About OSINT 43f22cfeb082433c852de3852414b7c4

I. OSINF & OSINT

1-1. OSINT는 무엇일까?

1) 의미

OSINT(Open Source Intelligence)는 공개된 출처라는 의미의 Open Source와 군(Military)에서 정보를 수집하는 첩보활동에서 유래된 Intelligence가 합쳐져 탄생한 용어입니다. 따라서 OSINT는 공개된 출처들로부터 정보를 수집하는 전반적인 과정을 의미합니다.

그림1. 그림1. OSINT용어의 유래

2) 활용 분야

군(Military)에서는 정보를 얻기 위한 첩보활동을 Intelligence라는 용어를 사용합니다. 이러한 개념을 적용하여 사이버 보안 분야에서도 OSINT는 활발하게 사용되고 있습니다.

국내외에서 OSINT 연구 활동을 활발히 하고 계시는 ExploitWareLabs의 윤영 테크니컬리드는 OSINT가 모든 사이버 보안 분야를 하나로 모아주는 꼭지점과 같은 역할을 한다고 언급했습니다.

취약점 진단 및 모의해킹, 디지털 포렌식, 악성코드 분석, 침해사고조사대응 등 사이버 보안 분야의 조사관들은 정보 수집을 하기 위해 노력합니다. 이러한 관점에서 OSINT는 각각의 사이버 보안 분야를 하나로 모아주는 꼭지점과 같은 역할을 합니다.

이처럼 많은 정보를 수집할 수 있다는 장점으로 인해 다양한 분야에서 활용될 수 있는 OSINT이지만 수집된 정보들이 악용될 시 많은 피해가 발생할 수 있다는 위험성이 존재합니다.

따라서 OSINT 분야에서도 윤리의식이 무엇보다도 중요하다는 것을 한번 더 강조합니다.^^

1-2. OSINF는 무엇일까?

OSINT에 비해 OSINF라는 용어는 다소 생소할 수 있습니다. OSINT와 관련된 커뮤니티 활동을 하면서 OSINF와 OSINT의 관계에 대해서 설명해주는 글을 읽게 되었습니다.

다음 댓글은 Efren이 작성한 개인적인 의견이지만 OSINT에 대해서 다양한 시각으로 바라볼 수 있도록 해주었던 글이었기에 정리해서 소개하고자 합니다.

그림2. 페이스북 "OSINT Network" 커뮤니티 댓글(1)

Open Source Information (OSINF) and Open Source Intelligence (OSINT). I was serious but from a process perspective and from an intelligence studies perspective. OSINT is NOT about the tools. OSINT is a process. So, it’s a mistake to call OSINT the use of tools because the information (OSINF) needs to be processed until it becomes useful and relevant (OSINT). The mere use of OSINF collection tools doesn’t make it OSINT, so no, from a process perspective they are not clear to their audience what OSINT is. However, I have seen this approach predominant in the infosec world where they call these OSINF collection tools OSINT. From a collection perspective, they are spot on. However, from an intelligence perspective, seeing an introduction to OSINT webcast ignore the process and show only tools leaves a lot of room for people that have no experience in the filed to misunderstand what OSINT is (a process, a product, relevant/accurate/timely and actionable information) and what OSINT is not (just tools).

Efren이 작성한 댓글을 정리하면 다음과 같습니다.

OSINT를 프로세스 관점과 인텔리전스 연구 관점에서 볼 때, OSINT는 도구에 관한 것이 아닙니다. OSINT는 일련의 과정입니다.

우리가 얻게되는 정보를 OSINF(Open Source Information)라고 합니다. OSINT는 OSINF가 유용하고 의미있는 정보가 되도록 정보들간의 연관성을 찾고 정제하는 과정을 의미합니다. 따라서 단순히 OSINT를 도구의 사용이라고 부르는 것은 실수입니다.

