OSINT 또는 오픈 소스 인텔리전스는 공개적으로 사용 가능한 정보를 수집, 평가 및 분석하여 귀중한 통찰력을 추출하는 프로세스입니다.
목차
OSINT(오픈 소스 인텔리전스) 의미
사이버 보안의 OSINT는 보안 전문가 또는 사이버 범죄자가 사용할 수 있습니다. 원래 군사 정보 활동의 일부였던 SIGINT(Signal Intelligence: 통신 차단을 통한 인텔리전스) 및 HUMINT(Human Intelligence: 인간 정보를 통한 인텔리전스)와 병행하여 사용되었으며 국가 안보 및 군사 전략 수립에 사용되었습니다. 현재 OSINT는 민간 부문으로 확산되어 왔으며 많은 기업과 비영리 조직에서 매일 사용하고 있습니다.
OSINT가 수집하는 공개 정보는 다양합니다. 여기에는 정부가 공개한 정보, 인터넷에서 널리 액세스할 수 있는 정보, 책 및 뉴스 기사 등이 포함됩니다.
OSINT는 무엇을 의미합니까?
OSINT는 Open-Source Intelligence를 의미합니다. 사이버 보안, 조사 및 위협 분석을 위한 인텔리전스를 수집하기 위해 웹사이트, 소셜 미디어, 뉴스 기사 및 공공 기록과 같은 소스에서 공개적으로 사용 가능한 정보를 수집하고 분석하는 것을 의미합니다.
OSINT 작동 방식
OSINT를 활용하려면 먼저 프로세스를 이해해야 합니다. 공개 정보의 수집 및 분석은 프로세스의 한 단계일 뿐이며 완전한 프로세스가 아닙니다. 수집된 정보를 신중하게 계획하고 의미 있는 인텔리전스로 변환하는 OSINT의 일련의 단계를 인텔리전스 주기라고 합니다.
인텔리전스 주기 측면에서, 이는 회사의 사이버 보안 조치의 일환으로 사이버 위협에 대응하기 위해 OSINT 활동을 수행하는 프로세스입니다.
계획
이 단계에서는 회사가 직면하는 보안 위협과 위험을 평가하고 필요한 정보를 식별하며 해당 정보를 수집하기 위한 목표와 우선순위를 설정합니다.
수집
다음으로, 지정된 정보 요구에 따라 공개 출처에서 데이터를 수집하며, 여기에는 잠재적으로 대우 웹, 소셜 미디어, 전문 보안 블로그 및 뉴스 사이트, 공개 취약점 데이터베이스(CVE) 등이 포함될 수 있습니다. 이 프로세스에는 전용 OSINT 도구 및 웹 스크래핑 기술의 사용도 포함될 수 있습니다.
처리
수집된 정보는 매우 방대하고 구조화되지 않으므로 데이터를 필터링하고 표준화하며 중요하지 않은 정보를 제거하는 분석을 위한 적절한 양식으로 처리 및 변환해야 합니다. 이 단계에서 효과적인 데이터 처리는 후속 분석의 품질을 크게 결정합니다.
분석
그런 다음 사이버 공격자가 사용할 수 있는 취약점 식별, 공격 패턴 식별, 공격자의 의도 및 기능 예측을 포함하는 위협 분석을 수행합니다. 기업은 분석을 통해 특정 위협과 대응책을 이해하고 우선 순위를 지정하며 대응 계획을 개발할 수 있습니다.
공유
마지막으로, 생성된 위협 인텔리전스는 관련 의사 결정자(IT 부서, 경영진 및 때로는 다른 산업 또는 정부 기관의 동료)와 공유됩니다. 인텔리전스 사이클은 의사 결정자의 피드백에 따라 계속될 수 있습니다. 인텔리전스의 역할은 정보를 수집하는 것뿐만 아니라 해당 정보를 효과적으로 사용하고 조직의 목표 달성에 기여하는 것입니다. 이를 위해서는 계획에서 공유에 이르기까지 의사 결정자와의 커뮤니케이션이 필수적입니다. 의사 결정자가 원하는 바를 항상 인식하는 것도 중요합니다.
사이버 위협에서 OSINT를 위한 도구
최근 사이버 위협에 대한 OSINT 도구가 점점 더 정교해져 필요한 정보를 효율적으로 수집할 수 있게 되었습니다. 다음은 실제로 널리 사용되는 OSINT 도구입니다.
