위협 연구란 무엇인가요?

위협 연구는 기존 및 신규 사이버 위협에 대한 정보를 수집, 분석 및 공유하는 과정입니다. 위협으로부터 발생하는 위험을 식별, 평가 및 완화하는 것을 포함하며, 위협 행위자의 전술, 기술 및 절차(TTP)를 파악하도록 지원함으로써 보안 팀의 방어력을 강화합니다. 

위협 연구는 위협 인텔리전스의 중요한 대응 요소로, 더 넓은 위협 환경에 대한 중요한 컨텍스트를 제공합니다. 특정 공격 방법과 취약점에 대한 인사이트를 제공하고, 아울러 취약점을 식별하고 위협 행위자의 TTP를 파악함으로써 보안 팀이 위험을 완화하고 보안 운영을 개선하며 강력한 보안 대응책을 수립하기 위한 효과적인 전략을 개발하는 데 도움을 줍니다.

위협 연구는 데이터 수집, 데이터 분석, 정보 공유라는 세 단계로 구성됩니다.

위협 연구자는 오픈 소스 인텔리전스(OSINT), 위협 인텔리전스 피드, 보안 보고서(예: Elastic 글로벌 위험 보고서), 다크 웹, 외부 데이터(정부, 사이버 보안 공급업체, 소셜 미디어 등), 또는 조직의 내부 데이터(보안 로그 또는 사용자 활동) 등 여러 소스에서 데이터를 수집합니다.

위협 연구자는 악의적인 활동의 징후나 침해 지표(IoC)를 찾습니다. 멀웨어 샘플을 분석하여 그 특성, 기능 및 잠재적 영향을 파악합니다. 위협 연구는 패턴, 추세, 취약점을 식별하여 향후 공격을 예측하고 보안 방어를 개선하는 데 활용할 수 있습니다.

위협 행위자 프로파일링은 위협 행위자의 동기, 역량, 선호하는 표적 및 기타 상황 정보를 에뮬레이션하여 취약점을 평가하고 식별하는 또 다른 일반적인 관행입니다. 위협 연구자는 일반적인 패턴을 분석함으로써 사후 대응이 아닌 예방적 자세를 취할 수 있습니다.

위협 연구 프로세스의 마지막 단계는 연구 결과를 조직의 팀 및 비즈니스 리더, 그리고 종종 더 넓은 보안 커뮤니티에 전달하는 것입니다.

끊임없이 변화하는 위협 환경에서 위협 연구는 지속적인 모니터링, 기존 보안 조치의 평가, 끊임없는 적응이 필요한 연속적인 프로세스입니다.

위협 연구는 사이버 보안 조치를 강화하는 데 중요하며 심지어 필수적입니다. 팀이 기존 및 신규 위협을 파악하고 예측하는 데 도움을 주며, 보안 전문가의 공격 예방, 탐지 및 대응 능력을 향상합니다. 위협 연구 결과를 활용하여 보안 팀은 강력한 보안 조치를 마련하고 취약점의 우선순위를 설정하며 조직의 보안 태세를 강화할 수 있습니다.

Elastic의 이전 연구를 바탕으로 SOC 리더를 위한 주요 위협 추세를 살펴보세요.

위협 연구의 세 가지 주요 이점은 다음과 같습니다:

1. 사전 예방적 보안 조치 강화: 보안 팀은 위협 연구를 통해 예방 조치로 위험을 완화하는 데 중점을 둔 강력한 보안 전략을 수립합니다. 애플리케이션, 네트워크, 시스템의 취약점을 식별하면 보안 팀은 이러한 취약점의 우선순위를 정할 수 있습니다. 중요한 컨텍스트를 통해 공격의 근본 원인을 더 쉽게 식별하고 공격 범위를 파악하며 효과적인 대응 조치를 구현할 수 있습니다.
2. 신규 위협으로부터 보호: 연구자는 최신 위협 추세를 분석하여 새로운 공격 벡터, 멀웨어 및 공격자 TTP를 식별합니다. 이를 통해 보안팀 은 공격자의 행동, 동기 및 잠재적 표적을 파악하여 이러한 신규 위협을 효과적으로 탐지하고 대응할 수 있습니다. 위협 연구자의 연구 결과를 바탕으로 보안 팀은 보안 운영 센터(SOC) 도구의 성능을 개선하고 최적화할 수 있습니다.
3. 의사 결정 지원: 위협 연구는 조직이 위험을 파악하고 취약점에 집중하며, 방어 및 완화 노력을 우선시하고 보안 태세를 강화하며, 그에 따라 리소스를 할당하는 데 도움이 되는 데이터 기반 인사이트를 제공합니다. 위협 연구자는 비즈니스 의사 결정권자가 정보에 기반하여 전략적 결정을 내릴 수 있도록 연구 결과를 종합합니다.

위협 연구자는 도구를 사용하여 취약점 식별, 공격 시뮬레이션, 네트워크 활동 모니터링, 신규 위협에 대한 정보 수집을 수행합니다. 이러한 도구에는 위협 인텔리전스 플랫폼, 취약점 스캐너, 네트워크 보안 모니터링 시스템, 위협 헌팅 프레임워크, 멀웨어 분석, 데이터 분석, 보안 정보 및 이벤트 관리(SIEM) 솔루션이 포함됩니다.

