CTI(사이버 위협 인텔리전스)는 죽었다.
CTI 분야의 현실과 개선점
사이버 위협 인텔리전스(Cyber Threat Intelligence,이하 CTI)는 사이버 공격에 대한 정보를 수집, 분석하여 보안 위협에 선제적으로 대응할 수 있도록 돕는 정보이다. CTI는 악성코드, 툴, 공격자 그룹, 취약점, 침해 지표(IOC) 등을 포함하며, 이를 기반으로 보안 전략을 강화하고 위협을 사전에 차단하는 데 활용된다. 기업과 기관들은 CTI를 통해 보안 시스템을 개선하고 위협 탐지 및 대응 시간을 단축하여 전반적인 사이버 보안 태세를 향상시킨다.
몇 년 전부터 보안 업계에서 CTI는 빠지지 않고 등장하는 키워드가 되었다. 많은 보안 회사들이 자사 제품과 서비스에 CTI를 적용하고 있다고 홍보하며, 마치 모든 보안 문제를 해결할 수 있는 만능 열쇠처럼 이야기하곤 한다. 하지만 최근 들어, CTI에 대한 회의적인 시선과 우려의 목소리도 점점 커지고 있다.
CTI 업계의 현황
요즘 CTI 서비스를 제공하는 기업이나 자체 CTI 팀을 운영하던 곳들에서 좋지 않은 소식이 자주 들려온다. 팀이 아예 해체되거나, 실력 있는 인력이 해고되는 경우도 적지 않다. 물론 글로벌 경기 침체도 하나의 원인이겠지만, 'CTI가 생각만큼 효율적인가?' 하는 의문도 점점 커지고 있는 듯하다. 아래는 CTI 업계 종사자들을 풍자하는 밈(meme) 중 가장 공감 가는 사진이다. 다른 사람의 보고서, 블로그, 소셜 미디어 글을 복사+붙여넣기 하거나, 다크웹/브리치 포럼을 모니터링하면서도 모두 자신을 CTI 전문가라 소개하는 현실을 꼬집는다.
CTI의 일반적인 역할
사이버 위협 인텔리전스(CTI, Cyber Threat Intelligence)는 단순히 정보를 수집하는 것을 넘어, 위협 행위자에 대한 이해를 바탕으로 다양한 보안 전략을 수립하고 대응하는 데 핵심적인 역할을 한다. 특히 APT(Advanced Persistent Threat)와 같은 고도화된 위협에 대응하기 위해서는 공격자의 동기, 수단, 전술 및 기반 인프라에 대한 깊이 있는 분석이 필요하다. CTI는 실제로 어떤 방식으로 활용될 수 있을까? 다음은 CTI의 대표적인 세 가지 역할이다.
1. Name and shame
첫 번째 역할은 “Name and Shame”, 즉 위협 행위자의 신원을 공개함으로써 외교적·정치적 압박을 가하는 것이다. “Name and Shame”은 직역하면 “이름을 공개해 망신을 주는 행위”로, 특히 정부 기관이 CTI를 활용할 때 자주 사용되는 전략 중 하나이다. 예를 들어, 특정 국가가 반복적으로 사이버 공격을 행할 경우, 해당 공격을 수행한 개인, 단체, 또는 국가기관의 신원을 확인하고 이를 공개함으로써 국제사회에 경각심을 주고 압박을 가하는 것이다. 물론 최근에는 이 같은 전략만으로 공격이 완전히 중단되는 경우는 드물지만, 최소한 “우리는 너희의 행동을 인지하고 있다”는 메시지를 전달함으로써 외교적 견제를 시도할 수 있다.
