사이버 인텔리전스의 중요성과 사이버 인텔리전스가 대응 팀에 왜 필요한지를 설명하면서 시작한다. 이어서 유용한 예제와 함께 F3EAD 프로토콜을 기술적으로 설명한다. 따라서 위협 모델, 인텔리전스 제품, 프레임워크를 다루는 방법을 배우고 실제 시나리오를 경험할 수 있다. 책의 마지막 부분에서 사이버 대응 인텔리전스의 운영, 전술, 전략적 측면을 살펴보고 실제 조직에서 사용할 수 있는 인텔리전스 프로그램을 다뤄 볼 수 있다.

■ OODA 루프 - 관찰, 방향, 의사 결정, 행동하는 메커니즘을 보안에 적용
■ 오늘날 위협 환경에서 능동 방어 개념과 적용에 대한 전술적 관점 이해
■ F3EAD 프로세스의 운영 관점을 파악해 조직 내 의사결정 유도
■ 정보 보안 조직에서 주요 기능의 입력과 출력을 통합하는 프레임 워크 및 능력 성숙도 모델 작성
■ 사이버 인텔리전스를 기반으로 잠재적인 공격 가능성을 논의할 수 있다는 생각 이해

다양한 군사 프로세스와 개념을 활용해 IT 및 인포섹 운영을 개선하고자 하는 중소 규모 비즈니스의 중급, 상급 관리 전문가를 대상으로 한다. 또한 조직의 IT 운영 개선에 전체론적 접근 방식을 고려하는 미래의 업계 지도자에게도 도움이 된다. 사전 관리나 기술 경험이 없다고 가정하고 서술했다.

1장, ‘사이버 인텔리전스의 필요성’에서는 군에서 사용하는 인젤리전스의 간단한 히스토리, 인텔리전스의 종류, 군사적 사고 방식을 소개한다.
2장, ‘인텔리전스 개발’에서는 인텔리전스 단계와 개발된 인텔리전스 종류를 소개하고, 우선순위 정보 요청을 개발하는 방법을 보여준다.
3장, ‘사이버 인텔리전스, 보안과 운영 통합’에서는 OPSEC을 소개하고, 사이버 인텔리전스가 정보보안과 IT 운영에 통합될 수 있는 방법을 이해하는 토대를 마련한다.
4장, ‘사이버 인텔리전스를 활용한 능동적인 대응’에서는 사이버 킬 체인을 소개하고, 사이버 인텔리전스를 활용해 사전 방어 기법을 수행하는 방법에 관한 또 다른 시각을 소개한다.
5장, ‘모두를 위한 F3EAD’에서는 중요한 타깃에 적용되는 발견(Find), 해결(Fix), 마무리(Finish), 공격(Exploit), 분석(Analyze), 보고(Disseminate) 프로세스 사용 방법을 소개하고, 사이버 킬 체인에 적용하는 방법을 알아본다.
6장, ‘위협 인텔리전스와 운영 통합’에서는 위협 인텔리전스 정보를 통합해 이해 관계자에게 의미 있고 실용적인 정보를 어떻게 개발할 수 있는지 자세히 살펴본다.
7장, ‘협업 기능 구축’에서는 조직 전체에서 사이버 인텔리전스 정보를 제공하기 위해 통신 채널을 만드는 방법을 소개한다.
8장, ‘보안 스택’에서는 다양한 보안 기능에서 저장한 정보를 올바른 의사결정을 지원하는 사이버 인텔리전스로 개발하는 방법을 설명한다.
9장, ‘사이버 인텔리전스 운영’에서는 인텔리전스 패키지를 개발하고자 정보를 수집하고 보고하는 또 다른 수단으로 사용자를 어떻게 활성화할 수 있는지 자세히 설명한다.
10장, ‘정상과 이상의 기준’에서는 보고의 복잡성을 강조하고, 개체와 프로세스를 수평 및 수직으로 살펴보는 방법을 알려 준다. 또한 종단 간 시스템에서 연속 모니터링 기능을 통합하는 방법을 소개한다.
11장, ‘신속한 문제 해결’에서는 좋은 정보 교류 채널 개발을 통해 사고 대응 능력을 개선할 수 있는 방법을 소개한다.
12장, ‘취약점 관리’에서는 인포섹 내의 특정 기능을 자세히 설명하고, 이해 관계자의 행동에 반영되는 정보를 개선하는 방법을 소개한다.
13장, ‘위험 관리’에서는 위험에 대한 전반적인 개요와 위험 관리 도구와 기법을 사용해 이해 관계자에게 전달되는 정보를 개선하는 방법을 설명한다.
14장, ‘체계 생성’에서는 종단 프로세스에 대한 위험 체계와 주요 위험 지표를 만드는 개념을 소개한다.
15장, ‘마무리’에서는 1~14장의 전반적인 개요를 소개하며, 사이버 인텔리전스 기능이 조직 내에서 완벽하게 작동하는 이상적인 상황을 소개한다.

