Skip to content
Published on

모던 OSINT (오픈 소스 인텔리전스) 도구 2026 완벽 가이드 - Maltego · Spiderfoot HX · Recon-ng · theHarvester · OSINT Industries · Trace Labs · Bellingcat · Lampyre · Aleph Project · TheHive 심층 분석

🇰🇷KO🇺🇸EN🇯🇵JA
Split View필사 모드
Authors

들어가며 — 2026년 5월, OSINT는 "전 직군 공용 스킬"이 됐다

5년 전만 해도 OSINT(Open Source Intelligence)는 정보 기관, 일부 탐사 보도, 일부 보안 팀의 전유물에 가까웠다. 2026년 5월 현재, 그 경계는 거의 사라졌다. 탐사 저널리즘(Bellingcat, OCCRP, 한국의 뉴스타파, 일본의 OCCRP Japan), 위협 인텔리전스(Recorded Future, Mandiant, Group-IB), DD(due diligence)(Sayari, Kharon, Castellum.AI), 실종자 수색(Trace Labs CTF 포맷), AML/제재, 사기 조사, 소셜 미디어 모니터링까지 OSINT 워크플로가 모두 비슷한 도구 스택을 공유한다.

이 글은 마케팅 매트릭스가 아니라 "지금 이 시점에 어떤 도구가 어떤 자리에 들어가는가"를 정직하게 짚는다. Maltego 4.6의 변화, Spiderfoot HX SaaS 라인업, Recon-ng 6.x, theHarvester의 한계, OSINT Industries · Epieos · Pimeyes 같은 상용 집계 플랫폼, GeoSpy AI 같은 AI 지리 위치 모델, OCCRP의 Aleph Project, Trace Labs CTF, 그리고 EU AI Act 이후의 얼굴 인식 규제까지 함께 다룬다.

OSINT 2026 풍경 — 누가, 어떤 케이스에 OSINT를 쓰는가

2026년 5월 기준 OSINT 사용자는 크게 6 그룹으로 나뉜다.

  1. 탐사 저널리즘: Bellingcat, OCCRP, ICIJ, ProPublica, 뉴스타파. MH17, 시리아 화학 무기, 우크라이나 전쟁, 파나마/판도라/플루토 페이퍼.
  2. 위협 인텔리전스(CTI): Mandiant, Recorded Future, Microsoft Threat Intelligence Center(MSTIC), Group-IB. 도메인·IOC·인프라 추적.
  3. 금융·제재 컴플라이언스: Sayari, Kharon, Castellum.AI, Refinitiv World-Check, Dow Jones Risk. UBO(ultimate beneficial owner), 제재 우회 조사.
  4. 실종자·인신매매 대응: Trace Labs CTF, NCMEC, Polaris Project. 시민 OSINT 자원봉사자 동원.
  5. 법 집행·정부: Europol, Interpol, NIS(국가정보원), JPCERT/CC, NICT NICTER, 공안조사청. 합법적 정보 수집 한도 내.
  6. 사설 조사·소셜 미디어 모니터링: Mintel, Kroll, K2 Integrity, Hill & Knowlton. M&A 사전 조사, 평판 모니터링.

워크플로는 다르지만 도구 스택은 90% 겹친다. 링크 분석(Maltego/Aleph), 자동 정찰(Spiderfoot/Recon-ng), 사람 추적(Sherlock/Epieos), 인프라 조회(Shodan/Censys), 유출 DB(HIBP/DeHashed), 지리 위치(GeoSpy/Mapillary), 다크웹(Tor/Ahmia) 이 7개 카테고리가 표준 레이어다.

링크 분석 — Maltego, Lampyre, i2 Analyst's Notebook, Cytoscape, Aleph

링크 분석은 OSINT의 시그니처 시각화다. "엔티티(노드)와 관계(엣지)"로 데이터를 그래프화해 패턴을 본다.

