보안 침해와 공격을 막기 위해 많은 기업은 위협 인텔리전스 플랫폼(Threat Intelligence Platform, TIP)을 도입한다. TIP은 매니지드 클라우드 기반 서비스 형태로 제공되기도 하고, 위협 탐지, 사고 대응, 취약점 관리 기능을 통합해 더 폭넓은 위험 관리 프로파일을 제공하는 툴 모음 형태로 구성되기도 한다. 현재 12곳 이상의 업체가 TIP을 제공한다.
이런 툴을 효과적으로 활용하려면, 먼저 무엇을 할 수 있고 무엇을 할 수 없는지 정확히 이해하는 것이 중요하다. 또한 각 기업의 환경과 보안 성숙도 수준에 맞게 툴을 선택해야 하며, 기존의 보안 툴이나 방어 활동과 통합할 수 있는지도 함께 고려해야 한다.
CISO가 위협 인텔리전스 플랫폼을 고려할 때 흔히 저지르는 실수가 몇 가지 있다. 예를 들어, 위험 관리 프로그램이 제대로 갖춰지지 않은 상태에서 도입을 추진하거나, 부정확한 위협 인텔리전스를 맹신하는 경우, 실제 필요와 맞지 않는 요구사항이나 부적절한 위협 소스를 수집하는 경우, 전략적 판단 없이 툴을 선택하는 경우 등이 해당한다.
여기서는 위협 인텔리전스 플랫폼을 성공적으로 도입하고 활용하기 위한 구체적인 팁을 살펴본다.
양보다 질에 집중하라
먼저 위협 인텔리전스 플랫폼이 정보 소스로 사용하는 실제 위협 피드를 살펴봐야 한다. 단순히 몇 개의 피드를 수집하느냐보다, 어떤 데이터를 수집하고 있는지, 그 데이터가 얼마나 신뢰할 수 있으며, 이 데이터를 어떻게 통합하고 다양한 메타데이터로 풍부하게 만들며, 검색하기 쉬운 데이터 구조로 어떻게 정리하는지를 파악하는 것이 중요하다. 다시 말해, 피드의 수에 집중할 것이 아니라, 질 높은 인텔리전스를 어떻게 확보하고 활용하느냐가 핵심이다.
이런 인텔리전스 강화(enrichment)를 가능하게 하고 더욱 효과적으로 이뤄질 수 있는 이유는 위협 인텔리전스 데이터셋이 TAXII(Trusted Automated Exchange of Indicator Information)와 STIX(Structured Threat Information Expression) 같이 다양한 프로토콜을 지원하기 때문이다. 이 두 프로토콜은 더 풍부한 메타데이터와 구체적인 정보를 교환할 수 있도록 설계됐다. STIX는 잠재적인 위협이 무엇(what)인지 정의하고, TAXII는 그 위협이 어떻게(how) 발생했는지 설명한다. 이 두 표준은 OASIS(Organization for the Advancement of Structured Information Standards)라는 표준화 기구가 관리한다. 둘을 함께 활용하면 각 위협의 동기와 역량, 대응 방안을 구체적으로 파악할 수 있으며, 이를 기반으로 자동화된 처리, 협업 기반의 대응 활동을 실행하는 데도 활용할 수 있다.
인텔리전스 강화 과정에는 중복된 위협 정보를 정규화하고, 오탐이나 관련 없는 데이터를 걸러내는 작업도 포함된다. 예를 들어, 엔드포인트에 특정 윈도우 버전이 없다면 해당 버전에 대한 위협 정보를 굳이 받아볼 필요는 없다. 여러 TIP은 필터링을 위해 다양한 자동화 기능과 AI 기반 루틴을 활용한다. 케일라(Kela)의 영업 엔지니어링 부사장 오르 레브는 본지와의 인터뷰에서 “이런 방식은 양날의 검이 될 수 있다. 더 많은 데이터를 얻을 수 있지만, 동시에 필터링해야 할 잡음도 많아질 수 있다”라고 말했다.
