문의하기
제품 소개
소나 마에스트로 소나 소나 라이트 미니 클라우드 워치
스토어
포럼
블로그
리소스
회사정보
소개 연혁 인증 및 특허

Recorded Future 연동을 통한 위협 탐지 및 자동 차단

2026-02-03

Recorded Future는 글로벌 위협 인텔리전스(CTI)를 제공하는 대표적인 기업으로, 로그프레소 앱(App) 설치 시 자동화된 위협 헌팅을 통해 보안 위협을 탐지하고 즉각적인 차단까지 수행할 수 있습니다.

이번 글에서는 로그프레소 플랫폼에서 Recorded Future를 연동하여 보안 위협을 탐지하고 대응하는 방법에 대해 살펴보겠습니다.

목차

  1. Recorded Future CTI 정보 활용
  2. Recorded Future 앱 설치 및 연동
  3. IP 위협 정보 조회
  4. URL 위협 정보 조회
  5. 파일 Hash 조회
  6. Recorded Future 기반 위협 헌팅 및 자동 대응
  7. 정리

1. Recorded Future CTI 정보 활용

로그프레소 플랫폼에서는 Recorded Future가 제공하는 다양한 CTI 정보 중 Threat Intelligence를 활용하여 다음과 같은 침해지표(IoC; Indicator of Compromise) 정보를 분석하고 대응할 수 있습니다.

  • IP
  • Domain
  • URL
  • File Hash

이를 이용해 이미 알려진 위협에 대해 보다 빠르고 정확한 위협 대응을 할 수 있습니다.

2. Recorded Future 앱 설치 및 연동

로그프레소 플랫폼에 Recorded Future 앱을 설치하여 연동하는 과정은 아래의 URL을 참고하도록 합니다.

3. IP 위협 정보 조회

IP 위협 정보 조회 기능은 보안 시스템에서 탐지된 IP 주소가 과거에 실제 보안 위협으로 확인된 이력이 있는지를 분석합니다. Recorded Future의 위험도(Risk Score)를 기반으로 위험도가 높은 IP가 식별될 경우, SOAR 플레이북과 연동하여 방화벽 등 보안 장비를 통해 자동으로 접근을 차단할 수 있습니다.


단일 IP 에 대한 IP 위협 정보 조회

다수의 IP 에 대한 IP 위협 정보 조회

4. URL 위협 정보 조회

URL 위협 정보 조회 기능은 SWG(Secure Web Gateway)와 같은 유해 사이트 차단 시스템과 연동하여 의심스러운 URL을 분석합니다. 조회 결과 위험도가 높은 URL로 확인되면, SOAR 플레이북을 이용해 SWG와 같은 보안 시스템에서 해당 URL 접속을 자동으로 차단할 수 있습니다.

5. 파일 Hash 조회

파일 Hash 조회 기능은 APT, NDR, EDR 등 다양한 보안 솔루션에서 탐지된 수상한 파일의 Hash 값을 기반으로 악성 여부를 판단합니다. Recorded Future의 위협 인텔리전스를 통해 악성 파일로 확인될 경우 마찬가지로 SOAR 플레이북을 이용해 EDR 또는 Anti-Virus에서 파일을 제거하거나 격리할 수 있습니다.

6. Recorded Future 기반 위협 헌팅 및 자동 대응

로그프레소 플랫폼에서는 머신러닝으로 웹로그에서 이상 행위를 탐지할 수 있습니다. 아래 예시는 이상 행위로 탐지된 IP 주소에 대해 Recorded Future 인텔리전스를 활용한 위협 분석 결과를 보여줍니다. 태스크(Task)를 클릭하면, 플레이북을 이용해 분석부터 차단까지 자동 대응이 수행된 결과를 확인할 수 있습니다.


로그프레소 플랫폼에서 머신러닝으로 탐지한 웹로그 이상 행위 정보

실제 동작한 플레이북을 살펴보면, 로그프레소 플랫폼에서 Recorded Future의 IP 위협 정보를 확인하여 위험도가 기준치를 초과하는 것으로 확인되어, 방화벽을 통해 해당 IP를 차단한 것을 확인할 수 있습니다. 참고로, Recorded Future의 위험도 기준 정보는 링크를 통해 확인할 수 있습니다.


