[데일리시큐]스텔스모어, 사이버 위협 인텔리전스 실전 적용 워크샵 개최…웨비나도 별도 진행

내용 요약

사이버 위협 인텔리전스(CTI) 전문기업 스텔스모어가 실무자 대상 워크샵을 개최합니다. ‍ 이 워크샵에서는 스텔스모어의 인텔리전스 플랫폼을 활용하여 실제 보안 위협에 대응하는 다양한 시나리오와 분석 사례가 집중적으로 소개될 예정입니다. 특히 Darkweb과 같은 위협 인텔리전스 소스의 중요성이 강조될 것으로 보입니다. 이는 기업들이 급변하는 사이버 위협 환경에서 더욱 효과적으로 방어할 수 있도록 실질적인 정보를 제공하는 데 목적이 있습니다.

핵심 포인트

• 사이버 위협 인텔리전스(CTI)의 실용적 활용: 이론을 넘어 실제 보안 환경에서 발생하는 위협 대응 시나리오에 CTI를 적용하는 방법을 중점적으로 다룹니다. ️
• StealthMore Intelligence Platform의 역할: 위협 분석 및 대응에 있어 플랫폼이 어떻게 활용될 수 있는지 구체적인 적용 방안과 성공 사례를 공유합니다.
• Darkweb을 포함한 위협 데이터 소스: 다크웹과 같은 특수 환경에서 위협 인텔리전스를 수집하고 분석하는 중요성과 그 활용법을 강조합니다. ️‍♀️
• 실무자 중심의 워크샵: 사이버 보안 실무자와 위협 인텔리전스에 관심 있는 업계 관계자들을 대상으로 하여 실질적인 지식과 경험을 공유합니다.

기술 세부 내용

1️⃣ Cyber Threat Intelligence (CTI)

• 정의 (Definition): Cyber Threat Intelligence는 단순한 데이터나 정보가 아닌, 조직이 직면할 수 있는 잠재적 또는 실제 사이버 공격에 대한 맥락화되고 분석된 지식입니다. 이는 공격자의 동기, 목표, 역량, 공격 전술, 기술 및 절차(TTPs: Tactics, Techniques, and Procedures), 그리고 침해 지표(IOCs: Indicators of Compromise) 등을 포함하며, 보안 의사결정을 지원하기 위해 사용됩니다.
• 중요성 (Importance): CTI는 조직이 수동적인 방어에서 벗어나 위협에 대한 예측 및 예방 능력을 강화하는 데 필수적입니다. 공격 발생 전 위협을 식별하고, 특정 공격에 대한 방어 전략을 수립하며, 침해 사고 발생 시 신속하고 효율적인 대응을 가능하게 합니다. 또한, 비즈니스 리스크를 줄이고 규제 준수를 돕습니다.
• 유형 (Types):
  • Strategic CTI: 고위 경영진을 대상으로 하며, 전반적인 사이버 위협 환경, 주요 위협 행위자, 장기적인 트렌드 등 거시적인 관점의 정보를 제공합니다.
  • Operational CTI: 특정 위협 그룹의 TTPs, 인프라, 목표 등을 분석하여 보안 운영팀이 위협을 예측하고 대응 계획을 수립하는 데 도움을 줍니다.
  • Tactical CTI: 공격자가 사용하는 특정 도구, 기술, IOCs 등을 포함하며, 보안 분석가나 SOC(Security Operations Center) 팀이 위협을 즉시 탐지하고 차단하는 데 활용됩니다. ⚙️
  • Technical CTI: IP 주소, 도메인, 파일 해시, 악성코드 샘플 등 기계가 판독 가능한 형태로 제공되는 정보로, 보안 시스템에 직접 적용되어 자동화된 방어를 가능하게 합니다.
• 생명주기 (Lifecycle): CTI는 지속적인 프로세스를 통해 생성되고 개선됩니다.
  1. Planning (계획): 정보 요구사항을 정의하고 수집 목표를 설정합니다.
  2. Collection (수집): 다양한 소스(오픈 소스, Darkweb, 파트너십 등)에서 데이터를 수집합니다.
  3. Processing (처리): 수집된 데이터를 정제, 정규화, 분류하여 분석 가능한 형태로 만듭니다.
  4. Analysis (분석): 처리된 데이터를 심층 분석하여 맥락을 부여하고, 위협 행위자의 의도와 능력을 파악합니다.
  5. Dissemination (전파): 분석된 인텔리전스를 적절한 형식으로 관련 이해관계자에게 전달합니다.
  6. Feedback (피드백): 인텔리전스의 유용성을 평가하고, 개선을 위한 피드백을 수집하여 다음 주기 계획에 반영합니다.

