OSINT
포스팅 뷰242
OSINT의 정의
OSINT(Open Source Intelligence, 오픈소스 인텔리전스)는 공개적으로 접근 가능한 정보(오픈소스)를 수집·분석해, 보안 위협이나 특정 대상에 대한 인사이트를 도출하는 활동을 말한다. (한국에서는 '오신트'라고도 부른다.)
즉, 누구나 접근 가능한 인터넷상의 정보에서 유용한 정보를 찾아내어, 이를 위협 탐지나 의사결정에 활용하는 정보 분석 기법이다.
오픈소스 정보의 범위에는 웹사이트, SNS, 뉴스, 정부 공개 자료, 커뮤니티 포럼, 코드 저장소(GitHub, Pastebin), 다크웹 게시물 등이 포함된다.
OSINT는 과거에는 정보기관과 수사기관 중심으로 활용되었으나, 최근에는 사이버 보안, 브랜드 보호, 디지털 포렌식, 기업 리스크 관리 등 민간 영역에서도 폭넓게 사용되고 있다.
OSINT의 필요성
사이버 공격의 상당수는 공개된 정보를 기반으로 시작된다.
공격자는 OSINT 기법을 이용해 조직의 네트워크 구조, 임직원 이메일, 기술 스택, 도메인 등록 정보, 클라우드 자산 등을 파악하고 공격 전략을 설계한다.
예를 들어, GitHub에 노출된 API 키나 개발자 계정, SNS에 공개된 내부 시스템 스크린샷 하나로도 실제 침입 시나리오를 만들 수 있다.
이에 따라 보안 담당자 역시 OSINT를 방어 목적으로 활용한다.
공격자보다 먼저 외부 노출 정보를 식별하고, 위험 요소를 제거하는 것이 현대 보안의 핵심 전략이 되고 있다.
OSINT의 주요 수집 대상
OSINT에서 다루는 정보는 매우 다양하지만, 보안 목적에서 주로 활용되는 정보는 다음과 같다.
-
도메인 및 네트워크 정보: WHOIS, DNS, IP, 포트, SSL 인증서, 서브도메인 등
-
소셜미디어 및 웹정보: 임직원 SNS 게시물, 언론 기사, 블로그, 포럼 활동 등
-
코드 저장소 및 개발자 플랫폼: GitHub, GitLab, Pastebin 등에서 노출된 API 키, 암호, 토큰 등
-
다크웹 및 딥웹 정보: 데이터 유출, 해킹 그룹 활동, 불법 거래 내역
-
공공데이터 및 문서: 정부·기관의 공시자료, 보고서, PDF 메타데이터 등
OSINT의 주요 활용 사례
-
위협 인텔리전스 강화(Threat Intelligence):
다크웹이나 해커 포럼에서 자사 도메인, 이메일, 고객정보가 언급되는지를 실시간으로 모니터링한다. -
브랜드 보호(Brand Protection):
자사 브랜드나 로고를 도용한 피싱 사이트, 사칭 SNS 계정을 탐지하고 대응한다. -
보안사고 대응(Incident Response):
침해 사고 발생 시, 공격에 사용된 도메인·IP·이메일·계정의 외부 연관성을 분석한다. -
위험관리 및 감사(Compliance & Risk):
OSINT 분석 결과를 기반으로 내부 보안 규정과 접근통제 정책을 보완한다.
OSINT의 한계와 주의점
OSINT는 합법적인 정보 수집 기법이지만, 다음과 같은 한계가 있다.
-
정확성 문제: 공개정보는 수정·삭제될 수 있고, 신뢰할 수 없는 출처일 수도 있다.
-
법적 제약: 개인정보보호법, 통신비밀보호법 등 관련 법규를 반드시 준수해야 한다.
-
분석 난이도: 단순히 정보를 수집하는 것만으로는 의미 있는 인텔리전스를 얻기 어렵다.
-
데이터 과잉: 너무 많은 정보를 수집할 경우, 실질적인 위협 탐지가 어려워질 수 있다.
OSINT와 ASM·DRP의 관계
OSINT는 ASM(Attack Surface Management) 과 DRP(Digital Risk Protection) 의 기반 데이터 역할을 한다.
ASM이 외부 노출 자산을 식별하고, DRP가 외부 위협을 실시간으로 모니터링한다면,
OSINT는 그 두 솔루션이 활용하는 ‘공개 정보 수집’ 단계의 원천 데이터를 제공한다.
즉, OSINT는 보안 인텔리전스 생태계의 출발점이며, 이를 통해 기업은 외부 위협의 흐름을 조기에 인지하고 선제적으로 대응할 수 있다.