본 콘텐츠는 사용자의 편의를 고려해 자동 기계 번역 서비스를 사용하였습니다. 영어 원문과 다른 오류, 누락 또는 해석상의 미묘한 차이가 포함될 수 있습니다. 필요하시다면 영어 원문을 참조하시기를 바랍니다.
수년 동안 사이버 보안 업계는 '데이터의 비중' 문제로 어려움을 겪어 왔습니다. 보안팀은 수십억 행의 원격 측정에 묻혀 있지만, 여전히 실행 가능한 인사이트에 갈증을 느끼고 있습니다.
위협 인텔리전스 플랫폼(TIP)은 알려진 사이버 위협 및 새로운 사이버 위협에 대한 데이터를 수집, 집계, 구성하는 중앙 집중식 보안 시스템입니다. 이는 원시 원격 측정과 능동적 방어 사이의 중요한 연결 조직 역할을 합니다.
Cloudflare 위협 인텔리전스 플랫폼의 기본 아키텍처는 다른 솔루션과 차별화됩니다. 당사는 샤딩된 SQLite 지원 아키텍처를 사용하여 복잡한 ETL(추출, 변환, 로드) 파이프라인이 필요하지 않도록 위협 인텔리전스 플랫폼 을 발전시켰습니다. 보안팀에서는 에지에서 직접 GraphQL을 실행하여 위협 대응을 실시간으로 시각화하고 자동화할 수 있습니다. 하나의 대규모 데이터베이스 대신 수천 개의 논리적 샤드에 위협 이벤트를 분산시키므로, 글로벌 데이터 세트에서 수백만 개의 이벤트를 집계하는 경우에도 1초 미만의 쿼리 대기 시간이 발생합니다.
당사의 인텔리전스 플랫폼은 당사의 글로벌 원격 측정과 분석가가 수행하는 수동 조사를 통합함으로써 보안 팀이 위협을 관찰하는 상태에서 Cloudflare 네트워크 전반에 걸쳐 선제적으로 차단할 수 있는 단일 진실의 원천을 생성합니다. Cloudflare는 인텔리전스 플랫폼이 단순히 "나쁜" 상황만 알려주어서는 안 된다고 생각합니다. 사고의 이유와 배후에 있는 사람을 알려주고 자동으로 사고가 재발하지 않도록 방지해야 합니다.
이 게시물에서는 Cloudforce One 환경을 강력하고 효과적으로 만들어 주는 몇 가지 기능을 살펴봅니다.
2022년에 Cloudforce One 팀 을 발표했을 때 공격자의 인프라를 추적하려면 아직 존재하지 않는 도구가 필요하다는 것을 일찍 깨달았습니다. 그래서 자체 네트워크를 구축했습니다.
내부 프로젝트로 시작된 이 프로젝트는 이제 사용자를 위해 설계된 클라우드 우선의 에이전트 지원 위협 인텔리전스 플랫폼(TIP)으로 발전했습니다. 다양한 데이터세트에 걸쳐 "관찰 가능한" 이벤트 를 개념화하는 수준에서 위협의 전체 수명 주기를 매핑하는 플랫폼을 구축하는 단계로 전환했습니다. 현재 Cloudflare TIP을 사용하면 액터와 맬웨어의 상관 관계를 파악하고, 사례를 지표에 연결하며, 모든 것을 하나의 통합 생태계에 저장할 수 있습니다.
Cloudflare는 단순한 데이터 액세스를 넘어 SOC를 위한 완전히 통합되고 시각적이며 자동화된 명령 센터를 제공하고 있습니다. Cloudflare가 이 팁을 구축한 동기는 관련성, 정확성, 실행 가능성이라는 효과적인 위협 인텔리전스의 핵심 원칙에서 비롯됩니다. 우리에게는 여러 데이터 세트를 통합하고, 멀티 테넌트를 지원하며, 그룹 기반 및 테넌트 간 공유가 가능하고, 에지에서 효율적으로 확장할 수 있는 확장성이 뛰어난 시스템이 필요했습니다.
Cloudflare는 Cloudflare Workers를 사용하여 신속한 혁신을 보장하는 차세대 개발자 스택을 구축했습니다. 이제 저희는 수백만 개의 위협 이벤트를 실시간 그래프와 다이어그램으로 종합하고 중요한 질문인 ‘무슨 일이 일어났는가?’에 즉각적으로 답할 수 있습니다. 이는 무엇을 의미할까요?