처음 이 책을 써달라고 요청 받았을 때 위협 인텔리전스에 군사 타기팅 방법론을 적용하려던 참이었다. 하지만 글을 쓰기 시작하자 다음과 같은 의문이 생겼다.

• 위협 인텔리전스가 조직에 어떻게 도움이 될까?
  
• 위협 인텔리전스에서 어떻게 가치를 만들어 낼 수 있을까?

이런 의문이 들자 IT 조직을 운영할 때 뭔가 빠진 것이 있을 것이라는 생각에 책의 주제를 변경했다. 위협 인텔리전스는 조직에 적용할 수 없다면 가치가 없다. 그리고 조직에 적용하면 누군가는 조치를 취해야 한다. 이는 단순하게 들릴 수도 있으나, 더 생각해 보면 조직의 다양한 부서와 협업해야 하고 팀 간 프로세스도 너무 다르다. 결국 이런 이유로 책의 주제는 사이버 인텔리전스로 바뀌었다.
소셜 미디어에서 사이버 보안 뉴스를 찾아보면 최신 공격 기법, 사이버 보안 전문가의 필요성과 우리가 얼마나 안전하지 않은지 알 수 있다. 감성적으로 들릴 수 있겠지만, 고위 지도층들은 우리 조직이 ‘다음 희생자’가 될 수 있다는 피해망상에 시달린다. 많은 고위 지도층이 정보 유출 때문에 강등되는 것을 보지 않았는가? 일부 정보 유출은 관리되지 않은 문제로 인한 것도 있지만, 종합적으로 보면 분권화된 결정을 허용하지 않는 낡고 관료주의적인 프로세스가 많기 때문이라고 생각한다.
IT 전체를 결정하는 여러분의 IT 조직과 IT 보안 그룹은 각 부서에 영향을 미치는 정보를 이용해 의사결정을 하고 있는가? 그렇다면 이 책은 여러분을 위한 것이 아니므로 내려 놓아도 좋다. 하지만 그렇지 않다면 이 책을 통해 업무 분리가 업무 수행 속도에 미치는 영향을 이해해야 한다. 군에서 인텔리전스 능력이란 사령관이 의사결정을 내리기 위해 주변 환경을 이해하는 것이다. 이 책에서는 다양한 군의 인텔리전스 프로세스를 조직 전체에 적용하는 방법을 설명한다. 초급 분석가든 상급 관리자든 관계없이 여러분의 조직에서 즉시 배우고 실습해 볼 수 있다.

윌슨 바우티스타 주니어(Wilson Bautista Jr)

군장교로 은퇴했고, 현재 i3 마이크로시스템즈의 IT/인포섹(InfoSec) 이사다. 인포섹 리더십, 정책, 아키텍처, 규제 및 위험 영역 전문가다. 여러 인포섹과 IT 인증뿐만 아니라 보스턴대학교에서 정보 시스템 석사 학위를 취득했다. MBTI(Myers Brigg Type Indicator)는 INTP 유형으로 논리적으로 사색하는 타입이며, 특히 정확성과 결정자 역할을 하는 드라이버 특성을 갖고 있다. 애자일(Agile) 및 섹데브옵스(SecDevOps) 실무자로 기업에 높은 가치를 제공하는 혁신적인 통합 엔터프라이즈 규모의 사이버 보안 솔루션을 개발했다.

