TBI Bank operates mobile banking services across three European countries, putting customer data and banking security directly in their users' pockets. But CISO Dobrin Dobrev's team faced a daunting challenge: cyber risks were growing exponentially while analysts manually scraped dark web forums and social media for threat intelligence—work that consumed days and yielded questionable accuracy. Threat actors constantly shifted aliases and tactics faster than the team could track them. Without centralized intelligence or automation, the security team couldn't prioritize effectively or respond fast enough to protect their expanding infrastructure. They needed real-time visibility and automated defenses to match the speed of modern attackers. Recorded Future became that solution.

Goal

Improve visibility into the most pressing cyber threats, enable better prioritization, and automate threat response to stay ahead of evolving threat actors targeting the financial sector.

문제

새롭게 떠오르는 사이버 위협으로부터 TBI의 은행 인프라와 고객을 보호해야 합니다.

결과

TBI Bank's partnership with Recorded Future delivered a 15% efficiency boost across the security team, freeing up capacity for proactive threat hunting without adding headcount. Days of manual dark web investigation collapsed into minutes as the platform aggregated intelligence from hacker forums, open sources, and dark web channels into one centralized view. Recorded Future's integration with Darktrace automated their response to known threats—when malicious IP addresses are detected, connections are blocked immediately without manual intervention. Detailed risk scores and threat actor profiles help Dobrev's team focus on the most critical exposures first, catching threats like phishing campaigns in early stages before they escalate into full environment breaches. This proactive approach reduces breach risk, avoids associated costs, and strengthens customer confidence in their mobile banking platform.

실시간 위협 인텔리전스의 긴급한 필요성

복잡하고 진화하는 위협 환경을 고려할 때, 금융 기관은 최신의 실시간 위협 인텔리전스를 보유해야 하지만, TBI Bank 보안 팀에서는 필요한 탐지 작업을 수행하는 것이 쉽지 않았습니다. 이 팀의 분석가들은 위협 인텔리전스를 위한 중앙 집중식의 소스가 부족했습니다. 대신 온라인 포럼, 소셜 미디어 플랫폼, 다양한 웹사이트를 수작업으로 샅샅이 뒤져 정보를 찾아내야 했는데, 이처럼 시간이 많이 걸리는 과정으로 인해 결과의 시의성과 정확성에 의문이 제기되는 경우도 있었습니다.

“우리는 다크웹을 수동으로 조사하고 악성 IP 주소를 식별하는 작업을 했으며, 이는 정말로 시간이 많이 소요되는 일이었습니다.”라고 Dobrev는 회상했습니다. “필요한 정보를 수집하는 데 며칠이 걸릴 수 있으며, 그 정보가 얼마나 최신인지 확신할 수 없었습니다. 위협 행위자들은 끊임없이 진화하고 다양한 가명을 만들기 때문에 이를 따라잡는 것이 정말 어려울 수 있습니다.”

TBI 은행은 다음 과제에 대한 해결책이 필요했습니다.

• 가장 최신의 위협 인텔리전스 획득 및 중앙 집중화
• 추가 조사를 위해 가장 중요한 위험의 우선순위 지정
• 위협 응답의 여러 측면 자동화

이렇게 하면 더 빠르게 대응하여 비즈니스와 고객 모두의 보안을 유지할 수 있습니다.

TBI Bank는 여러 공급업체를 평가한 끝에 Recorded Future를 최종적으로 선택했습니다. Dobrev는 "Recorded Future가 우리 지역 및 금융 부문과 관련된 가장 가치 있는 실시간 정보를 제공한다는 것을 확인했습니다"라고 말했습니다.

가장 시급한 위협에 대한 완전한 가시성 확보

TBI Bank는 글로벌 노출을 보다 명확하고 포괄적으로 파악하기 위해 Recorded Future를 사용하고 있습니다. Recorded Future를 통해 필요한 모든 정보가 하나의 플랫폼에 통합되므로, 분석가들이 위협과 취약점을 수동으로 식별하는 수고를 덜 수 있습니다.

Recorded Future는 다크웹, 해커 포럼, 오픈 소스 등 다양한 소스에서 데이터를 수집하여 실시간 위협 지표를 제공합니다. 이러한 지표에는 악성 IP 주소, 도메인 및 기타 침해 지표가 포함됩니다. 또한 금융 업계를 적극적으로 노리는 신종 멀웨어 변종이나 피싱 캠페인 등 신종 위협에 대한 정보도 TBI Bank에 알립니다.

“우리가 얻고 있는 정보의 질이 크게 향상된 것을 보았습니다”라고 Dobrev는 말했습니다.

