위협 인텔리전스 솔루션 선택 시 고려해야 할 사항

위협 인텔리전스 또는 사이버 위협 인텔리전스는 위협 및 위협 행위자에 대한 데이터를 수집, 처리 및 분석한 결과입니다. 이러한 인텔리전스는 조직에 대한 위협을 식별하고 조사하여 조직의 회복력을 강화하는 데 활용될 수 있습니다.

위협 인텔리전스(TI) 제공업체 및 솔루션 분야는 규모가 크고 다양하며, 새로운 업체들이 끊임없이 등장하고 있습니다. 제공되는 서비스에는 위협 인텔리전스 피드, 위협 인텔리전스 서비스, 위협 인텔리전스 플랫폼 등이 있습니다. 여기에 오픈 소스(OSINT) 솔루션과 유료 솔루션, 산업별 맞춤 솔루션과 범용 솔루션, 전술적 콘텐츠와 전략적 콘텐츠 등 다양한 요소가 더해지면 조직에 가장 적합한 솔루션을 선택하는 것이 매우 어려워질 수 있습니다.

수많은 사이버 보안 기술과 솔루션이 존재하는 상황에서 모든 문제를 해결할 수 있는 솔루션을 찾는 것은 어려울 수 있습니다. 위협 인텔리전스 도입을 고려하기로 결정했다면, 공급업체와 솔루션을 평가하고 선택하는 데 있어 어떤 모범 사례가 있을까요?

가장 먼저 고려해야 할 사항은 사용 사례입니다. 솔루션은 사용 사례에 맞춰야 하며, 그 반대는 아닙니다. 가장 일반적인 사용 사례는 다음과 같습니다.

• 피싱 탐지: 피싱은 어디에나 존재하며, 성가시고 잠재적으로 매우 큰 피해를 초래할 수 있습니다. TI는 악성 IP 주소 및 피싱 공격의 다른 요소들을 식별하여 탐지 및 대응 속도를 높이는 데 매우 중요합니다.
• 위협 탐지: 실제 위협이 탐지, 격리 및 제거될 때쯤이면 이미 너무 늦은 경우가 많습니다. 보안 팀은 새로운 위험 요소를 사전에 파악하고 찾아내는 데 적극적으로 나서야 합니다. 정기적으로 업데이트되는 위협 인텔리전스(TI)를 위협 탐지 시스템에 적용하여 보안 환경을 강화할 수 있습니다. 또한 TI 솔루션을 활용하여 새로운 공격 전술과 트렌드를 파악할 수도 있습니다.
• 취약점 우선순위 지정: 위협 인텔리전스(TI) 통합은 조직이 위협 행위자들이 어떤 취약점을 악용하고 있는지 파악하는 데 도움을 주므로, 현대 기업에서 위협 인텔리전스를 활용하는 가장 가치 있는 사례 중 하나입니다. 이러한 실질적인 정보는 조직의 위협 환경에 대한 중요한 통찰력을 제공합니다.

사용 사례를 정의한 후에는 해당 영역을 해결할 수 있는 TI 솔루션을 찾아보세요. SIEM, 방화벽, EDR(엔드포인트 탐지 및 대응)과 같은 기존 보안 기술에서 TI 콘텐츠에 대한 추가 구독 서비스를 제공하는 경우가 있는지 확인하는 것이 중요합니다. 일부 공급업체는 자체적으로 인텔리전스를 OEM 방식으로 제공하고 다른 공급업체는 콘텐츠를 공유하는 등 벤더 간에 인텔리전스 기능이 일부 중복될 수 있다는 점에 유의하세요. 이는 일반적인 현상이지만, TI 솔루션이 중복되지 않도록 다양화하는 것이 중요합니다.

새로운 도구를 도입할 때는 항상 그렇듯이, 이를 관리할 수 있는 충분한 리소스를 확보해야 합니다. 이러한 솔루션에서 가치를 얻으려면 팀이 공급업체로부터 제공받은 정보를 바탕으로 조치를 취할 수 있는 능력과 역량이 중요합니다. 조직 내에서 누가, 어떤 도구나 프로세스가 해당 정보를 활용할지, 그리고 어떻게 사용할 것인지에 대한 계획을 세우는 것이 필수적입니다.

예산 이야기를 해보자면, TI의 가격 책정 방식은 일반적으로 대기업에 맞춰져 있지만, 중소기업 고객층도 점차 증가하고 있습니다. 기본 서비스는 수만 달러 정도이며, 고급 전략 콘텐츠나 맞춤형 콘텐츠는 수십만 달러 이상이 될 수 있습니다.

TI의 이점을 누리려면 최종 사용자는 여러 작업을 동시에 수행해야 합니다. 이러한 작업은 다음과 같이 분류할 수 있습니다.

• 습득하다. 시중에는 많은 공급업체가 있지만, 대부분 악성코드 IOC, 인터넷 도메인 정보 또는 다크 웹 모니터링과 같은 특정 분야에 특화되어 있습니다. 모든 영역에서 뛰어난 성능을 보이는 공급업체를 찾기는 어렵습니다. 따라서 핵심은 조직에 적합한 위협 정보(TI) 솔루션을 찾는 것입니다. 사용 사례와 예산에 따라 오픈 소스 인텔리전스(OSINT)와 같은 공개적으로 이용 가능한 위협 정보만으로도 충분할 수 있습니다. TI 솔루션을 도입할 때는 정보의 범위, 깊이와 정확성, 그리고 여러 도구와 프로세스에서 사용하려는 경우 확장성도 고려해야 합니다.
• 골재. 다양한 형식과 유형의 TI를 확보했다면 다음 단계는 집계입니다. 바로 이 단계에서 다음과 같은 솔루션이 필요합니다. 보안 오케스트레이션, 자동화 및 대응(SOAR) SOAR는 대량의 위협 정보(TI)를 수집한 후 중복을 제거하고 다른 데이터로 보강하여 검색 가능하게 만들고 후속 자동화 사용 사례에 활용합니다. 또한 SOAR는 위협 정보 소스를 비교하여 위협 콘텐츠의 중복 및 잠재적 중복성을 파악하는 데 사용할 수 있습니다.
• 행동. 정보를 가지고 있더라도 활용하지 않으면 아무 소용이 없습니다. 정보를 실질적인 행동으로 옮기려면 구체적인 실행 계획이 필요합니다. 제공된 정보를 바탕으로 어떤 결정을 내릴지, 그리고 누가 어떻게 그 결정을 내릴지 명확히 정해야 합니다.

위협 인텔리전스 솔루션을 선택하고 그로부터 가치를 얻는 것은 복잡한 과정입니다. 지금 바로 데모를 요청하여 적합한 솔루션을 선택하고 "그럭저럭 괜찮은" 수준의 보안 자동화에 만족하지 않는 방법을 알아보세요.