사이버 인텔리전스의 중요성과 사이버 인텔리전스가 대응 팀에 왜 필요한지를 설명하면서 시작한다. 이어서 유용한 예제와 함께 F3EAD 프로토콜을 기술적으로 설명한다. 따라서 위협 모델, 인텔리전스 제품, 프레임워크를 다루는 방법을 배우고 실제 시나리오를 경험할 수 있다. 책의 마지막 부분에서 사이버 대응 인텔리전스의 운영, 전술, 전략적 측면을 살펴보고 실제 조직에서 사용할 수 있는 인텔리전스 프로그램을 다뤄 볼 수 있다.

[목 차]

1장. 사이버 인텔리전스의 필요성

__사이버 인텔리전스의 필요성
__군에서 인텔리전스 활용
____역사상 인텔리전스 이야기
__인텔리전스 종류
____휴민트, 인적 인텔리전스
____이민트, 이미지 인텔리전스
____매신트, 평가 및 분류 인텔리전스
____오신트, 오픈 소스 인텔리전스
____시진트, 신호 인텔리전스
____코민트, 통신 인텔리전스
____엘린트, 전자 인텔리전스
____피신트, 외국 계측 신호 인텔리전스
____테킨트, 기술 인텔리전스
____메딘트, 의학 인텔리전스
____모든 자원 인텔리전스
__인텔리전스 운영 방법
____이론을 실제로 적용하는 것은 간단하지 않다
__기동전의 정신적 사고 이해
____프로세스를 따르라. 프로세스가 너를 지켜 줄 것이다
____기동전이란 무엇인가?
__요약

2장. 인텔리전스 개발

__정보의 계층 구조
__인텔리전스 과정
____인텔리전스 단계
____1단계 - 계획 및 방향
____2단계 - 수집
____3단계 - 처리
____4단계 - 분석 및 생산
____5단계 - 배포
____6단계 - 활용
__요약

3장. 사이버 인텔리전스, 보안 및 운영의 통합

__운영과 보안에 대한 서로 다른 견해
__전략적 사이버 인텔리전스 역량 개발
____우선순위의 이해
____전략적 사이버 인텔리전스 조사 - 1단계
__운영 보안 소개
____OPSEC 1단계 - 중요 정보 식별
____OPSEC 2단계 - 위협 분석
____OPSEC 3단계 - 취약점 분석
____OPSEC 4단계 - 위험 평가
____OPSEC 5단계 - 적절한 대책 적용
__비즈니스 환경에서 OPSEC 적용
__사이버 인텔리전스 프로그램 역할
____전략적 단계 - IT 리더십
____전략적 단계 - 사이버 인텔리전스 프로그램 책임자
____전술적 단계 - IT 리더십
____전술적 단계 - 사이버 인텔리전스 프로그램 관리자
____운영 단계 - IT 리더십
____운영 단계 - 사이버 인텔리전스 분석가
__요약

4장. 사이버 인텔리전스를 활용한 능동적인 대응

__능동적 대응 소개
__사이버 킬 체인의 이해
__능동적인 대응의 일반적인 원칙
____능동적인 대응 - 1원칙: 공격 방해하기
____능동적인 대응 - 2원칙: 속성 파악하기
__능동적인 대응에서 미끼와 함정
____시나리오 A
____시나리오 B
__능동적인 대응의 유형
____능동적인 대응 유형 - 수동
____능동적인 대응 유형 - 자동
__전술적 단계에서 능동적인 대응 응용
__요약

5장. 모두를 위한 F3EAD

__타기팅의 이해
__F3EAD 프로세스
__실제 F3EAD
__F3EAD와 사이버 킬 체인
____사이버 킬 체인과 OODA 의사결정 모델
____사이버 킬 체인과 OPSEC
____사이버 킬 체인과 인텔리전스 사이클
____사이버 킬 체인과 F3EAD
__상업 영역에서 F3EAD적용
____F3EAD의 한계
__요약

