[IT사이트] 사이버戰 위한 분석 데이터…'사이버위협 인텔리전스(CTI)'


2025년 18조8천억원 규모 시장, CTI 플랫폼 업체 안랩, S2W랩 등

정보통신기술(ICT)이 급격하게 진화발전하면서 현안에 대한 복잡성도 더욱 증대되고 있다. 때문에, 디지털 정보에 뒤쳐진 이들의 소외감도 증가하고 있는 실정이다. 이에 다소 난해한 ICT 용어를 풀어 설명할 수 있는 ICT 리터러시 코너를 마련해봤다. 어려운 ICT를 보다 쉽게 접할 수 있는 기회가 되기를 바란다. [편집자주]

[아이뉴스24 최은정 기자] 스포츠 경기에서 승기를 잡기 위해 상대편의 전략과 기술, 약점 등을 파악하는 것이 중요하듯 사이버 전(戰)도 마찬가지다. 해커 조직의 공격 방식과 사례 등을 분석·이해해야 더욱 효과적으로 방어할 수 있다. 보안 분석가들은 이를 위해 기존 침해 사고를 6하원칙 등 기반으로 데이터를 쌓는데, 이같은 정보를 '사이버 위협 인텔리전스(CTI)'라고 한다.

해킹 관련 이미지

CTI는 보안 분석가들이 해커의 공격 동기, 대상과 과정 등을 이해하기 위해 전방위적으로 수집·처리, 분석하는 데이터다. 기업·기관들은 보다 빠르고 정확하게 보안 위협에 대응할 수 있게 된다. 시장조사 기관 가트너는 CTI를 기존·신규 위협에 대한 증거 기반 지식이라고 정의하기도 했다.

보안기업 크라우드스트라이크에 따르면 미가공(로·raw) 데이터를 CTI로 만들기 위해 일련의 생명 주기(라이프사이클)를 거친다. 이 주기는 로드맵 설정, 정보 수집, 분석을 위한 데이터 가공, 실제 분석, 결과 보고서 작성, 피드백 등 6단계를 포함한다. 세부 과정은 업체마다 다를 수 있다는 게 회사 측 설명이다.

CTI에는 전술(Tactical), 운영(Operational), 전략(Strategic) 등 3가지 유형이 있다. 전술 정보는 침해지표(IOC) 식별에 초점을 맞춰 IP주소, URL, 파일 해시, 악성 도메인 등의 데이터를 말한다. 오픈소스 형태로 공개돼 있는 부분도 있어 무료 활용도 가능하다.

운영 정보의 경우 실제 공격 사례에 대해 누가, 왜(동기), 어떻게(방법) 등의 요소를 정리한 데이터다. 분석가들은 '어떻게'에 해당하는 데이터를 전술·기술·절차(TTP) 관점에서 분석하게 된다. 운영 CTI는 공격 맥락 등을 총체적으로 알려준다는 점에서 의미가 있다. 전략 정보는 국가 수준의 사이버 공격과 이에 따른 해외 대응책과 정책 등을 분석한 것으로, C레벨급 임원이 주요 의사결정을 내리는 데에 영향을 미친다.

최근 코로나 팬데믹(대유행) 등 요인으로 비대면 환경에서의 업무, 교육이 일상화되면서 IT기기와 인터넷 등이 필수 도구로 자리잡았다. 이에 해커들은 임직원, 교직원·학생 등을 타깃으로 그 어느때보다 활발하게 공격을 감행하고 있다. 랜섬웨어, 디도스(DDoS), 피싱 메일 등 각종 수법을 악용한다.

이에 CTI가 위협 대응 방안으로 주목받고 있는 것. 시장 규모도 점차 증가하는 추세다. 시장조사 기관 마케츠앤마케츠는 글로벌 CTI 시장 규모가 지난해 109억 달러(약 12조7천40억원)에서 오는 2025년 161억 달러(약 18조7천646억원)에 이를 것으로 전망했다. 같은 기간 연평균 성장률(CAGR)은 8.2%로 추산된다.

기업 대상 CTI 플랫폼을 제공하는 국내 업체는 안랩, 에스투더블유랩, NSHC 등이 있다. 해외에서는 크라우드스트라이크를 포함해 레코디드 퓨쳐, KELA, 디지털쉐도우 등이 주요 기업으로 꼽힌다.

한편, CTI는 보안 도구 등과 통합 제공되기도 한다. 보안기업 파이어아이 측은 "CTI를 보안 기술·도구에 통합해 (조직들이) 공격자에 대한 이해를 토대로 더 효과적으로 보안 위협을 탐지하도록 지원하고 있다"고 했다.

/최은정 기자(ejc@inews24.com)







포토뉴스