ti정보수집

설동윤·2026년 2월 23일

머하지

목록 보기
1/2
post-thumbnail

정보 링크:
https://www.criminalip.io/ko/knowledge-hub/blog/24628




좋아. 아래는 보안관제(SOC)에서 TI(Threat Intelligence) 정보수집 단계를 실제 프로젝트에 넣을 수 있게 만든 WBS 예시야. 🛡️

기준은 네가 앞에서 정리한 내용(IOC/TTP/CVE/캠페인 수집, SIEM/Snort/EDR 반영 관점) + 업로드한 TI 사이클/소스(OSINT, HUMINT, TECHINT) 개념을 반영했어.


TI 정보수집 단계 WBS (보안관제용)

1) WBS 설계 기준

  • 범위: TI 사이클 전체가 아니라, 그중 “수집(Collect)” 단계 중심
  • 목적: SOC에서 바로 쓸 수 있는 형태의 TI 원천데이터 확보
  • 수집 대상: IOC, TTP, CVE/KEV, 캠페인/공격그룹, 악성 인프라(IP/도메인/URL), 내부 관제 연계 정보
  • 소스 유형: OSINT / HUMINT / TECHINT / 내부 로그 기반 인텔리전스 (관제형 확장)

2) WBS 구조도 (상위)

  • 1.0 TI 정보수집 준비
  • 2.0 수집 소스 정의 및 등록
  • 3.0 수집 파이프라인 구축
  • 4.0 TI 데이터 수집 실행
  • 5.0 수집 품질 점검 및 인계
  • 6.0 운영 전환(정기 수집 체계화)

3) 상세 WBS 표 (실무형)

아래는 프로젝트형(초기 구축) 기준 예시야.
운영 단계에서는 4.0~6.0이 반복 수행됨.

WBS ID작업명상세 작업산출물담당(예시)기간(예시)선행
1.0TI 정보수집 준비수집 목표/범위 정의 (관제 목적, 자산 범위, 우선 위협)수집 범위 정의서SOC 리더, TI 담당0.5일-
1.1수집 요구사항 정의어떤 위협을 볼지 정의 (웹공격, 계정탈취, C2, 악성 IP 등)정보요구사항(IR) 목록SOC 분석가0.5일1.0
1.2수집 항목 분류IOC/TTP/CVE/캠페인/취약자산/피싱 분류 체계 수립TI 분류 체계표TI 담당0.5일1.1
1.3우선순위 기준 정의신뢰도, 최신성, 우리 환경 연관성 기준 정립우선순위 기준표SOC 리더0.5일1.2
2.0수집 소스 정의 및 등록외부/내부 수집 채널 목록화TI 소스 카탈로그TI 담당1일1.3
2.1OSINT 소스 등록벤더 블로그, CERT, CVE/KEV, 악성 IOC 피드, 보안 뉴스 등록OSINT 목록TI 담당0.5일2.0
2.2HUMINT 소스 등록커뮤니티, 내부 공유채널, 협력사 알림 체계 정의HUMINT 목록/연락체계SOC 리더0.5일2.0
2.3TECHINT 소스 등록샌드박스, 악성코드 분석, 네트워크/EDR 분석 결과 수집 채널 정의TECHINT 목록IR/TI 담당0.5일2.0
2.4내부 관제 소스 연계 정의SIEM, EDR, FW, WAF, IDS/IPS(Snort)에서 TI 연계 가능한 필드 정의내부연계 필드맵SOC 엔지니어0.5일2.0
3.0수집 파이프라인 구축수집 방식 수동/자동 설계 및 구현수집 파이프라인 설계서SOC 엔지니어2일2.4
3.1수집 템플릿 설계표준 수집 포맷 정의 (IOC type/value/source/time/confidence)수집 템플릿(JSON/CSV)TI 담당0.5일3.0
3.2자동수집 스크립트/커넥터 구성RSS/API/파일수집/메일수집 등 자동화수집 스크립트/커넥터엔지니어1일3.1
3.3수동수집 절차서 작성수동 등록 기준(긴급 IOC, 사고 공유 등) 정의수동수집 SOPTI 담당0.5일3.1
3.4저장소/DB 구성TI 임시 저장소(테이블/폴더/인덱스) 구성TI Raw 저장소엔지니어0.5일3.2
4.0TI 데이터 수집 실행소스별 실제 데이터 수집 수행Raw TI 데이터셋TI 담당3일3.4
4.1IOC 수집악성 IP/도메인/URL/해시/이메일/인증서 지문 수집IOC Raw 목록TI 담당1일4.0
4.2TTP 수집MITRE ATT&CK 기반 TTP/행위패턴/공격흐름 수집TTP Raw 목록TI/IR 담당0.5일4.0
4.3취약점 정보 수집CVE, KEV, PoC 공개 여부, 벤더 권고안 수집CVE/KEV 목록TI 담당0.5일4.0
4.4캠페인/그룹 정보 수집산업군 대상 공격 캠페인, 공격그룹/행위자 동향 수집캠페인 보고 요약TI 담당0.5일4.0
4.5내부 탐지 연계 수집최근 7~30일 SIEM/EDR/Snort 경보와 외부 TI 연관 후보 수집내부연계 후보 목록SOC 분석가0.5일4.0
5.0수집 품질 점검 및 인계수집 결과 검수 후 처리단계로 넘김수집결과 검수서SOC 리더1.5일4.5
5.1중복/형식 점검포맷 오류, 중복, 필수 필드 누락 점검품질 점검 결과TI 담당0.5일5.0
5.2신뢰도/최신성 태깅source 신뢰도, first_seen/last_seen 기준 태깅신뢰도 태그 적용본TI 담당0.5일5.1
5.3관제 연계 태깅SIEM/Snort/EDR/WAF 반영 대상 구분 태깅반영대상 태그 목록SOC 분석가0.5일5.2
5.4처리단계 인계정제/처리 담당에게 인계 (CSV/JSON/API)인계 패키지TI 담당0.25일5.3
6.0운영 전환반복 수집 주기/책임/지표 운영화운영 계획서SOC 리더1일5.4
6.1수집 주기 설정실시간/일간/주간 수집 주기 정의주기표SOC 리더0.25일6.0
6.2예외/긴급 수집 절차긴급 CVE/캠페인 발생 시 핫패스 정의긴급수집 SOPSOC 리더0.25일6.0
6.3KPI 정의수집량, 유효율, 탐지기여율, 오탐유발율 등 정의KPI 시트TI 담당0.25일6.0
6.4정기 리뷰 일정 수립주간/월간 품질 리뷰 및 피드백 회의 계획리뷰 캘린더SOC 리더0.25일6.0

