강력한 사이버 위협 인텔리전스(cyber threat intelligence, CTI) 역량은 사이버보안 프로그램을 여러 측면에서 한 단계 더 발전시키는 데 도움이 된다. 기술 환경과 비즈니스 상황에 적합한 양질의 위협 인텔리전스 소스를 선택하면, 이런 외부 정보는 위협 탐지를 빠르게 지원할 뿐 아니라, 경영진이 위험 노출을 더 잘 이해하고 향후 보안 투자 우선순위를 정하는 데도 도움을 준다.

CISO와 사이버보안 경영진은 점점 더 많은 투자 프로그램 목표를 CTI가 제시하는 가능성에 기반해 설정하고 있다. 최근 연구에 따르면, 기업 5곳 중 3곳이 전체 사이버보안 예산의 최소 11%에서 최대 30%를 위협 인텔리전스 역량에 할당하고 있다. 이는 80%의 사이버보안팀이 서드파티 위협 인텔리전스 제품에 연간 25만 달러(약 3억 6,000만 원) 이상을 지출하고 있다는 의미다.

하지만 이 중 제대로 사용되는 비용은 얼마나 될까? 대부분 전문가가 2025년 보안 지출이 증가할 것으로 전망하지만, 올해는 CISO가 지출에 대한 효율성 입증과 최적화에 대한 압박을 받을 것이라는 신호가 나오고 있다. IANS의 최근 연구에 따르면, 2024년에는 CISO 1/3 이상이 예산이 동결되거나 감소하는 상황을 겪었으며, 보안 인력 증가는 2022년보다 절반 수준으로 줄었다.

CTI는 위협 탐지, 사고 대응, 취약점 관리, 광범위한 위험 관리 전반에 걸쳐 많은 가치를 창출할 수 있다. 하지만 잘못 활용될 경우 상당한 비용 낭비로 이어질 수도 있다. 위협 인텔리전스가 분산된 방식으로 사용되다 보니 CTI의 재정적 효율성과 책임성을 확보하기가 매우 어렵다. 기업은 부실한 인텔리전스와 불충분한 분석뿐 아니라, 보안 결과를 효과적으로 변화시키지 못하는 우수한 인텔리전스에 자원을 낭비할 위험이 있다.

CTI의 ROI를 추적하는 것은 쉽지 않은 과제다. 하지만 많은 위협 인텔리전스 전문가들은 CISO가 인텔리전스 지출 낭비의 주요 원인을 피할 수 있는 몇 가지 공통된 방법이 있다고 말한다. 프로그램의 효율성을 극대화하기 위해 피해야 할 5가지 실수는 다음과 같다.

위험 관리 프로그램의 부재

포괄적인 CTI 프로그램에서 진정한 가치를 얻으려면, CISO는 견고한 위험 관리 프로그램과 수집한 데이터를 적절히 분석하고 컨텍스트화할 수 있는 인프라를 먼저 구축해야 한다.

퀄리스(Qualys) 위협 연구팀의 사이버 위협 디렉터 켄 던햄은 “CTI는 반드시 위험 관리 체계 내에 포함되어야 하며, 위험 관리 프로그램이 없다면 이를 우선적으로 도입해야 한다. 궁극적으로는 보호하려는 핵심 대상이 무엇인지, 보호하고자 하는 핵심 자산 또는 고가치 자산이 어디에 있는지 파악하는 것이 중요하다”라고 말했다.

위험 관리 프로그램을 통해 이런 우선순위를 설정하지 않으면 기업은 가장 중요한 자산과 관련된 적절한 인텔리전스 소스를 수집하기 위한 요구 사항을 적절하게 설정할 수 없다.

또한 CTI는 인프라 내에서 발생하는 활동에 대한 보안 분석을 컨텍스트화할 때 가장 큰 가치를 발휘한다. 즉, 분석 프로그램과 데이터 과학, 데이터 관리를 체계적으로 정비해야 외부에서 가져오는 인텔리전스에서 가치를 끌어낼 수 있다.

온티뉴(Ontinue)의 위협 대응 책임 발라즈 그렉사는 “전략적으로 보면 TCO(total cost of ownership)를 낮추면서 보안 가치를 극대화하고, 빠르게 가치를 실현하는 동시에 중요한 내부 데이터 소스와 도구를 통합하는 것은 매우 어려운 과제다. 보안은 빅데이터만의 문제가 아니다. 오히려 적절한 정보와 인텔리전스를 적시에 활용해 올바른 결론에 도달하는 것이 핵심”이라고 강조했다.

즉 CISO는 내부 데이터와 외부 인텔리전스가 서로 컨텍스트화되는 모든 사용례를 신중히 고려해야 한다. 그렉사는 보안 데이터 레이크(Security Data Lake)가 XDR, SIEM, 또는 컴플라이언스 모니터링 솔루션과는 매우 다른 사용례를 가지고 있다고 지적했다. 따라서 모든 인텔리전스와 분석 데이터를 어떻게 활용해 더 나은 의사 결정을 끌어낼 것인지에 대한 명확한 목표와 요구 사항을 정의하는 것이 중요하다.

