직접 노출된 서비스인지

예를 들면, 소프트웨어 보안 취약점의 심각도를 수치화하여 평가하는 표준화된 시스템(CVSS) 점수가 높은 취약점 중 실제 공격 징후가 있는 시스템부터 패치하거나, 현재 진행 중인 공격 캠페인과 관련된 침해지표(IOC)를 우선 차단하는 것이지요.

대응 우선순위를 정했다면, 다음은 방어 정책 수정과 사전 차단에 나설 차례입니다. 분석 결과를 토대로 방화벽, 침입 탐지/차단 시스템(IDS/IPS), 엔드포인트 탐지·대응(EDR) 등 보안 장비와 솔루션의 정책을 업데이트하여 유사한 공격이 발생하지 않도록 선제 차단합니다. 예를 들면, 확인된 C2서버 (Command & Control Server) IP를 방화벽 차단 목록에 즉시 추가할 것을 공지하는 식입니다.

04. 위협 인텔리전스 발전 과정

위협 인텔리전스는 언제부터 그 중요성이 부각되기 시작했을까요? 또한 어떻게 발전해 왔을 까요? 1990년대부터 현재까지 세 번의 전환점을 짚어보겠습니다.

① 시그니처 기반 보안의 시대에서 정보 공유의 시대로 (1990-2000년 대 후반)

1990-2000년 대 초반의 보안은 이미 알려진 적을 막는 시그니처 기반 방어 중심이었습니다. 이미 알려진 악성코드나 공격 패턴의 ‘고유한 특징값(서명)’을 데이터베이스에 저장해 두고, 들어오는 파일·트래픽과 비교해 일치하면 차단하는 방식이었죠. 알려진 위협에는 효과적이었지만, 아직 알려지지 않은 취약점을 악용하는 제로데이(Zero-day) 공격이나 악성코드의 일부 코드만 변형한 새로운 변종에는 무력할 수밖에 없는 한계가 있었습니다.

2000년 대 후반, ‘지능형 지속 위협(Advanced Persistent Threat, APT)’이 확산되면서, 위협 정보를 공유하는 ISAC(Information Sharing and Analysis Center) 모델이 확산되는 변화가 일어납니다. 조직화된 해킹 그룹은 맞춤형 공격을 통해 표적 시스템에 침투한 뒤 장기간 정체를 숨기며 핵심 정보를 탈취하거나 불시에 시스템을 마비시키는 공격을 감행합니다. 기존의 시그니처 기반 탐지로 이들을 막아내기란 역부족이었습니다. 여러 기업과 기관 간 협력과 정보 공유의 중요성이 높아지게 되었죠.

구분	내용
ISAC의 역할	· 침해사고 징후, 공격 기법, 침해 지표 (IoC) 공유 · 취약점 정보와 대응 방법 전파 · 업종별·국가별 보안 협력 네트워크 운영
ISAC 운영 방식	· 업종별 ISAC 운영 (금융 ISAC, 에너지 ISAC, 통신 ISAC 등) · 참여 기관이 실시간으로 위협 정보 제출·조회 · 분석센터가 이를 정리·검증 후 회원사에 배포
ISAC 운영 효과	· 공격 조기 탐지 및 확산 방지 · 개별 기업의 보안 역량 한계 보완 · 업계 전반의 보안 수준 향상

② 표준화와 협력의 바람이 불다 (2010년 대)

위협 정보 공유 움직임이 확산되면서, 위협 정보를 신속하고 빠르게 전달하기 위한 표준화와 자동화 체계 마련의 중요성도 높아집니다. 이에, ‘위협 정보를 표현하는 공통의 보안 언어’라고 할 수 있는 STIX (스틱스)와 ‘그 언어를 안전하게 전달하는 우편 서비스’와 같은 TAXII (택시)가 만들어지게 되었습니다. 서로 다른 조직과 솔루션 간 위협 정보를 주고받기 위한 공용의 언어와 통신 수단이 마련된 것이죠.

STIX (Structured Threat Information Expression)는 사이버 위협 정보를 구조화된 형식으로 표현하는 국제 표준 언어입니다. 침해 지표(IoC)와 공격 패턴·악성코드·취약점 정보, 장기적이고 조직적인 공격 활동 (캠페인) 등을 표현할 수 있죠. 단순 정보 나열을 넘어 사람과 기계가 모두 맥락을 이해할 수 있는 형태로 표현 가능하고, 보안정보 및 이벤트 관리(SIEM), 보안 자동화(SOAR) 등의 보안 솔루션에 연동할 수 있는 장점이 있습니다.

