Google Threat Intelligence 서비스: AI로 실행 가능한 인텔리전스의 개념을 재정의하다!

* 본 아티클의 원문은 2024년 5월 6일 Google Cloud 블로그(영문)에 게재되었습니다.

지난 수십 년 동안 위협 인텔리전스는 두 가지 큰 도전 과제와 씨름을 하였습니다. 하나는 위협 환경을 종합적으로 파악하기 어렵다는 것이고, 다른 하나는 위협 인텔리전스를 실제로 활용하려면 많은 시간, 에너지, 비용이 든다는 것입니다.

미국 샌프란시스코에서 열린 RSA 컨퍼런스에서 구글은 새로운 서비스인 '구글 위협 인텔리전스(Google Threat Intelligence)'를 소개하였습니다. 이 서비스는 맨디언트(Mandiant)의 전문 지식과 VirusTotal 커뮤니티의 글로벌 네트워크, 그리고 구글의 방대한 데이터 분석 역량을 결합한 것입니다. 구글 위협 인텔리전스를 활용성이 매우 높습니다. 그 이유는? 자연어로 대화하듯이 필요한 정보를 찾거나 요약할 수 있는 기능을 제공하는 생성형 AI 기반 AI 에이전트인 'Gemini in Threat Intelligence'에서 찾을 수 있습니다. 사용자는 구글이 제공하는 방대한 위협 인텔리전스 데이터베이스에서 신속하게 필요 정보를 찾아 위협으로부터 자산을 보호할 수 있습니다. ​

ESG(Enterprise Strategy Group)의 수석 애널리스트인 Dave Gruber는 "위협 인텔리전스 자료는 충분하지만 대부분 조직에서 이를 상황에 맞게 적용하고 활용하는 데 어려움을 겪고 있습니다. 구글은 맨디언트와 VirusTotal 같이 업계에서 인정하는 두 축의 중요 정보를 제공합니다. 이 두 서비스를 하나로 통합하고 AI와 구글의 위협 분석 능력을 더해 보안 팀이 조직을 효과적으로 보호할 수 있는 실행 가능한 위협 인텔리전스를 제공합니다"라고 말합니다.

구글 위협 인텔리전스: 전 세계 위협에 대한 깊이 있는 이해

구글 위협 인텔리전스는 전 세계 위협 환경에 대한 탁월한 통찰력을 제공합니다. 구글은 업계를 리드하는 맨디언트의 사고 대응팀과 위협 연구팀의 깊은 통찰력을 바탕으로 구글의 방대한 사용자 및 기기 네트워크와 Virus Total의 크라우드 소싱 맬웨어 데이터베이스를 결합하였습니다.

• 구글 위협 인사이트: 구글은 전 세계 40억 대의 기기와 15억 개의 이메일 계정을 보호합니다. 수치로 보자면 매일 1억 건의 피싱 시도를 차단합니다. 이는 인터넷과 이메일을 통한 위협을 파악하고 공격 캠페인을 추적하는 데 있어 독보적인 통찰력을 제공합니다.

• 최전선 인텔리전스: 매년 1,100건 이상의 조사를 수행하는 맨디언트의 사고 대응팀원과 보안 컨설턴트는 침해 현장에서 오랫동안 경험을 쌓아온 베테랑입니다. 이들은 공격 자들의 전술과 기법을 파악하여 전 세계에서 일어나는 지속적이고 복잡한 위협에 맞서 방어하는 데 큰 도움을 줍니다.

• 인간이 큐레이딩한 위협 인텔리전스: 맨디언트의 글로벌 위협 전문가들은 위협 행위자들의 활동과 행동 변화를 면밀히 모니터링하며, 조사 내용에서 맥락을 끌어내어 대응에 필요한 통찰력을 제공합니다.

• 크라우드소싱 위협 인텔리전스: VirusTotal의 글로벌 커뮤니티는 100만 명이 넘는 사용자들이 파일과 URL 등 잠재적인 위협 지표를 지속해서 제공합니다. 이를 통해 신종 공격에 대한 통찰력을 공유합니다.

• 오픈 소스 위협 인텔리전스: 보안 커뮤니티에서 나오는 최신 정보를 활용해 구글의 지식 기반(Knowledge Base)을 강화합니다.