필요 이상의 인텔리전스를 수집하지 마라
다음은 매칭 단계다. 아무리 고도화된 TIP이라도 보안 인력이 적고 역량이 제한적인 작은 보안팀이나, 비교적 단순한 IT 환경을 가진 기업에는 과한 선택일 수 있다. 그레이노이즈(Greynoise)의 2025년 보고서에 따르면, 위협 피드는 각 기업의 환경과 잘 맞아야 한다. 즉, 위협의 복잡성과 다양성이 기업이 사용하는 클라우드 및 엔드포인트 환경의 복잡성과 다양성 수준에 부합해야 한다는 뜻이다.
보안 분석가들이 지적했듯이, 위협을 파악할 때는 컴퓨팅 및 애플리케이션 인프라의 가상 요소와 물리적 요소 모두에서 발생할 수 있는 위협을 함께 살펴볼 수 있어야 한다. 여러 보안 업체에서 활동한 스튜어트 펙은 “위협 환경을 이해하는 것은 단순히 위협 자체를 들여다보는 것을 넘어선다. 위협이 실제로 나타나도록 만드는 외부 및 내부 요인을 함께 파악해야 한다”라고 설명했다.
실행 가능한 인텔리전스를 시각화하라
우수한 위협 인텔리전스 플랫폼은 침해된 컴퓨팅 요소에서 비롯한 문제를 해결하고 위협을 차단하기 위해 다양한 대응 및 완화 작업을 자동으로 조율한다. 싸이웨어(Cyware)는 보고서에서 “위협 인텔리전스의 가치는 얼마나 효과적으로 수집되고, 처리되며, 우선순위를 정하고, 실행에 옮겨지는지에 달려 있다”라고 분석했다. 이를 위해서는 기존 보안 툴 체계와의 정교한 통합이 필수적이며, SOAR, SIEM, XDR 등 지금까지 구축해 온 보안 인프라를 최대한 활용해야 한다. 그레이노이즈(Greynoise)는 보고서에서 “TIP은 기존 보안 생태계에 내재화돼야 하며, 내부 데이터를 상호 연관시키고 취약점 관리 툴과 연계해 사고 대응 능력을 높이고 실행 가능한 분석 정보를 제공해야 한다”라고 강조했다.
두 보고서에서 핵심 키워드는 ‘실행 가능성’이다. 위협 인텔리전스 플랫폼은 종종 실제 조치를 유도하지 못하는 경우가 있다. 예를 들어, 구형 시스템을 업데이트하기 위한 패치 작업을 시작하거나, 특정 네트워크 구간을 방화벽으로 차단하거나, 문제가 된 장비를 네트워크에서 분리하는 등의 조치로 이어지지 않을 때가 있다.
‘실행 가능성’이라는 것은 단순한 정보의 질을 넘어서, 두 가지 핵심 지표의 타이밍을 얼마나 잘 고려하느냐에 달렸다. 첫째, 위협 인텔리전스는 탐지와 조치 사이의 시간을 단축할 수 있어야 한다. 익스플로잇이 점점 더 빠르게 실행 가능한 공격으로 전환되는 상황에서 대응 속도가 그만큼 중요해졌기 때문이다. 둘째, 현재 실시간으로 어떤 위협이 발생하고 있는지를 파악하고, 그중 어떤 위협을 차단하거나 빠르게 무력화할 수 있는지를 보여줘야 한다. 위협 인텔리전스는 단순한 경고가 아닌, 즉각적으로 대응하게 만드는 인사이트를 제공해야 한다.
실행 가능한 인텔리전스는 잠재적 위협을 시각화하는 데도 중요한 역할을 한다. 2023년 쓰렛커넥트(ThreatConnect) 보고서 집필팀은 “동적인 시각화 환경에서 인텔리전스를 직접 활용해 조치를 취할 수 있는 능력은 분석가의 효율성과 효과성을 높이는 데 핵심적”이라고 강조했다. 시각 기반 분석은 단순한 데이터 표 등 다른 형식에서는 놓치기 쉬운 패턴이나 연관성을 식별할 수 있도록 돕는다. 시각화는 단순히 정보를 나열하는 것을 넘어, 분석가가 위협을 더 빠르고 정확하게 이해하고 대응할 수 있는 기반이 된다.