2. Slow down or disrupt
두 번째는 공격자의 활동을 느리게 하거나 일시적으로 중지시키는 역할이다. 이는 공격자가 사용하는 악성코드, 툴킷, C2 서버 등의 기반 인프라를 분석하고 공개함으로써 그들이 계속해서 공격을 수행하기 어렵도록 만드는 것이다. CTI를 통해 이러한 기술적 정보를 노출시키면 공격자는 기존 도구를 수정하거나 새로운 인프라를 마련해야 하며, 이 과정에서 시간과 자원이 소모된다. 일례로 APT1 보고서가 공개된 이후, 해당 공격 그룹의 인프라가 일시적으로 셧다운되었었다. 물론 이는 공격을 영구적으로 막는 것은 아니지만, 공격 활동을 지연시키고 공격자의 부담을 증가시키는 데에는 효과적이다.
3. Practical usage
세 번째로 주목할 CTI의 활용 방식은, 실무 환경에서 바로 활용할 수 있는 실용성에 있다. 예를 들어 특정 위협 캠페인에 대한 분석 보고서가 공개되면, 그 안에는 탐지 시그니처, IoC(Indicators of Compromise), YARA 룰, 네트워크 탐지 규칙 등이 포함되어 있어 보안 담당자가 곧바로 시스템에 적용할 수 있다. 이러한 정보는 공격 탐지와 대응에 실질적인 도움을 주며, 조직의 보안 체계를 빠르게 강화하는 데 크게 기여한다. CTI의 여러 활용 방식 중에서도 가장 직접적이고 효과적인 접근이라 할 수 있다.
CTI의 한계와 문제점
CTI는 사이버 위협 대응의 핵심 도구로 자리 잡고 있지만, 현재의 CTI 산업과 커뮤니티가 갖는 한계와 구조적인 문제들도 분명 존재한다. 정보의 가치가 날로 중요해지는 가운데, 정보 공유의 방식, 분석의 깊이, 결과의 활용도 등에 있어 다양한 이슈들이 반복되고 있다. CTI가 실질적인 보안 대응으로 연결되기 위해서는 이러한 문제점들을 인식하고 개선하려는 노력이 병행되어야 한다. 아래는 CTI 분야에 몸담고 있으면서 직접 보고 느낀 몇가지 문제점들이다.
1. 폐쇄성, 제한된 정보 공유
10년 전과 비교하면 CTI 분야의 정보 공유는 분명 활발해졌다. 하지만 그 변화는 정부나 기업의 정책적인 변화라기보다는, 개인 차원의 인식 변화에 의한 결과인 듯하다. 신뢰 기반의 개인 채널을 통한 정보 교류는 여전히 활발하지만, 공식적인 기관 간 공유는 여전히 제한적이다. 특히 국내에서는 정보 공유에 대한 보수적인 태도가 여전히 뿌리 깊게 남아 있다. 최근까지도 “해외 업체에는 공유할 수 없다, 해외 업체이기 때문에 회의 참석할 수 없다.”라는 말을 듣는다. 사이버 공격에서 국내와 해외를 나누는 것이 의미가 있을지 모르겠다.
국내 보안 사고의 경우, 사건을 조사한 내용이 공개 되는 경우가 드물고, 대부분이 조용히 지나가기를 바란다. 하루가 다르게 국내 소프트웨어를 이용한 공격들이 일어나고 있지만, 조사 사례가 업체나 기관측에서 공개되는 것을 본 적이 없는 것 같다. 한편 해외 사례를 보면 보안팀이나 기업이 자발적으로 사고 경위와 대응 과정을 투명하게 공유하며, 커뮤니티 전체의 보안 수준 향상에 기여한다. 물론 기업의 이미지에도 긍정적인 영향을 미친다.
- JumpCloud 해킹 공유 사례:
https://jumpcloud.com/blog/security-update-june-20-incident-details-and-remediation
- Bybit 해킹 공유 사례:
https://learn.bybit.com/this-week-in-bybit/bybit-security-incident-timeline/
정보 공유는 유사한 공격에 대한 선제적 대응을 가능하게 하고, 전체 보안 생태계의 강화를 이끄는 선순환 구조를 만든다. 하지만 국내에서는 사고 기업이 공개에 소극적이고, 사고 조사보다 빠른 포맷에 급급한 경우가 많다. 동일한 취약점이 반복적으로 악용됨에도 불구하고, 제대로 된 대응은 일시적인 조치에 그친다.