올바른 조사 영역의 우선순위 지정

Recorded Future 팀은 초기 개념 증명부터 지속적인 지원에 이르기까지 모든 과정에서 도움을 제공했습니다. Recorded Future 팀의 지원과 전문 지식을 바탕으로, TBI Bank는 플랫폼이 위협의 우선순위를 정하고 가장 중요하며 관련성이 높은 위협에 집중하는 데 어떻게 도움이 되는지 알게 되었습니다. Recorded Future는 개별 위협 행위자, 위협 행위자의 일반적인 방법 및 과거 행동에 대한 자세한 컨텍스트를 제공합니다.

Recorded Future는 또한 위협 행위자의 평판과 목격 횟수 등의 요소에 따라 위험 점수를 부여합니다. 이 포괄적인 접근 방식은 Dobrev와 그의 팀이 우선적으로 조사할 위협을 결정하여, 자원을 효과적으로 배분하고 전체적인 위험을 줄일 수 있도록 지원합니다.

악의적인 공격자보다 앞서 나가기

사이버 보안의 많은 부분은 동향을 주시하는 것이며, 완전한 가시성이 없이는 동향을 주시하기가 어려웠습니다. Recorded Future는 TBI 팀이 동향을 파악하고 보안에 대해 보다 선제적으로 대처하는 데 필요한 가시성을 제공합니다.

“Recorded Future와 함께하면 다양한 위협 행위자, 전술, 기법, 절차(TTP)를 한 곳에서 모두 추적할 수 있습니다. 특정 그룹을 팔로우하고 새로운 정보가 발생할 때 알림을 받습니다. 이 정보가 없었다면, 문제가 이미 더 심각한 인시던트로 악화되었을 수도 있는 나중 단계에서 이를 식별했을 것입니다.”라고 Dobrev는 말했습니다.

지속적인 모니터링과 신속한 대응은 노출을 최소화하고 인시던트가 확대되는 것을 방지하기 때문에 은행의 성공과 보안에 필수적이라고 Dobrev는 계속해서 설명했습니다. “모든 것은 피싱 이메일과 같은 사소한 것에서 시작될 수 있습니다. 이를 초기에 탐지하지 못하면 시스템에 대한 완전한 접근 권한을 허용할 수 있습니다. 그렇기 때문에 초기 단계 모니터링이 매우 중요합니다.”

Darktrace 통합으로 자동화 촉진

Recorded Future의 가장 큰 이점 중 하나는 Darktrace를 포함하여 TBI Bank의 기존 도구와 통합된다는 점입니다. 이 통합을 통해 TBI Bank는 알려진 위협에 대한 대응을 자동화할 수 있습니다. Darktrace가 Recorded Future에서 식별한 악성 IP 주소에 대한 연결을 감지하면, TBI Bank 엔지니어의 수동 개입 없이 해당 연결을 자동으로 차단합니다.

“Recorded Future는 의심스러운 활동을 식별하고, 침해된 시스템이나 IP 주소를 자동화를 통해 즉시 차단할 수 있습니다.”라고 Dobrev는 설명했습니다. “우리 환경에 직접 대응하기 시작하고 초기 단계에서 차단하며 노출을 최소화할 수 있다는 것이 우리에게 가장 큰 영향을 미쳤습니다.”

TBI Bank는 Recorded Future와 Darktrace의 통합을 통해 전체 위협 환경에 대한 완전한 가시성을 확보하여 전반적인 사이버 보안 태세를 개선했습니다.

효율성 15% 향상

위협 인텔리전스가 중앙 집중화되고 자동화된 인시던트 대응를 갖추면서 Dobrev 팀의 분석가와 엔지니어들이 상당히 많은 시간을 절약하고 있습니다. Dobrev는 팀의 효율성이 15% 증가했다고 추정합니다.

이러한 효율성 증가는 팀을 확장하지 않고도 다른 중요한 프로젝트에 자원을 재할당할 수 있음을 의미합니다. 위협 헌팅과 취약점 관리에 더욱 선제적으로 대응하고 인시던트 발생 가능성을 줄일 수 있습니다.

TBI Bank는 효율성 향상뿐만 아니라 침해 위험 감소와 관련 비용 회피를 통해 성과를 측정합니다. TBI Bank는 Recorded Future를 통해 위협 탐지 및 응답 시간을 개선함으로써, 사이버 공격의 성공 위험을 줄이고 잠재적인 비용 영향을 감소시키며 고객 신뢰를 증대시킵니다. Dobrev는 효율성을 높이고 보안 절차를 강화하려는 다른 CISO들에게도 동일한 효과를 제공할 수 있다고 주장합니다.

"Recorded Future와의 파트너십은 우리 팀에게 훌륭한 결정이었으며, 사이버 보안 전략에서 중요한 이정표였습니다."라고 Dobrev는 말했습니다.