OSINF 수집 도구를 사용하는 것만으로는 OSINT가 되지 않기 때문에 프로세스 관점에서 OSINT는 무엇인지 명확하지 않습니다. 그러나 정보보호업계에서는 이러한 OSINF 수집 도구를 OSINT라고 부르는 것이 대다수입니다.

따라서 OSINF는 OSINT를 위해 필요한 전제 조건이며, 조사자들은 OSINT를 위해 정보를 수집합니다. 결국 수집되는 정보는 조사자들의 의사결정과 행동을 위해 필요한 전제 조건이라고 볼 수 있습니다.

II. OSINT Process

2-1. OSINT Process는 무엇일까?

OSINT Process에 대해서 알아보기에 앞서 OSINT는 정보를 수집하는 전반적인 과정이라고 소개했습니다. 그렇다면 OSINT Process라는 표현이 올바른 표현일까요?

OSINT Process에는 과정이라는 의미가 중첩되어 어색한 표현으로 보여집니다. 하지만 OSINT Process라는 키워드로 구글링을 해보면 다음과 같이 다양한 순서도를 만나볼 수 있습니다.

프로세스 관점에서 OSINT가 무엇인지 명확하게 볼 수 없기 때문에 이러한 순서도를 통해 OSINT를 표현하고자 하는 것입니다.

OSINT Process는 다음과 같이 일방향 또는 순환 형태로 많이 소개되고 있습니다.

그림3. The OSINT Process(1) [출처: OWASP]

그림4. The OSINT Process(2) [출처: randed]

더 나아가 MITRE의 ATT&CK 프레임워크의 정찰단계(Recon)에서 활용될 수 있는 부분으로 소개되기도하며, 침투 테스트에서 OSINT를 활용할 수 있음을 알 수 있습니다.

그림5. The OSINT Process(3) [출처: MITRE]

이처럼 OSINT Process라는 것이 하나로 정해져 있기 보다는 조금씩 변형되어져 있다는 것을 알 수 있습니다. 그래서 Facebook의 OSINT 커뮤니티에서는 OSINT Process에 대해서 어떻게 생각하고 있는지 알아보았습니다.

그림6. 페이스북 "OSINT Network" 커뮤니티 댓글(2)

There is no such thing as the “OSINT process.” What I mean by this is that processes are established internally by your organization. My organization has different OSINT requirements than yours thus the OSINT process is different. If you mean methodology or tools, check out the OSINTCurious Project on YouTube. While they don’t know what OSINT is, they do have a plethora of OSINF collection tools for anyone to include in their OSINF collection efforts. It’s worth checking it out.

Efren의 댓글을 정리하면 다음과 같습니다.

"OSINT 프로세스"와 같은 것은 없습니다. 이것이 의미하는 바는 프로세스가 조직에 의해 내부적으로 설정된다는 것입니다. 조직에 따라 OSINT 요구 사항이 다르므로 OSINT 프로세스가 다릅니다.

그림7. 페이스북 "OSINT Network" 커뮤니티 댓글(3)

I think first you need to grasp the intense what open-source intelligence is than what you want to inquire, to make an action plan.. so you know what programs to use at certain times.

Marco의 댓글을 정리하면 다음과 같습니다.

OSINT Process를 생각하기 앞서, 먼저 실행 계획을 세우기 위해 OSINT가 무엇인지부터 파악해야한다고 생각합니다. 따라서 어느 시점에 어떤 프로그램을 사용해야하는지 알아야합니다.

2-2. OSINT Process의 기본 구조

결국 개인 또는 조직들은 요구사항에 맞춰 알맞는 OSINT Process를 구성하는 것이 무엇보다 중요한 것을 알 수 있습니다.

하지만 모든 건축물들이 겉모습은 달라도 기본적인 뼈대가 있듯이, OSINT Process 또한 기본적인 구조는 꼭 필요합니다. 다음과 같이 5단계로 OSINT Process의 기본 구조를 소개해보도록 하겠습니다.

