매월 첫째 목요일, 잇츠맨 X 다온기술의 <시큐언박싱 레터> 발행됩니다.
사이버 위협 인텔리전스
제대로 활용하고 계신가요?
불과 몇 년 전만 해도 사이버 위협 인텔리전스(CTI)를 돈 주고 구매하는 것은 어쩌면 당연하지 않았습니다. "보안 장비를 구매하면 위협 인텔리전스 정보 정도야 줄 수 있는 거 아닌가?"라는 생각을 가진 기업이 많았죠. 하지만 최근 사이버 공격이 점점 지능화되고, 피해 규모가 커지면서 CTI의 중요성이 강조되고 있습니다. 실제로 사이버 위협 인텔리전스를 1개 이상 구독하여 이용하는 기업이 증가하고 있는 추세입니다.
|
|
|
과거 CTI는 '정보(Information)' 수준에 머물렀습니다. IP 주소, 해시 값, 도메인 이름 등 수집된 데이터(Data)에 맥락을 부여한 정보(Information)를 제공하는 정도였죠. 기업들은 이미 보안 장비를 통해 정보를 활용하여 탐지 및 차단을 하고 있는데, 굳이 CTI를 추가로 구매할 필요성을 느끼지 못했습니다. 물론 모든 기업과 담당자에게 해당되는 것은 아니지만, 적어도 영업과 기술 지원을 담당하는 제 입장에서는 그렇게 느껴졌습니다.
하지만 최근 국내 기업들의 CTI에 대한 인식이 변화하고 있습니다. 많은 기업들이 CTI를 구독하고, '첩보(Intelligence)' 수준의 실행 가능한 지식을 얻기 위해 노력하고 있습니다. 이는 매우 고무적인 현상이지만, 아직 CTI 활용에 어려움을 겪는 기업들도 많습니다. "CTI를 어떻게 이용해야 하는지?"라는 질문을 여전히 많이 받고 있습니다.
왜 이런 어려움을 겪는 걸까요?
여러분이 큰 배의 항해사가 되었다고 상상해 보세요. 망망대해를 항해하며 새로운 곳을 탐험하려고 합니다. 이때 가장 중요한 것은 무엇일까요? 바로 '지도'입니다. 지도는 항해 경로에 대한 중요한 정보를 담고 있어 안전하고 효과적인 항해를 가능하게 합니다.
그런데, 만약 지도를 볼 줄 모른다면?
아무리 정확한 지도를 가지고 있어도 지도를 볼줄 모른다면 항해에 활용할 수 없습니다. CTI도 마찬가지입니다. CTI는 사이버 위협에 대한 '지도'와 같은 존재입니다. 공격자의 의도, TTPs, 트렌드, 취약점 정보 등을 알려주는 정보가 담겨 있지만, 이를 활용할 지식이 없다면 무용지물입니다.
|
|
|
CTI는 그 자체로 가치가 있지만, 활용할 수 있는 전문 지식을 함께 갖춰야 더욱 빛을 발합니다.
2017년 WannaCry 랜섬웨어 사태에서 CTI 지식의 중요성을 확인할 수 있었습니다. 당시 많은 기업들이 윈도우 취약점에 대한 정보 부족으로 막대한 피해를 입었지만, CTI 지식을 갖춘 기업들은 사전에 취약점 정보를 파악하고 패치를 적용하여 피해를 예방할 수 있었습니다. |
|
|
그림 1 : Traditional CTI Process Lifecycle (출처 : Google Cloud) |
|
|
CTI 도입 및 활용에 대한 고민이 있으신가요?
다온기술 또는 시큐언박싱 문의하기를 통해 연락 주세요. CTI 전문가가 여러분의 고민을 함께 해결해 드립니다.
지금 바로 문의하세요! ➡️ (다온기술 문의하기 클릭) |
|
|
🎥 시큐언박싱 11월 라이브 Full 영상 다시보기 |
|
|
|
사이버 위협 인텔리전스(Cyber Threat Intelligence, CTI) 개념
- 사이버 위협 행위자의 동기, 의도, 능력 등을 분석하여 보안 의사 결정에 활용 가능한 정보를 제공하는 체계를 말한다. 첩보 수집 및 분석을 통해 조직의 보안 의사 결정에 기여하게 된다.
CTI 활용 단계
- 전술적(Tactical) 공격의 기술적 절차(TTPs)에 대한 정보를 제공하는 단계로 보안 장비(Firewall, Endpoint) 및 SOC 분석 시 활용할 수 있다.
