성공적인 사이버 위협 인텔리전스 프로그램 설계를 위한 필수 가이드라인: 모범 사례 집중 분석
John Barth
Global Service Lead, Mandiant Intelligence Program Development
Get original CISO insights in your inbox
The latest on security from Google Cloud's Office of the CISO, twice a month.
Subscribe* 본 아티클의 원문은 2025년 11월 07일 Google Cloud 블로그(영문)에 게재되었습니다.
사이버 위협은 끊임없이 진화하는 과제입니다. 사이버 위협 인텔리전스(CTI)는 조직이 사이버 공격을 선제적으로 식별하고 방어하는 데 도움을 줄 수 있지만, 많은 조직이 CTI를 실제 운영에 적용하고 실행 가능한 보안 결과로 전환하는 데 어려움을 겪고 있습니다.
사이버 위협 인텔리전스(CTI)는 원시 데이터를 전략적 지식으로 변환합니다. 이를 통해 조직은 사후 대응적인 방어에서 벗어나, 공격을 예측하고 공격자의 동기를 파악하며 특정 위협에 맞춰 보안을 조정하는 등 선제적인 태세를 갖출 수 있습니다.
Google Cloud를 대신하여 Forrester가 발표한 연구에 따르면, 대다수의 보안 및 IT 리더들은 사이버 공격이 자신들의 방어 체계를 뚫고 들어오는 것을 우려하고 있습니다. 응답자의 82%는 자신의 조직이 사이버 공격을 놓치고 있을 수 있다고 생각하며, 마찬가지로 72%는 사이버 보안 위협에 대해 자신의 조직이 '사후 대응적’이라고 답했습니다.
잘 구현된 CTI 프로그램은 인텔리전스를 실제 운영에 적용하고 위협 환경에 대한 실행 가능한 통찰력을 생성하는 데 도움이 됩니다. 이를 통해 조직은 상당한 피해가 발생하기 전에 선제적으로 위험을 식별, 이해하고 완화할 수 있습니다. CTI는 탐지 엔지니어링, 보안 통제 강화, 위협 헌팅 등 선제적인 보안 운영을 강화하는 데 도움이 될 뿐만 아니라, 사고 대응 시간을 단축하고 금전적 손실을 최소화하며 운영 복원력을 향상시켜 사후 대응적인 보안 활동 또한 개선할 수 있습니다.
AI와 자동화가 탐지 및 분석 능력을 향상시키는 핵심 도구인 것은 맞지만, 그것이 전부는 아닙니다. 기술의 효과는 그 기술을 이끄는 사람과 프로세스에 달려 있습니다.
성공적인 모든 비즈니스 활동과 마찬가지로, 효과적인 CTI 프로그램은 사람, 프로세스, 기술이라는 세 가지 기본 요소의 조화로운 통합에 달려 있습니다.
CTI의 3가지 요소
1. 인적 요소
숙련되고 헌신적인 인력은 모든 성공적인 CTI 프로그램의 중심입니다. 분석가, 연구원, 커뮤니케이터는 사이버 공격자, 공격 방법론, 그리고 조직의 고유한 위험 프로필에 대한 깊은 이해를 갖추고 있습니다. 또한, 조직 전체에 인텔리전스를 운영하고 상황에 맞게 적용할 수 있는 비즈니스 기술도 보유하고 있습니다.
- 전문성: CTI 전문가는 연구 및 조사 기술, 비즈니스 통찰력, 기술 이해력, 사이버 위협에 대한 능숙함 등 다양한 기술과 역량을 필요로 합니다.
- 협업: 효과적인 CTI 팀은 사고 대응, 보안 운영, 리스크 관리 등 다른 보안 부서와의 내부 협력은 물론, 업계 동료 및 인텔리전스 커뮤니티와의 외부 협력도 강력하게 구축합니다.
- 커뮤니케이션: 복잡한 기술 정보를 보안 엔지니어부터 경영진에 이르기까지 다양한 이해관계자를 위해 명확하고 간결하며 실행 가능한 인텔리전스로 변환하는 능력은 매우 중요합니다.