플레이북에서 Recorded Future의 IP 위협 정보를 활용해 자동 대응한 결과

또한, 아래와 같이 Recorded Future에서 조회한 데이터를 활용하여, 해당 IP가 최근 SSH/Dictionary 공격을 수행한 IP임을 확인할 수 있는 근거 자료가 자동으로 티켓 메모에 추가됩니다. 이를 통해 위협 IP로 탐지되고 차단된 사유를 명확히 확인할 수 있습니다.


Recorded Future에서 조회한 위협 IP 근거 정보

티켓 메모에 자동으로 추가된 위협 IP 근거 정보

7. 정리

앞서 소개한 기능 외에도 로그프레소 플랫폼에서는 Recorded Future의 다양한 기능을 보다 효과적으로 활용할 수 있는 다양한 확장 명령어를 제공하고 있습니다. 아래 링크를 통해 Recorded Future가 제공하는 여러 기능을 직접 확인하고 활용해보시기 바랍니다.


로그프레소 플랫폼의 Recorded Future 대시보드

또한, 로그프레소 플랫폼에 Recorded Future 앱을 설치하면 관련 대시보드가 자동으로 추가됩니다. 해당 대시보드를 통해 우리 조직과 연관된 공격 경보는 물론, 최신 위협 공격 그룹, 위협 IP, 도메인, 악성 파일 해시 정보를 실시간으로 모니터링할 수 있습니다. 이를 통해 이미 알려진 보안 위협에 대한 사전 탐지와 자동 대응 체계를 효과적으로 구축할 수 있습니다.

둘러보기

더보기

[위협 분석] Shai-Hulud 웜 기반 소프트웨어 공급망 공격 분석

최근 소프트웨어 공급망 공격(Supply Chain Attack)의 위협이 높아지고 있는 가운데, Node.js NPM 생태계를 노린 Shai-Hulud 웜의 대규모 공격이 연이어 발생하고 있습니다. 2025년 9월 16일 처음 발견된 1차 공격은 개발자 시스템에서 API 키, 클라우드 서비스 키, NPM 토큰, GitHub 토큰과 같은 민감 정보를 탈취하고, 이를 활용해 다른 NPM 패키지에 자동으로 악성 코드를 삽입·배포하는 방식으로 이루어졌습니다. 이는 NPM 패키지 침해를 유발한 최초의 공급망 웜형 악성코드로 평가되고 있습니다. 2025년 11월 24일 발생한 2차 공격은 1차 공격과 유사한 방법론을 사용했으나, 그 규모가 훨씬 확대되어 1,000개 이상의 패키지에서 침해가 확인되고 있습니다. Wiz의 분석에 따르면 GitHub에서도 25,000개 이상의 저장소에서 민감 정보가 탈취된 것으로 보고되고 있습니다. 이번 사건은 Shai-Hulud와 같은 웜형 소프트웨어 공급망 공격이 향후에도 반복적으로 발생할 수 있고 고도화 될 수 있음을 보여주고 있습니다. 특히 오픈 소스를 적극 활용하는 기업들은 이러한 공급망 공격 전략을 면밀히 분석하고, 재발 방지를 위한 보안 대응 체계를 강화할 필요가 있습니다.

2025-11-26

2025 북한 연계 APT 공격 분석 회고 (Lazarus · Kimsuky · APT37 · Konni)

로그프레소 보안운영 조직에서 2025년 북한 연계 Kimsuky·APT37·Lazarus·Konni 4개 그룹의 전술을 종합한 결과, 실행 유도 → 다단계 로더 → 주기적 C2 → 정보수집/탈취 → 원격 명령의 패턴이 뚜렷했습니다. 다단계화·지속성 표준화(작업 스케줄러/RunKey·LaunchAgents), 모듈형 탈취, C2 중심의 동적 기능 전개가 핵심이며, 생활 밀착형 미끼와 국내 포털 유사 도메인 활용도 증가했습니다. 이번 회고는 파일·IoC 중심 대응을 넘어 주기 실행·LOLBins·스크립트 체인·크리덴셜 남용을 지표로 한 행위 기반 탐지와 위협 헌팅 표준을 제시했다는 점에서 의미가 있습니다.

2026-01-14