뉴스 목록
product

Threat Intelligence: 글로벌 공격 데이터가 완화 정책이 되기까지

PacketStream
2026.07.05
6분 읽기

차단 목록(blocklist)은 결과물일 뿐입니다. 방어의 진짜 어려움은 "어떤 IP를 막을까"가 아니라, "무엇을 막아야 하는지를 어떻게 알아내는가"에 있습니다.

PacketStream Threat Intelligence는 전 세계에서 관측한 공격 데이터를 실시간으로 분석해 공격자보다 먼저 위협을 식별하고, 이를 즉시 집행 가능한 완화 정책으로 바꿉니다. 이 글에서는 하나의 악성 IP가 차단되기까지 데이터가 거치는 5단계 파이프라인을 공개합니다.

왜 정적 IP 리스트로는 부족한가

많은 보안 솔루션이 "알려진 악성 IP 리스트"에 의존합니다. 하지만 이 방식에는 구조적 한계가 있습니다.

  • 이미 알려진 위협만 담기 때문에 새 공격·재할당된 IP·짧은 수명의 인프라에 취약합니다.
  • 출처와 검증이 불투명한 리스트는 정상 사용자를 차단하는 오탐(False Positive) 위험이 있습니다.
  • 위협은 실시간으로 변하는데, 리스트는 항상 뒤늦게 따라갑니다.

그래서 필요한 것은 "더 큰 리스트"가 아니라, 데이터를 지속적으로 정책으로 바꾸는 파이프라인입니다.

데이터가 정책이 되기까지: 5단계 파이프라인

PacketStream은 원시 트래픽을 다섯 단계에 걸쳐 집행 가능한 정책으로 정제합니다.

데이터가 정책이 되기까지 · 5단계
01
수집 — DPI(주) + 파트너 피드(보조)
인프라를 흐르는 전체 트래픽 심층 검사(~800TB–1PB/일)에 파트너 채널 데이터를 결합
02
AI 큐레이션
다층 행동 분석 · 1차·2차 소스 교차 검증으로 오탐 최소화
03
판정 · 점수화
Verdict · Score · Category · Summary로 정규화
04
정책화 · 배포
70M+ 지표를 REST API로 배포, 매일 5–50% 갱신
05
집행
방화벽 · CDN · DDoS 완화에 자동 반영

1단계 — 수집: 우리 네트워크를 흐르는 공격을 직접 본다

PacketStream Threat Intelligence의 데이터는 별도의 센서망에서 오지 않습니다. 주 소스는 PacketStream 인프라를 통과하는 모든 트래픽에 대한 심층 검사(DPI)입니다. 즉, 실제 서비스 트래픽 그 자체가 1차 관측 대상이며, 현장에서 벌어지는 공격을 가장 먼저·가장 정확하게 관측합니다. 하루에 검사하는 트래픽 규모는 약 800TB–1PB에 이릅니다.

프라이버시 우선. 심층 검사는 프라이버시 보호를 기본 원칙으로 운영됩니다. 엔터프라이즈 고객이나 동의하지 않은 고객은 언제든 Opt-out 할 수 있으며, 이 경우 해당 트래픽은 검사 대상에서 제외됩니다.

여기에 보조 소스로 파트너 채널(제3자 위협 피드)의 데이터를 함께 결합합니다. 이를 통해 글로벌 커버리지(195개국)를 넓히고, 1차 데이터와 교차 검증하여 정확성을 한층 높입니다.

2단계 — 분석 & AI 큐레이션

수집된 데이터는 단순 매칭이 아니라 다층 행동 분석을 거칩니다. 트래픽의 행동 패턴과 맥락을 기반으로 위협 여부를 판단하고, AI 큐레이션으로 노이즈를 걸러냅니다.

특히 1차(DPI)와 2차(파트너 피드) 데이터를 교차 검증하기 때문에, 단순 IP 리스트가 가질 수 없는 낮은 오탐률(Low False Positive)을 확보합니다. 이 단계를 지나면 검증된 위협 신호만 남습니다.

3단계 — 판정 & 점수화

정제된 위협은 애플리케이션이 바로 활용할 수 있도록 정규화된 스키마로 표현됩니다.

  • Verdict — Benign / Suspicious / Malicious / Unknown
  • Score — 0(Benign) / 1–99(Suspicious) / 100(Malicious) / -1(Unknown)
  • Category — 위협 유형(예: Malware, Adware), 복수 반환 가능
  • Summary — 해당 판정을 받은 이유 요약
  • RAW — 원시 행위 분석 데이터 (Advanced 플랜)
위협 판정 & 점수 (Verdict · Score)
0
Benign
악성 아님
1–99
Suspicious
의심스러움
100
Malicious
악성 확인
-1
Unknown
데이터 없음

4단계 — 정책화 & 배포

판정과 점수는 그 자체로 집행 가능한 정책이 됩니다. 예를 들어 특정 점수 이상은 차단, 특정 카테고리는 챌린지(추가 검증)로 처리하는 식입니다.

PacketStream은 7,000만 개 이상의 위협 지표REST API로 배포하며, 데이터는 매일 5–50% 갱신되어 최신 위협을 반영합니다. 정책은 한 번 만들고 끝나는 정적 파일이 아니라, 끊임없이 흐르는 스트림입니다.

5단계 — 집행: 방화벽·CDN·DDoS에 자동 반영

마지막으로 정책은 실제 방어 지점에 자동으로 적용됩니다. 통합은 단 3단계입니다.

  1. API Key 발급 — 콘솔에서 즉시
  2. 자동 차단 연동 — 방화벽 / CDN 룰에 자동 등록
  3. 즉시 효과 — 알림 감소, 부하 절감

이렇게 만들어진 정책은 PacketStream의 Always-On 인라인 DDoS 완화와 결합되어, 공격이 본격화되기 전에 선제적으로 차단됩니다. 그 결과 타 벤더보다 최대 60일 빠른 탐지, 대규모 공격의 95% 이상 사전 차단, 보안 알람 80% 감소를 달성합니다.

왜 이 방식이 다른가

  • 1차 관측 — 리스트를 사서 재판매하는 방식이 아니라, 실제 우리 네트워크를 흐르는 공격을 직접 봅니다.
  • 독점성 — 92개 타 벤더에서 탐지되지 않은 독점 위협 정보를 50% 이상 확보합니다.
  • 정확성 — 교차 검증과 AI 큐레이션으로 낮은 오탐률을 유지합니다.
  • 선제성 — 최대 60일 빠른 탐지로 공격이 시작되기 전에 차단합니다.
  • 99.9% SLA로 안정적으로 제공됩니다.

마치며

"무엇을 막아야 하는지 아는 것"이 방어의 시작입니다. PacketStream Threat Intelligence는 우리 네트워크에서 직접 관측한 실전 데이터를 정확한 완화 정책으로 바꿔, 공격자보다 한발 앞서 대응할 수 있게 합니다.

자세한 내용은 Threat Intelligence 제품 페이지에서 확인하세요.