위협 이벤트 플랫폼을 구동하는 동일한 Worker에 GraphQL 엔드포인트가 구축되었으므로 데이터는 항상 라이브 상태이며 수집과 가용성 사이에 지연이 없습니다. 복잡한 분석을 적용하든 특정 이벤트를 자세히 분석하든, 플랫폼은 즉시 대응합니다. Workers 런타임이 발전함에 따라 저희 TIP는 이러한 최적화를 자동으로 상속합니다. 예를 들어, Smart Placement 는 쿼리 처리 Worker가 분산되는 Durable Objects 근처에 물리적으로 위치하여 테일 대기 시간을 최소화하도록 보장합니다. 또한 더 큰 CPU 제한과 Hyperdrive 를 사용할 수 있으므로 로직을 단일 데이터 센터로 백홀링하는 대신 에지에서 직접 더 높은 성능의 연결 풀링을 유지할 수 있습니다.
SIEM을 넘어서: 과거 맥락 및 인텔리전스 강화
SIEM(Security Information and Event Management)은 실시간 로그 집계와 즉각적인 경고를 목적으로 설계되었지만, 공격자를 심층적으로 추적하는 데 필요한 전문화된 스키마와 장기 보존 기능은 부족한 경우가 많습니다. 팁은 과거 행위자 패턴으로 원시 로그를 보강하는 전용 인텔리전스 계층 역할을 하여 이러한 격차를 메웁니다. 저희 플랫폼의 목표는 SIEM을 대체하는 것이 아니라 보완하는 것입니다. Cloudflare의 팁은 기술 원격 측정과 경영진의 인사이트 사이의 격차를 해소하는 데 필요한 에지에서 유지되고 인덱싱되는 위협 이벤트를 위한 구조화된 장기 스토리지를 제공합니다.
The Cloudflare Managed Defense 및 위협 인텔리전스 플랫폼은 공생적 루프에서 작동하여 위협 감지 및 대응에 대한 강력한 능력 승수를 생성하도록 설계되었습니다. TIP를 SOC와 직접 통합하면 분석가는 모든 경고 또는 이벤트에 대한 즉각적이고 풍부한 컨텍스트를 얻을 수 있습니다. SOC 팀은 변칙적인 IP 주소나 의심스러운 파일 해시를 확인하는 대신 해당 파일의 기록, 알려진 위협 행위자와의 연관성, 광범위한 캠페인에서의 역할, TIP의 분석으로 결정된 위험 점수를 즉시 확인할 수 있습니다. 이러한 즉각적인 컨텍스트를 통해 시간 소모적인 수동 조사를 없애고 더 빠르고 정확한 의사 결정을 내릴 수 있습니다.
반대로, 인텔리전스 분석팀에서 사고를 조사하고 새로운 위협을 추적함에 따라 그 발견 사항은 새로운 인텔리전스의 중요한 출처가 됩니다.
새로 발견된 침해 지표(IOC)가 TIP에 피드백되어 모든 사용자의 플랫폼이 풍부해지고 자동화된 방어가 강화됩니다. 이러한 지속적인 피드백 루프를 통해 인텔리전스가 항상 최신 상태를 유지하고 실제 관찰에 기반합니다. 이를 통해 위협 환경에 대한 독보적인 가시성을 제공하고 보안팀은 사후 방어 태세에서 사전 방어 태세로 전환할 수 있습니다.
Cloudforce One 원격 측정의 모든 부분을 실행 가능하도록 하기 위해 우리는 근본적인 스토리지 문제를 해결해야 했습니다. 전통적인 중앙 집중식 데이터베이스의 오버헤드 없이 수십억 개의 이벤트에 대해 어떻게 대기 시간이 짧고 복잡한 쿼리를 제공할 수 있을까요?
우리는 SQLite 기반 Durable Objects를 기반으로 구축된 sharded 아키텍처를 선택했습니다. 카디널리티가 높은 이 스토리지 장치 집합에 위협 이벤트를 분산함으로써, 대량 수집 중에 단일 데이터베이스 경합 지점이 되지 않도록 합니다. 각 샤드는 Durable Object로서 자체 비공개 SQLite 데이터베이스에 일관된 트랜잭션 인터페이스를 제공합니다.
이 아키텍처를 통해 Cloudflare 개발자 스택 전체를 사용할 수 있습니다. Cloudflare Queues를 사용하여 수신되는 원격 분석을 비동기적으로 수집하고 배포하여 공격이 급증하더라도 쓰기 처리량이 포화되지 않도록 합니다. 수집된 데이터는 R2에 저장되어 장기간 보존되고, "핫" 인덱스는 Durable Object의 SQLite 스토리지에 유지되어 즉시 검색할 수 있습니다.
