보안 및 위협 인텔리전스(TI) 팀은 매일 증가하는 방대한 위협 관련 콘텐츠의 처리에 있어 실질적인 한계를 겪고 있다. 다양한 언어로 작성된 연구 블로그, 기술 문서, PDF 보고서는 복잡성과 양적인 부담을 초래하고 있으며, 이를 맬웨어 정보 공유 플랫폼(MISP)과 같은 인텔리전스 시스템에 수동으로 통합하는 작업은 분석가들의 시간과 리소스를 소모하고 있다. 또한 인사이트 누락이나 오탐 가능성까지 유발하며, 위협 대응의 효율성을 저해하고 있다.

글로벌 사이버 보안 기업 RST 클라우드(RST Cloud)가 다국어 블로그 및 보고서 기반 위협 인텔리전스를 자동으로 MISP에 통합하는 기술을 발표했다. 이 솔루션은 수집, 번역, 분석, 필터링, 구조화까지 모든 과정을 자동화하며, 위협 분석가들이 실제 인사이트 분석에 집중할 수 있는 환경을 제공한다.

다국어 자동 번역 기반의 위협 인텔리전스 통합

RST 클라우드는 중국어, 러시아어, 한국어, 일본어, 프랑스어, 이탈리아어 등 다양한 언어로 작성된 위협 정보 문서를 영어로 자동 번역하여 요약, 핵심 사실 및 분석 내용을 MISP에 적합한 이벤트 설명 및 노트 형식으로 변환한다. 이 과정은 자동화된 번역 및 요약 엔진을 기반으로 하며, 각 문서의 침해 지표(IoC)는 지능적으로 필터링된다. 노이즈로 인식되는 지표에는 별도의 레이블이 부여되어 탐지 파이프라인 내에서 오탐 가능성을 줄이도록 설계되었다.

RST 클라우드의 백엔드 엔진은 자동화, 머신러닝, 대규모 언어 모델(LLM)을 활용해 공개 출처에서 위협 보고서와 블로그를 지속적으로 수집한다. 이 시스템은 의사결정 트리 기반 분류기를 통해 중복되거나 재작성된 콘텐츠를 필터링하며, 새로운 IoC 또는 전술·기술·절차(TTP)가 존재할 경우에만 콘텐츠를 수집 대상으로 포함시킨다.

수집된 각 보고서는 STIX 2.1 표준 기반 그래프 구조로 변환되어 위협 객체 간의 관계성을 유지한 채 MISP 형식으로 저장된다. 또한, 각 원문 보고서의 PDF 사본은 추적 가능성과 오프라인 접근성을 위해 첨부되어 보관된다. 이 모든 과정은 수동 작업 없이 자동으로 수행되며, 분석의 정확성과 문서화의 신뢰성을 동시에 확보할 수 있다.

RST 쓰렛 피드 및 쓰렛 라이브러리 확장으로 MISP 활용도 강화

RST 클라우드는 MISP 사용자 편의성을 높이기 위한 두 가지 확장 기능을 함께 제공하고 있다. 첫 번째는 RST 위협 피드(Threat Feed)로, 지속적인 IoC 스트림을 제공하여 보안팀이 거의 실시간으로 새로운 위협 정보를 수집할 수 있도록 한다. 이 피드는 사용자 요구에 따라 고위험 또는 속성 기반 IoC만 선택적으로 수집할 수 있어, 정보의 집중도와 관련성을 높일 수 있다.

두 번째는 RST 위협 라이브러리(Threat Library)로, 위협 행위자, 맬웨어, 캠페인, 도구, 취약점 등의 정보를 갤럭시(Galaxy) 형태로 구조화하여 제공한다. 이 라이브러리는 네 가지 클러스터 기반 구성을 통해 위협 클러스터링과 실행 가능성을 개선하며, MISP 내 검색 및 상관관계 분석의 정밀도를 높여준다. 이는 기존 MISP에서 제공하는 분석 기능을 보완하고, 조직의 위협 대응 능력을 한층 강화하는 데 기여한다.

RST 클라우드의 이사인 유리 세르게예프(Yury Sergeev)는 “분석가와 인사이트 사이에 있는 불필요한 노력과 잡음을 제거하는 것이 우리의 사명”이라며, “이번 통합을 통해 MISP 사용자는 공개 위협 데이터를 자동 수집하고, 수동 입력 대신 실제 분석에 더 많은 시간을 투자할 수 있게 되었다.”고 밝혔다.

이번 솔루션은 다양한 언어 소스를 단일 시스템으로 통합하고, 위협 정보의 수집·정제·구조화를 자동화, 인텔리전스 활용의 시의성, 정확성, 효율성을 획기적으로 개선한다. 위협 인텔리전스 플랫폼의 가치를 극대화하고자 하는 조직은 RST 클라우드를 통해 분석가의 부담을 줄이고, 실질적인 대응력을 강화할 수 있다.

RST 클라우드는 MISP 환경을 활용하는 조직에 실질적이고 즉각적인 가치를 제공하기 위한 기술 기반 자동화 접근법을 지속적으로 확대할 계획이다.