4) WBS 산출물 템플릿 (네 프로젝트에 바로 쓰기 좋음)

A. TI 수집 소스 카탈로그 (예시 컬럼)

  • 소스명
  • 소스유형 (OSINT/HUMINT/TECHINT/내부)
  • 수집대상 (IOC/TTP/CVE/캠페인)
  • 수집방식 (API/RSS/수동/메일/스크립트)
  • 수집주기 (실시간/일/주)
  • 신뢰도 등급
  • 담당자
  • 비고

B. TI Raw 데이터 표준 포맷 (예시)

  • ti_type (IP / domain / url / hash / cve / ttp / campaign)
  • value
  • source_name
  • source_type
  • collected_at
  • first_seen
  • last_seen
  • confidence (low/med/high)
  • relevance (우리환경 연관도)
  • description
  • mitre_tactic
  • mitre_technique
  • recommended_action

C. 관제 반영 대상 태그 (예시)

  • target_siem
  • target_snort
  • target_waf
  • target_edr
  • target_firewall
  • needs_manual_review

5) 보안관제 프로젝트에 맞춘 운영 포인트 (중요)

① “수집”과 “처리”를 분리해라

TI 사이클상 수집 후에 처리(정리/구조화)가 별도 단계인 게 핵심이야.
WBS에서도 5.0에서 품질 점검 + 인계까지만 하고, 정제/분석은 다음 단계로 넘기는 구조가 깔끔함.

② 내부 관제 로그를 꼭 포함해라

실무 SOC에서는 외부 TI만 모으면 활용성이 떨어짐.

  • SIEM/EDR/Snort 경보와 매칭 가능한 필드 (src_ip, dest_ip, domain, url, hash)를 같이 정의해야 함.

③ 신뢰도/최신성 태깅은 수집단계에서 시작

업로드한 자료에도 나온 것처럼 오래된 IoC, 중복 데이터, 신뢰도 문제가 TI 실무의 대표 이슈라서, 수집 단계부터 태깅해두는 게 좋음.


6) 발표/보고서용 문장 (바로 사용 가능)

TI 정보수집 단계 WBS는 보안관제 환경에서 활용 가능한 위협 인텔리전스를 확보하기 위해, 수집 요구사항 정의 → 소스 등록(OSINT/HUMINT/TECHINT/내부 연계) → 수집 파이프라인 구축 → IOC/TTP/CVE/캠페인 데이터 수집 → 품질 점검 및 처리단계 인계 → 운영 전환의 순서로 구성하였다.


원하면 다음으로 이어서 “TI 처리단계 WBS”(중복제거, 정규화, 스코어링, 매핑, SIEM/Snort 반영 준비)까지 같은 형식으로 확장해줄게.

0개의 댓글