2023년 위협 인텔리전스 현황

소개

2023 위협 인텔리전스 현황 보고서에서는 대부분의 조직이 위협 인텔리전스의 수집과 분석을 사이버 보안 프로그램의 핵심 요소로 삼고 기존의 사이버 보안 활동을 넘어 그 사용 사례를 확장한 방법과 그 이유를 살펴봅니다.

2023년 8월, 다양한 국가와 산업 분야의 사이버 보안 관리자 및 실무자 400명을 대상으로 조직의 위협 인텔리전스 사용에 대한 설문조사를 실시했습니다. 중요한 사용 사례와 이점, 출처, 향후 위협 인텔리전스 개선 계획에 대해 물어보았습니다. 위협 인텔리전스 전담 조직이 있는지, 여러 사이버 보안 팀의 풀타임 또는 파트타임 기여자에게 의존하는지, 위협 인텔리전스 노력의 성숙도 등 조직적 문제에 대해 문의했습니다. 또한 위협 인텔리전스 공급업체를 선정하는 기준에 대한 정보도 요청했습니다.

우리의 목표는 CIO, CISO, 사이버 보안 관리자 등에게 동료들이 위협 인텔리전스를 어떻게 활용하고 있는지, 개선이 필요한 부분은 무엇인지에 대한 정보를 제공하는 것입니다.

사이버엣지는 이 보고서를 구상하고 성공에 필수적인 지원을 아끼지 않은 연구 후원사 레코디드 퓨처에 감사의 뜻을 전합니다.

상위 5가지 인사이트

이 보고서에는 위협 인텔리전스 현황에 대한 수십 가지의 실행 가능한 인사이트가 포함되어 있습니다. 5가지 핵심 사항을 소개합니다:

사용 사례와 혜택이 확대되었습니다. 오늘날 대부분의 조직은 10가지 이상의 사용 사례에 위협 인텔리전스를 활용하고 있습니다. 위협 인텔리전스 프로그램은 기존 보안 도구 강화, 경보 분류, 사고 대응, 취약성 관리와 같은 몇 가지 핵심 사이버 보안 작업을 위한 리소스로 성장했지만 그 범위가 확장되었습니다. 인텔리전스는 핵심 운영 사이버 보안 업무 외에도 위험 평가 및 사이버 보안 프로그램 관리, 마케팅, 물리적 보안, 타사 위험 관리 및 사기 방지 팀의 활동을 지원하는 데 중요한 역할을 하고 있습니다.

5개 이상의 소스가 있는 것이 1개보다 낫습니다. 현재 90% 이상의 조직이 최소 5곳 이상의 출처에서 위협 인텔리전스를 확보하고 있습니다. 여기에는 자체 직원, 무료 및 유료 위협 데이터 피드, 네트워크의 보안 도구가 포함됩니다. 또한 다크 웹을 비롯한 여러 소스에서 데이터를 수집하고 자동 경고를 생성하며 심층적인 위협 분석을 제공하는 위협 인텔리전스 공급업체에 의존하고 있습니다.

공급업체는 전문 기술과 지식을 제공합니다. 대부분의 조직은 주로 전문 기술과 지식을 활용하기 위해 위협 인텔리전스 공급업체와 협력합니다. 여기에는 공격자와 공격자의 전술, 기술 및 절차(TTP), 다크 웹에서의 토론 및 활동, 특정 산업, 애플리케이션 및 시스템을 대상으로 하는 위협에 대한 지식이 포함됩니다. 또한 실시간으로 제공되는 최신 인텔리전스를 제공하고 위협 피드를 기존 사이버 보안 워크플로와 통합하는 공급업체의 능력도 중요하게 생각합니다.

전담적이고 성숙한 위협 인텔리전스 팀. 오늘날 위협 인텔리전스 프로그램은 매우 견고한 기반을 갖추고 있습니다. 71%의 조직이 위협 인텔리전스 전담 팀을 보유하고 있으며, 이들 중 87%는 위협 인텔리전스 활동의 성숙도가 '중간' 또는 '고급' 수준이라고 답했습니다. 또한 설문조사 응답자의 98%라는 압도적인 비율이 사이버 보안 프로그램에 포괄적인 위협 인텔리전스가 필수적이라는 데 동의했습니다.

개선의 여지가 있습니다. 새로운 위협과 사용 사례의 증가로 인해 기업들은 위협 인텔리전스 기능을 강화하고 개선해야 할 많은 이유를 갖게 되었습니다. 더 많은, 더 나은, 더 빠른 정보 수집, 위험 분석 및 사이버 보안 프로그램 관리에 인텔리전스 사용, 브랜드 보호 및 타사 위험 관리와 같은 전통적인 사이버 보안 영역 외의 지원 등이 목표입니다.

이 보고서 정보

이 보고서의 조사 결과는 세 가지 섹션으로 나뉩니다:

섹션 1: 위협 인텔리전스 사용 사례 및 이점

조직은 위협 인텔리전스를 어떤 용도로 사용하나요? 이 섹션에서는 기존 보안 도구의 정확성 향상부터 사이버 보안 계획 및 투자 안내, 온라인 사기 감소에 이르기까지 10가지 사용 사례의 발생률을 살펴봅니다. 또한 SOC, 사고 대응, 취약성 관리 및 기타 사이버 보안 팀의 활동과 관련된 특정 운영상의 이점과 보안 프로그램 관리 및 경영진과의 커뮤니케이션과 관련된 특정 전략적 이점에 대한 관심도를 정량화합니다.

섹션 2: 위협 인텔리전스 소스 및 공급업체

이론적으로 조직은 자체 리소스를 사용하여 위협 인텔리전스를 수집하고 분석할 수 있습니다. 실제로 이런 경우는 극히 드뭅니다. 이 보고서의 이 섹션에서는 그 이유를 살펴봅니다. 대부분의 조직이 어떤 소스를 활용하고 위협 인텔리전스 공급업체와 협력하는 이유를 검토합니다. 또한 조직이 위협 인텔리전스 공급업체를 선택할 때 어떤 특성을 찾고 있는지에 대한 인사이트를 제공합니다.