그림8. OSINT Process의 기본 구조 [출처: INFOSEC]

아래 5단계 과정은 INFOSEC에서 Irfan Shakeel이 작성한 "The Art of Searching for Open Source Intelligence"을 참조한 내용입니다.


1) Identifying the source

Identifying the source는 정보원을 식별하는 단계입니다. 조사자가 얻고자 하는 정보가 무엇이고, 어디서 정보를 얻어야 하는지 조사자는 알고 있어야 한다는 의미입니다.

2) Harvesting

Harvesting는 1단계에서 식별된 source에서 관련된 데이터를 가져오는 단계입니다. 데이터를 가져올 때, 데이터 수집 방법에 따라 Harvesting 단계는 Active와 Passive 두 가지로 분류됩니다.

  • Active Harvesting

    대상에 직접 프로그램 또는 스크립트 등을 사용하여 정보 수집을 합니다. Active 유형은 대상에 직접 접근을 하기 때문에 로그가 남는 것이 특징입니다.

  • Passive Harvesting

    Google, Netcraft, Whois, Recon-NG, Shodan 등을 사용하여 정보 수집을 합니다. Passive 유형은 서드파티 앱들을 통해 정보를 수집하기 때문에 별도의 로그가 남지 않는다는 것이 특징입니다.

3) Processing

Processing은 2단계에서 획득한 정보를 처리하고 의미있는 정보를 얻는 단계입니다. 2단계에서는 무수히 많은 정보들이 존재하기 때문에 3단계로 넘어오면서 정보들을 필터링하는 작업이 매우 중요합니다. 만약 중요해보이지 않는 정보 B가 있다고 가정했을 때, A와 C의 연관성이 성립되기 위해서 B가 꼭 있어야하는 것처럼 정보들간의 연관성을 고려해야합니다.

이처럼 정보들간의 연관성을 고려해야하기 때문에 이 단계는 많은 경험과 시각이 필요한 고난도의 작업이 필요한 단계라고 생각합니다.

4) Analysis

Analysis는 3단계에서 정제된 데이터를 조사 목적에 맞게 가공하는 단계입니다. "김OO은 범인이다."라는 의견을 뒷받침하기 위해서 다양한 정보들을 수집하고 처리하여 얻어진 A, B, C라는 정보를 통해 "A와 B 그리고 C에 의해 김OO은 범인이다."라고 최종적인 결론을 내릴 수 있게 됩니다.

5) Reporting

Reporting은 4단계까지 진행된 사항들을 종합하여 레포트 형태로 작성하는 단계입니다. 작성된 레포트는 활용하는 기관에 따라 증거물, 분석보고서등 다양한 형태의 산출물로 배포되어 평가받게 됩니다.

2-3. OSINT Process 응용

OSINT Process는 하나로 정해져 있기 보다는 조금씩 변형되어 사용되고 있습니다.

앞서 소개한 기본적인 구조 중 4단계(Analysis)에서 추가적인 정보가 필요할 경우 4단계에서 2단계(Harvesting) 그리고 3단계(Processing)를 반복하게 됩니다.

이처럼 정보 수집, 처리, 분석 단계를 반복하면서 의미있는 정보가 되도록 정보들간의 연관성을 찾고 정제하는 과정을 통해 새로운 구조의 OSINT Process를 구성할 수도 있습니다.

그림9. OSINT Process의 응용 구조 [출처: Open Source Intelligence Methodology,Robert André Furuhaug]

III. OSINT 전략

OSINF 수집 도구를 사용하는 것만으로는 OSINT라고 할 수 없기 때문에 OSINT Process를 효과적으로 구성할 수있는 OSINT 전략이 필요합니다.

이를 통해 OSINT가 무엇인지 명확하게 알아갈 수 있습니다.

아래는 "How To Build An OSINT Strategy In 5 Steps"를 참조하여 OSINT 전략에 대해 소개하고자 합니다.