정보 공유 없이 일부만이 문제를 인지한 채 제한적으로 대응하는 구조는 장기적으로 더 큰 위험을 초래할 수 있다. 체르노빌 원전 폭발 사건은 설계 상의 문제를 무시하고, 사고 직전에도 원자로의 이상 징후가 있었지만, 실험을 강행했다. 폭발 직후에도 사고를 덮으려다가 대피가 늦어져 결국 수천 명이 사망하고 수십만명이 후유증을 겪었다. “쉬쉬”하며 넘어가려는 문화는 결국 대형 재난으로 이어질 수 있다.
2. 쉬운 분석에만 치중(Only for low-hanging fruits)
많은 CTI 분석 활동이 분석이 쉬운 대상에만 집중되는 경향이 있다. 국내에서 발표되는 위협 보고서의 대부분은 상대적으로 분석이 용이한 공격 그룹들에 집중되어 있으며, 계속 진행되는 공격 캠페인(큰 기술적 변화가 없는)에 대한 자료가 반복적으로 등장하는 경우가 많다. 물론 이들 또한 중요한 위협이지만, 더 고도화된 기술을 사용하는 그룹이나 분석이 까다로운 사례들에 대한 연구는 상대적으로 부족하다. 오히려 해외 벤더들이 해당 분야에서 더 깊이 있는 발표를 이어가고 있다.
소셜 미디어에서도 “북한으로 추정되는”, “#Kimsuky”, “#Lazarus”와 같은 키워드만 나열하고, 구체적인 증거나 분석 없이 결론만 제시하는 경우가 많다. 이러한 접근은 위협에 대한 실질적인 대응보다 정보 소비(또는 어그로)를 위한 콘텐츠에 가까우며, 보안 커뮤니티의 발전에 기여하기 어렵다.
3.실질적이지 못한 마케팅에 치중한 공유
기업 입장에서 마케팅은 생존을 위한 필수 요소이지만, 최근 CTI 보고서나 발표 중 상당수가 정보 제공보다는 마케팅을 중심에 두고 제작되고 있다고 생각한다. 공격 방식이나 분석 기법에 대한 실질적인 내용보다는, 조직을 홍보하거나 브랜드 인지도를 높이는 데 초점이 맞춰져 있다. ‘Operation OOO’처럼 화려한 이름을 붙이고 장황한 수식어로 치장하지만, 실제로 실용적인 내용은 보고서의 절반에도 못 미치는 경우가 많다.
마케팅이 필요하다는 점은 이해할 수 있지만, 실질적 위협 대응을 위한 커뮤니티 기여보다는 이벤트성 발표에 치우쳐 있는 현 구조는 CTI가 갖는 원래의 목적에서 벗어나고 있다. 보안 기업에서 발표하는 보고서나 블로그의 마지막이 “자세한 내용은 sales@company.com으로 연락주세요, 자세한 내용은 저희 플랫폼에서 확인할 수 있습니다.”로 끝나지 않기를 바란다.
4. 잘못된 정보 전달과 교차검증의 부재
일부 분석 보고서나 블로그, 기사 등에 사실과 다른 오류가 포함된 정보가 가끔 존재한다. 예를 들어, 단순히 탐지명이 유사하다는 이유로 다른 악성코드를 동일한 군으로 분류하거나(실제로는 완전 다른 악성코드 였음), 변수명에 “FTPServer”가 포함되어 있다는 이유로 확인도 하지 않고 FTP 통신으로 설명을 하는 사례도 있었다. 이러한 실수는 누구에게나 발생할 수 있지만, 문제는 이를 검증하거나 교차 확인하는 검증 메커니즘이 없다는 점이다.