섹션 3: 위협 인텔리전스 조직 및 계획

조직은 위협 인텔리전스 활동을 어떻게 조직하고 지원하고 있으며, 앞으로 무엇을 계획하고 있나요? 이 섹션에서는 사이버 보안 그룹에서 위협 인텔리전스 관련 업무를 담당하는 사람들의 위치와 설문 응답자들이 위협 인텔리전스 활동의 성숙도 척도에서 소속 조직의 위치를 조사합니다. 또한 위협 인텔리전스 공급업체와의 협력 계획과 인텔리전스 활동을 개선하기 위한 우선순위를 검토합니다.

이 보고서 탐색하기

유용한 정보를 모두 파악할 수 있도록 이 보고서를 처음부터 끝까지 읽어보시기 바랍니다. 그러나 특정 관심 주제를 찾고 있는 경우 보고서를 탐색하는 다른 세 가지 방법이 있습니다.

• 목차. 목차의 각 항목은 특정 설문조사 질문과 관련이 있습니다. 항목을 클릭하면 해당 페이지로 이동합니다.
• 연구 하이라이트. 연구 하이라이트 페이지에는 보고서의 가장 중요한 헤드라인이 표시됩니다. 각 하이라이트에는 페이지 번호가 참조되어 있어 자세한 내용을 빠르게 확인할 수 있습니다.
• 탐색 탭. 각 페이지 상단의 탭은 클릭할 수 있어 보고서의 다른 섹션으로 편리하게 이동할 수 있습니다.

연구 하이라이트

위협 인텔리전스 사용 사례 및 이점

• 사용 사례. 조직은 현재 10가지 이상의 다양한 사용 사례에 위협 인텔리전스를 활용하고 있습니다. 인텔리전스는 사이버 보안 팀의 역량을 배가시킬 뿐만 아니라 마케팅, 물리적 보안, 타사 위험 관리, 사기 방지 그룹 등에도 가치를 제공합니다.
• 운영상의 이점. 주요 운영상의 이점으로는 위협 탐지 및 방지 도구의 정확도 향상, 더 많은 멀웨어 유형 및 악성 URL 식별, 위협 행위자 및 해당 TTP 식별, 위협 헌팅 개선 등이 있습니다.
• 전략적 이점. 중요한 전략적 이점은 사이버 보안 투자를 정당화하는 능력을 향상하고, 새로운 기술과 비즈니스 이니셔티브를 위협할 수 있는 공격을 예측하며, 새로운 위협에 대한 가시성을 강화하는 것에서 시작됩니다.
• 사이버 보안의 중요성. 설문조사 응답자의 압도적인 다수가 "효과적인 사이버 보안 프로그램을 위해서는 포괄적인 위협 인텔리전스가 필수적이다"라는 진술에 어느 정도 동의(14%)하거나 매우 동의(85%)했습니다.

위협 인텔리전스 소스 및 공급업체

• 출처. 설문조사에 참여한 기업의 90% 이상이 최소 5곳 이상의 출처에서 위협 인텔리전스를 확보하고 있습니다. 주로 자체 직원, 보안 도구 공급업체, 위협 인텔리전스 솔루션 공급업체, 유료 위협 피드를 통해 조사합니다.
• 벤더와 협력하는 이유 조직은 전문 기술에 액세스하고, 기존 보안 도구 및 워크플로와의 통합을 가능하게 하며, 적의 TTP에 대한 정보를 얻기 위해 위협 인텔리전스 공급업체와 협력합니다.
• 공급업체 선정 기준 조직은 많은 보안 팀을 지원하고, 실시간으로 최신 인텔리전스를 제공하며, 우수한 고객 지원을 제공할 수 있는 위협 인텔리전스 공급업체를 찾고 있습니다. 비용은 가장 중요한 기준 중 하나가 아닙니다.

위협 인텔리전스 조직 및 계획

• 위협 인텔리전스 조직. 설문조사에 참여한 조직 중 71%는 위협 인텔리전스 전담 팀을 보유하고 있습니다. 또 다른 19%는 기존 보안 팀에 인텔리전스 수집 및 분석 업무를 전담하는 인력이 있습니다.
• 프로그램의 성숙도. 46%의 조직이 위협 인텔리전스 프로그램의 성숙도가 '중간' 수준이라고 생각하는 것으로 나타났습니다. 또 다른 41%는 자신을 "고급"이라고 설명합니다. 13%만이 스스로를 '초급' 또는 '기본' 수준이라고 답했습니다.
• 투자의 적절성. 설문조사 응답자의 92%가 "우리 조직은 위협 인텔리전스에 적절한 투자를 하고 있다"는 문항에 어느 정도 동의하거나 매우 동의한다고 답했습니다.
• 공급업체와의 협력 계획 전체 44%의 조직은 현재와 비슷한 수의 위협 인텔리전스 공급업체와 계속 협력할 계획이라고 답했습니다. 약 17%는 통합하고 있으며, 28%는 더 많은 팀과 협력할 계획입니다.
• 위협 인텔리전스를 개선할 계획입니다. 조직은 여러 가지 방법으로 위협 인텔리전스 사용을 개선하고 확장할 계획입니다. 최우선 순위로는 인텔리전스를 사용하여 위험 분석을 강화하고, 외부 및 내부 위협 데이터를 결합하여 더 많은 인사이트를 얻고, 위협 인텔리전스를 추가적인 사이버 보안 워크플로와 통합하고, 위협 인텔리전스를 사용하여 경영진 및 이사회 구성원과의 커뮤니케이션을 개선하는 것입니다.

섹션 1: 위협 인텔리전스 사용 사례 및 이점

위협 인텔리전스 사용 사례

조직에서는 위협 인텔리전스를 어떻게 활용하고 있나요?

그림 1: 위협 인텔리전스의 가장 중요한 사용 사례.

조직에서는 위협 인텔리전스를 어떻게 활용하고 있나요?