TAXII (Trusted Automated eXchange of Intelligence Information)는 STIX로 작성된 위협 정보를 안전하게 전송하기 위한 통신 프로토콜입니다. 크게 특정 주체(보안 기업, 정부기관 등)가 관리하는 STIX 데이터 묶음인 ‘컬렉션(Collection)’과 정보 생산자들이 정보 소비자들에게 데이터를 전송하고 또 정보 소비자들이 정보 생산자들이 발송한 데이터를 받는 경로인 ‘채널(Channels)’로 구분됩니다. 이를 통해 실시간·주기적 데이터 공유와 자동화된 인텔리전스 피드 구독과 배포가 가능합니다.

STIX와 TAXII 적용에 따라, 서로 다른 전 세계 보안 조직·솔루션은 같은 구조와 언어로 위협 정보를 이해하고(표준화), 수작업 없이 실시간으로 위협 데이터를 수집, 분석, 배포할 수 있게 되었습니다. 일원화된 데이터 공유에 따라 분석·탐지의 품질과 속도가 향상되면서, 정부와 기업, 보안 업체 간 협력 체계는 더 공고해지게 되었습니다.

③ 인공지능·머신러닝(AI·ML)과 협업하다 (2020년대-)

2020년대 들어, 인공지능(AI)과 머신러닝(ML)이 위협 데이터 분석에 활용되면서, 위협 인텔리전스는 알려지지 않은 위협까지 선제적으로 예측하고 탐지하는 발전을 거듭하게 됩니다. 위협 인텔리전스가 무엇을 알아야 하는지 알려주면, AI와 머신러닝이 그 정보를 더 빠르고 더 정확하게 찾아내고 이에 대응하는 힘을 실어주게 된 것이지요.

먼저 AI는 내외부를 아우르는 다양한 출처에서 수집된 비정형의 대규모 데이터를 자동으로 정리, 분석할 수 있습니다. 이후 비지도 학습을 통해 마련한 스스로의 판단 기준에 따라, 정상과는 다른 의미 있는 패턴을 찾아낼 수 있습니다. 이미 알려진 침해 지표(IoC)가 없는 제로데이 혹은 신변종 악성코드를 포착할 수 있는 것이죠.

또한, 공격자의 전술·기술·절차(TTPs)를 마이터어택 프레임워크에 맞춰 매핑해, 왜 이것이 위험한지, 이에 맞서 무엇을 해야 하는지 맥락과 의미를 짚어낼 수 있습니다. 더 나아가, 보안 위협 대응 자동화(SOAR)와 확장형 탐지·대응(XDR) 솔루션과의 연계를 통해 탐지-분석-대응-보고의 전 과정을 자동화함으로써, 보안 운영 효율성과 대응 속도도 높일 수 있습니다.

위협 인텔리전스 분석가들은 AI 모델이 새로운 위협 데이터에 대해 내놓은 예측 결과에 대한 피드백을 통해, AI 모델의 탐지 정확도와 신뢰도를 높이고 있습니다. 피드백을 반영한 AI 모델이 점점 더 정확한 예측을 하게 되는 선순환 구조가 만들어진 것이지요.

최근에는 위협 인텔리전스를 보안운영센터(SOC)와 연계된 자율 기능을 구현하는 AI 에이전트로 구현하는 움직임도 본격화되고 있습니다. 데이터 수집 AI 에이전트가 위협 데이터를 실시간 수집하고 STIX/TAXII 표준을 통해 다른 조직, 솔루션과 자동 연동합니다. 지능형 분석 AI 에이전트가 IoC와 TTP를 식별하고 마이터어택 매핑을 수행하죠. 대응 AI 에이전트가 맥락·의미에 기반한 우선순위를 토대로 SOAR, XDR과 연계해 자동 대응 조치를 실행한 뒤, 그 결과를 학습 데이터로 반영해 AI 모델의 역량을 향상하는 방식입니다.

05. 다음 수를 읽는 자, 게임을 지배한다

작은 불씨도 방치한다면 순식간에 산불로 번질 수 있습니다. 그러나, 날카로운 눈과 빠른 손이 그 불씨를 먼저 포착한다면, 그것은 흔적조차 남기지 못한 채 사그라들 수 있습니다. 사이버 전장의 끝없는 수 싸움 속에서, 위협 인텔리전스는 우리의 ‘다음 수’를 읽는 비밀 병기 역할을 수행합니다. 앞으로의 보안팀은 AI와 자등화 기반의 위협 인텔리전스를 토대로, 불이 나기 앞서 그 불씨를 찾아내는 사냥꾼이 될 것입니다.

결국 게임의 승패는 단순합니다. 누가 먼저 보고 누가 먼저 사냥할 것인가?

🚨 보이지 않는 공격까지 읽어내는 힘 '위협 인텔리전스', 조직의 승리를 위한 비밀 병기, 지금 준비하세요 💡

💌 후속 콘텐츠, 계속 받아보세요 ▶