이 점은 언론도 마찬가지다. 많은 보안 언론이 자체적으로 잘못된 부분을 검증할 여력이 없다 보니 대부분 보안 회사에서 작성한 내용을 그대로 옮겨서 기사화하는 일이 빈번하다. 그러다보니 위의 사례처럼 보안 업체가 부정확한 정보를 전달할 경우, 그 내용이 사실인 것처럼 언론을 통해 확산되기도 한다. 경험상 일부 해외 보안 기사들은 적어도 직접 취재를 진행할 경우, 다수의 보안 기업에 연락해 다양한 의견을 수렴하고 취합하려는 노력을 기울인다. 반드시 교차 검증까지 하지는 않더라도, 다른 시각을 반영하려는 태도는 분명히 존재한다. 하나의 기사가 얼마나 많은 기업과 기관의 보안 인력들을 바쁘게 만드는지 현업에 있지 않는 사람은 모를 것이다. 더군다나 그 내용이 잘못된 정보였을 경우 어마어마한 사람들의 노력과 시간이 낭비된다.
사이버 위협 분석은 신속함도 중요하지만, 정확성과 신뢰성은 그보다 더 중요하다. 잘못된 정보는 오히려 보안 대응에 혼란을 줄 수 있으며, 장기적으로 CTI의 신뢰도를 떨어뜨리는 결과를 초래한다. 분석 결과에 대한 내부 리뷰나 외부 전문가의 피드백, 그리고 기술적인 교차 검증을 통해 정보의 품질을 높일 필요가 있다.
5. 비판과 토론 문화의 부재
우리 사회는 비판이나 토론을 장려하는 문화와는 거리가 있다. 누군가의 노력에 대해 비판을 하면 자칫 거만하거나 공격적인 태도로 오해받기 쉽고, 토론은 종종 자신의 우월함을 드러내기 위한 자리로 인식되곤 한다. 하지만 비판은 잘못된 점을 바로잡는 계기가 되고, 토론은 서로의 생각을 공유하며 시야를 넓히는 기회가 될 수 있다.
가끔 소셜 미디어에서 CTI 관련 포스팅에 대해 누군가 오류를 지적할 경우 해당 게시물을 아무 설명 없이 삭제하는 경우를 자주 봤다. 비판을 두려워하고, 나의 실수를 인정하기를 꺼리는 것이다. 하지만 누구나 실수할 수 있고, 잘못된 정보를 전달할 수도 있다. 중요한 건 그 실수를 통해 배우고, 정보를 바로잡으며 함께 성장하는 것이다.
특히 사이버 공격의 배후를 밝히는 Attribution(어트리뷰션) 과정은 매우 주관적이며, 애매한 경우가 많다. 서로가 찾은 정보를 바탕으로 토론을 한다면 좀 더 탄탄한 결과가 나올 수 있다. 다른 의미로 말한 것이긴 하지만 故신해철은 이런 말을 했다.
문제가 끊임없이 발생하고 존재하는 한, 끊임없이 싸우고 관심을 갖고 이야기를 하는 것이 중요하다. 문제를 제기하고, 서로 화내지 않고, 의견이 다르니까 너는 바보라고 말하지 않고 이야기를 할 수 있는 사회라면 이미 절반은 달성된 것 아닐까?
CTI 분야 역시 이런 건강한 비판과 토론 문화가 필요해 보인다. 실수를 두려워하지 않고, 서로의 의견을 존중하며 발전할 수 있는 환경이 마련되어야 할 때다.
