Hackster

[프롬프트북 #3] IOC 침해지표 자동 정리 프롬프트

보안 사고 후 리포트를 작성할 때, 가장 머리 아픈 작업 중 하나는 바로 IOC(침해지표) 정리다. 이상행위가 발생한 로그를 분석하고
그 안에서 수상한 IP, 도메인, URL, 해시 값을 일일이 추려내 보고서에 표로 정리하거나 부록으로 첨부한다.
근데 이게, 귀찮고, 반복적이고, 실수도 잘 난다. 특히 예전에는 사고 건수가 많거나 로그 볼륨이 클수록 "알아서 자동화됐으면…"이라는 생각이 자주 들었다...

GPT에게 로그 데이터를 통째로 던지고, “IOC 항목별로 정리해줘” 한 마디만 하면 표 형태로 분류된 결과가 바로 출력된다.
심지어 표를 Markdown이나 CSV로 뽑을 수도 있고, GeoIP 정보나 TTP 힌트까지 덧붙이도록 확장할 수도 있다. 이건 단순히 "자동화했다"는 의미가 아니라, “보안 실무자의 반복 노동을 줄이면서, 정리 수준은 올리는 방식”이다. 그래서 실무자일수록 꼭 알아야 할 GPT 프롬프트라고 생각한다.

[프롬프트 본문]

다음은 사고 대응 과정에서 수집된 로그입니다.  
해당 로그에서 침해지표(IOC)를 추출하고  
[IP], [도메인], [파일 해시], [URL] 형식으로 분류하여 표 형태로 정리해 주세요.

[입력 예시]

Suspicious IP: 45.77.32.156  
URL Accessed: http://malicious-domain.com/login.php  
SHA256 Hash: 3f8d5e2a33a8894d1e98e5a632cb7c26f81a52b6d9c5a2356a9ff3c99b9e8f20  
Domain Contacted: malicious-domain.com

[출력 예시]

[추가 활용 팁]

- 보고서 부록에 삽입하기 위해서 "CSV로 정리해줘"라고 말해보자

- 노션, 위키 문서 삽입에 용이하기 위해서 "Markdown 표로 출력"을 사용해본다

- IOC 기반 탐지 범위를 판단하기 위해 "GeoIP 정보 포함" 옵션을 써본다.

- 인텔리전스 보고서 수준으로 확장시키기 위해 "IOC마다 설명을 달아줘"라고 요청해본다.

+ Comment : 보안 실무는 '탐지보다 정리'가 더 피곤한 순간이 많다.

IOC 추출은 반복 작업이지만, 보고서 품질을 좌우한다. 그런데 사람이 하면 빠뜨리는 게 생기고, 시스템으로 돌리자니 컨텍스트 없는 결과가 튀어나온다. 이 프롬프트는 GPT를 단순한 자동화 도구가 아닌 “보안 문서의 보조 저자”로 활용하는 방식이다.