게시됨: 2024년 4월 8일
참여자: 그레그 린드멀더, 앰버 포레스트
오픈 소스 인텔리전스(OSINT)는 공개적으로 사용 가능한 정보를 수집 및 분석하여 위협을 평가하고, 의사 결정을 내리거나, 특정 질문에 답하는 프로세스입니다.
제2차 세계대전 당시, 고도로 훈련된 정보기관 요원들은 라디오 방송, 신문, 시장 변동 등 오픈 소스 정보를 모니터링했다. 오늘날에는 쉽게 액세스할 수 있는 데이터 소스의 수와 다양성을 감안할 때 거의 모든 사람이 오픈 소스 인텔리전스 수집에 참여할 수 있습니다.
OSINT 연구원이 데이터 포인트를 수집하는 공개 소스는 다음과 같습니다.
Google, DuckDuckGo, Yahoo, Bing 및 Yandex와 같은 인터넷 검색 엔진.
신문, 잡지 및 뉴스 사이트를 포함한 인쇄 및 온라인 뉴스 미디어.
Facebook, X, Instagram 및 LinkedIn과 같은 플랫폼의 소셜 미디어 계정.
온라인 포럼, 블로그 및 인터넷 릴레이 채팅 (IRC).
다크 웹은 검색 엔진에 의해 색인화되지 않는 인터넷의 암호화된 영역입니다.
전화번호, 이메일 주소 및 실제 주소가 포함된 온라인 디렉토리.
출생, 사망, 법원 문서 및 사업 서류를 포함한 공공 기록.
지방, 주 및 연방/중앙 정부에서 발행한 회의 녹취록, 예산, 연설 및 보도 자료와 같은 정부 기록.
논문, 논문 및 저널을 포함한 학술 연구.
IP 주소, API, 오픈 포트 및 웹 페이지 메타데이터와같은 기술 데이터.
그러나 OSINT 소스에서 데이터 수집을 시작하기 전에 명확한 목표를 설정해야 합니다. 예를 들어, OSINT를 사용하는 보안 전문가는 어떤 인사이트를 얻고자 하는지, 어떤 공개 데이터가 원하는 결과를 얻을 수 있는지를 먼저 결정합니다.
공개 정보를 수집한 후에는 불필요하거나 중복된 데이터를 걸러내는 과정을 거쳐야 합니다. 그런 다음 보안팀은 정제된 데이터를 분석하여 실행 가능한 인텔리전스 보고서를 작성할 수 있습니다.
위협 행위자는 종종 OSINT를 사용하여 컴퓨터 네트워크의 취약점을 악용하는 데 활용할 수 있는 민감한 정보를 찾아냅니다.
여기에는 소셜 미디어와 회사 웹사이트에서 쉽게 액세스할 수 있는 조직의 직원, 파트너 및 공급업체에 대한 개인 정보가 포함될 수 있습니다. 또는 웹 페이지 또는 클라우드 애플리케이션의 소스 코드에 나타날 수 있는 자격 증명, 보안 취약점 또는 암호화 키와 같은 기술 정보입니다. 데이터 유출로 인해 도난당한 로그인 및 비밀번호와 같은 유출 정보를 공개하는 공개 웹사이트도 있습니다.
사이버 범죄자는 이 공개 데이터를 다양한 사악한 목적으로 사용할 수 있습니다.
예를 들어, 소셜 네트워크의 개인 정보를 사용하여 독자가 악성 링크를 클릭하도록 유도하는 맞춤형 피싱 이메일을 만들 수 있습니다. 또는 웹 애플리케이션의 보안 취약점을 드러내는 특정 명령으로 Google 검색을 수행하는데, 이를 "Google 도킹"이라고 합니다. 또한 사이버 보안 방어 전략을 설명하는 회사의 공개 자산을 검토한 후 해킹 시도 중에 탐지를 피할 수도 있습니다.
이러한 이유로 많은 조직에서는 시스템, 애플리케이션 및 인적 자원과 관련된 공개 정보 소스에 대한 OSINT 평가를 수행합니다.