이 책의 제목인 『실전 사이버 인텔리전스』를 한 문장으로 풀어 보면 ‘기업의 정보 보안에서 즉시 활용할 수 있는 사이버 인텔리전스 체계를 구현하는 방법’이라고 할 수 있다. 이 책에서는 기업에서 사이버 인텔리전스 체계를 만들고, 보안 운영 및 IT 부서와 협업하고 통합할 수 있는 관리 방안을 제시하고 있으며, 참고할 만한 여러 업무 프로세스와 방법론을 함께 설명한다. 특히 저자는 군에서 사이버 보안을 경험했기 때문에 나폴레옹의 전술이나 전장 용어를 사이버 보안에 적용해 예시를 제공해 준다. 그리고 기업에서 많이 적용하고 있는 F3EAD, OODA, PIR 개념을 기반으로 사이버 인텔리전스 체계를 마련하는 이론을 설명해 준다. 사실 사이버 인텔리전스라는 용어 자체를 악성 코드 분석 결과에서 나온 차별화된 정보나 침해지표 IOC 정도의 범위에서 생각하는 사람들이 많다. 그런 것을 기대하고 이 책을 열어 본다면 실망할 수도 있다. 이 책은 좀 더 넓은 업무 영역에서 사이버 인텔리전스 체계를 구축하는 것이기 때문이다.
최근 정보 보안 주요 트렌드 중에 ‘보안 오케스트레이션 및 자동화’가 있다. 가트너에서는 이를 SOAR(Security Orchestration, Automation and Response)이라고 부르며, 보안 관제 및 운영 업무를 자동화해 조율하고, 위협 인텔리전스 플랫폼을 구현하는 기술 영역으로 정의한다. 사이버 인텔리전스 체계가 제대로 만들어진 기반 위에서 관련 기술이나 솔루션이 동작할 때 효과는 더욱 강화될 수 있다. 따라서 전사적인 사이버 인텔리전스 체계를 어떻게 만들면 좋을지 고민하는 정보 보안 부서장, CISO에게 이 책이 좋은 가이드가 될 것으로 생각한다. 또한 위협 인텔리전스를 통합하고 활용하는 보안 관제 센터장, 위협 인텔리전스 부서장 및 관련 업무를 담당자들이 좀 더 시야를 넓힐 수 있는 기회가 될 것으로 생각한다.
역자는 실제 경험했던 국내 대기업의 정보 보안 관제 체계 구현에 활용되는 예제를 이 책에서 살펴볼 수 있었다. 따라서 기업에서 제대로 된 사이버 인텔리전스 체계를 마련하는 데 이 책이 이론적으로 도움이 될 수 있을 것이라 생각한다.

박정우

이글루 시큐리티에서 개발자로 시작해, 안랩에서 분석 업무를 하면서 블루 팀을 경험했고, NSHC 레드 알럿 팀에서 공격 시나리오를 만들면서 레드 팀을 경험했다. 현재 주식회사 쏘마의 인텔리전스 팀에서 MiTRE ATT&CK 기반 공격 시뮬레이션을 설계하고 개발하고 있으며, 공격 기법과 체계를 연구하고 있다.

최대수

전남대학교 일반대학원에서 정보 보안 박사학위를 취득했으며, 이글루시큐리티에서 ESM(통합보안관리) 솔루션 개발팀장, 삼성 SDS에서 정보 보안 컨설팅과 보안 솔루션 인증업무를 하였으며, 삼성그룹 보안 강사로도 활동하였다. 이후 스플렁크에서 정보 보안 엔지니어로 재직했고, 현재는 팔로알토 네트웍스에서 보안 운영 및 관제 솔루션 전문 엔지니어로 재직 중이다.