문의하기
제품 소개
소나 마에스트로 소나 소나 라이트 미니 클라우드 워치
스토어
포럼
블로그
리소스
회사정보
소개 연혁 인증 및 특허

[Use case] Recorded Future 연동을 통한 자동 위협 탐지 및 차단

2026-02-03

Recorded Future는 글로벌 위협 인텔리전스(CTI)를 제공하는 대표적인 기업으로, 로그프레소 앱(App) 설치 시 자동화된 위협 헌팅을 통해 보안 위협을 탐지하고 즉각적인 차단까지 수행할 수 있습니다.

이번 글에서는 로그프레소 소나에서 Recorded Future를 연동하여 보안 위협을 탐지하고 대응하는 방법에 대해 살펴보겠습니다.

목차

  1. Recorded Future CTI 정보 활용
  2. Recorded Future 앱 설치 및 연동
  3. IP 위협 정보 조회
  4. URL 위협 정보 조회
  5. 파일 HASH 조회
  6. Recorded Future 기반 위협 헌팅 및 자동 대응
  7. 정리

1. Recorded Future CTI 정보 활용

로그프레소 플랫폼에서는 Recorded Future가 제공하는 다양한 CTI 정보 중 Threat Intelligence를 활용하여 다음과 같은 침해지표(IoC; Indicator of Compromise) 정보를 분석하고 대응할 수 있습니다.

  • IP
  • Domain
  • URL
  • File Hash

이를 통해 이미 알려진 위협에 대해 보다 빠르고 정확한 위협 대응을 수행할 수 있습니다.

2. Recorded Future 앱 설치 및 연동

로그프레소 플랫폼에 Recorded Future 앱을 설치하여 연동하는 과정은 아래의 내용을 참고하도록 합니다.

3. IP 위협 정보 조회

IP 위협 정보 조회 기능은 보안 시스템에서 탐지된 IP 주소가 과거에 실제 보안 위협으로 확인된 이력이 있는지를 분석합니다. Recorded Future의 IP 평판(Risk Score)을 기반으로 위험도가 높은 IP가 식별될 경우, SOAR 플레이북과 연동하여 방화벽 등 보안 장비를 통해 자동으로 접근을 차단할 수 있습니다.


단일 IP 에 대한 IP 위협 정보 조회

다수의 IP 에 대한 IP 위협 정보 조회

4. URL 위협 정보 조회

URL 위협 정보 조회 기능은 SWG(Secure Web Gateway)와 같은 유해 사이트 차단 시스템과 연동하여 의심스러운 URL을 분석합니다. 조회 결과 Risk Score가 높은 URL 로 판단되면, SOAR 플레이북을 통해 SWG와 같은 보안 시스템에서 해당 URL 접속을 자동으로 차단할 수 있습니다.

5. 파일 HASH 조회

파일 Hash 조회 기능은 APT, NDR, EDR 등 다양한 보안 솔루션에서 탐지된 수상한 파일의 Hash 값을 기반으로 악성 여부를 판단합니다. Recorded Future의 위협 인텔리전스를 통해 악성 파일로 확인될 경우 EDR 또는 Anti-Virus와 연동하여 자동으로 파일을 제거하거나 격리할 수 있습니다.

6. Recorded Future 기반 위협 헌팅 및 자동 대응

로그프레소 플랫폼에서는 머신러닝 기반 웹 이상 행위 탐지를 통해 발생한 티켓을 확인할 수 있습니다. 아래 예시는 웹 이상 행위로 탐지된 IP 주소에 대해 Recorded Future 인텔리전스를 활용한 위협 분석 결과를 보여줍니다. 태스크(Task)를 클릭하면, 해당 위협에 대해 연결된 플레이북을 통해 자동 대응이 수행된 결과를 확인할 수 있습니다.


로그프레소 소나에서 머신러닝 기반 웹 이상 행위 탐지로 발생된 티켓 정보

실제 자동 대응된 플레이북을 살펴보면, 로그프레소 소나를 통해 Recorded Future 의 IP 위협 정보를 확인하여 Risk Score 가 일정 점수 이상으로 판단되어 방화벽에 해당 IP가 즉시 차단된 것을 확인할 수 있습니다. 참고로, Recorded Future 에서 Risk Score 에 대한 기준 정보는 링크를 통해서 확인할 수 있습니다.


