기업 보안을 위해 위협 환경에 대한 데이터는 필수적이다. 그러나 그 안에서 의미 없는 정보를 걸러내고, 자사 환경에 적합한 내용을 선별하며, 이를 실제 운영에 반영하는 과정은 여전히 보안 최고 책임자(CISO)에게 상당한 난관이다.

CISO들은 수년 전부터 위협 인텔리전스를 표준 도구로 활용해 왔다. 보안 책임자는 위협 환경에 대한 추가 데이터를 확보함으로써 악의적 행위자에 대비하고 방어할 수 있는 역량이 높아진다고 인식한다.

그러나 상당수 CISO는 여전히 위협 인텔리전스를 충분히 효과적으로 활용하지 못하고 있다고 응답했다. 사이버보안 소프트웨어 업체 트렐릭스(Trellix)가 발표한 2025년 보고서 ‘CISO의 사고방식: 대응과 준비의 간극 해소’에 따르면, 조사에 참여한 CISO의 95%는 위협 인텔리전스 공유 커뮤니티나 네트워크에 참여하는 것이 위협 대비 능력을 향상시킨다고 응답했지만, 98%는 위협 인텔리전스를 실제 활용하는 데 장애가 있다고 밝혔다.

보안 전문가들은 이 수치가 실제 상황의 일부만 보여준다고 말한다. 대부분의 보안 조직은 이미 각종 보안 도구에 일정 수준의 위협 인텔리전스를 통합해 활용하고 있다. 문제는 정보 접근 여부가 아니라, 그것을 효과적으로 활용하고 운영화하는지 여부에 있다.

다음은 CISO들이 위협 인텔리전스를 효과적으로 활용하는 데 흔히 마주하는 5가지 과제와 해결 전략이다.

자사에 가장 적합한 위협 인텔리전스를 선별하는 문제

사이버 위협 인텔리전스(CTI)는 다양한 경로를 통해 CISO에게 전달된다. 일부는 무료이고, 대부분은 유료 기반이다. 일부 CISO는 자체적으로 인텔리전스를 수집할 수 있는 역량을 갖췄지만, 대부분은 정부 기관, 연구기관, 정보공유분석센터(ISAC)에서 제공하는 데이터를 활용한다. 상업용 사이버보안 기업이나 보안 솔루션 제공업체로부터 피드 및 보고서 형식으로 구매하기도 하며, 이들은 기술이나 서비스에 자동 업데이트 방식으로 정보를 반영한다.

그러나 매니지드 보안 서비스 기업 레벨블루(LevelBlue)의 최고 에반젤리스트 테레사 라노위츠는 일부 피드가 조직에 실제 도움이 되지 않을 수 있다고 지적했다. 피드 자체의 품질보다는, 특정 조직에 얼마나 적합한지가 핵심이라는 것이다.

라노위츠는 “자료는 너무 많지만, CISO는 본인의 산업과 조직에 적합한 인텔리전스를 선별해야 한다”라고 강조했다. 랜섬웨어, 피싱, 비즈니스 이메일 침해(BEC)와 같은 위협은 거의 모든 산업에 공통되지만, 해커의 전술·기술·절차(TTP)는 산업별로 편차가 있고, 공격 대상 자산에 따라 달라질 수 있다.

가장 효과적으로 위협 인텔리전스를 활용하는 CISO는 자신이 마주할 가능성이 높은 위협을 명확히 파악하고 해당 위협에 맞춘 데이터를 선별해 집중한다. 기술 기업 펜도(Pendo)의 CISO 척 켈서는 업계 동료와의 전문 네트워크에 참여해 실질적인 위협과 신종 위협, 제로데이 취약점 정보를 더욱 정확하게 파악하고 있다며 “우리가 필요로 하는 유용한 정보를 얻게 된다”라고 밝혔다.

보안 환경에 맞춰 위협 인텔리전스를 운영에 반영하는 문제

내셔널대학교 사이버보안센터 소장 크리스 심프슨은 CISO에게 또 하나의 중요한 과제가 수집·분석한 위협 인텔리전스를 실제 운영 환경에 반영하는 일이라고 지적했다. 또한, CTI 데이터를 취약점 관리 프로그램, 보안 이벤트 관리 시스템(SIEM), 위협 헌팅 활동 등에 통합하는 것이 매우 중요하다고 말했다.

많은 보안 책임자에게 있어 쉬운 일은 아니다. 금융 ISAC의 CISO 존 데닝은 “규모와 관계없이 모든 조직은 위협 인텔리전스를 방어 기술 스택에 원활히 반영하는 구조를 마련해야 한다”라고 강조했다. 그러려면 시스템을 인텔리전스를 수용할 수 있도록 설계·구성해야 하며, 수집한 인텔리전스의 품질과 효과성을 평가할 수 있는 리포트 및 메트릭스 생성 능력도 필수다.