6장. 위협 인텔리전스와 운영 통합

__위협 인텔리전스의 이해
__능력 성숙도 모델 - 위협 인텔리전스 개요
____1단계 - 위협 인텔리전스 수집 기능
____2단계 - 위협 정보 통합
__요약

7장. 협력 기능 구축

__협력 기능의 목적
____공식 커뮤니케이션
____비공식 커뮤니케이션
____커뮤니케이션 및 사이버 인텔리전스 프로세스
____협업을 위한 방법 및 도구
__전략 단계에서 협업
____경영진 지원
____정책 및 절차
____설계
____우선순위가 반영된 정보
____인텔리전스 병합
____인텔리전스 조화와 표현
__전술적 수준에서의 협업
____우선순위 정보 요구 사항 분석
____이론의 적용
____이론과 현실
____전술 수준 대시보드 생성
__운영 수준에서의 협업
__요약

8장. 보안 스택

__통합 목표 - 나의 관점에서
__핵심 보안 서비스의 기본
__보안 운영 센터
____스파이더
____팀의 역량
__역량 상세 - 보안 구성 관리
____보안 구성 관리 - 핵심 프로세스
____보안 구성 관리 - 탐색 및 탐지
____보안 구성 관리 - 위험 조치
____보안 구성 관리 - 보안 상태 분석
____보안 구성 관리 - 데이터 공개 및 공유
__서막 - 서비스처럼 통합하기
__여러 서비스에서 사이버 인텔리전스 통합
____개요 - 레드 팀 방법론
____레드 팀 - 테스팅 유형
____레드 팀 제약
____레드 팀 - 그래픽 표현
____데이터 통합 과제
__능력 성숙도 모델 - 인포섹 및 사이버 인텔리전스
____능력 성숙도 모델-인포섹 및 사이버 인텔 - 초기 단계
____능력 성숙도 모델-인포섹 및 사이버 인텔 - A단계
____능력 성숙도 모델-인포섹 및 사이버 인텔 - B단계
____능력 성숙도 모델: 인포섹 및 사이버 인텔 - C단계
__협업 + 능력 = 능동 방어
__요약

9장. 사이버 인텔리전스 운영

__차이
__다른 시각으로 보기
____논리
____이벤트와 사고를 정보 보안(InfoSec)기능과 매핑
__능력 성숙도 모델 - 보안 의식
____능력 성숙도 모델 - 보안 의식 - 초기
____능력 성숙도 모델: 보안 의식 - A단계
____능력 성숙도 모델: 보안 의식 - B단계
____능력 성숙도 모델: 보안 의식 단계 - C단계
____능력 성숙도 모델: 보안 의식 - C+단계
__평범한 하루 파트 2
__요약

10장. 정상과 이상의 기준

__캠프 준비하기
____정상과 이상의 기준
__지속적인 모니터링 - 도전 과제
____1부
____2부
____3부
__능력 성숙도 모델 - 지속적인 모니터링 개요
____1단계 A
____1단계 B
____1 단계 C
__능력 성숙도 모델: 지속적인 모니터링 2단계
____시나리오 1 - 자산 관리 / 취약점 스캔 자산 목록
____시나리오 2 - 보안 인식 / 지속적인 모니터링 / IT 헬프 데스크
__평범한 하루 파트 2
요약

11장. 신속한 문제 해결

__간략히 되짚어 보기
__개요 - 사고 대응
____준비 및 예방
____탐지 및 분석
____억제, 박멸 및 복구
____사후 활동
____사고 대응 프로세스와 F3EAD 통합
____인텔리전스 프로세스 연계
__역량 성숙도 모델 - 사고 대응
____초기 단계
____A단계
____B단계
____C단계
__요약

12장. 취약점 관리

__간단 요약
__일반적인 취약점 평가 시스템 계산기
____기본 판단 그룹
____시간 판단 그룹
____환경 판단 그룹
____CVSS기반 평가
__취약성 관리 개요
__능력 성숙도 모델: 취약성 관리 - 스캐닝
____초기 단계
____A단계
____B단계
____C단계
__능력 성숙도 모델: 취약점 관리 - 보고
____초기 단계
____A단계
____B단계
____C단계
__능력 성숙도 모델: 취약점 관리 - 조치
____초기 단계
____A단계
____B단계
____C단계
__요약