3-1. OSINF 수집 도구 준비

온라인에서 수많은 정보들을 손수 찾기란 쉽지 않은 법입니다. 의미있는 정보로 만들 수 있는 표본이 많을 수록 유리할 것입니다. 그렇다고 무작정 정보를 수집할 수도 없는 노릇입니다. 따라서 조사자들은 OSINF 수집을 위한 좋은 도구를 사용하는 것이 중요합니다.

조사자들이 기본적으로 원하는 정보 수집 도구에는 다음이 포함되어 있어야 합니다.

  • 뉴스 소스 활용(eg. Bing News etc.)
  • Goolge의 지도, 검색, 이미지 활용
  • 많은 사람들이 이용하는 SNS 활용 (eg. Twitter, Facebook etc.)
  • Geofencing 기능이 존재하는 소셜 모니터링 플랫폼 활용

3-2. 체계화

체계화 단계는 다음과 같이 5단계로 구분되어 있습니다. 체계적인 절차를 거친 OSINT가 진정한 OSINT라고 할 수 있습니다.

  • 인식(Awareness)


    수집한 정보들간의 앞 뒤 맥락을 인식함으로서, 편향되지 않고 필요한 정보들만을 선별할 수 있어야 합니다.

  • 가설 형성(Forming a hypothesis)

    선별한 정보들이 무조건 정확한 정보라고 확신할 수는 없습니다. 얻어진 정보들을 기반으로 본인만의 가설을 세웁니다.

  • 논설 매핑(Mapping the discourse)

    수집한 정보에 대해 본인이 세운 가설에 대해 논리적으로 증명할 수 있어야 합니다. 정보들 간의 연관성을 파악하기 위해 시각화를 통한 매핑 작업이 필요합니다.

  • 자료 평가(Evaluation the data)

    정보 수집시 다양한 사람들의 의견 및 자료들을 얻게 됩니다. 우리는 항상 정확한 정보를 얻어야 의미있는 결과를 도출해 낼 수 있습니다. 따라서 도출된 결론이 단계적으로 적절한지, 제시한 방법론이 올바른지 판단을 해야 합니다.

  • 투명성(Transparency)

    정보의 출처, 결론을 뒷받침할 수 있는 자료들은 기록으로 남겨야합니다. 어디서 얻은 정보인지 밝히고 결론을 뒷받침하는 자료들이 존재해야만 결론으로서의 신뢰도를 높일 수 있습니다.

3-3. Geofencing

Geofencing은 지리(Geographic)와 울타리(Fencing)의 합성어입니다. GPS를 이용해 가상의 울타리 ‘지오펜스(Geofence)’를 지정하여 조사 대상이 활동하는 영역에 대한 인사이트를 얻을 수 있습니다.

그림10. Geofencing [출처: guardso]

대표적인 Geofencing은 SNS에 공개적으로 공유되는 사진이나 동영상의 메타데이터에 포함된 GPS 정보를 활용하여 시각화함으로써, 검증과정에서 도움이 될 수 있는 정보가 됩니다. 따라서 지리 정보는 의미있는 정보로 활용하기 위한 중요한 자산입니다.

3-4. 검증

검증절차는 OSINT에서 실시되는 최종 단계입니다.

체계화를 위해 다양한 정보들을 수집하고 가설을 세우고 논리적으로 설명하고 평가하고 기록으로 남기는 등 앞선 모든 단계들은 가설을 검증하기 위해 필요한 절차입니다.

3-5. 개인 정보 보호 준수

OSINF는 Twitter, Facebook 그리고 온라인 뉴스 채널 등 다양한 출처에서 수집됩니다. 특히 자동화된 정보수집 도구가 다양해지면서 누구나 쉽게 정보를 얻을 수 있게 되었습니다.

덕분에 범죄나 테러행위를 탐지하기 위한 모니터링, 법적 근거로 활용하는 등 다양한 분야에서 사용되며 지난 5년간 OSINT에 대한 Google 검색 동향을 살펴보면 계속 증가하고 있습니다.

