Threat Intelligence Workbench
이 사례는 아래 순서로 보면 배경, 판단 기준, 산출물 흐름이 가장 자연스럽게 이어집니다.
위협 보고서를 조치 가능한 분석 건으로 전환
위협 인텔리전스 보고서는 사람이 읽을 때는 정보지만, 운영자가 조치하려면 IOC 추출, 내부 접근 여부 확인, 외부 평판 확인, 차단/검토 판단, 보고서 작성까지 이어져야 합니다. Security Analyzer는 이 반복 절차를 하나의 분석 제품으로 묶은 작업입니다.
보고서 읽기에서 끝나지 않고 차단·검토·보고까지 이어지는 단위로 정리했습니다.
Threat Intelligence 분석 워크벤치
위협 보고서를 그대로 요약하지 않고, IOC를 추출하고 증거를 붙여 운영자가 조치할 수 있는 판정 단위로 바꾸는 구조입니다.
URL, 붙여넣은 본문, PDF 첨부를 분석 가능한 위협 보고서 본문으로 정리
도메인, URL, IP:PORT, 해시, 참고 지표를 분리하고 분석 대상 단위로 정규화
DNS, HTTP 응답, 리다이렉트, 보안 헤더, 내부 접근 로그, 외부 평판을 유형별로 수집
차단 등록 여부와 사용자 로그 검토 필요성을 분리해 운영 가능한 결론으로 정리
분석 콘솔이 처리하는 일
입력부터 판단과 기록까지 이어지는 업무 화면을 하나의 운영 콘솔처럼 설계했습니다.
위협 보고서 본문과 첨부 자료 수집
수집 구현도메인, URL, IP:PORT, 해시, 참고 지표 분리
추출 구현각 IOC 유형에 맞는 증거 수집 파이프라인 실행
분석 구현차단 등록과 사용자 로그 검토 여부 판정
판정 구현최종 요약 보고서와 후속 조치 기록 생성
보고 구현판단 기준을 분리해 운영자가 바로 조치할 수 있는 단위로 정리합니다.
분석 아키텍처
URL 크롤링, 붙여넣은 텍스트, PDF 첨부를 입력으로 받아 분석 가능한 본문으로 정리합니다.
LLM 추출과 정규식 기반 보정으로 도메인/URL, IP:PORT, 해시, 비차단 참고 지표를 분리합니다.
DNS, HTTP 응답, 리다이렉트, 페이지 메타, 보안 헤더, 내부 접근 로그, 외부 평판을 유형별로 수집합니다.
IOC 차단 등록 여부와 사용자 로그 검토 여부를 분리해 운영자가 바로 조치할 수 있는 결론으로 만듭니다.
분석 결과를 저장하고, 최종 요약 보고서와 이슈 트래커 등록용 문장으로 재사용합니다.
Domain / URL 분석 흐름
도메인, URL, defang된 hxxp/hxxps 입력을 원본 IOC와 분석 Host로 분리
DNS 생존 여부와 IP 응답 정보를 확인
HTTP 응답, 리다이렉트 체인, 페이지 메타, 보안 헤더, 화면 캡처 수집
내부 로그에서 최근 접근 여부와 사용자 흔적 확인
차단 등록 여부와 사용자 로그 검토 필요성을 AI가 근거와 함께 판정
IOC 유형별로 다른 분석 전략
- DNS 활성 여부
- HTTP 상태와 리다이렉트
- 페이지 메타·보안 헤더
- 내부 접근 로그
- AI 판정
- Reverse DNS
- 포트 스캔
- GeoIP·공유 인프라 판별
- 내부 접근 로그
- 시스템 보정 룰
- 해시 타입 판별
- 외부 평판 조회
- EDR 탐지 여부 확인
- 추가 대응 필요 여부
- 분석 이력 저장
운영자가 바로 쓰는 2축 판정
분석 결과를 문장 하나로 뭉개지 않고, 실제 운영자가 조치하는 판단 축으로 분리했습니다.
차단 등록과 내부 사용자 영향 확인을 함께 진행
IOC는 악성 가능성이 높지만 내부 접근 흔적은 없음
공유 인프라/정상 영향 가능성은 있으나 내부 접근 확인 필요
차단 가치가 낮고 사용자 로그 검토도 불필요
구현에서 신경 쓴 지점
크롤링, 추출, 분석, 판정 상태를 SSE로 흘려 분석자가 대기 중에도 진행 상황을 볼 수 있게 했습니다.
공유 인프라 IP, 비공인 IP, IP:PORT 응답 여부처럼 AI 문장에 맡기면 안 되는 판정은 시스템 룰로 보정했습니다.
HTTP 응답, 리다이렉트, 보안 헤더, 내부 접근 로그, 판정 근거를 분석 ID와 함께 저장하도록 구성했습니다.
보고서에서 여러 IOC가 추출돼도 도메인, IP, 해시를 각각 최대 단위로 나눠 일괄 분석할 수 있게 했습니다.
분석 결과를 다시 사람이 복사해 정리하지 않도록 최종 요약 보고서와 이슈 등록용 제목을 생성했습니다.
DNS, HTTP, 내부 로그, AI 판정 중 일부가 실패해도 전체 분석이 멈추지 않도록 단계별 오류를 격리했습니다.
이 작업은 단순한 AI 요약 도구가 아니라, 보안 분석가가 반복하던 CTI triage 절차를 입력, 증거, 판정, 기록으로 분해해 업무 도구로 구현한 사례입니다.