구글 위협 인텔리전스는 보안팀에 넓은 시야를 제공합니다. 구글은 위협 모니터링, 공격 표면 관리, 디지털 리스크 관리, 침해 지표 분석, 그리고 전문 지식 제공 등 다양한 방법으로 조직의 보안을 강화하는 데 도움을 줍니다.

AI로 위협 인텔리전스 활용 가치 극대화

오랜 기간 위협 인텔리전스 활용 방법은 수작업에 의존했습니다. 위협 인텔리전스를 탐색하고 내용을 파악하는 것은 노동집약적인 작업으로 짧게는 며칠 길게는 몇 주가 걸렸습니다. 구글 위협 인텔리전스는 다음 영상처럼 Gemini를 활용해 잠재적으로 위험한 코드를 분석하고 결과를 요약해 담당자에게 보여줍니다. 여기에 위협 환경에 대한 포괄적인 이해를 더해 풍부한 정보를 제공합니다. 이에 따라 위협의 실체를 파악하고 대응하는 과정이 한결 간결해졌습니다. 구글 위협 인텔리전스를 이용하는 조직은 대규모 데이터 세트를 몇 초 만에 요약하고 의심스러운 파일을 빠르게 분석합니다. 수작업의 부담은? 예전과 비교할 수 없는 수준으로 부담의 무게가 가벼워졌습니다.

Gemini의 뛰어난 활약상

Gemini 1.5 Pro는 구글 위협 인텔리전스의 핵심입니다. 이를 활용하면 보안 전문가는 맬웨어에 더 효과적으로 대응할 수 있습니다. 이 도구는 세계에 가장 긴 컨텍스트 윈도우를 제공하며, 최대 100만 토큰까지 지원합니다. 이는 맬웨어 리버스엔지니어링 같은 고급 맬웨어 분석 작업을 훨씬 쉽게 만듭니다. 예를 들어 WannaCry 맬웨어 파일의 전체 디컴파일 코드를 한 번에 처리해 34초 만에 분석을 마치고 킬스위치를 식별합니다.

또한, Gemini 기반의 엔터티 추출 도구는 데이터 퓨전과 풍부화(data fusion and enrichment) 과정을 자동화합니다. 이 도구는 관련 오픈 소스 인텔리전스를 자동으로 수집하고, 온라인 산업 위협 보고를 분류한 다음, 이 정보를 지식 컬렉션으로 전환합니다. 이 컬렉션은 동기, 대상, TTP(전술, 기술, 절차), 행위자, 도구 키트, 침해 지표(IoC)를 포함한 다양한 대응 전략과 연결됩니다.

이 모든 기능을 통해 구글 위협 인텔리전스는 10년 이상의 위협 보고를 기반으로 몇 초 만에 맞춤형 요약을 생성할 수 있습니다. 이에 따라 보안팀의 작업은 크게 단순화되고 효율성이 향상됩니다.

구글을 보안팀의 일원으로 만드세요.

구글 위협 인텔리전스는 조직의 보안 활동을 지원하는 여러 방법의 하나입니다. 팀원을 대상으로 사이버 위협 인텔리전스 활용 방법 교육이 필요하든, 복잡한 위협을 우선순위에 따라 정리할 지원이 필요하든, 위협 분석을 전담할 전문가가가 필요하든, 구글은 여러분의 보인팀의 일원이 되어 도울 준비가 되어 있습니다.

구글 위협 인텔리전스는 Google Security Operations, Mandiant Consulting, Security Command Center Enterprise, Chrome Enterprise 등 구글 클라우드 보안 포트폴리오의 일부입니다. 구글이 전 세계 수많은 사람과 조직을 안전하게 보호하는 데 사용하는 기술로 여러분은 보안 문제를 해결할 수 있습니다.

구글 위협 인텔리전스와 Google Cloud Security의 전체 보안 포트폴리오가 궁금하다면? RSA 컨퍼런에서 구글 부스(N5644)를 방문하거나 기조연설이나 발표, 네트워킹 모임에 참여해 보세요. RSA 행사에 오지 않는다면 구글 위협 인텔리전스 사례를 소개하는 웨비나 시리즈와 구글 클라우드 위협 인텔리전스 블로그가 도움이 될 것입니다.