식별 기준(3축 점수) → 모니터링(MISP+TIP·SIEM) → 차이(속도 vs 정밀도) → 활용(3갈래 출력)
보안 인턴 때 OSINT·CLOSINT 두 갈래의 위협 인텔리전스 피드를 같이 모니터링한 적이 있습니다. 식별 기준은 세 가지를 묶어 봤습니다.
첫째, 출처 신뢰도·정보 시점·매칭 강도 세 축으로 점수표를 만들었습니다. 출처는 CVE 발행 기관·벤더 보안 권고·민간 인텔리전스 서비스가 가장 높은 가중치, 포럼·SNS·GitHub 코드 스니펫은 낮은 가중치를 두었습니다. 둘째, 사내 자산(IP·도메인·SBOM 패키지)과 매칭이 1개라도 발생하면 즉시 검토 큐에 올렸습니다. 셋째, 공개 PoC가 30일 이내·이용된 CVE는 우선순위 P0로 격상했습니다.
모니터링 방법은 MISP(오픈)+벤더 TIP(클로즈드) 둘을 SIEM에 연결해 한 화면에서 보고, 주 1회 30분 트리아지 미팅을 했습니다. 도구는 OTX·Shodan·VirusTotal Premium·자체 다크웹 크롤러 조합을 썼습니다.
오픈 vs 클로즈드 차이는 속도와 정밀도의 트레이드오프라고 봤습니다. 오픈은 빠르지만 노이즈가 80% 이상이고, 클로즈드는 느리지만 컨텍스트가 풍부합니다. 그래서 '오픈으로 1차 탐지, 클로즈드로 2차 확증' 결로 운영하는 게 안정적이었습니다.
분석 결과는 인시던트 티켓·SBOM 패치 우선순위·임직원 보안 교육 콘텐츠 세 갈래로 흘려보냈습니다. 한 분기에 P0 4건·P1 12건을 처리하며, 그 중 2건은 사전 차단으로 닫혔습니다.