그렉사는 CISO가 데이터 플랫폼 엔지니어를 참여시켜 SOC(Security Operations Center)와 그 이상의 영역을 아우르는 포괄적인 데이터 전략을 수립함으로써 그 기반을 다질 수 있다고 조언했다.

저품질 인텔리전스에 의존

부실한 인텔리전스는 아무 정보도 없는 것보다 더 나쁜 결과를 초래할 수 있다. 데이터 분석가가 품질이 낮은 피드를 검증하고 컨텍스트화하는 데 많은 시간을 낭비할 수 있으며, 이런 작업이 제대로 이루어지지 않으면 부실한 데이터가 운영적 또는 전략적 수준에서 잘못된 선택으로 이어질 가능성도 있다.

따라서 보안 책임자는 인텔리전스팀에 출처의 유용성을 정기적으로 검토하도록 지시해야 한다. 인텔리전스 전문가가 자주 사용하는 평가 기준은 CART라는 약어로 요약된다. 완전성(Completeness), 정확성(Accuracy), 관련성(Relevance), 적시성(Timeliness)을 의미한다.

크리티컬 스타트(Critical Start)의 사이버 위협 연구 선임 매니저 캘리 겐서는 완전성이 “각 인텔리전스가 위협에 대한 전체적인 그림을 제공해야 한다는 의미다. 여기에는 공격 주체, 공격 방법론, 영향을 받은 시스템 등이 포함된다”라고 설명했다.

정확성은 품질의 핵심 요소로, 소스의 가치를 좌우하는 매우 중요한 요소다. 겐서는 “출처의 신뢰성과 신빙성은 가장 중요하다. 부정확한 인텔리전스는 오탐(False Positive), 자원 낭비, 해결되지 않은 위협에 대한 잠재적 노출로 이어질 수 있다”라고 지적했다.

관련성은 인텔리전스가 기업의 산업, 기술 스택, 그리고 지리적 위치와 관련성이 있어야 함을 의미하며, 적시성은 인텔리전스가 최신 정보를 충분히 포함해 기업의 대응 방식에 실질적인 영향을 미칠 수 있어야 함을 강조한다. 물론, 위협 연구가 진행됨에 따라 인텔리전스 소스는 적시성과 정확성 사이에서 균형을 맞춰야 하는 상황이 자주 발생한다.

마지막으로 겐서는 CART라는 약어에 또 하나의 A(Actionability, 실행 가능성)를 추가해야 한다고 제안했다. 겐서는 “인텔리전스는 보안 기기 조정, 정책 업데이트, 취약점 패치와 같은 보안 작업을 실행할 수 있을 만큼 구체적이고 상세해야 한다”라고 덧붙였다.

요구 사항 수집에 소홀

위협 인텔리전스 소스의 품질을 평가하는 것보다 더 기본적인 것은 팀이 보안 프로그램과 비즈니스 요구 사항을 실제로 충족하는 소스를 선택하고 있는지 확인하는 것이다. 보안팀이 위협 인텔리전스 프로그램에서 흔히 저지르는 실수가 바로 이 과정을 건너뛰는 것이다. 누가 어떤 종류의 인텔리전스를 필요로 하는지 파악하는 과정을 건너뛰고 곧바로 실행 단계로 넘어가면 효과적인 보안 결정을 내리는 데 필요한 핵심 정보를 놓칠 수 있다.

사이버식스길(Cybersixgill)의 보안 연구 책임 도브 러너는 “CTI는 기업이 이를 얼마나 잘 수용하느냐에 따라 효과가 결정된다. 효과적인 CTI 프로그램을 구축하려면 모든 수준의 조직이 인텔리전스팀에 명확한 요구 사항을 제시하고, 인텔리전스를 수용해 프로세스와 의사 결정을 개선하려는 태도를 가져야 한다”라고 말했다.

요구 사항 수집 단계는 CTI 생애 주기(CTI lifecycle)의 첫 단계이지만, 종종 간과되거나 특정 기술적 요구 사항을 가진 SOC 분석가에게만 제한되는 경우가 많다.

이에 대해 겐서는 “기업이 명확하고 실행 가능하고 우선순위가 명확한 인텔리전스 요구 사항을 정의하지 못하면, 관련성 없거나 과도한 양의 데이터를 처리하게 될 위험이 있다. 또한 인텔리전스팀이 비즈니스 전반의 다양한 유형의 인텔리전스 소비자로부터 요구 사항을 수집해야 한다”라고 강조했다.

러너에 따르면, CTI 투자에서 최대의 효과를 얻으려면 CTI팀이 보안 부서를 넘어 다양한 이해관계자와 소통할 수 있는 역량과 조직적 연결성을 갖추어야 한다.