13장. 위험 관리

__위험 개요
____위험 처리하기
____위험 허용 수준과 위험 선호도
__백금, 금, 은 및 동으로 표시
____네트워크 구분하기
__위험을 다른 시각으로 보기
____위협 인텔리전스 통합 검토
____능력 성숙도 모델: 위험 단계 - 초기
____능력 성숙도 모델: 위험 단계 - 마지막
____오픈 소스 거버넌스 위험 및 컴플라이언스 도구들
__요약

14장. 체계 생성

__보안 구성 관리
____위험 점수 개발
____핵심 위험 지표 작업
__요약

15장. 요약

__평범한 하루 파트 3
__이야기의 교훈

[본 문]

처음 이 책을 써달라고 요청 받았을 때 위협 인텔리전스에 군사 타기팅 방법론을 적용하려던 참이었다. 하지만 글을 쓰기 시작하자 다음과 같은 의문이 생겼다.

- 위협 인텔리전스가 조직에 어떻게 도움이 될까?
- 위협 인텔리전스에서 어떻게 가치를 만들어 낼 수 있을까?

이런 의문이 들자 IT 조직을 운영할 때 뭔가 빠진 것이 있을 것이라는 생각에 책의 주제를 변경했다. 위협 인텔리전스는 조직에 적용할 수 없다면 가치가 없다. 그리고 조직에 적용하면 누군가는 조치를 취해야 한다. 이는 단순하게 들릴 수도 있으나, 더 생각해 보면 조직의 다양한 부서와 협업해야 하고 팀 간 프로세스도 너무 다르다. 결국 이런 이유로 책의 주제는 사이버 인텔리전스로 바뀌었다.
소셜 미디어에서 사이버 보안 뉴스를 찾아보면 최신 공격 기법, 사이버 보안 전문가의 필요성과 우리가 얼마나 안전하지 않은지 알 수 있다. 감성적으로 들릴 수 있겠지만, 고위 지도층들은 우리 조직이 '다음 희생자'가 될 수 있다는 피해망상에 시달린다. 많은 고위 지도층이 정보 유출 때문에 강등되는 것을 보지 않았는가? 일부 정보 유출은 관리되지 않은 문제로 인한 것도 있지만, 종합적으로 보면 분권화된 결정을 허용하지 않는 낡고 관료주의적인 프로세스가 많기 때문이라고 생각한다.
IT 전체를 결정하는 여러분의 IT 조직과 IT 보안 그룹은 각 부서에 영향을 미치는 정보를 이용해 의사결정을 하고 있는가? 그렇다면 이 책은 여러분을 위한 것이 아니므로 내려 놓아도 좋다. 하지만 그렇지 않다면 이 책을 통해 업무 분리가 업무 수행 속도에 미치는 영향을 이해해야 한다.
군에서 인텔리전스 능력이란 사령관이 의사결정을 내리기 위해 주변 환경을 이해하는 것이다. 이 책에서는 다양한 군의 인텔리전스 프로세스를 조직 전체에 적용하는 방법을 설명한다. 초급 분석가든 상급 관리자든 관계없이 여러분의 조직에서 즉시 배우고 실습해 볼 수 있다.
('지은이의 말' 중에서)

