---
title: "AI스페라, 오픈CTI에 크리미널 IP 붙여 위협 지표 분석 자동화"
published: 2026-07-03T05:05:03.284Z
canonical: https://jeff.news/article/4547
---
# AI스페라, 오픈CTI에 크리미널 IP 붙여 위협 지표 분석 자동화

AI스페라가 자사 사이버 위협 인텔리전스 솔루션 크리미널 IP를 오픈소스 CTI 플랫폼 오픈CTI와 공식 연동했어. 오픈CTI 사용자는 IP, 도메인, URL 위협 지표에 평판 점수, 취약점, 피싱 분석, 익명화 기술 여부 같은 정보를 자동으로 붙여 분석할 수 있게 됐어.

- AI스페라가 자사 CTI 솔루션 ‘크리미널 IP’를 오픈소스 위협 인텔리전스 플랫폼 ‘오픈CTI’와 공식 연동함
  - 커넥터가 오픈CTI 커넥터 허브에 공식 등재돼, 전 세계 오픈CTI 사용자가 기존 환경 안에서 바로 크리미널 IP 데이터를 쓸 수 있게 됨
  - 주요 대상은 SOC, 침해사고대응팀(CERT), 정부기관, 기업 보안팀처럼 위협 지표를 매일 다루는 조직임

- 핵심은 ‘조회 자동화’가 아니라 ‘위협 지표에 맥락을 자동으로 붙이는 것’임
  - 오픈CTI에 들어온 IP, 도메인, URL 같은 지표에 평판 점수, 인터넷 인프라 정보, 취약점 정보, 피싱 분석 결과가 자동으로 보강됨
  - 분석 결과는 오픈CTI 안에서 엔티티와 관계 정보로 구조화돼 저장되기 때문에, 단순 목록 관리보다 후속 분석에 쓰기 쉬움

> [!IMPORTANT]
> 보안팀이 반복적으로 하던 IP·도메인·URL 평판 조회를 오픈CTI 워크플로우 안으로 끌어온 게 이번 연동의 실질적인 가치임.

- IP 분석은 ‘인바운드 위험’과 ‘아웃바운드 위험’을 나눠 보는 방식임
  - 인바운드 위험은 해당 IP가 외부 공격에 얼마나 노출돼 있는지를 보는 관점임
  - 아웃바운드 위험은 그 IP가 공격 활동에 쓰일 가능성을 평가하는 관점임
  - 여기에 CVE 정보까지 연결돼, 특정 IP가 실제 공격에 악용될 만한 취약점을 갖고 있는지도 확인할 수 있음

- 도메인과 URL 쪽은 피싱 대응에 초점이 꽤 강함
  - 피싱 여부, 자격증명 탈취 페이지, 브랜드 사칭 기법을 자동 분석함
  - VPN, 프록시, TOR 같은 익명화 기술 사용 여부도 여러 레이블로 제공함
  - 피싱 URL 하나를 봐도 ‘나쁜 URL임’에서 끝나는 게 아니라, 어떤 방식으로 위장했고 어떤 인프라를 쓰는지까지 붙는 셈임

- AI스페라 쪽 메시지는 명확함. 보안 분석가가 반복 조회에 시간을 덜 쓰고 실제 대응 판단에 집중하게 만들겠다는 것
  - 개별 위협 지표를 실제 대응 가능한 위협 인텔리전스로 바꾸는 게 목표라고 설명함
  - 공격의 맥락까지 같이 제공한다는 점을 이번 연동의 의미로 강조함

---

## 기술 맥락

- CTI에서 어려운 건 데이터를 모으는 것보다, 그 데이터가 왜 위험한지 바로 판단할 수 있게 만드는 거예요. IP 하나만 있어도 평판, 취약점, 피싱 이력, 익명화 인프라 여부가 붙어야 대응 우선순위를 정할 수 있거든요.

- 오픈CTI는 위협 지표를 관계형으로 묶어두는 플랫폼이라서 커넥터 품질이 중요해요. 크리미널 IP 커넥터가 들어오면 외부 조회를 따로 돌리지 않고도 오픈CTI 안에서 분석 흐름을 이어갈 수 있어요.

- 인바운드 위험과 아웃바운드 위험을 나눠 보는 것도 실무적으로 의미가 있어요. 공격에 노출된 자산인지, 공격에 악용될 가능성이 있는 인프라인지에 따라 대응팀의 액션이 달라지기 때문이에요.

- 결국 이번 연동은 보안 자동화라기보다 보안 분석의 반복 노동을 줄이는 쪽에 가까워요. 분석가가 복붙 조회를 덜 하고, 관계와 맥락을 보고 판단하는 데 시간을 쓰게 만드는 구조예요.

## 핵심 포인트

- 크리미널 IP 커넥터가 오픈CTI 커넥터 허브에 공식 등재됨
- IP는 인바운드 위험과 아웃바운드 위험으로 나눠 이중 위험 스코어링 제공
- 도메인과 URL은 피싱, 자격증명 탈취, 브랜드 사칭, VPN·프록시·TOR 사용 여부까지 자동 분석
- SOC, 침해사고대응팀, 정부기관, 기업 보안팀의 반복 조회 작업을 줄이는 게 핵심

## 인사이트

보안팀 입장에선 ‘지표를 수집했다’에서 끝나는 게 아니라, 그 지표가 실제 대응에 쓸 만한 맥락을 갖는지가 중요해. 오픈CTI 안에서 평판, 취약점, 피싱 정황까지 자동으로 붙는다면 SOC 워크플로우에는 꽤 실용적인 연동이야.