쇼단(Shodan)
일반적인 웹 검색에서 찾을 수 없는 인터넷에 연결된 장치를 검색할 수 있는 검색 엔진입니다(예: Google을 사용한 검색). 공개적으로 사용 가능한 서버 및 IoT 장치의 포트 번호, IP 주소 및 위치 정보를 수집합니다. 취약점 정보 및 액세스 제어를 확인하는 데 사용할 수 있습니다.
말테고(Maltego)
사람, 그룹, 조직, 웹사이트, 인터넷 인프라, 소셜 네트워크 등의 관계를 시각적으로 매핑할 수 있는 데이터 상관 관계 및 시각적 분석 도구입니다. 복잡한 관계를 시각화하여 정보를 연결하는 큰 그림을 이해하는 데 도움이 됩니다.
Google Dorks(고급 Google 검색 명령)
Google에서 제공하는 검색 기능은 고급 명령을 결합하여 일반 검색으로는 얻을 수 없는 세부 정보와 특정 데이터를 효율적으로 추출할 수 있습니다. 이러한 검색 기능의 사용은 Google Dorks라고 하며 색인 정보는 검색 결과에 표시됩니다. 이 기능을 사용하면 조직이 공개해서는 안 되는 정보를 실수로 게시했는지 여부를 확인할 수 있습니다.
Google Dorks에서 사용하는 검색 쿼리의 예
캐시: 특정 웹 페이지의 Google 캐시 버전 보기
파일 유형: 특정 파일 형식으로 문서 보기
이미지화: 특정 크기의 이미지 표시
사이트: 특정 웹사이트에만 표시됨
inurl: URL에 특정 단어가 포함된 페이지 표시
- 제목: 페이지 제목에 특정 단어가 포함된 웹 페이지 표시
OSINT 활용 시 주요 고려 사항
지금까지 OSINT의 의미와 OSINT가 사용하는 도구를 소개했지만 OSINT를 사용할 때는 다음 사항을 알고 있어야 합니다.
정보의 신뢰성 및 정확성
당사는 공개 정보를 주요 데이터 소스로 사용하지만, 귀하는 항상 해당 정보의 신뢰성과 정확성을 확인해야 합니다. 출처가 공개되었다고 해서 콘텐츠가 정확하다는 의미는 아니며, 따라서 잘못된 정보와 잘못된 정보에 대해 경계하는 것이 특히 중요합니다.
지속적인 정보 업데이트 및 관리
OSINT를 통해 얻은 정보는 시간이 지남에 따라 오래될 수 있으므로 정기적으로 업데이트하고 유효성을 지속적으로 평가해야 합니다. 또한 수집되는 데이터의 양으로 인해 효과적인 데이터 관리 시스템을 갖추어 이를 정리하고 접근하는 것이 중요합니다.
법적 및 윤리적 고려사항
이러한 예방 조치를 고려하여 조직에서 OSINT 사용을 홍보할 때 명확한 정책을 미리 설정해야 합니다. 또한 OSINT 정보를 수집하고 선택하려면 노하우가 필요합니다. 조직 내에서 모범 사례와 같은 정보를 공유하면 조직이 OSINT 사용을 보다 효율적으로 홍보하는 데 도움이 될 수 있습니다.
Trend Vision One™ – Cloud Security를 선택해야 하는 이유
데이터 센터에서 클라우드 워크로드, 애플리케이션 및 클라우드 네이티브 아키텍처로 보안을 강화하는 클라우드 보안은 플랫폼 기반 보호, 위험 관리 및 멀티 클라우드 탐지 및 대응을 제공합니다.
CSPM, CNAPP, CWP, CIEM, EASM 등을 포함한 탁월한 폭과 깊이의 기능을 통해 단절된 포인트 제품에서 사이버 보안 플랫폼으로 전환하십시오. 훨씬 더 많이요.
단편화된 발견과 목록에 작별 인사를 고하세요. 기본 센서와 타사 소스가 포함된 하나의 콘솔은 포괄적인 하이브리드 및 멀티 클라우드 가시성을 제공하여 공격에 노출될 수 있는 자산을 판단합니다.
공격의 잠재적 영향 가능성을 기반으로 온프레미스 및 클라우드 자산 전반의 위험을 평가하고 우선순위를 지정하는 최초의 사이버 보안 플랫폼입니다. 여러 데이터 소스의 위험을 단일 인덱스에 매핑하여 개선 사항을 모니터링할 수 있습니다.
제품 관리 부사장인 Scott Sargeant는 사이버 보안 및 IT 환경에서 엔터프라이즈급 솔루션을 제공한 25년 이상의 경험을 가진 노련한 기술 리더입니다.