- 운영적(Operational) 특정 공격 캠페인에 대응하기 위한 정보를 수집하는 활용 전략이다. 예를 들어 세금 신고 시즌을 타겟으로 한 피싱 캠페인에 맞춰 적절한 방어 전략을 수립할 수 있다.
- 전략적(Strategic) 기업의 보안 상태 평가 및 중장기적 보안 전략을 수립할 수 있는 가장 고차원적 분석 단계이다. 최신의 보안 트렌드 분석 등을 파악하여 이에 대한 대응 방안 등을 마련할 수 있다.
CTI 도입 및 운영의 중요성
- C레벨 리더십의 변화 과거에는 인텔리전스를 비용으로만 간주했으나 현재는 전략적 도구로 인식하며 여러 인텔리전스 시스템 도입으로 확대되는 추세이다.
- 효율성 우선순위 설정으로 분석 시간 단축할 수 있다. 특히 회색 영역(Gray Zone)에 속한 분석 이슈들에 대한 빠른 판단과 처리에�효과적인 방법론을 제시할 수 있다.
- 자동화 솔루션 SEIM 및 SecOps와 연계하여 효율적인 운영 지원이 가능하다.
CTI의 핵심 메시지
- 공격자는 단 한 번의 성공으로 충분하지만, 방어자는 항상 성공해야 하는 부담감을 가지고 있다. 따라서 방어자의 입장에서도 선제적인 조처를 통해 적극적인 방어 전략을 수립할 필요가 있다.
- “Can you afford not to be ahead of your adversary?” (적보다 앞서지 않을 여유가 있습니까?) 라는 문구는 방어자들의 미래 전략의 구호가 되어야 하지 않을까?
|
|
|
팔로알토 네트웍스 방화벽 취약점 악용, 전 세계 2,000대 장치 해킹 피해 발생
- 팔로알토 네트웍스 방화벽의 인증 우회와 권한 상승 취약점이 악용되어 약 2000대의 장치가 해킹당했다. 피해는 주로 미국과 인도에 집중된 것으로 확인되었다. 팔로알토 네트웍스는 보안 패치를 배포하었고, 관리 인터페이스 접근 제한과 PAN-OS 업데이트를 권고했다. 미국 CISA는 패치 기한을 12월 9일로 설정했으며 보안 전문가들은 내부 네트워크 제한, 실시간 모니터링 강화, 관리자 교육을 강조했다.
연말 쇼핑 시즌의 그림자, 가짜 쇼핑몰과 피싱 사기 급증
- 연말 쇼핑 시즌을 맞아 가짜 쇼핑몰과 사이버 피싱 사기가 급증하고 있다. 해커들은 다크웹에서 피싱 키트와 악성코드 서비스를 이용해 실제 쇼핑몰을 모방한 가짜 사이트를 제작해 소비자를 속이고 있다. 10월 동안 가짜 쇼핑몰 방문 시도가 35% 증가했으며, 피해자의 절반 가까이가 금전적 손실을 입었다. 쿠키 그래버 도구 또한 악용돼 개인정보와 계정 도난 위험이 높아지고 있다.
항공 여객 46% 생체인식 경험, 편리함 속 데이터 보안 우려
- 2024년 IATA 조사에 따르면, 항공 여객의 46%가 생체인식 프로그램을 사용해본 경험이 있는 것으로 나타났다. 사용자는 편리함에 만족하지만, 데이터 유출과 보안에 대한 우려를 표했다. 그럼에도 85%는 공항 절차 간소화를 위해 이민 데이터를 당국과 공유할 의향이 있다고 답했다. 빠르고 편리한 서비스를 선호하는 소비자 증가에 따라, 생체인식 데이터 보안 강화를 위한 철저한 관리가 요구된다.
국회, 연간 6천 건 사이버 공격 직면… 보안 강화 시급
- 올해 국회는 약 6천 건의 사이버 공격을 받았으며, 최근 5년간 공격 시도가 2.4배 증가했다. 국회사무처는 외국발 공격에 선제적으로 대응 중이며, 지난해 공공분야 하루 평균 해킹 시도는 162만 건으로, 80%가 북한 소행으로 분석됐다. 강승규 의원은 국회의 주요 정보를 노린 정찰 행위라며 사이버 보안 강화를 촉구했다.
|
|
|
- 일시 : 12월 27일(금) 오후 2시-3시
- #사이버보안 #2025사이버위협전망 >>> 사전등록 하기
|
|
|
(주) 채널온티비 help@chontv.com
서울특별시 강남구 신사동 593-10, 지하 1층 / 02-6949-4298
|
|
|
|
|