몇 년 전만 해도 대부분의 사이버 보안 그룹은 위협 인텔리전스를 주로 공격을 탐지하고 취약점의 우선순위를 정하기 위한 리소스로 간주했습니다. 설문조사 데이터에 따르면 현재 조직은 10가지 이상의 다양한 사용 사례에 위협 인텔리전스를 활용하고 있으며, 그 중 일부는 사이버 보안 이외의 그룹에 가치를 제공하고 있습니다(그림 1 참조).

가장 인기 있는 사용 사례(응답자의 50.9%가 꼽음)는 방화벽, 침입 방지 시스템(IPS), 보안 이메일 및 웹 게이트웨이(SEG 및 SWG), 안티멀웨어 솔루션 등 기존 보안 도구의 정확도를 높이는 것이었습니다. 여기에는 주로 멀웨어 시그니처, 의심스러운 URL, 도메인, IP 주소, 기타 공격 지표(IoA) 및 침해 지표(IoC)를 제공하는 자동화된 데이터 피드가 포함되어 보안 도구가 유해한 콘텐츠를 필터링하고 공격자와의 통신을 차단할 수 있도록 합니다. 위협 인텔리전스는 기존 보안 투자의 효과를 배가시켜 보다 효과적이고 안정적으로 기능을 수행할 수 있도록 지원합니다.

"설문조사 데이터에 따르면 현재 조직은 10가지 이상의 다양한 사용 사례에 위협 인텔리전스를 활용하고 있으며, 그 중 일부는 사이버 보안 이외의 그룹에도 가치를 제공하고 있습니다."매우 그 뒤를 이어 취약성 및 노출 우선순위 지정(57.8%의 조직)과 보안 운영 센터(SOC) 및 보안 정보 및 이벤트 관리(SIEM) 시스템의 성능 개선(57.0%)이라는 두 가지 핵심 운영 용도가 뒤를 이었습니다.

하지만 오늘날 위협 인텔리전스는 보안 리더들이 프로그램 관리와 전략 계획에도 활용하고 있습니다. 전체 조직의 절반 이상이 인텔리전스를 사용하여 사이버 위험을 분석 및 모델링하고 사이버 보안 계획 및 투자를 안내하는 데 도움을 받고 있습니다(54.3%). 및 52.8%).

새로운 유형의 위협이 등장함에 따라 사이버 보안 외부의 그룹에서 위협 인텔리전스를 활용할 방법을 찾았습니다. 여기에는 웹과 소셜 미디어에서 브랜드와 평판을 보호하기 위해 인텔리전스를 사용하는 마케팅 그룹(50.0%), 물리적 위치와 시설의 위험을 파악하는 물리적 및 지정학적 보안 그룹(48.5%), 제3자 위험을 모니터링하는 공급망 및 제3자 위험 관리(TPRM) 팀(47.2%), 사기를 줄이기 위한 사기 방지 팀(45.0%) 등이 포함됩니다.

운영상의 이점

다음 중 위협 인텔리전스를 통한 운영상의 이점 중 귀사에 가장 중요한 것은 무엇인가요? (최대 5개까지 선택)

그림 2: 위협 인텔리전스의 운영상의 이점.

응답자에게 조직에 가장 중요한 운영상의 이점을 최대 5개까지 선택하도록 요청했습니다. 전략적 혜택은 다음 질문에서 다룹니다. ('운영'과 '전략적'이라는 용어의 사용은 도입부의 용어 노트를 참조하세요.)

가장 많이 언급된 운영상의 이점은 위협 탐지 및 예방 도구의 정확도 향상(응답자의 56.8%가 선택)과 더 많은 멀웨어 유형, 취약성 및 악성 URL 식별(55.0%)이었습니다(그림 2 참조). 오늘날 공격자들은 새로운 도메인에서 지속적으로 공격을 시작하고, 새로운 봇넷을 만들고, 멀웨어 파일을 조정하기 때문에 포괄적이고 시기적절한 인텔리전스가 매우 중요합니다.

관련 위협 행위자와 그들의 전술, 기법 및 절차(TTP)를 파악하는 것이 53.0%로 3위를 차지했습니다. 사이버 보안팀은 TTP에 대한 정보를 사용하여 사고 대응 속도를 높이고, 위협 헌팅을 위한 가설을 제공하며, 취약점 개선의 우선순위를 정하고, 위협에 대한 투자를 조정할 수 있습니다.

52.0%의 조직이 위협 헌팅 개선 및 자동화를 최우선 과제로 선택했습니다. 이는 정부 및 소매 부문에서 운영상의 이점 1위를 차지했습니다. 위협 헌터는 알려진 공격자의 TTP를 기반으로 공격 가능성에 대한 가설을 만든 다음 이와 관련된 IoC를 찾습니다.

응답자의 42.0%가 지리적 위치에서 시설과 직원에 대한 위협을 탐지하는 것을 가장 중요하게 생각한다고 답했습니다. 퍼블릭 및 다크웹 소스는 물리적 보안 팀과 현지 경영진을 피할 수 있는 멀리 떨어진 위치의 자산에 대한 위협을 드러낼 수 있습니다.

다음 단계의 운영상의 이점은 알림을 더 빠르고 정확하게 분류하고, 가짜 웹사이트와 소셜 미디어 계정을 식별하며, 개선 활동의 우선순위를 더 잘 지정하는 것입니다. 각각 응답자의 약 3분의 1이 선택했습니다.

다크 웹을 모니터링하여 현재 위협과 도난당한 자격 증명 및 지적 재산에 대한 정보를 찾는 것이 응답자의 4분의 1이 조금 넘는 비율로 선택되었습니다. 이는 일부 조직은 다크 웹 모니터링을 매우 중요하게 생각하지만, 대부분의 조직은 아직 이를 수행하고 있지 않다는 설문조사의 다른 증거와 일치합니다.

전략적 이점

다음 중 위협 인텔리전스를 통한 운영상의 이점 중 귀사에 가장 중요한 것은 무엇인가요? (최대 3개까지 선택합니다.)

그림 3: 위협 인텔리전스의 전략적 이점.

