언제부터인가 사이버 위협 인텔리전스(Cyber threat intelligence, CTI)라는 키워드가 보안 업계에서 화두다. 이름 좀 있다 하는 국내외 보안 업체들이 대거 차별화 카드로 CTI 역량을 강조하고 있다. CTI를 주특기로 내건 회사들도 나오면서 CTI는 단숨에 보안 시장에서 격전지들 중 하나로 부상했다.
CTI는 보안 위협과 관련된 각종 정보를 수집하고 이를 분석해 사이버 침해를 미리 막거나 사고가 터졌을 때 신속하게 대응할 수 있도록 하는 것이 골자. 방화벽이나 안티 바이러스 같은 보안 제품을 설치하는 수준을 훨씬 뛰어 넘는 영역으로 보안 위협과 관련한 환경, 위협 출처, 잠재적 표적을 입체적으로 이해해 사전 및 사후 대응을 효과적으로 할 수 있도록 하는데 초점이 맞춰져 있다.

사람만으로는 한계, AI와 융합 거세다
CTI의 부상은 보안 위협이 고도화되고 복잡해져 예전과 같은 대응 방식으로는 효과적으로 막을 수 없다는 인식을 밑바탕에 깔고 있다. 다양한 개별 정보들을 모으고 연결해 국가 정보기관들처럼 입체적으로 분석할 수 있어야 공격을 둘러싼 전체 그림을 파악할 수 있다는 논리에 기반한다.
관련 업계 행보를 보면 CTI는 이미 다양한 보안 제품들에서 핵심적인 인프라 역할을 하는 방향으로 빠르게 진화하는 모습이다. 상대적으로 새로 등장한 분야인 만큼 기술과 비즈니스 측면에서 모두 변화가 거세다.
우선 요즘 테크 생태계 최대 화두인 AI와 CTI가 융합되는 흐름이 두드러진다.
CTI에 AI와 머신러닝을 접목하면 이전에는 불가능했던 속도로 대규모 데이터를 처리하고 분석할 수 있다. 이를 통해 새로운 위협들을 보다 빠르고 정확하게 탐지하고 대응할 수 있게 된다.
보안 위협 규모가 보안 전문가들이 감당할 수 있는 수준으로 커진 것을 감안하면 CTI에서 AI가 전략적 가치는 갈수록 중요해질 수 밖에 없어 보인다. CTI에서 AI는 그동안 보조 도구 성격이었는데, 최근에는 핵심 인프라로 지위가 올라가는 모양새다. 앞으로 CTI에서 AI가 어디에 어떻게 쓰일지는 보안 업계에서 아주 흥미로운 관전포인트 중 하나가 될 것 같다.
AI가 중요해졌다고 해서 CTI에서 사람이 하는 역할이 줄어드는 것은 아니다. AI가 발전한다고 해도 CTI에서 사람 역할을 더욱 중요해질 것이란 전망이 아직은 많이 우세하다. AI가 아무리 발전했다고 해도 숙련된 인간 분석가가 수행하는 미묘한 상황에 대한 이해와 파악은 대체하기 어렵다는 견해가 지배적이다. 이를 감안하면 AI로 사람을 대체하는 것이 아니라 보안 전문가들이 가진 통찰력과 AI 간 상호 작용이 조직 보안 역량에서 중요한 요소가 될 것으로 보인다.

다크웹 모니터링 시장에서도 전략적 요충지로
CTI가 커버하는 정보 범위도 점점 넓어지고 있다.
그동안 CTI는 사이버 보안 관련 정보 공급에 기반했지만 요즘 상황은 다르다. 사이버 보안 정보 피드를 넘어 소셜 미디어, 딥 웹과 다크 웹, 빠르게 성장하는 사물인터넷(IoT) 정보까지 포함해 광범위한 소스로부터 데이터를 수집하고 분석할 수 있는 방향으로 진화하고 있다. 최근 다크웹 모니터링 회사들이 위협 인텔리전스를 부쩍 강조하는 것도 이와 무관치 않다.
다양한 소스 정보를 활용함에 따라 CTI는 사용자들에게 위협과 관련한 컨텍스트(맥락)을 보다 입체적으로 제공할 수 있게 된다. 이를 활용하면 위협에 대한 대응도 맞춤화할 수 있을 것으로 보인다.
CTI 공유에 대한 관심도 부쩍 커졌다. 사이버 위협이 복잡해지면서 다양한 분야 위협 인텔리전스들 간 공유 및 협업에 대한 필요성도 커지고 있다. 각국 정보 기관들이 필요시 정보를 공유하는 것과 비슷한 의미로 볼 수 있다. 이와 관련해 위협 인텔리전스 공유를 지원하는 보다 체계적인 플랫폼이 등장할 것이란 전망도 있어 주목된다.
CTI의 부상은 보안 위협 대응 프로세스에서 사전 예방이 갖는 중요성이 커지는 상황도 반영한다. CTI를 기반으로 사고 발생 후 대응하는 기존 모델에서 벗어나 사전 예방에 초점을 맞춘 보안 전략에 대한 기업들 관심이 커지지 않을까 싶다.
CTI는 규모와 자금력을 갖춘 조직이 아니라면 자체적으로 구현하기가 쉽지 않다. 소규모 조직들은 하고 싶어도 하기 쉽지 않은게 CTI다. 이같은 대기업을 넘어 중소기업들을 겨냥한 서비스형 사이버 위협 인텔리전스(CTIaaS)들이 확산되는 결과로 이어지는 양상이다.
#B2BSaaS #B2BSaaS전략 #보안 #다크웹 #다크웹모니터링 #위협인텔리전스 #CTI
by Sasquachi