2️⃣ Threat Intelligence Platform (TIP)

• 정의 (Definition): Threat Intelligence Platform은 다양한 출처에서 수집된 CTI 데이터를 통합, 처리, 분석하고 이를 조직의 기존 보안 솔루션(SIEM, SOAR, EDR 등)과 연동하여 보안 운영을 자동화하고 강화하는 데 사용되는 소프트웨어 플랫폼입니다. 이는 수많은 위협 데이터를 효율적으로 관리하고 실행 가능한 인텔리전스로 변환하는 중앙 집중식 허브 역할을 합니다.
• 주요 기능 (Key Functions):
  • Data Ingestion (데이터 수집): 여러 위협 피드, 오픈 소스, 상용 소스, Darkweb 등으로부터 CTI 데이터를 자동으로 수집합니다.
  • Enrichment (정보 강화): 수집된 IOCs에 추가적인 맥락(예: 관련 TTPs, 위협 그룹, 악성코드 종류)을 부여하여 분석의 깊이를 더합니다.
  • Analysis & Contextualization (분석 및 맥락화): 중복 제거, 우선순위 지정, 상관관계 분석을 통해 데이터에서 실제 위협을 식별하고, 조직에 미치는 잠재적 영향을 평가합니다.
  • Sharing & Integration (공유 및 연동): 내부 팀 간의 인텔리전스 공유를 용이하게 하고, 방화벽, IDS/IPS, SIEM, SOAR 등 기존 보안 솔루션에 자동으로 연동하여 위협 탐지 및 차단 규칙을 업데이트합니다.
  • Workflow Automation (워크플로우 자동화): 인텔리전스 기반의 특정 보안 작업을 자동화하여 분석가의 부담을 줄이고 대응 속도를 높입니다.
• StealthMore Platform: 본 워크샵에서 소개되는 StealthMore Intelligence Platform은 이러한 TIP의 기능을 수행하며, 특히 실제 보안 환경에서 발생하는 다양한 위협 대응 시나리오에 CTI를 적용하고 분석하는 데 특화되어 있습니다. 이는 기업이 당면한 위협에 대한 통찰력을 제공하고, 보다 능동적으로 보안 태세를 강화할 수 있도록 돕는 데 중점을 둡니다.

3️⃣ Darkweb

• 정의 (Definition): Darkweb은 인터넷의 심층 부분인 Deep Web의 일부로, 일반적인 검색 엔진으로는 색인되지 않으며 특정 소프트웨어(예: Tor Browser)를 통해서만 접근할 수 있는 영역입니다. 익명성이 보장되어 합법적인 활동 외에 마약 거래, 무기 밀매, 해킹 도구 및 데이터 판매, 사이버 범죄자 포럼 등 불법적인 활동이 이루어지는 경우가 많습니다.
• CTI와의 연관성 (Connection to CTI): Darkweb은 사이버 위협 인텔리전스 수집에 있어 매우 중요한 소스입니다. ️‍♂️ 이곳에서 활동하는 위협 행위자들은 다음과 같은 정보를 공유하거나 거래합니다.
  • 도난당한 데이터 (Stolen Data): 개인 정보, 기업 기밀, 신용카드 정보, 계정 자격 증명 등이 거래됩니다. 이는 기업의 데이터 침해 가능성을 조기에 파악하는 데 활용될 수 있습니다.
  • 악성코드 및 익스플로잇 (Malware & Exploits): 새로운 악성코드 변종, 제로데이 익스플로잇 등이 판매되거나 공유됩니다. 이를 통해 기업은 잠재적 위협에 대비할 수 있습니다.
  • 해킹 서비스 및 도구 (Hacking Services & Tools): DDoS 공격, 랜섬웨어 배포, 피싱 캠페인 등 다양한 해킹 서비스가 제공되며, 해킹 도구들이 거래됩니다. ️
  • 위협 행위자 포럼 (Threat Actor Forums): 위협 행위자들이 정보를 공유하고 협력하는 비공개 포럼을 통해 새로운 TTPs, 공격 목표, 위협 그룹의 동향 등을 파악할 수 있습니다.
  • 침해 지표 (IOCs): 악성 IP 주소, C2 서버 도메인, 악성 파일 해시 등과 같은 IOC가 Darkweb 활동을 통해 노출될 수 있습니다.
• 위험성 및 활용 (Risks & Utilization): Darkweb에 직접 접근하여 정보를 수집하는 것은 기술적, 법적 위험이 따를 수 있습니다. 따라서 대부분의 기업은 전문적인 CTI 기업이나 솔루션을 통해 Darkweb 인텔리전스를 수집하고 분석합니다. ️ 이를 통해 기업은 내부 시스템에 대한 직접적인 노출 없이도, 자신을 표적으로 삼는 위협 행위자를 식별하고, 새로운 공격 기술을 파악하며, 데이터 유출 여부를 확인하여 선제적인 방어 전략을 수립할 수 있습니다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=168521