광범위한 위협 환경, 사이버 범죄 및 국가가 후원하는 공격의 동향, 곧 등장할 새로운 위협에 대해 설명하는 인텔리전스는 어떤가요? 응답자에게 위협 인텔리전스의 가장 중요한 전략적 이점 세 가지를 선택하도록 요청했습니다.

이전 CyberEdge 그룹의 설문조사에 따르면 97%의 조직에서 보안 리더가 이사회와 직접 소통하고 있는 것으로 나타났습니다(CyberEdge 그룹 2023 사이버 방어 보고서, 48페이지 참조). 위협 인텔리전스는 조직에 대한 현재 및 새로운 위협과 관련 위험에 대한 객관적인 정보를 제공하는 데 도움이 됩니다.

예를 들어, 조직 5곳 중 3곳(61.1%)이 사이버 보안 투자의 우선순위를 정하고 정당화하는 데 위협 인텔리전스를 사용하고 있습니다(그림 3 참조). 이를 통해 가장 관련성이 높은 위협을 파악하여 잠재적 영향과 완화 비용을 비교할 수 있습니다. 이와 관련된 조사 결과에 따르면 44.7%의 조직이 위협 인텔리전스를 사용하여 기업의 경영진과 이사회에 위험 상태와 보안 준비 상태를 더 잘 전달하고 있습니다(지역별로 차이는 있지만 미국, 호주, 독일에서는 절반 이상의 응답자가 주요 이점으로 꼽았지만 일본과 프랑스에서는 1/4이 조금 넘는 응답자가 이 방법을 사용하고 있습니다).

60% 이상의 조직이 비즈니스 및 기술 이니셔티브와 관련된 사이버 위험을 완화하기 위해 위협 인텔리전스를 사용합니다. 예를 들어, 새로운 무선 기술 배포를 준비하는 기업은 인텔리전스를 사용하여 해당 기술에 대한 공격을 예측하거나 새로운 지역 시장으로 확장하는 기업은 해당 지역을 대상으로 하는 위협에 대비할 수 있습니다.

또 다른 주요 이점은 새로운 위협과 공격 방법에 대한 가시성을 확보하여 조직이 올바른 방어 체계를 조기에 구축할 수 있다는 점입니다. 설문조사에 참여한 7개국 중 3개국에서 가장 많이 언급된 전략적 이점입니다: 프랑스, 영국, 독일입니다.

위협 인텔리전스를 사용하여 공급망 및 타사 리스크를 관리하는 것은 비교적 새로운 사용 사례이지만 응답자의 약 40%가 이를 언급했습니다. 이는 최근 수백 개의 조직에 영향을 미친 SolarWinds 침해 및 이와 유사한 공격의 가시성을 반영한 것으로 보입니다.

사이버 보안을 위한 위협 인텔리전스의 중요성

다음 진술에 대한 귀하의 동의를 가장 잘 설명하는 옵션을 선택하세요: "효과적인 사이버 보안 프로그램을 위해서는 포괄적인 위협 인텔리전스가 필수적이다."

사이버 보안 관리자와 실무자는 오늘날 우수한 위협 인텔리전스가 반드시 필요하다고 생각하시나요? 압도적으로 그렇습니다. 그림 4에서 볼 수 있듯이 설문 응답자의 84.6%가 "효과적인 사이버 보안 프로그램을 위해서는 포괄적인 위협 인텔리전스가 필수적이다"라는 진술에 매우 동의했으며, 13.6%는 어느 정도 동의한다고 답했습니다. 이 진술에 어느 정도 또는 매우 동의하지 않는다는 응답자는 1.8%에 불과했습니다. 실제로 그림 5에서 볼 수 있듯이 어느 정도 또는 매우 동의하지 않는다고 응답한 비율은 조사 대상 국가 모두에서 4%를 넘지 않았습니다.

그림 4: 효과적인 사이버 보안 프로그램을 위해서는 포괄적인 위협 인텔리전스가 필수적이라는 진술에 동의합니다.

이 진술에 어느 정도 또는 매우 동의하지 않는다는 응답자는 1.8%에 불과했습니다.

그림 5: 국가별로 사이버 보안을 위해 포괄적인 위협 인텔리전스가 필수적이라는 데 동의합니다.

실제로 그림 5에서 볼 수 있듯이 어느 정도 또는 매우 동의하지 않는다고 응답한 비율은 조사 대상 국가 모두에서 4%를 넘지 않았습니다.

"사이버 보안 관리자와 실무자는 오늘날 우수한 위협 인텔리전스가 반드시 필요하다고 생각하시나요? 압도적으로 그렇습니다."

섹션 2: 위협 인텔리전스 소스 및 공급업체

위협 인텔리전스 소스

귀사는 다음 각 출처에서 위협 인텔리전스를 얼마나 자주 얻나요?

그림 6: 조직이 소스에서 위협 인텔리전스를 얻는 빈도.

조직은 위협 인텔리전스를 어디에서 얻을 수 있을까요? 정답은 바로 여러 소스입니다. 실제로 설문조사에 참여한 기업의 90% 이상이 5개 이상을 사용하고 있습니다(그림 6 참조). 실제로 조직의 3분의 2가 이 다섯 가지 출처에서 "자주" 또는 "지속적으로" 정보를 얻습니다( "드물게," " 가끔," 또는 "전혀" 그렇지 않은 경우와 비교).

사실 가장 큰 원인은 내부 팀입니다. 사이버 보안 그룹의 누군가는 3%를 제외한 모든 조직에서 위협 조사를 수행합니다.

또한 엔드포인트 탐지 및 대응(EDR) 도구 및 SIEM과 같은 내부 보안 도구로 IoA 및 IoC를 추적하고(95.5%), 위협 인텔리전스 솔루션 공급업체와 협력(93.6%)하는 것도 널리 퍼져 있습니다. 후자는 "여러 소스에서 데이터를 수집하고 자동화된 알림과 보고서를 생성하며 분석을 제공하는 공급업체"로 정의되었습니다.

유료 위협 데이터 피드도 널리 사용되고 있으며(92.8%), 무료 피드도 자주 사용되지는 않지만(83.6%) 널리 사용되고 있습니다. 유료 피드 제공업체는 중복되거나 오래된 항목을 걸러내고 상황에 맞는 정보로 데이터를 보강하는 반면, 무료 제공업체는 그렇지 않은 경우가 많습니다.