그림11. 지난 5년간 OSINT 검색 [출처: Google 트렌드]

이처럼 OSINT에 대한 관심이 많아지는 만큼 법적인 문제 또한 함께 고려되어야 합니다.

공개된 정보이더라도 개인정보침해가 발생할 수 있으며 저작권 문제가 발생할 수도 있기 때문에 수집된 정보에 대한 개인정보보호와 정보재산권을 준수하는 윤리적인 OSINT 전략을 세워야 합니다.

외국에서는 정부와 민간 OSINT업체들이 상호 협력을 통해 범죄나 테러를 사전에 방지할 수 있는 시스템을 구축하고 있다고 합니다.

국내에서도 사회적?법적 이슈들이 많이 존재하고 있지만 이를 넘어서서 많은 연구가 필요하고 적극적인 정부기관의 지원이 필요할 것 입니다.

IV. 마무리

이번 포스트는 기술과 기법의 차이라는 글을 인용하여 마무리해볼까 합니다.

"법"자로 끝나는 학습법, 투자기법, 방법 등은 정해져 있는 것이다. 이것들은 대게 기법이라고 부르며 기법은 글로 표기할 수 있기 때문에 외워서 해결을 할 수 있다. 즉, 변수를 논하지 않는다. "술"자로 끝나는 기술, 의술, 학술 등은 눈으로 직접 보고 동시에 귀로 들어야 배워야 하는 학문들은 외우는 것 뿐만 아니라 생각을 해야하는 것들이다. 이러한 것들을 기술이라 부르며 기술은 변수가 존재하기 때문에 원리를 알아야한다. 이것이 기법과 다른 큰 차이점이다.

[출처: https://daromcom.tistory.com/m/247]


OSINT를 기법과 기술의 관점에서 바라보면 다음과 같은 예시를 통해 해석할 수 있습니다.

  • 기법: shodan, censys, google dorking의 사용법을 알고 있다.
  • 기술: shodan, censys, google dorking를 사용해서 특정 사이트나 서비스의 취약점 및 정보를 수집하고 수집된 정보를 정제/분석/통합 할 수 있다.

OSINT는 단순한 기법이 아닌 기술입니다. 도구를 사용하는 방법에 대해서 익히는 것은 누구나 할 수 있지만 수집된 정보를 정제, 분석, 통합하는 것은 다양한 경험 및 인사이트가 필요합니다.

다양한 경험을 통한 인사이트 도출을 위한 가장 효과적인 방법은 마인드 맵 그리기입니다. 수집한 정보들의 연관성을 생각하면서 마인드맵을 완성시키다보면 좋은 결과를 얻을 수 있을 것입니다.

다음은 수집된 정보를 Maltego를 활용하여 일종의 마인드 맵을 작성한 예시입니다.

그림12. Maltego 활용 예시

우리 KISEC 연구리포트에는 Maltego를 사용하기 위한 튜토리얼이 있습니다!

자세한 내용을 알고 싶은 독자께서는 "OSINT 분석을 위한 도구, Maltego"를 읽어보세요. ^_^


OSINT 분석을 위한 도구, Maltego


참고 문헌

가. 국내 문헌

  • 홍승희, 정보재산권의 형사법적 보호와 한계, 한국형사정책연구원.
  • 남길현, 공개출처정보와 설계에 의한 프라이버시 보호, 한국과학기술정보연구원.

나. 외국 문헌

  • Robert André Furuhaug, Open Source Intelligence Methodology, Dublin Univ., 2019.
  • Paula Hingley, How To Build An OSINT Strategy In 5 Steps, Echosec, 2018.
  • The Art of Searching for Open Source Intelligence, GENERAL SECURITY, 2016.
  • Steve Gibson, OSINF: the lifeblood of decision-making, RUSI, 2007.