All Work

Security Analyzer

위협 보고서와 보안 공지에서 IOC를 추출하고, 도메인·IP·해시별 증거 수집과 AI 판정, 최종 보고서 생성까지 연결한 위협 인텔리전스 분석 플랫폼입니다.

Threat IntelligenceIOC ExtractionEvidence PipelineAI Verdict
Input URL, 붙여넣은 보고서 본문, PDF 첨부까지 분석 입력으로 수용
Coverage Domain/URL, IP:PORT, Hash를 서로 다른 분석 파이프라인으로 처리
Decision IOC 차단 여부와 사용자 로그 검토 여부를 2축으로 판정
Case Blueprint

Threat Intelligence Workbench

이 사례는 아래 순서로 보면 배경, 판단 기준, 산출물 흐름이 가장 자연스럽게 이어집니다.

01 위협 보고서를 조치 가능한 분석 건으로 전환 lead
02 Threat Intelligence 분석 워크벤치 ax-control-map
03 분석 콘솔이 처리하는 일 product-console
04 분석 아키텍처 architecture
05 Domain / URL 분석 흐름 flow

위협 보고서를 조치 가능한 분석 건으로 전환

위협 인텔리전스 보고서는 사람이 읽을 때는 정보지만, 운영자가 조치하려면 IOC 추출, 내부 접근 여부 확인, 외부 평판 확인, 차단/검토 판단, 보고서 작성까지 이어져야 합니다. Security Analyzer는 이 반복 절차를 하나의 분석 제품으로 묶은 작업입니다.

Operating Unit IOC 분석 워크벤치

보고서 읽기에서 끝나지 않고 차단·검토·보고까지 이어지는 단위로 정리했습니다.

Threat Intelligence 분석 워크벤치

위협 보고서를 그대로 요약하지 않고, IOC를 추출하고 증거를 붙여 운영자가 조치할 수 있는 판정 단위로 바꾸는 구조입니다.

Intake 보고서 입력

URL, 붙여넣은 본문, PDF 첨부를 분석 가능한 위협 보고서 본문으로 정리

URLTextPDFCTI Report
Extract IOC 추출

도메인, URL, IP:PORT, 해시, 참고 지표를 분리하고 분석 대상 단위로 정규화

DomainURLIP:PORTHash
Evidence 증거 수집

DNS, HTTP 응답, 리다이렉트, 보안 헤더, 내부 접근 로그, 외부 평판을 유형별로 수집

DNSHTTPLogReputation
Verdict 2축 판정

차단 등록 여부와 사용자 로그 검토 필요성을 분리해 운영 가능한 결론으로 정리

BlockSkipReviewRecord
위협 보고서는 읽는 자료에서 끝나지 않고, 차단 · 검토 · 기록 가능한 분석 건이 됩니다.

분석 콘솔이 처리하는 일

입력부터 판단과 기록까지 이어지는 업무 화면을 하나의 운영 콘솔처럼 설계했습니다.

Input URL / Text / PDF
IOC Types Domain · IP · Hash
Decision Block / Skip + Log Review
analysis run
Crawl

위협 보고서 본문과 첨부 자료 수집

수집 구현
Extract

도메인, URL, IP:PORT, 해시, 참고 지표 분리

추출 구현
Analyze

각 IOC 유형에 맞는 증거 수집 파이프라인 실행

분석 구현
Decide

차단 등록과 사용자 로그 검토 여부 판정

판정 구현
Record

최종 요약 보고서와 후속 조치 기록 생성

보고 구현
Decision model Block / Skip

판단 기준을 분리해 운영자가 바로 조치할 수 있는 단위로 정리합니다.

분석 아키텍처

01 Intake 보고서 수집

URL 크롤링, 붙여넣은 텍스트, PDF 첨부를 입력으로 받아 분석 가능한 본문으로 정리합니다.

