TI 운영 기업, 평균 12개 피드 사용…비즈니스 맞는 큐레이션 필수
[데이터넷] 위협 인텔리전스(TI) 시장이 연평균 15.5% 성장, 2026년 28억달러에 이를 것으로 예상된다. 또 TI 도입이 늘어나면서 인텔리전스의 우선순위(PIR)를 알려주고, 시각화와 분석, 풍부한 컨텍스트를 기반으로 큐레이션 하는 기능이 필수로 요구된다.
가트너의 ‘보안 위협 인텔리전스 제품 및 서비스에 대한 시장 가이드’에서는 “TI는 SOC의 핵심 기능으로, TI 값을 과소평가하거나 TI를 제대로 운영하지 못하는 보안 프로그램은 임박한 위협을 방어하고 미래의 보안 영향을 예측하기 어렵다”며 TI를 운영하기 위한 큐레이션 기능이 필요하다고 설명했다.
가트너는 TI 성숙도를 나타내는 피라미드를 소개하면서 인텔리전스 우선순위 지정(PIR)과 환경적인 평가가 필요하다고 설명했다. 이 피라미드에서는 데이터가 가장 아래에 있고, TI 플랫폼, 취약점 정보, TI 피드가 그 윗단계, 그리고 TI 서비스와 DRPS를 통해 인텔리전스 지식을 높이는 단계가 있다. 여기에 PRI, 환경적 평가가 더해져야 비로소 위협 인텔리전스를 제대로 운영할 수 있다고 설명한다.
가트너는 “이종 보안솔루션으로 인한 여러 인텔리전스를 사용하는 환경에서는 큐레이션이 핵심 기능이다. 인텔리전스를 실행 가능하고 정확하며 시기 적절하게 운영해야 TI를 활용한 보안 대응이 가능하다”고 밝혔다.
DRPS·EASM 결합된 TI, 실행 가능한 인텔리전스 제공
복잡하고 고도화된 사이버 위협에 대응하기 위해 기업·기관은 TI 도입에 관심을 갖기 시작했다. TI는 IP 주소, URL, 도메인, 파일 해시 등 악의적이거나 의심스러운 것을 포함한 IOC를 제공하는 서비스로, 정의된 임계값 혹은 위협 수준에 따른 경고와 위험등급을 제공한다.
최근 TI는 위협 행위자 프로파일, 마이터 어택 기반 경고, 취약성 인텔리전스 등을 지원하고 있으며, 디지털 리스크 프로텍션 서비스(DRPS), 외부 공격표면 관리(EASM)를 통합하면서 비즈니스 목표에 맞는 실행 가능한 인텔리전스를 제공하고 있다.
가트너는 TI의 대표적인 모델로 TI 구독 서비스(TI Subscription Services)를 소개했다. 이는 고유한 위협 환경과 환경을 기반으로 조직이 TI로 사용하고 적용하는 데 필요한 필수 정보와 데이터를 제공한다. 이 서비스에는 인디케이터 피드, 위협 행위자 프로필, 포털, 위협과 관련한 뉴스, 기술위협 분석 보고서, 테이크 다운, 관리형 TI 등이 포함된다. 또 SOAR와 연계돼 SOC를 강화하는 TI 플랫폼(TIP)도 여러 고객사례를 확보하면서 성장하고 있다.
최근 TI를 제공하는 기업들이 일제히 DRPS와 EASM을 공개하고 있다. 둘 다 외부에서 디지털 자산을 검색해 취약성이나 잘못된 설정, 구성오류, 무단 연결 등을 찾아 제거하는 서비스로, 가트너는 EASM이 DRPS나 TI에 통합될 것으로 예측한다. DRPS는 표면웹, 다크웹 전반에서 악의적인 활동을 모니터링하고, CISO, 리스크·컴플라이언스 조직, 마케팅 조직 등 여러 전문 역할에 맞는 인텔리전스를 제공한다. 피싱·위조 사이트, 브랜드 오용 등 불법적으로 사용되면 이를 테이크다운 시키는 서비스도 제공한다.
이외에 TI에는 취약성 인텔리전스, 정보공유 및 분석센터(ISAC), 멀웨어 정보 공유 플랫폼, CERT 등이 결합되거나 함께 사용될 수 있다고 설명한다.
TI에 요구되는 기능을 구현하기 위해 활발한 인수합병이 이뤄지고 있다. 레코디드퓨처가 ASM 기업 시큐리티 트레일과 멀웨어 분석 기업 해칭(Hatching)을 인수했으며, 마이크로소프트가 해외 사이버 위협 인텔리전스 연구 강화를 위해 미부로를 인수했다. 구글은 맨디언트를 인수해 클라우드와 온프레미스 전반에서 인텔리전스를 강화한다.
TI, 현재·미래 위협 대응 위해 필수
TI를 이용하면 현재 진행중인 위협을 빠르게 식별하고 대응할 수 있다. 주요 공격그룹의 위협 행위를 파악해 이와 연관된 인시던트를 적절하게 제거할 수 있으며, 정부기관은 사이버 위협 행위자를 검거하고 그들의 인프라를 압수, 범죄 수익을 회수할 수 있다.
예를 들어 미 재무부 해외자산관리국(OFAC) 제재 목록에 포함된 사이버 위협 행위자의 활동을 추적하고, 그들에게 랜섬머니 지불을 금지하는 법을 만들면서 범죄수익을 낮추고 있다. 기업/기관은 TI를 마이터 어택 등 공격수명주기 프레임워크에 맞춰 적절한 대응을 결정할 수 있다.
이러한 기술을 제공하는 기업이 전 세계 시장에서 다수 활동하고 있으며, 가트너가 연구하는 기업은 80개 이상이라고 소개한다. 이 중에는 전담 전문가가 제한적이거나 성숙도가 낮은 보안 프로그램, 특정 포인트 솔루션만을 제공하는 기업들이 있기 때문에 공급업체 선정에 신중해야 한다고 가트너는 설명했다.
국내에서 활동하는 TI 서비스 벤더 중 가트너가 언급한 대표 벤더는 레코디드퓨처, 맨디언트, 그룹아이비, 마이크로소프트, 팔로로알토 네트웍스 등이다. 가트너 보고서에 등재되지 않았지만, 국내 기업 중 샌즈랩, NSHC, S2W, 에이아이스페라 등이 TI를 제공하고 있다.