• 위협 헌팅 프레임워크: 위협 연구자는 MITRE ATT&CK 및 Cyber Kill Chain 프레임워크를 정기적으로 사용합니다. MITRE ATT&CK®는 적대적 TTP에 대한 자세한 지식 베이스인 'what'을 제공하며, Cyber Kill Chain은 사이버 공격이 어떻게 전개되는지를 설명하는 단순화된 단계별 모델인 'how'를 제공합니다.
• 멀웨어 분석 샌드박스: 멀웨어 분석 샌드박스는 멀웨어 샘플을 안전하게 실행하고 관찰할 수 있는 통제되고 격리된 환경을 제공하므로 위협 연구에 매우 중요합니다. 위협 연구자는 샌드박스를 사용하여 시스템이나 네트워크를 위험에 빠뜨리지 않고 멀웨어의 TTP를 포함한 작동 방식을 발견할 수 있습니다.
• 위협 인텔리전스 플랫폼(TIP): Elastic Security에서 제공하는 것과 같은 TIP는 다양한 소스에서 데이터를 수집하고 분석합니다. 위협 연구자는 모든 IoC에 대한 통합된 시각을 확보하고 위협 행위자, 위협 행위자의 동기와 역량에 대한 정보에 액세스할 수 있습니다.
• 네트워크 보안 모니터링 도구: 이러한 도구는 네트워크 트래픽을 지속적으로 모니터링하여 의심스러운 활동과 잠재적 위협을 탐지합니다. 네트워크 트래픽 분석기를 통해 위협 연구자는 네트워크 트래픽 패턴을 분석하고 이상 징후를 식별하며 악성 활동을 발견하여 위협을 모니터링, 탐지 및 조사할 수 있습니다.
• SIEM: 위협 연구는 팀의 SIEM에 신규 위협, 공격 패턴 및 취약점에 대한 귀중한 인사이트를 제공하여 보안 분석가가 이벤트를 상호 연관시키고 이상 징후를 식별하며 경보의 우선순위를 더 효과적으로 지정할 수 있도록 합니다. 반대의 경우도 마찬가지입니다. 위협 연구자는 최신 SIEM을 포렌식 조사에 활용하고, 다양한 소스에서 보안 이벤트 데이터를 수집, 분석, 상호 연관시키는 데 사용합니다.

위협 연구와 위협 인텔리전스는 모두 사전 예방적 사이버 보안 전략의 필수 구성 요소이며 함께 사용해야 합니다. 위협 인텔리전스는 조직이 사이버 위협을 탐지하고 대응하는 데 중요한 컨텍스트를 제공하는 반면, 위협 연구는 특정 취약점과 위협을 사전에 식별하고 완화하는 데 도움이 됩니다.

주요 차이점은 다음과 같습니다.

역동적인 위협 환경에서 효과적인 위협 연구를 위해서는 신규 사이버 위협과 잠재적 취약점에 대한 정보를 사전에 수집하고 분석해야 합니다.

다음은 세 가지 모범 사례입니다.

1. 네트워크, 시스템, 사이버 보안 도구 및 기법을 연중무휴 24시간 지속적으로 모니터링 하고, 생생한 위협 인텔리전스 데이터 피드와의 통합을 유지관리합니다.
2. 취약점 평가를 자주 수행하여 조직의 시스템에서 취약점을 식별하고 평가합니다. 
3. 조직의 SOC의 벽을 넘어 더 넓은 보안 커뮤니티와 협업합니다. 공동 위협 연구는 조직의 보안 태세를 개선할 뿐만 아니라 집단적인 사이버 보안을 강화합니다. 

심층적인 리소스를 원하시면 위협 환경 공개 웨비나를 시청하세요.

위협 연구 는 사전 예방적 사이버 보안 전략의 중요한 부분입니다. 위협 연구자는 적대적 전술, 도구, 표적을 발견하고 공유함으로써 조직의 회복력을 보장하는 데 중요한 역할을 합니다.

예를 들어 Elastic Security Labs는 Search AI Platform에 구축된 Elastic의 고유한 텔레메트리에서 수십억 개의 데이터 포인트를 통해 실제 공격자의 행동을 밝혀냅니다. Elastic의 전담 위협 연구 팀은 새로운 위협 유형을 파악하고 이를 방어하기 위해 Elastic Security 솔루션 내에서 자동으로 보호 기능을 구현하는 데 전념하고 있습니다.

Elastic Security Labs의 보고서, 대규모 언어 모델(LLM) 안전성 평가, 심층 기사는 사이버 보안 팀에 방어를 강화하는 데 필요한 중요한 인사이트를 제공하도록 설계되었습니다.

• Elastic Security 알아보기
• Elastic 글로벌 위협 보고서
• 시청하기: 위협 환경 공개
• 2025년 Elastic 탐지 엔지니어링 현황 보고서
• Elastic Security를 통한 위협 헌팅