이 발견은 독점 또는 민감한 데이터의 무단 유출을 찾아내고, 정보 보안을 평가하고, 패치되지 않은 소프트웨어, 잘못된 구성 또는 열린 포트와 같은 취약성을 식별하는 데 사용될 수 있습니다. 조직은 사이버 범죄자와 해커가 공개적으로 액세스할 수 있는 동일한 OSINT 데이터를 사용하여 시스템 및 네트워크에 대한 침투 테스트를 수행할 수도 있습니다.
OSINT 평가 중에 수집된 정보는 비공개 데이터와 결합되어 보다 포괄적인 위협 인텔리전스 보고서를 작성하는 경우가 많습니다. OSINT 사이버 보안 평가를 자주 업데이트하면 조직이 데이터 침해, 랜섬웨어, 맬웨어 및 기타 사이버 공격의 위험을 완화하는 데 도움이 될 수 있습니다.
공개 정보가 방대하기 때문에 OSINT 데이터를 수동으로 수집, 분류 및 분석하는 것은 비현실적인 경우가 많습니다. 전문화된 오픈 소스 인텔리전스 도구는 다양한 OSINT 사용 사례의 데이터 작업을 관리하고 자동화하는 데 도움이 될 수 있습니다.
일부 OSINT 분석 도구는 인공 지능 및 기계 학습을 사용하여 가치 있고 관련성이 있는 정보와 중요하지 않거나 관련이 없는 정보를 감지합니다. 가장 널리 사용되는 OSINT 도구는 다음과 같습니다.
OSINTFramework.com(ibm.com 외부 링크) – 개발자 플랫폼 GitHub에서 호스팅되는 무료 온라인 OSINT 도구 및 리소스의 광범위한 디렉토리입니다. 해커와 사이버 보안 전문가 모두 이 디렉터리를 출발점으로 삼아 OSINT 도구에서 원하는 특정 기능을 자세히 살펴볼 수 있습니다.
Maltego (ibm.com 외부 링크) – 데이터 패턴 및 연결을 그래픽으로 표현하는 Windows, Mac 및 Linux 플랫폼용 실시간 데이터 마이닝 솔루션입니다. 개인의 온라인 활동을 프로파일링하고 추적할 수 있는 이 툴은 사이버 보안 전문가와 위협 행위자 모두에게 유용할 수 있습니다.
Spiderfoot(링크는 ibm.com 외부에 있음) – 이메일 주소, 전화번호, IP 주소, 하위 도메인 등과 같은 정보를 위한 데이터 소스 통합 도구입니다. 윤리적 해커는 이 리소스를 사용하여 조직이나 개인에게 위협이 될 수 있는 공개적으로 사용 가능한 정보를 조사할 수 있습니다.
Shodan(링크는 ibm.com 외부에 있음) – 메타데이터 및 열린 포트에 대한 정보도 제공할 수 있는 인터넷 연결 장치용 검색 엔진입니다. 이 도구는 수백만 개의 장치에 대한 보안 취약점을 식별할 수 있기 때문에 사이버 보안 전문가와 사이버 범죄자 모두에게 유용할 수 있습니다.
Babel X(링크는 ibm.com 외부에 있음) - 200개 이상의 언어로 월드와이드 웹과 다크 웹을 검색할 수 있는 다국어, AI 지원 검색 도구입니다. 조직 내 보안팀은 이 도구를 사용하여 다크 웹이나 외국에 게시되어 있을 수 있는 민감한 정보 또는 독점 정보를 검색할 수 있습니다.
Metasploit(ibm.com 외부 링크) – 네트워크, 시스템 및 애플리케이션의 보안 취약점을 식별할 수 있는 침투 테스트 도구입니다. 사이버 보안 전문가와 해커 모두 성공적인 사이버 공격을 가능하게 할 수 있는 특정 약점을 노출시킬 수 있기 때문에 이 도구를 유용하게 활용합니다.
위협 행위자가 공격을 수행하는 방법과 조직을 선제적으로 보호하는 방법을 이해하는 데 도움이 되는 실행 가능한 인사이트를 찾아보세요.
침투 테스트가 조직이 애플리케이션, 네트워크, 장치 및 기타 자산의 중요한 보안 취약점을 발견하는 데 어떻게 도움이 되는지 이해하세요.
보안 분석가가 원시 정보를 분석하고 상관 관계를 분석하여 사이버 공격이 발생하기 전에 이를 완화하고 방지하는 데 도움을 주어 위협 인텔리전스를 생성하는 방법을 알아보십시오.