요구사항을 분석하고, 데이터를 해석하며, 자동화를 미세 조정할 지식과 경험을 갖춘 사람이 없다면, 가장 진보된 기술이나 정교한 프로세스도 효과가 없습니다.
2. The operational운영 프레임워크
견고한 프로세스는 CTI 프로그램이 효율적이고 일관되게 운영될 수 있는 구조를 제공합니다. 이는 인텔리전스가 어떻게 수집, 분석, 강화, 소비되고 실행에 옮겨지는지를 정의합니다.
- 인텔리전스 임무: 경영진은 CTI 기능의 목적, 권한, 주요 고객을 상세히 기술하여 그 임무를 명확하게 정의하고 지지해야 합니다.
- 인텔리전스 수명주기: 기획 및 수집부터 처리, 분석, 배포에 이르는 정의된 인텔리전스 수명 주기는 CTI 운영에 체계적인 접근을 보장합니다.
- 워크플로우 자동화: 반복적인 작업을 간소화하고 인텔리전스 분석가가 심층 분석에 집중할 수 있도록 가능한 경우 자동화를 통합해야 합니다
- 피드백 루프: 지속적인 피드백 루프는 인텔리전스 요구사항을 개선하고, 수집 전략을 향상시키며, 인텔리전스 품질을 높이는 데 매우 중요합니다.
- 통합: CTI 프로세스는 사고 대응 플레이북, 취약점 관리, 보안 인식 프로그램에 정보를 제공하며 다른 보안 운영과 원활하게 통합되어야 합니다.
제조 공장에 정해진 생산 라인이 필요한 것처럼, CTI 프로그램도 일관된 가치를 제공하기 위해 구조화된 프로세스가 필요합니다.
3. 지원 도구
기술은 CTI 프로그램의 인력과 프로세스를 지원하는 필수적인 요소입니다. 위협 인텔리전스를 수집, 저장, 분석 및 배포하도록 설계된 다양한 IT 솔루션이 있습니다.
- 위협 인텔리전스 플랫폼: 다양한 소스로부터 위협 데이터를 집계, 정규화 및 강화하여 인텔리전스를 위한 중앙 집중식 저장소를 제공합니다.
- 인공지능(AI): AI는 위협 탐지를 강화하고, 대규모 데이터셋 분석을 자동화하며, 이상 징후를 식별하고, 잠재적 공격 벡터 예측을 도와 인텔리전스 수명 주기 전반에 걸쳐 인간의 능력을 크게 증강시키고, 수고를 줄이며 효율성을 높이는 데 도움을 줍니다.
- SIEM 및 SOAR: CTI 팀은 이러한 내부 도구에 접근하고 사용하여 조직이 직면한 주요 위협에 대한 상세하고 실시간적인 맥락을 제공해야 합니다.
- 오픈 인텔리전스 (OSINT) 도구: 새로운 위협과 공격자의 전술을 식별하기 위해 공개적으로 이용 가능한 정보 수집을 용이하게 하는 기술입니다.
- 악성코드 분석 도구: 악성 코드의 샌드박스 분석을 위한 솔루션입니다.
기술은 목적을 이루기 위한 수단입니다. 정교한 도구라 할지라도 그것을 효과적으로 사용할 올바른 사람과 프로세스가 없다면 부족할 것입니다. 올바른 사람과 프로세스 없이는 CTI 팀은 도구에 대한 낮은 투자 수익률(ROI)을 보게 될 것이며, 조직의 리더들은 CTI 팀에 대한 낮은 ROI를 보게 될 것입니다.
CTI 성공 방정식
가장 성공적인 CTI 프로그램은 CTI 프로그램의 세 가지 기본 요소를 모두 사용합니다. 사람이 정의된 프로세스와 함께 기술을 사용하고, 이 프로세스는 종종 기술의 도움을 받아 사람에 의해 설계되고 최적화됩니다. 기술은 사람이 프로세스를 더 효율적으로 실행할 수 있도록 힘을 실어줍니다. 어느 한 요소가 다른 요소보다 더 중요하지 않으며, 하나의 약점은 전체 프로그램의 효과에 영향을 미칩니다.