시각 기반 분석을 효과적으로 구현하려면 위협 대시보드가 정보를 어떻게 보여주는지도 중요하다. 뛰어난 대시보드는 실시간 트렌드나 이상 징후를 직관적으로 표시한다. 예를 들어, 서버가 DDoS 공격을 받고 있는 시점이나 특정 네트워크 구간의 리소스가 오프라인 상태로 전환된 상황이 대시보드를 통해 한눈에 파악된다. 또한 시각화 과정에서는 기업이 정의한 TIP의 성공 지표를 확인할 수 있어야 한다. 일반적으로 이런 지표는 위협 탐지율과 사고 감소율로 측정한다.
이런 모든 요소는 위협 인텔리전스를 보안 운영의 일부로 통합하는 데 중요하다. 레코디드퓨처(Recorded Future)의 에스테반 보르헤스는 2024년 게재한 글에서 이런 인텔리전스를 3가지 기본 범주로 분류해 선별하는 방식을 설명했다.
- - 고차원적인 인사이트와 트렌드 식별에 해당하는 전략적 범주
- - 특정 위협의 작동 방식과 관련된 기술적인 세부사항을 다루는 전술적 범주
- - 실시간 또는 실시간에 준하는 분석을 제공하는 정보인 운영적 범주
이는 분명 섬세한 균형이 필요한 작업이다. 현실적으로는 인프라를 제대로 방어하기 위해 전략적, 전술적, 운영적 3가지 범주 모두를 다뤄야 한다. 이때의 과제는 사고방식이 전문 분야 중심으로 분절돼 있는 탓에 적절한 대응 조치가 이뤄지지 않는 상황을 방지하는 것이다. 펙은 자신의 블로그에서 “위협 인텔리전스팀이나 취약점 관리팀이 고위험 위협에 대한 속보를 발송했음에도, 위협 대응팀이 이를 추적하지 않아 단순히 작업 대기열에 묻히는 경우를 수없이 봤다. 위협팀이 후속 조치를 취하는 것만큼이나 실제 조치를 실행하는 부서의 대응도 중요하다”라고 지적했다.
예를 들어 단일 피싱 시도는 전술적 문제로 보일 수 있지만, TIP이 유사한 사건을 반복적으로 감지해 지속적이고 표적화된 공격의 정황을 보여준다면 이는 운영 차원의 대응 전략을 바꿔야 할 신호다. 맥락이 중요하며, TIP은 맥락 제공에 핵심적인 역할을 한다.
AI 기반 툴의 작동 방식을 이해하라
일부 TIP 업체는 AI 기반 툴과 기타 자동화 기술을 활용해 워크플로우를 관리한다. AI가 워낙 주목받는 시대인 만큼, 기업은 이런 자동화가 어떻게 구성되어 있고 어떤 한계를 갖고 있는지 반드시 이해해야 한다. 가령 AI 소프트웨어가 위협 피드에서 수집한 데이터를 학습하는 방식에 한계가 있을 수 있다. 다른 모든 AI 기술과 마찬가지로 ‘악마는 디테일에 있다.’ 네덜란드 법 집행 기관과 함께 수년간 조사 경험을 쌓은 니코 데컨스는 이를 “AI로 인한 비판적 사고의 점진적인 붕괴”라고 표현했다. “AI 기반 툴은 만족이 아니라 의심을 유발해야 한다. 분석가는 AI가 제시하는 결과를 그대로 받아들이지 말고, 실제 출처의 행동과 비교해 검증해야 한다”라고 강조했다. 이는 인간 분석가가 항상 인지하고 있어야 할 중요한 구분점이다.
이 모든 과정이 복잡하게 느껴지는가? 실제로 그렇기 때문이다. 위협 인텔리전스 플랫폼은 평가하는 것도, 사용하는 것도 결코 쉬운 제품이 아니다. 위협을 관리하려면 인프라, 애플리케이션, 서버 전반에 걸친 모든 진입점을 고려해야 한다.
dl-itworldkorea@foundryco.com
david_strom editor@itworld.co.kr
저작권자 Foundry & ITWorld, 무단 전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.