Threat Intel 자동화: 빠르고 컨테이너화된 IP 트라이에지 툴을 구축한 방법

Source: Dev.to

미션: “분석가 피로”와의 전쟁

보안 엔지니어를 지망하면서 나는 트라이에지가 대부분의 시간을 잡아먹는다는 것을 빨리 깨달았다. 방화벽이 수십 개의 의심스러운 연결을 표시하면, 브라우저에서 하나씩 확인하는 것은 느리고 실수가 발생하기 쉽다. 나는 Sentinel‑IP 라는 파이썬 도구를 만들었다. 이 도구는 IP 목록을 받아 즉시 위협 인텔리전스로 풍부하게 만들어 30분짜리 수작업을 30초짜리 자동 작업으로 바꿔준다.

• Python – 자동화 로직 및 API 처리
• Docker – 설정 번거로움 없이 macOS, Windows, Linux 어느 머신에서도 도구가 실행되도록 보장
• AbuseIPDB API – 무차별 로그인 및 스팸 활동에 대한 크라우드소싱 보고서
• AlienVault OTX API – 알려진 악성코드 캠페인과 연결된 IP를 식별하는 “Pulse” 데이터

원래는 VirusTotal을 포함하려고 했지만, 무료 티어는 분당 4회 요청만 허용해 50개의 IP를 처리하는 데 거의 15분이 걸렸다. AlienVault OTX로 전환하면서 이 병목 현상이 사라졌고, 수십 개의 IP를 몇 초 안에 스캔할 수 있게 되었다. 교훈: 최고의 데이터도 공격을 막기에 너무 늦게 도착하면 무용지물이다.

이 도구는 간단한 ips.txt 파일을 입력으로 읽고, API를 호출한 뒤, 분석가가 검토할 수 있는 깔끔한 results.csv 파일을 생성한다.

핵심 로직

for ip in tqdm(ips, desc="Analyzing"):
    abuse_score = check_abuse_ip(ip)   # Returns % confidence
    otx_pulses = check_alienvault(ip)  # Returns count of threat pulses

    results.append({
        'IP': ip,
        'Abuse_Score%': abuse_score,
        'OTX_Pulses': otx_pulses
    })

사용 사례

방화벽 로그 “덤프”

시나리오: 회사 방화벽이 수백 건의 실패한 SSH 시도를 차단한다.
활용: 로그에서 IP를 복사해 Sentinel‑IP에 넣는다.
효과: 100 % Abuse Score를 가진 IP를 즉시 필터링해, 모든 차단을 조사하는 대신 검증된 봇넷에 집중할 수 있다.

피싱 헤더 분석

시나리오: 의심스러운 이메일이 보고되고 헤더에 “Source IP”가 포함되어 있다.
활용: 해당 IP를 도구에 입력한다.
효과: AlienVault OTX가 “Credential Harvesting”과 관련된 다수의 pulse를 보여주면, 이메일이 악성임을 즉시 입증하고 네트워크에서 차단할 수 있다.

프로젝트 인사이트

API 복원력

404 Not Found 오류(대개 “깨끗한” IP를 의미)와 401 Unauthorized 오류를 구분해 처리함으로써 도구가 중단 없이 계속 실행되도록 한다.

컨테이너화

Docker 볼륨을 사용하면 컨테이너가 CSV 파일을 호스트의 데스크톱에 직접 쓸 수 있어, 결과를 바로 확인할 수 있다.

데이터 상관관계

높은 Abuse Score 와 다수의 OTX pulse를 가진 IP는 “Critical” 위협으로 분류되어 즉시 차단해야 한다.

코드 받기

전체 소스 코드를 확인하고 프로젝트에 기여하고 싶다면 GitHub에서 확인해 보세요:

Sentinel‑IP 저장소 – [GitHub link]

유용하다면 ⭐️를 눌러 레포를 기억해 주세요!