또한 보안팀은 조직의 IT 환경, 비즈니스 운영, 전략, 산업 특성에 대한 충분한 통찰을 갖고 있어야 한다. 그래야 어떤 인텔리전스 피드와 보고서가 유의미한지 식별하고, 그 안에서 조직 특유의 보안 상태에 가장 부합하는 데이터를 도출해 실질적으로 활용할 수 있다.

노이즈를 걸러내 보안 업무 부하를 줄이는 문제

심프슨은 “설령 CISO가 유관 인텔리전스를 보안 프로그램에 통합했다 해도, 실제 위협을 나타내는 데이터를 노이즈로부터 분리하는 데 어려움을 겪는다”라고 설명했다. 노이즈란 즉각적 대응이 필요 없는, 또는 아예 대응할 필요조차 없는 정보이며, 오탐이나 악성으로 잘못 분류된 정상 트래픽 등이 여기에 해당한다.

노이즈가 많으면 인력이 부족한 보안팀은 실제 위협보다도 무관한 경보에 시간을 낭비하게 된다. 2025년 와이프로(Wipro)의 사이버보안 현황 보고서는 해법으로 “보안 데이터 패브릭(Security Data Fabric) 접근 방식을 채택해 모든 보안 도구 데이터를 통합하면 맥락과 통찰이 향상되고, 오탐을 줄이며 보안 스택을 최적화할 수 있다”라고 제안했다.

조직 목표와 위험 허용 수준에 맞춘 인텔리전스 우선순위 지정

조직에 적합한 인텔리전스를 선별한 이후에도, 보안팀은 여전히 막대한 양의 정보를 다뤄야 한다. 자동화로 일부 부담을 덜 수 있지만, PwC 글로벌 위협 인텔리전스 아메리카 지역 책임자 앨리슨 위코프는 “보안팀이 어떤 인텔리전스가 추가 검토가 필요한지 효과적으로 판단하는 역량을 길러야 한다”라고 조언했다.

이를 위해서는 조직의 목표와 자산, 그리고 위협 환경 전반에 대한 이해가 필요하다. 이런 기반이 있을 때, 보안팀은 위험 기반 접근법으로 위협 인텔리전스를 평가하고 우선 처리 대상을 정할 수 있다.

CI-ISAC 오스트레일리아 CEO 데이비드 샌델도 “위협 인텔리전스는 조직에 유의미한 위협을 평가하고, 대응 방향에 대해 합리적 판단을 가능하게 한다”며, “맥락이 핵심이다. 무엇이 위협인지, 어떻게 전개되는지, 얼마나 복잡한지, 누가 공격자인지, 나의 노출 가능성은 어떤지 등 질문을 통해 분석해야 한다”라고 강조했다.

위협 인텔리전스를 전략 수립에 활용하는 문제

보안팀은 위협 인텔리전스를 일반적으로 전술적 수준에서 먼저 활용하기 시작한다. 예를 들어, 악성 IP 주소 차단과 같은 저수준 작업을 자동화하는 데 사용된다. 인텔리전스가 축적되면, 이를 사고 대응 계획 수립에 반영하는 등 운영 수준에서 활용하게 된다.

이후 가장 성숙한 단계는 전략적 활용이다. CISO가 인텔리전스를 위협 환경, 조직의 IT 및 산업 특성에 통합해 보안 전략 수립에 반영하는 단계다. 그러나 대부분 CISO는 이 단계에 도달하지 못했다. 트렐릭스 조사에 따르면, 응답자의 60%는 자사의 보안 전략에 위협 인텔리전스를 완전히 통합하지 못했다고 밝혔다.

금융 ISAC의 데닝은 “많은 CISO가 인텔리전스를 단순히 침해 지표 용도로만 활용하지만, 다양한 보안 방어와 위험 관리 분야에 통합이 가능하다”라고 설명했다. “침해 지표 외 위협 인텔리전스를 활용하는 CISO는 정보 기반의 통합 방어 체계를 구축할 수 있다”라고 강조했다.

전략 수립에 인텔리전스를 활용하려면, CISO는 조직의 위협 프로파일을 경영진에 효과적으로 전달해 이사회가 이를 이해하고 전략적 의사결정을 내릴 수 있도록 지원해야 한다. 위코프는 또한 “CISO는 공격자의 동기와 배경도 이해해야 한다”라고 강조했다. 단순히 금전적 목적의 기회주의자인지, 지적 재산권이 표적인지, 혹은 내 시스템을 통해 다른 대상에 접근하려는 것인지 등도 분석해야 한다는 것이다.

위코프는 위협 인텔리전스에서 도출한 통찰을 이사회 및 경영진의 위험 평가와 결합함으로써, 실제 위협과 위험을 더 정확하고 효과적으로 다룰 수 있는 보안 전략을 수립할 수 있다고 조언했다.
dl-itworldkorea@foundryco.com