마지막으로, 업계 컨소시엄과 표준 기관도 중요한 역할을 담당하며 다른 출처에서 얻을 수 없는 업계별 인사이트와 동료의 조언을 제공하는 경우가 많습니다.

위협 인텔리전스 공급업체와 협력해야 하는 이유

위협 인텔리전스 공급업체와 협력해야 하는 다음 각 이유의 중요도를 1부터 5까지(5가 가장 높음) 척도로 평가하세요.

그림 7: 위협 인텔리전스 벤더와 협력하는 이유(1점부터 5점까지, 5점이 가장 높음).

97% 또는 조직에 위협 조사를 수행하는 인력이 있다는 점을 감안할 때(이전 질문 참조), 위협 인텔리전스 공급업체의 서비스도 사용하는 이유는 무엇일까요? 몇 가지 이유가 눈에 띕니다.

전 세계적으로 위협 인텔리전스를 수집하고 분석할 수 있는 기술을 갖춘 전문가가 부족한 것도 큰 요인입니다. 공급업체는 이러한 기술에 대한 액세스를 제공합니다(그림 7 참조).

마찬가지로 중요한 것은 위협 인텔리전스 공급업체들이 이미 다양한 보안 및 분석 도구와 그들의 결과물을 통합하고 있다는 사실입니다. 이 통합으로 보안 워크플로우의 오케스트레이션 및 자동화가 용이해져 조직이 공격을 더 빠르게 탐지하고 대응할 수 있습니다.

또한 목록의 맨 위에 있습니다: 위협 인텔리전스 공급업체는 적의 TTP에 대한 실행 가능한 정보를 제공하며, 다크 웹(대부분 러시아어 또는 중국어로 진행되며 해독하기 어려운 '회원 전용' 포럼에서 이루어지는 경우가 많습니다)에서의 토론 및 활동을 모니터링할 수 있는 기술과 경험을 보유하고 있습니다.

모든 위협이 모든 조직에 위험인 것은 아닙니다. 위협 인텔리전스 공급업체는 맞춤형 문의 또는 심층 보고서 또는 검색 가능한 인텔리전스 데이터베이스를 통해 조직이 특정 산업, 애플리케이션 및 기술과 관련된 위협을 분류할 수 있도록 도와줍니다.

위협 인텔리전스 벤더 선정 기준

다음 중 위협 인텔리전스 벤더를 선택할 때 가장 중요하게 생각하는 특성은 무엇인가요? (최대 5개까지 선택)

그림 8: 위협 인텔리전스 벤더를 선택하는 데 가장 중요한 특성.

조직이 위협 인텔리전스 공급업체에서 어떤 특성을 찾고 있는지 알아보고자 응답자에게 목록에서 상위 5개를 선택하도록 요청했습니다.

가장 중요한 요구 사항은 보안 운영, 취약성 관리, 공급망 보안, 브랜드 보호, 위험 관리 등 여러 보안 팀을 지원할 수 있는 능력입니다. 응답자의 61.9%가 이 점을 강조했습니다(그림 8 참조). 다양한 사용 사례 지원에 대한 높은 관심은 대부분의 조직이 다양한 목적으로 위협 인텔리전스를 활용하고 있음을 보여주는 이전 질문의 데이터와 일치합니다(그림 1 참조).

또한 빠르게 변하는 공격에 대응하기 위해 실시간으로 제공되는 최신 데이터(49.6%), 탐지 및 대응을 자동화하고 가속화하기 위해 사이버 보안 워크플로에 쉽게 통합할 수 있는 기능(49.1%)이 상위권을 차지했습니다.

다음 단계의 선택 요소로는 우수한 고객 지원(41.4%), 매니지드 서비스(예: 알림 분류 및 도메인 삭제 서비스) 제공 여부(40.9%), 다양한 전문 기술 및 지식(38.1%) 등이 있습니다.

"설문조사에 참여한 조직의 37.1%가 '합리적인 비용'을 중요한 요소로 꼽았는데, 이는 거의 3분의 2(62.9%)가 상위 5위 안에 들지 못한다는 의미입니다. 이 결과는 조직이 비용보다 데이터 품질, 속도 및 기타 비재무적 요소에 더 많은 관심을 갖고 있음을 나타냅니다. 이는 조직이 위협 인텔리전스 활동에 적절한 자금을 지원하고 있다는 대다수 응답자의 의견과도 일치합니다.

섹션 3: 위협 인텔리전스 조직 및 계획

위협 인텔리전스 조직

전담 위협 인텔리전스 팀이 있나요?

사이버 보안 그룹은 일반적으로 위협 인텔리전스 역량이 성장함에 따라 일련의 조직적 단계를 진행합니다. 인텔리전스를 전담하는 사람이 없는 것부터 시작하여 파트타임으로 인텔리전스 업무를 담당하는 사람, 여러 팀에 전문가를 배치하는 것, 위협 인텔리전스 수집 및 분석을 전담하는 팀을 구성하는 것까지 다양합니다. 오늘날, 대다수(70.9%)가 상위 직급으로 올라갔으며 전담 위협 인텔리전스 팀을 보유하고 있습니다(그림 9 참조).

그림 9: "전담 위협 인텔리전스 팀이 있습니까?"라는 질문에 대한 답변

전담 팀을 보유한 조직이 가장 많은 국가는 미국(87.0%)과 영국(72.0%)입니다. 가장 적은 국가: 일본(56.0%).

그림 10에서 볼 수 있듯이 산업별로는 기술 & 전자(81.7%), 통신 & 인터넷(80.6%), 금융(75.0%)이 선두를 달리고 있습니다. 뒤처진 업종은 제조업(60%), 소매 및 내구소비재(56.1%), 교육(53.8%) 순입니다.