이 접근 방식의 실제 효과는 검색을 통해 확인할 수 있습니다. 사용자가 Worker에서도 실행되는 GraphQL 엔드포인트를 쿼리할 때 플랫폼에서는 단일 테이블이 쿼리되지 않습니다. 대신 여러 Durable Objects로 요청을 병렬로 확장합니다. Durable Objects는 전역 네트워크에 분산되어 있으므로 최소한의 대기 시간으로 결과를 집계할 수 있습니다. 사용자의 권한을 확인하고 이벤트를 포함하지 않는 샤드를 날짜별로 삭제한 후, 이제 Worker가 멀티 샤드 팬아웃을 처리하는 방법을 간단하게 살펴보겠습니다.
// A conceptual look at fanning out a query to multiple shards
async function fetchFromShards(shards, query) {
const promises = shards.map(shardId => {
const stub = TELEMETRY_DO.get(shardId);
return stub.querySQLite(query); // Calling the DO's storage method
});
// Parallel execution across the Cloudflare network
const results = await Promise.all(promises);
return results.flat();
}
이러한 병렬 처리 덕분에 1년 간의 기록을 위해 단일 데이터세트를 감사하든 계정의 모든 데이터세트에서 한 달치 활동을 종합하든 유연한 환경이 보장됩니다. 컴퓨팅(SQL 실행)을 데이터가 있는 곳으로 이동함으로써 저희는 단일 모놀리식 데이터베이스의 병목 현상을 제거합니다.
동적 그래프와 다이어그램으로 공격자를 시각화하세요
스프레드시트의 숫자로는 스토리가 전달되지 않습니다. 그렇죠. 위협 환경을 "확인"하는 데 도움이 되는 동적 시각화를 도입했습니다.
IP 주소와 같은 단일 지표는 과거 및 관계적인 맥락 없이는 제한된 유용성을 제공합니다. Cloudflare는 위협 인사이트를 중추 역할을 하도록 구성했습니다. 이를 통해 여러 데이터세트에 걸쳐 서로 다른 위협 이벤트를 하나의 일관된 캠페인 또는 익스플로잇으로 상호 연관시킬 수 있습니다.
이 플랫폼은 수동으로 상호 참조하는 대신 내부 행위자 명명법을 알려진 업계 별칭에 자동으로 매핑합니다. 예를 들어 내부 추적을 "Fancy Bear" 또는 "APT28"에 연결합니다. 이를 통해 로컬 환경의 원격 측정을 더욱 광범위한 글로벌 연구 및 위협 인텔리전스 피드와 즉각적으로 상호 운용할 수 있습니다.
저장된 구성 및 실시간 알림을 통해 저희 텔레메트리로 사용자 지정 필터와 일치하는 즉시 알림을 받을 수 있으므로 에지의 속도에 대응할 수 있습니다. 위협 사냥을 효과적으로 실행하려면 특정 기술적 속성별로 전역 원격 측정 결과를 필터링할 수 있는 기능이 필요합니다. 이 플랫폼은 IP 주소, 파일 해시, 도메인, JA3 핑거프린트 등 전체 데이터 세트에서 카디널리티가 높은 검색을 지원하며 일반적으로 몇 초 이내에 결과가 반환됩니다.
이러한 쿼리 매개변수를 저장된 구성으로 유지하여 수동 검색 이상의 기능을 수행할 수 있습니다. 이러한 구성은 Cloudflare의 실시간 알림 엔진에 대한 트리거 역할을 합니다. 새로 수신되는 원격 측정이 정의한 필터와 일치하면 플랫폼에서는 구성된 엔드포인트로 경고를 푸시합니다. 풀 기반 검색에서 푸시 기반 알림으로의 전환을 통해 보안 스택은 Cloudflare의 전역 네트워크에 일치하는 정보를 수집하는 즉시 대응할 수 있게 됩니다.
공격 표면이 축소되는 경우에만 '실행 가능한' 인텔리전스라고 할 수 있습니다. Cloudflare는 원시 원격 측정과 보안 시행 간의 변환을 자동으로 처리하도록 TIP를 구축했습니다.
타사 또는 사내 SIEM/SOAR 플랫폼을 사용하는 조직의 경우 상호 운용성은 필수입니다. 그러나 서로 다른 내부 데이터 스키마를 STIX2 (구조화된 위협 정보 eXpression) 표준에 매핑하는 것은 전통적으로 대기 시간이 긴 ETL 작업입니다. 번역 작업을 엣지로 이동했습니다.
사용자가 STIX2 내보내기를 요청하면 Worker는 내부 SQLite 레코드를 STIX2 JSON 스키마에 동적으로 매핑합니다. 이는 우리가 먼저 원시 IP 주소, 파일 해시, 도메인 이름을 표준화된 STIX 사이버 관찰 가능 항목으로 변환한다는 것을 의미합니다. 그런 다음 지표 개체를 위협 행위자 또는 맬웨어 개체에 연결하기 위해 저희 플랫폼의 내부 매핑을 사용하여 관계 개체를 정의하고 조사의 컨텍스트를 보존합니다. 마지막으로, 수정 및 생성 된 타임스탬프를 UTC 기준으로 자동 관리하여 귀사의 다운스트림 도구에서 위협의 진화 과정을 추적할 수 있도록 합니다.