이 책의 제목인 『실전 사이버 인텔리전스』를 한 문장으로 풀어 보면 '기업의 정보 보안에서 즉시 활용할 수 있는 사이버 인텔리전스 체계를 구현하는 방법'이라고 할 수 있다. 이 책에서는 기업에서 사이버 인텔리전스 체계를 만들고, 보안 운영 및 IT 부서와 협업하고 통합할 수 있는 관리 방안을 제시하고 있으며, 참고할 만한 여러 업무 프로세스와 방법론을 함께 설명한다. 특히 저자는 군에서 사이버 보안을 경험했기 때문에 나폴레옹의 전술이나 전장 용어를 사이버 보안에 적용해 예시를 제공해 준다. 그리고 기업에서 많이 적용하고 있는 F3EAD, OODA, PIR 개념을 기반으로 사이버 인텔리전스 체계를 마련하는 이론을 설명해 준다. 사실 사이버 인텔리전스라는 용어 자체를 악성 코드 분석 결과에서 나온 차별화된 정보나 침해지표 IOC 정도의 범위에서 생각하는 사람들이 많다. 그런 것을 기대하고 이 책을 열어 본다면 실망할 수도 있다. 이 책은 좀 더 넓은 업무 영역에서 사이버 인텔리전스 체계를 구축하는 것이기 때문이다.
최근 정보 보안 주요 트렌드 중에 '보안 오케스트레이션 및 자동화'가 있다. 가트너에서는 이를 SOAR(Security Orchestration, Automation and Response)이라고 부르며, 보안 관제 및 운영 업무를 자동화해 조율하고, 위협 인텔리전스 플랫폼을 구현하는 기술 영역으로 정의한다. 사이버 인텔리전스 체계가 제대로 만들어진 기반 위에서 관련 기술이나 솔루션이 동작할 때 효과는 더욱 강화될 수 있다. 따라서 전사적인 사이버 인텔리전스 체계를 어떻게 만들면 좋을지 고민하는 정보 보안 부서장, CISO에게 이 책이 좋은 가이드가 될 것으로 생각한다. 또한 위협 인텔리전스를 통합하고 활용하는 보안 관제 센터장, 위협 인텔리전스 부서장 및 관련 업무를 담당자들이 좀 더 시야를 넓힐 수 있는 기회가 될 것으로 생각한다.
역자는 실제 경험했던 국내 대기업의 정보 보안 관제 체계 구현에 활용되는 예제를 이 책에서 살펴볼 수 있었다. 따라서 기업에서 제대로 된 사이버 인텔리전스 체계를 마련하는 데 이 책이 이론적으로 도움이 될 수 있을 것이라 생각한다.
('옮긴이의 말' 중에서)

★ 이 책에서 다루는 내용 ★

■ OODA 루프 - 관찰, 방향, 의사 결정, 행동하는 메커니즘을 보안에 적용
■ 오늘날 위협 환경에서 능동 방어 개념과 적용에 대한 전술적 관점 이해
■ F3EAD 프로세스의 운영 관점을 파악해 조직 내 의사결정 유도
■ 정보 보안 조직에서 주요 기능의 입력과 출력을 통합하는 프레임 워크 및 능력 성숙도 모델 작성
■ 사이버 인텔리전스를 기반으로 잠재적인 공격 가능성을 논의할 수 있다는 생각 이해

★ 이 책의 대상 독자 ★

다양한 군사 프로세스와 개념을 활용해 IT 및 인포섹 운영을 개선하고자 하는 중소 규모 비즈니스의 중급, 상급 관리 전문가를 대상으로 한다. 또한 조직의 IT 운영 개선에 전체론적 접근 방식을 고려하는 미래의 업계 지도자에게도 도움이 된다. 사전 관리나 기술 경험이 없다고 가정하고 서술했다.