위협 인텔리전스에 대한 광범위한 투자는 이번 조사에 포함된 모든 국가와 모든 주요 산업에서 조직의 80% 이상이 기존 보안팀 또는 위협 인텔리전스 전담팀에서 인텔리전스 수집 및 분석 업무를 풀타임으로 담당하고 있다는 사실에서 알 수 있습니다.

그림 10: "전담 위협 인텔리전스 팀이 있습니까?"라는 질문에 대한 산업별 답변

위협 인텔리전스 프로그램의 성숙도

위협 인텔리전스 노력의 성숙도를 가장 잘 설명하는 응답을 선택하세요.

그림 11: 위협 인텔리전스 노력의 성숙도.

위협 인텔리전스 프로그램의 상태를 평가하는 또 다른 방법은 초기 수준부터 고급 수준까지 프로그램의 성숙도를 평가하는 것입니다(키 참조).

응답자들에게 위협 인텔리전스 프로그램의 성숙도를 평가해 달라고 요청했습니다. 스스로를 초급 또는 기본 수준이라고 생각하는 조직은 소수에 불과합니다(각각 4.8%, 8.5% - 그림 11 참조). 과반수(45.6%)가 자신을 중급이라고 답한 반면, 상당수는 고급으로 간주해야 한다고 답했습니다(41.1%).

그림 12: 국가별 위협 인텔리전스 노력의 성숙도.

그림 12에서 볼 수 있듯이, 국가별로 스스로를 선진적이라고 생각하는 조직의 비율은 상당한 편차를 보입니다. 호주에서는 22%, 일본에서는 28.6%에서 시작하여 영국에서는 62%까지 증가했습니다. 흥미롭게도 스스로를 초급으로 평가한 조직이 가장 많은 국가는 미국(10%, 나머지 6개국은 2.0%~4.1%)이었습니다.

위협 인텔리전스에 대한 투자

다음 진술에 대한 귀하의 동의를 가장 잘 설명하는 옵션을 선택하세요: "우리 조직은 위협 인텔리전스에 적절하게 투자하고 있다."

그림 13: "우리 조직은 위협 인텔리전스에 적절한 투자를 하고 있습니다."라는 문항에 대한 응답.

다행히도 대다수 기업의 경영진은 위협 인텔리전스가 사이버 보안에 매우 중요하며 충분한 자금이 필요하다는 점을 인식하고 있는 것으로 보입니다. 설문조사 응답자의 92.2%가 조직이 위협 인텔리전스에 적절한 투자를 하고 있다는 데 어느 정도 또는 매우 동의한다고 답했습니다(그림 13 참조). 여기에는 미국 내 응답자의 100%가 포함됩니다. 위협 인텔리전스 예산이 부족하다고 생각하는 비율은 7.8%에 불과했습니다.

하지만 불만도 적지 않습니다. 예를 들어, 위협 인텔리전스 자금이 적절하다고 동의하지 않는 응답자의 수는 교육(15.4%)과 의료 & 제약(16.7%)에서 상대적으로 높았습니다(그림 14 참조).

그림 14: "우리 조직은 위협 인텔리전스에 적절한 투자를 하고 있다"는 문항에 대한 산업별 응답률.

위협 인텔리전스 공급업체와의 협력 계획

위협 인텔리전스 공급업체와의 협력에 대한 조직의 계획을 가장 잘 설명하는 응답을 선택하세요.

대부분의 조직은 여러 위협 인텔리전스 소스를 활용하고 있습니다(그림 6 참조). 그렇다면 앞으로 인텔리전스 공급업체와 협력할 계획은 어떻게 될까요, 통합하거나 새로운 공급업체를 추가할 계획이 있나요?

그림 15: 위협 인텔리전스 벤더와의 협력에 대한 조직의 계획.

응답자의 과반수(44.4%)가 협력하는 위협 인텔리전스 벤더의 수를 거의 동일하게 유지할 것이라고 답했습니다(그림 15 참조).

변화를 고려 중인 조직 중 벤더 수를 늘리겠다는 응답(27.8%)이 줄이겠다는 응답(17.2%)보다 많았습니다. 이는 위협 인텔리전스에 대한 전반적인 수요 증가와 인텔리전스가 가치를 제공하는 사용 사례의 확대가 모두 반영된 결과라고 생각합니다.

그림 16: 국가별 위협 인텔리전스 벤더와의 협력에 대한 조직의 계획.

국가별로 계획은 크게 달랐습니다. 독일, 일본, 캐나다, 영국, 호주는 협력하는 벤더의 수를 크게 늘릴 계획이며, 미국과 프랑스는 평균적으로 제자리걸음을 하고 있습니다(그림 16 참조).

위협 인텔리전스 개선 계획

귀사는 향후 2년간 위협 인텔리전스 사용을 어떻게 개선할 계획인가요?

그림 17: 향후 2년간 위협 인텔리전스 개선 계획.

설문조사에 참여한 400명의 응답자는 조직의 위협 인텔리전스 사용을 개선하고 확장하기 위한 몇 가지 우선순위를 강조했습니다.

첫 번째는 53.9%의 조직이 계획하고 있는 인텔리전스를 활용한 위험 분석 강화입니다. 위협 인텔리전스는 기업이 사이버 보안 투자를 실제 위험 및 비즈니스 성과에 맞게 조정하는 데 도움이 됩니다.

또한 응답자의 절반 이상이 내부 및 외부 위협 데이터를 결합(51.9%)하고 인텔리전스를 추가적인 사이버 보안 워크플로와 통합(50.6%)하고 있다고 답했습니다. 이러한 움직임으로 위협 탐지와 사고 대응이 더욱 정확하고 빨라질 것입니다.

절반 미만(47.9%)만이 경영진 및 이사회와의 커뮤니케이션을 개선하기 위해 위협 인텔리전스를 사용할 것이라고 답했습니다. 사이버 보안 리더는 이제 최고 의사 결정권자에게 더 많이 접근할 수 있게 되었으며, 제안된 투자를 정당화하기 위해 객관적인 정보가 필요합니다.