로그프레소 소나 플레이북에서 Recorded Future 의 IP 위협 정보를 활용해 자동 대응 처리된 결과

또한, 아래와 같이 해당 위협 IP 에 대해 Recorded Future 에서 조회된 데이터 정보를 활용하여 위협 IP 탐지로 탐지 된 근거에 대해서도 로그프레소 소나에서 아래와 같이 티켓 메모에 자동으로 최근 SSH/Dictionary 공격을 수행한 IP 임을 확인하는 근거 자료가 작성되어 자동으로 탐지되고 차단된 사유를 명확히 확인할 수 있습니다.


Recorded Future에서 조회 된 위협 IP 에 대한 근거 정보

로그프레소 소나에서 티켓 메모에 자동으로 작성된 위협 IP 근거 정보

7. 정리

앞서 소개한 기능 외에도 로그프레소에서는 Recorded Future의 다양한 기능을 보다 효과적으로 활용할 수 있도록 확장 명령어를 제공하고 있습니다. 아래 링크를 통해 Recorded Future가 제공하는 여러 기능을 직접 확인하고 활용해보시기 바랍니다.


로그프레소 소나에서 Recorded Future 대시보드

또한, 로그프레소 소나에 Recorded Future 앱을 설치하면 관련 대시보드가 자동으로 생성됩니다. 해당 대시보드를 통해 서비스 대상 기업과 연관된 공격 경보는 물론, 최신 위협 공격 그룹, 위협 IP, 도메인, 악성 파일 해시 정보를 실시간으로 모니터링할 수 있습니다. 이를 통해 이미 알려진 보안 위협에 대한 사전 탐지와 자동 대응 체계를 효과적으로 구축할 수 있습니다.

둘러보기

더보기

2025 북한 연계 APT 공격 분석 회고 (Lazarus · Kimsuky · APT37 · Konni)

로그프레소 보안운영 조직에서 2025년 북한 연계 Kimsuky·APT37·Lazarus·Konni 4개 그룹의 전술을 종합한 결과, 실행 유도 → 다단계 로더 → 주기적 C2 → 정보수집/탈취 → 원격 명령의 패턴이 뚜렷했습니다. 다단계화·지속성 표준화(작업 스케줄러/RunKey·LaunchAgents), 모듈형 탈취, C2 중심의 동적 기능 전개가 핵심이며, 생활 밀착형 미끼와 국내 포털 유사 도메인 활용도 증가했습니다. 이번 회고는 파일·IoC 중심 대응을 넘어 주기 실행·LOLBins·스크립트 체인·크리덴셜 남용을 지표로 한 행위 기반 탐지와 위협 헌팅 표준을 제시했다는 점에서 의미가 있습니다.

2026-01-14

[위협 분석] Shai-Hulud 웜 기반 소프트웨어 공급망 공격 분석

최근 소프트웨어 공급망 공격(Supply Chain Attack)의 위협이 높아지고 있는 가운데, Node.js NPM 생태계를 노린 Shai-Hulud 웜의 대규모 공격이 연이어 발생하고 있습니다. 2025년 9월 16일 처음 발견된 1차 공격은 개발자 시스템에서 API 키, 클라우드 서비스 키, NPM 토큰, GitHub 토큰과 같은 민감 정보를 탈취하고, 이를 활용해 다른 NPM 패키지에 자동으로 악성 코드를 삽입·배포하는 방식으로 이루어졌습니다. 이는 NPM 패키지 침해를 유발한 최초의 공급망 웜형 악성코드로 평가되고 있습니다. 2025년 11월 24일 발생한 2차 공격은 1차 공격과 유사한 방법론을 사용했으나, 그 규모가 훨씬 확대되어 1,000개 이상의 패키지에서 침해가 확인되고 있습니다. Wiz의 분석에 따르면 GitHub에서도 25,000개 이상의 저장소에서 민감 정보가 탈취된 것으로 보고되고 있습니다. 이번 사건은 Shai-Hulud와 같은 웜형 소프트웨어 공급망 공격이 향후에도 반복적으로 발생할 수 있고 고도화 될 수 있음을 보여주고 있습니다. 특히 오픈 소스를 적극 활용하는 기업들은 이러한 공급망 공격 전략을 면밀히 분석하고, 재발 방지를 위한 보안 대응 체계를 강화할 필요가 있습니다.

2025-11-26