CTI, 말만 말고 진짜 활성화하려면
1. 공유 정보의 변화
사이버 공격이 정교해지고 다양해질수록, 커뮤니티에 공유되는 정보 형식 또한 변화가 필요하다. 악성코드 해시나 명령 제어 서버(C2)의 IP 주소 등 전통적인 IOC(Indicator of Compromise)는 수명이 매우 짧고, 빠른 대처가 가능하지만 일회성이 경우가 많다. 물론 IOC를 공유하는 일은 여전히 중요하지만, 보다 실용적이고 지속 가능한 탐지 방식에 대한 공유가 필요하다.
예를 들어, Yara rule, Sigma rule, KQL query, MITRE ATT&CK 기반의 탐지 로직 등은 IOC보다 맥락 기반의 탐지를 가능하게 하며, 방어자 입장에서 더 실효성 있는 대응이 가능하다. 이제는 단순한 정적 지표를 넘어서 행위 기반 탐지나 위협 모델링 수준의 정보 공유가 필요하다.
2. 책임감 있는 정보 공개와 기사화
CTI 분석가는 정보를 공유할 때 분명한 근거와 책임감을 가져야 한다. 예를 들어 “내부 분석 결과, 라자루스로 결론지었다”는 표현보다, “어떤 근거를 바탕으로 라자루스로 판단했는가”를 설명하는 것이 훨씬 더 가치 있는 정보다. 결과 자체만큼이나, 그 결과에 도달한 과정과 근거는 소비자에게 중요한 판단 기준이 된다.
일부 보안 블로그나 기사에서 검증되지 않은 개인 의견이나 부정확한 정보가 여과 없이 게시되는 경우가 종종 있다는 점이다. 예를 들어 Cloudflare의 공유 IP나 Parking 서버 IP를 IOC로 게시하거나, 오탐 가능성이 높은 데이터를 그대로 인용하는 사례도 있다. CTI 영역에서도 최소한의 검증과 교차 확인 과정은 반드시 필요하다.
취약점 공개 분야에는 오래전부터 책임감 있는 공개(Responsible Disclosure) 개념이 자리 잡고 있다. CTI에서도 이제는 “책임감 있는 공유(Responsible Sharing)” 문화가 필요하다. “자세한 내용은 sales@email.com으로 문의하세요”라는 문구는 더 이상 신뢰를 얻기 어려운 시대다.
3. 비판과 피드백의 건강한 수용
CTI 분야에서는 유난히 익명 소셜미디어 계정을 통한 정보 공유가 활발하다. 이는 기업 보안 정책이나 정보의 민감성 등 다양한 이유 때문일 수 있다. 익명 자체는 문제가 되지 않지만, 중요한 것은 그 익명성이 비판이나 피드백을 회피하는 수단이 되어서는 안 된다는 점이다.
누군가 자신의 분석 글에 오류를 지적하거나 다른 의견을 제시하면, 해당 게시물을 아무 설명 없이 삭제해버리는 “아니면 말고” 식의 태도는 CTI 분야의 전문성과 신뢰성을 떨어뜨릴 수 있다. 비판이나 피드백은 정보의 정확도를 높이고, 같이 성장할 수 있는 중요한 과정이다. 때로는 자신의 실수를 인정하고 수정하는 자세, 의견을 진지하게 받아들이는 태도가 CTI 생태계의 성숙도를 높이는 주요 요소가 될 수 있다.
CTI는 정말 흥미롭고 재미있는 분야다. 사이버 공격이 점점 더 다양하고 정교해질수록, CTI의 중요성도 함께 커지고 있다. 하지만 앞서 이야기한 것처럼, 순기능만큼이나 아쉬운 점들도 존재하며, 개선이 필요한 부분에 대한 지적도 계속되고 있다. 나는 여전히 CTI 업무가 즐겁고, 앞으로도 그럴 것이다. 다만, 이 분야가 조금 더 건강하고 재미있는 환경이 되어 더 많은 유능한 사람들이 유입되길 바란다. 오늘도 밤을 지새우며 공격을 분석하고, 배후가 누구인지 머리를 싸매며 고민하고 있을 CTI 리서처 분들 모두 화이팅이다!