마케팅 및 타사 위험 관리 팀을 포함하여 사이버 보안 외부의 그룹에서 위협 인텔리전스를 활용하는 방법을 찾았다고 언급했습니다. 응답자의 45.1%가 브랜드와 평판을 보호하기 위해 웹사이트와 소셜 미디어 플랫폼에 대한 모니터링을 강화할 계획이라고 답했고, 41.8%가 공급망 및 제3자 리스크를 관리하기 위해 위협 인텔리전스를 더 많이 활용할 계획이라고 답한 것이 이를 잘 보여줍니다.

결론

더 깊이 들어가서 확장하기

이번 설문조사는 위협 인텔리전스가 사이버 보안의 핵심 요소로 확고하게 자리 잡는 동시에 기업 내 다른 그룹의 주요 관심사 문제를 해결하기 위해 확장되고 있다는 충분한 증거를 제공합니다. 실제로 사용 사례와 혜택은 이제 세 가지 범주에 속하는 것으로 볼 수 있습니다:

• 운영 - 사이버 보안 팀의 일상적인 성과 향상
• 전략적 - 보안 리더와 경영진이 위험을 정확하게 평가하고 사이버 보안 활동과 투자를 비즈니스 요구 사항에 맞출 수 있도록 지원합니다.
• 전문화 - 사이버 보안 외부의(그러나 사이버 보안과 연계된) 그룹이 온라인에서 조직의 브랜드 및 평판 보호, 전 세계의 물리적 시설 및 직원 보호, 타사 위험 관리, 온라인 사기 감소 등의 목표를 달성할 수 있도록 지원합니다.

운영 범주에서 위협 인텔리전스는 기존 보안 도구의 효율성을 높이는 힘의 배율 역할을 하여 SOC가 경보를 더 빠르고 정확하게 분류하고 사고 대응 및 위협 헌팅 팀이 위협 행위자의 최신 전술을 최신 상태로 유지하도록 돕습니다. 이러한 사용 사례는 잘 확립되어 있습니다. 이제 위협 관련 데이터 수집 및 분석이 새로운 위협과 새로운 유형의 공격자, 특히 정부 및 방위 계약자 외에도 점점 더 많은 민간 기업을 표적으로 삼는 국가 지원 해킹 그룹에 대응할 수 있도록 하는 것이 과제입니다.

전략적 범주에서 위협 인텔리전스는 보안 리더가 사이버 보안 프로그램을 미세 조정하고 경영진과 이사회에 우선순위를 전달할 수 있도록 지원합니다. 앞으로의 과제는 특히 위협 환경에 대한 정보를 위험과 기업에 미치는 잠재적 영향에 대한 정량화된 평가로 변환하여 이러한 역할에서 인텔리전스의 수용성을 높이는 것입니다.

특수 사용 사례는 위협 인텔리전스의 성장 영역입니다. 이는 부분적으로는 새로운 위협(예: 오타 스쿼팅, 당혹스럽고 논란이 되는 자료를 게시하는 가짜 소셜 미디어 계정 생성, 타사 제품에 악성 소프트웨어 삽입)에 대응해야 할 필요성과 온라인 사기 등 기존 위협을 더 잘 방어해야 할 필요성을 반영한 것입니다.

여러 소스 및 공급업체

설문조사 결과에 따르면 대다수의 조직이 5개 이상의 출처에서 위협 인텔리전스를 확보하여 사용하고 있는 것으로 나타났습니다. 또한, 대부분 협력하는 위협 인텔리전스 공급업체의 수를 유지하거나 늘릴 계획이라고 답했습니다. 이는 점점 더 광범위한 전문 기술과 광범위한 적의 TTP에 대한 자세한 정보에 대한 접근이 필요해짐에 따라 더욱 가속화되고 있습니다.

점점 더 광범위한 위협 인텔리전스에 대한 요구는 계속될 것입니다. 그러나 개별 위협 인텔리전스 공급업체가 포트폴리오에 더 많은 유형의 인텔리전스를 추가함에 따라 더 적은 수의 공급업체가 필요를 충족할 수 있으며, 이는 평균적인 조직의 공급업체 수 통합으로 이어질 수 있습니다.

현실에 안주하지 않는 사람

위협 인텔리전스 프로그램은 정적이지 않습니다. 예를 들어, 조직은 위에서 설명한 세 가지 범주 모두에서 위협 인텔리전스 활동을 확장하고 개선할 계획입니다:

• 외부 및 내부 위협 인텔리전스를 결합하고 인텔리전스를 추가 사이버 보안 워크플로와 통합(운영 사용 사례)
• 위협 인텔리전스를 사용하여 위험 분석을 개선하고 경영진 및 이사회 구성원과의 커뮤니케이션 지원(전략적 사용 사례)
• 웹사이트 및 소셜 미디어 플랫폼에 대한 모니터링을 강화하여 브랜드를 보호하고 위협 인텔리전스를 사용하여 공급망 및 타사 위험을 더 잘 관리합니다(특수 사용 사례).

탄탄한 집중력, 자금 조달 및 성숙도

이 설문조사는 대부분의 기업(적어도 직원 수 1,000명 이상인 기업)에서 위협 인텔리전스가 확고한 기반을 갖추고 있다는 상당한 증거를 제공합니다.

71%의 조직이 전담 위협 인텔리전스 팀을 보유하고 있습니다. 응답자의 92% 이상이 소속 조직이 프로그램에 적절한 투자를 하고 있다는 데 어느 정도 또는 매우 동의했습니다. 그리고 13%만이 위협 인텔리전스 노력의 성숙도를 "시작" 또는 "기본"으로 평가했으며, 나머지 87%는 "중간" 또는 "고급"을 선택했습니다. 다시 말해, 위협 인텔리전스 프로그램은 이제 거의 모든 조직에서 사이버 보안 프로그램의 주류이자 중요한 기여를 하고 있습니다.

부록 1: 설문조사 인구 통계

올해 보고서는 7개국에서 400명의 자격을 갖춘 참가자로부터 얻은 설문조사 결과를 기반으로 작성되었습니다(그림 18 참조). 각 참가자는 소속 조직의 위협 인텔리전스 사용에 대한 지식을 갖춘 사이버 보안 관리자 또는 실무자로서의 역할을 수행해야 했습니다(그림 19 참조). 응답자의 약 3분의 2(67.5%)가 사이버 보안 분야에서 임원 또는 관리자 직책을 맡고 있었습니다.