내보내기 외에도, 이 플랫폼을 통해 검색과 방어 사이의 고리를 닫을 수 있습니다. Sankey 다이어그램이나 특정 행위자 캠페인에서 악의적인 패턴을 식별하면, 한 번의 클릭으로 보안 규칙을 생성할 수 있습니다.
내부적으로 TIP는 Cloudflare 방화벽 규칙 API와 직접 상호작용합니다. 그리고 필터링된 조사 속성(예: 알려진 악의적 ASN 목록과 결합된 특정 JA3 지문)을 가져와 유선 프로토콜 규칙으로 컴파일하여 몇 초 안에 전역 네트워크 전체에 배포됩니다.
휴먼인더루프(human-in-the-loop) 인텔리전스
대부분의 원격 측정은 자동화를 통해 처리하지만, 가장 복잡한 위협은 인간의 직관이 필요합니다. 플랫폼에 정보 요청(RFI) 포털 을 직접 통합하여 사용자가 Cloudforce One 분석가에게 심층 조사를 의뢰할 수 있도록 했습니다.
기술적인 관점에서 RFI 시스템은 단순한 티켓 포털이 아닙니다. 데이터 강화 파이프라인이죠. 구독자가 여러 "토큰"을 사용하여 요청을 시작하면 워크플로가 일련의 이벤트를 트리거합니다.
RFI Worker는 샤딩된 SQLite 스토리지에서 쿼리와 관련된 특정 위협 이벤트 ID를 가져와 분석자를 위해 관련 원격 측정을 패키징합니다
Cloudforce One 분석가는 TIP의 내부 버전을 사용하여 리버스 엔지니어링을 수행하거나 글로벌 데이터 세트에서 피봇팅을 수행합니다
조사가 완료되면 결과(새로운 IOC, 행위자 귀속 또는 캠페인 메모)가 Cloudflare의 글로벌 인텔리전스 피드에 다시 작성됩니다
따라서 "인간적인" 인사이트는 PDF 보고서에만 국한되지 않습니다. 대신 생성된 메타데이터는 위협 이벤트의 형태로 에지에서 이미 구성된 WAF 또는 방화벽 규칙에 의해 사용될 수 있는 위협 이벤트로 에지에 푸시됩니다. Cloudflare는 정적 "보고서" 모델에서 인간의 분석을 통해 플랫폼의 자동화된 감지 로직을 직접 실시간으로 개선하는 동적 "코드형 인텔리전스" 모델로 전환했습니다.
ETL 파이프라인 관리에서 능동적 위협 사냥으로의 전환은 새로운 인터페이스에 관한 것만이 아니라 컴퓨팅이 발생하는 위치에 관한 것입니다. 스토리지, 집계, 시각화 계층을 Cloudflare 전역 네트워크로 이동함으로써 일반적으로 SOC의 속도를 늦추는 "데이터 중요성"이 제거되었습니다. 방어자는 더 이상 로그가 중앙 리포지토리와 동기화될 때까지 기다렸다가 "이 IP가 알려진 캠페인과 관련되어 있나요?"라고 질문할 필요가 없습니다. 이제 트래픽이 필터링되고 있는 동일한 환경의 에지에서 그 답을 찾을 수 있습니다.
팀의 규모나 특정 요구 사항과 관계없이 이러한 인텔리전스에 액세스할 수 있도록 Cloudforce One 액세스를 세 가지 기능 수준으로 구조화했습니다.
Cloudforce One Essentials 를 사용하면 고객은 위협 이벤트의 기본 데이터 세트에 액세스하고 지표를 검색하며 위협 사냥 조사를 수행할 수 있습니다.
Cloudforce One Advantage 를 이용하는 고객은 정보 요청을 통해 위협 인텔리전스 분석가의 맞춤형 인사이트에 액세스할 수 있습니다.
Cloudforce One Elite, 전체 패키지에는 브랜드 보호, 많은 수의 정보 요청, 모든 위협 이벤트 데이터 세트에 대한 액세스가 포함됩니다.
인터넷은 빠르게 움직이며 공격자가 사용하는 인프라는 더 빠르게 움직이기 때문입니다. 원격 측정 및 응답 로직을 하나의 통합 플랫폼에 중앙 집중화하면 이제 파이프라인 구축을 중단하고 네트워크를 방어할 수 있습니다.
[2026 위협 환경 보고서] [위협 인텔리전스 플랫폼 살펴보기] | [영업팀에 데모 문의]