이해관계자가 새로운 인텔리전스를 요청할 수 있는 프로그램을 마련하는 것도 좋은 방법이다. NCC 그룹(NCC Group)의 글로벌 사이버 위협 인텔리전스 책임자인 맷 헐에 따르면, NCC 그룹은 이런 방식으로 요구 사항 수집을 보다 반복적이고 일관성 있게 진행하고 있다. NCC 그룹은 인텔리전스 요청을 위한 티켓 발행 시스템과 유사한 RFI(Request for Intelligence) 프로세스를 운영한다. 이 프로세스는 이해관계자에게 “어떤 질문에 답을 원하는가?”라고 묻는 방식으로 CIT팀에 요청이 전달되는 메커니즘이다. 요청은 우선순위에 따라 분류되고 관련 팀에 전달된다.

전술적 위협 인텔리전스에 지나치게 집중

겐서가 CTI 프로그램을 시작하는 기업에서 흔히 목격하는 또 다른 실수는 전술적 인텔리전스에 과도하게 집중하는 것이다. 겐서는 “전술적 인텔리전스는 필수적이지만, IOC(침해 지표)에만 집중하고 전략적 또는 운영적 맥락을 고려하지 않으면, 사전 예방적 보안 태세가 아닌 사후 대응적 보안 태세가 될 위험이 있다”라고 지적했다.

NCC 그룹의 헐과 퀄리스의 던햄은 강력한 CTI팀이라면 전술적, 운영적, 전략적 인텔리전스를 아우르는 3가지 주요 영역에서 정보를 수집하고 운영할 수 있어야 한다고 강조한다. 전술적 인텔리전스는 전통적인 침해 지표와 같은 세부적인 기술 정보를 다루며, 이는 멀웨어 분석이나 기타 모니터링을 통해 수집돼 위협 탐지를 강화하는 데 기여한다. 운영 인텔리전스는 한 단계 위로 올라가 행동 기반 인텔리전스를 다룬다. 여기에는 TTP(tactics, techniques, and procedures)와 관련한 정보가 포함된다. 전략적 인텔리전스는 지리정치적, 산업적, 비즈니스 맥락을 연결하는 더 큰 그림의 정보다. NCC 그룹의 헐은 이 세 영역에 초점을 맞추는 3가지 독립적인 팀을 운영하며, CTI 프로그램이 각 분야를 적절히 다룰 수 있돌고 보장하고 있다.

가장 놓치기 쉬운 부분이 전략적 인텔리전스다. 동시에 이 영역은 위협 환경에서 실제로 일어나고 있는 상황을 기반으로 지출 우선순위를 정하는 데 도움이 될 수 있다는 점에서 가장 많은 재정적 가치를 창출하는 부분이기도 하다. 또한 전략적 인텔리전스는 장기적으로 CISO가 자신의 결정과 ROI을 입증하는 데도 기여할 수 있다.

헐은 “CTI에서 ROI를 파악하는 것은 상당히 어렵다. 위협 인텔리전스를 위험 관리 프로세스에 통합하는 작업은 일부 입력값을 위험 관리 작업으로 정량화할 수 있다는 점에서 유용하다. 이를 통해 CISO는 사이버 위험 정량화와 같은 더 복잡한 분석으로 나아가는 발판을 마련할 수 있다”라고 조언했다.

정보 전달의 중요성 간과

이해관계자가 요청한 고품질 인텔리전스를 CTI가 성공적으로 수집하더라도, 그것이 필요한 사람에게 적절한 형식으로 전달되지 않는다면 모든 작업이 무의미해질 수 있다.

러너는 “정보 전달 단계에서 종종 어려움을 겪을 수 있다. 이는 보통 CTI 분석가가 완성된 인텔리전스를 처리해 이해관계자에게 전달하는 시점이다”라고 언급했다.

러너는 많은 인텔리전스팀이 정보를 적절한 대상에 알맞게 조정하는 데 충분히 신경 쓰지 않는다고 지적했다. 예를 들어, 최고 경영진을 대상으로 하는 전략적 인텔리전스가 약어와 기술적 데이터로 가득 차 있다면 큰 가치를 제공하지 못할 것이다. 마찬가지로, SOC 분석가가 쉽게 활용할 수 없는 비구조화된 보고서 형태의 전술적 인텔리전스 역시 쓸모가 없게 된다.

헐은 집중적이고 목표 지향적인 정보 전달을 보장하는 가장 좋은 방법은 요구 사항 단계에서 세부 사항을 명확히 하는 것이라고 조언했다. 헐은 “요구 사항을 설정할 때, 정보 전달이 이루어지는 주기와 전달 방식에 대한 방향성도 함께 정하게 된다. 이때 중요한 것은 처음부터 관련 이해관계자가 정보를 가장 쉽게 접근하고 공유할 수 있는 방식을 확립하는 것”이라고 강조했다.

사이버보안 프로그램에서 CTI의 가치를 극대화할 수 있는 쉬운 방법은 없다. 그러나 이런 다섯 가지 실수를 피하는 데 집중한다면 인텔리전스를 최대한 활용할 수 있을 것이다.
dl-itworldkorea@foundryco.com