그림 18: 국가별 설문조사 응답자 수

그림 19: 역할별 설문조사 응답자

이 설문조사에 참여한 모든 참가자는 1,000명 이상의 직원을 보유한 조직에서 근무하고 있었습니다(그림 20 참조). 8개 주요 산업('기타' 포함)에 걸쳐 있었으며, 단일 산업이 전체 참여자의 15%를 초과하는 경우는 없었습니다(그림 21 참조).

그림 20: 조직 직원 수별 설문조사 응답자 수.

그림 21: 산업별 설문조사 응답자

부록 2: 연구 방법론

사이버엣지는 레코디드 퓨처와 협력하여 15개 문항으로 구성된 설문조사 도구를 개발했습니다. 이 설문조사는 2023년 8월 미국, 캐나다, 영국, 독일, 프랑스, 호주, 일본의 IT 보안 전문가 400명이 참여하여 완료되었습니다. 이 연구의 글로벌 오차 범위(표준 95% 신뢰 수준)는 5%입니다. 개별 국가 및 산업과 관련된 모든 결과는 표본 크기가 훨씬 작기 때문에 일화적인 것으로 간주해야 합니다. CyberEdge는 글로벌 데이터만을 기반으로 실행 가능한 의사 결정을 내릴 것을 권장합니다.

모든 응답자는 두 가지 필터 기준을 충족해야 했습니다: (1) 사이버 보안 역할을 맡고 있어야 하고, (2) 전 세계 직원 수가 최소 1,000명 이상인 기업 또는 정부 기관에 소속되어 있어야 했습니다.

사이버엣지에서는 설문조사 데이터 품질을 가장 중요하게 생각합니다. CyberEdge는 이러한 업계 모범 사례를 준수하여 설문조사 데이터의 품질을 보장하기 위해 많은 노력을 기울이고 있습니다:

• 설문조사의 응답자 필터 기준(예: 직무, 회사 규모, 업종)에 맞지 않는 응답자를 설문조사에서 (정중하게) 퇴출하여 올바른 사람이 설문조사에 참여하도록 보장합니다.
• 실격 처리된 응답자(응답자 필터 기준을 충족하지 않는 응답자)가 설문조사 인센티브를 받기 위해 동일한 IP 주소에서 설문조사를 다시 시작할 수 없도록 합니다.
• 설문조사 편향을 없애고 설문조사 피로도를 최소화하는 방식으로 설문조사 질문 구성하기
• 응답자가 모든 질문에 답변을 제공한 후에만 완료된 설문조사를 수락합니다.
• 응답자가 자신의 모국어(예: 영어, 독일어, 프랑스어, 일본어)로 설문조사를 볼 수 있도록 하기
• 가능한 경우 설문조사 응답을 무작위로 배정하여 주문 편향 방지
• 가능한 경우 '모름'(또는 이와 유사한) 응답을 추가하여 응답자가 답을 모를 때 문제를 추측하지 않도록 합니다.
• 평균 완료 시간보다 짧은 시간 내에 설문조사를 완료하는 '빠른 응답자'의 응답을 제거합니다.
• 응답에 일관된 패턴을 적용하는 '부정행위자'의 응답 제거(예: A,A,A,A 및 A,B,C,D,A,B,C,D)
• 온라인 설문조사가 컴퓨터, 태블릿, 스마트폰에서 완벽하게 테스트되고 사용하기 쉬운지 확인합니다.

사이버엣지는 이 연구를 가능하게 해준 레코디드 퓨처에 감사의 말씀을 전합니다. 특히 위협 인텔리전스 지식과 관점을 공유해 주신 칼파나 싱과 샘 랭록에게 감사의 말씀을 전하고 싶습니다.

부록 3: 스폰서 소개

Recorded Future는 세계 최대 규모의 위협 인텔리전스 회사입니다. 레코디드 퓨처의 인텔리전스 클라우드는 적, 인프라, 표적에 걸쳐 엔드투엔드 인텔리전스를 제공합니다. 오픈 웹, 다크 웹, 기술 소스 전반에 걸쳐 인터넷을 색인하는 Recorded Future는 확장되는 공격 표면과 위협 환경에 대한 실시간 가시성을 제공하여 고객이 신속하고 자신 있게 대응하여 위험을 줄이고 안전하게 비즈니스를 추진할 수 있도록 지원합니다. 보스턴에 본사를 두고 전 세계에 지사와 직원을 두고 있는 Recorded Future는 75개국 이상에서 1,700개 이상의 기업 및 정부 기관과 협력하여 편견 없이 실행 가능한 실시간 인텔리전스를 제공합니다. 자세한 내용은 recordedfuture.com에서 확인하세요.

부록 4: 사이버엣지 그룹 소개

2012년에 설립된 CyberEdge Group은 IT 보안 공급업체 커뮤니티에 서비스를 제공하는 최대 규모의 연구, 마케팅 및 출판 회사입니다. 오늘날 연간 매출이 1,000만 달러 이상인 기존 IT 보안 공급업체 6곳 중 약 1곳이 CyberEdge 고객입니다.

사이버엣지의 높은 평가를 받고 있는 사이버위협 방어 보고서(CDR)와 기타 단일 및 다중 스폰서 조사 보고서는 수많은 상을 수상했으며 월스트리트저널, 포브스, 포춘, USA 투데이, NBC 뉴스, ABC 뉴스, SC 매거진, 다크리딩, CISO 매거진 등 비즈니스 및 기술 전문 매체에서 소개된 바 있습니다.

CyberEdge는 IT 보안 업계에서 최고 품질의 설문조사 보고서, 분석 보고서, 백서, 맞춤형 서적 및 전자책을 제공하는 것으로 명성을 쌓아왔습니다. IT 보안 공급업체 고객의 성공을 지원하는 방법에 대해 자세히 알아보려면 웹사이트( www.cyber-edge.com)에 접속하세요.