02 Extract IOC 추출

LLM 추출과 정규식 기반 보정으로 도메인/URL, IP:PORT, 해시, 비차단 참고 지표를 분리합니다.

03 Enrich 증거 수집

DNS, HTTP 응답, 리다이렉트, 페이지 메타, 보안 헤더, 내부 접근 로그, 외부 평판을 유형별로 수집합니다.

04 Decide 2축 판정

IOC 차단 등록 여부와 사용자 로그 검토 여부를 분리해 운영자가 바로 조치할 수 있는 결론으로 만듭니다.

05 Record 보고서화

분석 결과를 저장하고, 최종 요약 보고서와 이슈 트래커 등록용 문장으로 재사용합니다.

Domain / URL 분석 흐름

01 Normalize

도메인, URL, defang된 hxxp/hxxps 입력을 원본 IOC와 분석 Host로 분리

02 Resolve

DNS 생존 여부와 IP 응답 정보를 확인

03 Probe

HTTP 응답, 리다이렉트 체인, 페이지 메타, 보안 헤더, 화면 캡처 수집

04 Trace

내부 로그에서 최근 접근 여부와 사용자 흔적 확인

05 Verdict

차단 등록 여부와 사용자 로그 검토 필요성을 AI가 근거와 함께 판정

IOC 유형별로 다른 분석 전략

Domain / URL
  • DNS 활성 여부
  • HTTP 상태와 리다이렉트
  • 페이지 메타·보안 헤더
  • 내부 접근 로그
  • AI 판정
IP / Endpoint
  • Reverse DNS
  • 포트 스캔
  • GeoIP·공유 인프라 판별
  • 내부 접근 로그
  • 시스템 보정 룰
Hash
  • 해시 타입 판별
  • 외부 평판 조회
  • EDR 탐지 여부 확인
  • 추가 대응 필요 여부
  • 분석 이력 저장

운영자가 바로 쓰는 2축 판정

분석 결과를 문장 하나로 뭉개지 않고, 실제 운영자가 조치하는 판단 축으로 분리했습니다.

IOC Action 차단 등록 또는 등록 불필요
Log Review 사용자 접근 로그 검토 필요 또는 불필요
Block + Review

차단 등록과 내부 사용자 영향 확인을 함께 진행

Block Only

IOC는 악성 가능성이 높지만 내부 접근 흔적은 없음

Skip + Review

공유 인프라/정상 영향 가능성은 있으나 내부 접근 확인 필요

Skip

차단 가치가 낮고 사용자 로그 검토도 불필요

구현에서 신경 쓴 지점

01 Streaming UX

크롤링, 추출, 분석, 판정 상태를 SSE로 흘려 분석자가 대기 중에도 진행 상황을 볼 수 있게 했습니다.

02 Guardrails

공유 인프라 IP, 비공인 IP, IP:PORT 응답 여부처럼 AI 문장에 맡기면 안 되는 판정은 시스템 룰로 보정했습니다.

03 Evidence Retention

HTTP 응답, 리다이렉트, 보안 헤더, 내부 접근 로그, 판정 근거를 분석 ID와 함께 저장하도록 구성했습니다.

04 Bulk Workflow

보고서에서 여러 IOC가 추출돼도 도메인, IP, 해시를 각각 최대 단위로 나눠 일괄 분석할 수 있게 했습니다.

05 Report Output

분석 결과를 다시 사람이 복사해 정리하지 않도록 최종 요약 보고서와 이슈 등록용 제목을 생성했습니다.

06 Failure Isolation

DNS, HTTP, 내부 로그, AI 판정 중 일부가 실패해도 전체 분석이 멈추지 않도록 단계별 오류를 격리했습니다.

작업의 성격

이 작업은 단순한 AI 요약 도구가 아니라, 보안 분석가가 반복하던 CTI triage 절차를 입력, 증거, 판정, 기록으로 분해해 업무 도구로 구현한 사례입니다.