조직은 인력, 프로세스, 기술에 신중하게 투자하고 조화롭게 함으로써, 사이버 위협을 식별할 뿐만 아니라 실행 가능한 보안 권장 사항을 제공하고 인텔리전스 주도의 선제적인 보안 문화를 조성하는 CTI 프로그램을 구축할 수 있습니다.
이 원칙은 CTI를 넘어 확장됩니다. 영업팀을 구성하든, 신제품을 개발하든, 고객 서비스를 최적화하든, 숙련된 개인, 정의된 워크플로우, 적절한 도구의 조화는 성공에 매우 중요합니다.
이러한 투자와 문화 변화는 사후 대응적인 조직이 더욱 선제적으로 변하는 데 도움이 될 수 있습니다.
시작하는 방법
보안 기능을 구축하는 것은 장기적인 노력입니다. 다음과 같은 입문 단계를 통해 CTI 운영화 여정을 시작할 수 있습니다.
- 보호 대상과 대화하기: 주요 이해관계자(보안 운영 센터, 사고 대응팀, 취약점 관리팀 포함)와 소통하여 그들의 어려움을 이해합니다.
- Understand your threat landscape위협 환경 이해하기: 인터넷을 통해 귀사와 유사한 조직들이 어떤 사이버 공격과 위협에 직면하고 있는지 조사합니다.
- CTI에 대해 배우기: MITRE와 같이 사이버 위협 인텔리전스 분석 기술을 구축할 수 있는 많은 자료가 있습니다. 미국에 거주하는 경우 CISA Learning에서 무료 CTI 교육을 받을 수 있습니다.
- 워크그룹 구성하기: 조직 내에서 CTI에 관심 있는 사람들을 찾아 리소스를 공유하고 사이버 위협 환경의 최신 위협에 대해 논의합니다.
Mandiant의 지원 방법
Mandiant의 인텔리전스 프로그램 개발(IPD) 전문 자문 서비스는 조직이 업계 최고 수준의 CTI 역량을 구축할 수 있도록 돕기 위해 설계되었습니다. 저희는 고객의 특정 CTI 사용 사례를 분석하고 Mandiant의 입증된 역량 프레임워크를 활용하여, CTI를 효과적으로 운영하는 데 필요한 인력, 프로세스 및 기술을 파악할 수 있도록 지원합니다.
Mandiant Academy는 보안 전문가를 위한 교육 과정을 제공하며, 전술적 방어와 전반적인 보안 태세를 개선하기 위해 위협 인텔리전스를 가장 잘 소비하고 적용하는 방법에 중점을 둔 많은 과정을 포함합니다. 이러한 교육 과정은 숙련된 인력이 잘 정의된 프로세스와 함께 올바른 기술을 사용하여 응집력 있는 프로그램을 구축하고 전체 CTI 기능을 고유한 비즈니스 위험 및 목표에 맞게 조정하는 데 도움이 될 수 있습니다.
고급 AI로 더욱 강화된 Google Threat Intelligence는 위협에 대한 독보적인 가시성을 제공하며, 이를 통해 전 세계 보안팀에 상세하고 시기적절한 위협 인텔리전스를 제공할 수 있습니다. 여기에는 Mandiant의 최전선 전문 지식, VirusTotal 커뮤니티의 글로벌 네트워크, 그리고 오직 Google만이 제공할 수 있는 광범위한 가시성이 결합되어 있습니다.
최신 위협에 대한 이러한 폭넓은 가시성을 통해 CTI 팀은 공격자의 전술, 기술, 절차(TTP)와 침해 지표(IOC)를 포함한 공격 전략(플레이북)을 파악함으로써 더욱 선제적으로 대응할 수 있습니다.
CTI 목표 달성을 구글이 어떻게 도울 수 있는지 알아보시려면, 지금 바로 Mandiant와 무료 상담을 예약하세요.