★ 이 책의 구성 ★

1장, '사이버 인텔리전스의 필요성'에서는 군에서 사용하는 인젤리전스의 간단한 히스토리, 인텔리전스의 종류, 군사적 사고 방식을 소개한다.
2장, '인텔리전스 개발'에서는 인텔리전스 단계와 개발된 인텔리전스 종류를 소개하고, 우선순위 정보 요청을 개발하는 방법을 보여준다.
3장, '사이버 인텔리전스, 보안과 운영 통합'에서는 OPSEC을 소개하고, 사이버 인텔리전스가 정보보안과 IT 운영에 통합될 수 있는 방법을 이해하는 토대를 마련한다.
4장, '사이버 인텔리전스를 활용한 능동적인 대응'에서는 사이버 킬 체인을 소개하고, 사이버 인텔리전스를 활용해 사전 방어 기법을 수행하는 방법에 관한 또 다른 시각을 소개한다.
5장, '모두를 위한 F3EAD'에서는 중요한 타깃에 적용되는 발견(Find), 해결(Fix), 마무리(Finish), 공격(Exploit), 분석(Analyze), 보고(Disseminate) 프로세스 사용 방법을 소개하고, 사이버 킬 체인에 적용하는 방법을 알아본다.
6장, '위협 인텔리전스와 운영 통합'에서는 위협 인텔리전스 정보를 통합해 이해 관계자에게 의미 있고 실용적인 정보를 어떻게 개발할 수 있는지 자세히 살펴본다.
7장, '협업 기능 구축'에서는 조직 전체에서 사이버 인텔리전스 정보를 제공하기 위해 통신 채널을 만드는 방법을 소개한다.
8장, '보안 스택'에서는 다양한 보안 기능에서 저장한 정보를 올바른 의사결정을 지원하는 사이버 인텔리전스로 개발하는 방법을 설명한다.
9장, '사이버 인텔리전스 운영'에서는 인텔리전스 패키지를 개발하고자 정보를 수집하고 보고하는 또 다른 수단으로 사용자를 어떻게 활성화할 수 있는지 자세히 설명한다.
10장, '정상과 이상의 기준'에서는 보고의 복잡성을 강조하고, 개체와 프로세스를 수평 및 수직으로 살펴보는 방법을 알려 준다. 또한 종단 간 시스템에서 연속 모니터링 기능을 통합하는 방법을 소개한다.
11장, '신속한 문제 해결'에서는 좋은 정보 교류 채널 개발을 통해 사고 대응 능력을 개선할 수 있는 방법을 소개한다.
12장, '취약점 관리'에서는 인포섹 내의 특정 기능을 자세히 설명하고, 이해 관계자의 행동에 반영되는 정보를 개선하는 방법을 소개한다.
13장, '위험 관리'에서는 위험에 대한 전반적인 개요와 위험 관리 도구와 기법을 사용해 이해 관계자에게 전달되는 정보를 개선하는 방법을 설명한다.
14장, '체계 생성'에서는 종단 프로세스에 대한 위험 체계와 주요 위험 지표를 만드는 개념을 소개한다.
15장, '마무리'에서는 1~14장의 전반적인 개요를 소개하며, 사이버 인텔리전스 기능이 조직 내에서 완벽하게 작동하는 이상적인 상황을 소개한다.

윌슨 바우티스타 주니어
군장교로 은퇴했고, 현재 i3 마이크로시스템즈의 IT/인포섹(InfoSec) 이사다. 인포섹 리더십, 정책, 아키텍처, 규제 및 위험 영역 전문가다. 여러 인포섹과 IT 인증뿐만 아니라 보스턴대학교에서 정보 시스템 석사 학위를 취득했다. MBTI(Myers Brigg Type Indicator)는 INTP 유형으로 논리적으로 사색하는 타입이며, 특히 정확성과 결정자 역할을 하는 드라이버 특성을 갖고 있다. 애자일(Agile) 및 섹데브옵스(SecDevOps) 실무자로 기업에 높은 가치를 제공하는 혁신적인 통합 엔터프라이즈 규모의 사이버 보안 솔루션을 개발했다


옮긴이 박정우
이글루 시큐리티에서 개발자로 시작해, 안랩에서 분석 업무를 하면서 블루 팀을 경험했고, NSHC 레드 알럿 팀에서 공격 시나리오를 만들면서 레드 팀을 경험했다. 현재 주식회사 쏘마의 인텔리전스 팀에서 MiTRE ATT&CK 기반 공격 시뮬레이션을 설계하고 개발하고 있으며, 공격 기법과 체계를 연구하고 있다.

옮긴이 최대수
전남대학교 일반대학원에서 정보 보안 박사학위를 취득했으며, 이글루시큐리티에서 ESM(통합보안관리) 솔루션 개발팀장, 삼성 SDS에서 정보 보안 컨설팅과 보안 솔루션 인증업무를 하였으며, 삼성그룹 보안 강사로도 활동하였다. 이후 스플렁크에서 정보 보안 엔지니어로 재직했고, 현재는 팔로알토 네트웍스에서 보안 운영 및 관제 솔루션 전문 엔지니어로 재직 중이다.