  • Maltego 4.6: 사실상의 표준. Paterva가 만들고 현재 Maltego Technologies(독일)가 운영. Community Edition은 무료지만 12 엔티티 제한, Maltego Professional(연 999 EUR 부근), Classic, XL(엔터프라이즈) 라인업. "Transforms"라는 데이터 소스 플러그인 생태계가 핵심이다. 2026년 현재 Transforms Hub에 400 종 이상의 transform이 있다.
  • Lampyre: 러시아 OSINT Academy가 만든 데스크톱 도구. 윈도우 전용. 지리·인프라·인물 분석에 강하고 자체 데이터 소스를 내장해서 단독으로도 쓸 만하다. 시각화는 Maltego보다 다소 거칠지만 가격이 매우 저렴하다.
  • IBM i2 Analyst's Notebook: 정부·법 집행 표준. Maltego보다 더 오래된 도구로 LE(법 집행) 시장에서 점유율이 높다. 라이선스가 비싸고 폐쇄적이라 시민 OSINT 영역에서는 거의 안 쓴다.
  • Cytoscape: 오픈 소스. 원래 생물정보학용이었는데 OSINT 그래프 분석에도 충분히 쓸 만하다. JSON 임포트가 강력해서 Spiderfoot 출력을 바로 받아 그릴 수 있다.
  • Aleph Project (OCCRP): 탐사 저널리즘 표준. 누출 데이터셋(파나마 페이퍼, 판도라 페이퍼, 러시아 자산 데이터)을 검색·그래프 탐색하는 플랫폼. ICIJ Datashare와 함께 ICIJ의 멤버 매체에서 표준으로 쓰인다.

Maltego의 기본 흐름은 다음과 같다.

1. New Graph 생성
2. Domain entity 드래그 → 도메인 입력 (예: example.com)
3. 우클릭 → Run Transform → "To DNS Name [Robtex]" 실행
4. 새로 나타난 노드들에 대해 추가 transform 체이닝
5. Layout > Block Layout 또는 Hierarchical 로 정리
6. Notes/Bookmarks 로 가설 기록
7. Maltego Graph (.mtgx) 형식으로 저장

Maltego는 강력하지만 학습 곡선이 가파르고, Community 라이선스로는 사실상 학습용에 머문다. 실전 OSINT의 입문은 Maltego보다는 Spiderfoot에서 시작하는 것이 더 빠르다는 게 2026년 다수 의견이다.

자동 정찰 — Spiderfoot HX, Recon-ng, theHarvester, OSRFramework

자동 정찰(automated reconnaissance) 도구는 "타겟 하나(도메인, 이메일, 사람 이름)를 받아 가능한 모든 OSINT 소스를 자동으로 조회"하는 카테고리다.

  • Spiderfoot HX: Steve Micallef가 만든 도구. 오픈 소스 Spiderfoot CE는 GitHub에서 무료, Spiderfoot HX(SaaS)는 월 79 USD부터. 200 종 이상의 모듈(passive/investigate/footprint scan 모드)이 있고, 한 번 돌리면 도메인·IP·이메일·이름·해시 무엇이든 받아 자동 확장한다.
  • Recon-ng 6.x: Tim Tomes가 만든 Python 기반 modular reconnaissance framework. Metasploit과 비슷한 CLI UX. 80 종 가량의 모듈이 있고, 마켓플레이스에서 추가 모듈 설치 가능.
  • theHarvester: 가장 오래된 OSINT 도구 중 하나. 이메일·도메인·서브도메인 수집 특화. Google, Bing, LinkedIn, GitHub, Shodan, Censys 등 검색 엔진을 cross-source로 돌린다. 한계가 명확해서 "초기 정찰 5분"에만 쓴다.
  • OSRFramework: 사용자 이름/프로필 enumeration 특화. usufy, mailfy, searchfy, phonefy, entify 5개 도구의 모음. 2026년 시점에는 Sherlock/Maigret에 다소 자리를 내준 상태.
  • OSINT-SAN: Adrian Lamo Tribute Project 계열. 통합 OSINT 프레임워크.
  • DataSurgeon: Rust로 작성된 정규식 기반 IOC 추출기. PDF/HTML/로그에서 이메일·URL·전화번호·해시·비트코인 주소를 빠르게 뽑는다.

theHarvester의 전형적 사용은 다음과 같다.

theHarvester -d example.com -l 500 -b bing,duckduckgo,crtsh

Spiderfoot CE는 셀프 호스팅이고, HTTP 서버로 뜬 다음 웹 UI로 조작한다.

git clone https://github.com/smicallef/spiderfoot
cd spiderfoot
pip3 install -r requirements.txt
python3 sf.py -l 127.0.0.1:5001

Recon-ng는 인터랙티브 CLI다.

[recon-ng][default] > marketplace install all
[recon-ng][default] > workspaces create demo
[recon-ng][demo] > modules load recon/domains-hosts/hackertarget
[recon-ng][demo][hackertarget] > options set SOURCE example.com
[recon-ng][demo][hackertarget] > run

자동 정찰 도구의 공통 단점은 "API 키와 비용"이다. Shodan, Censys, SecurityTrails 같은 API는 무료 티어가 매우 제한적이라, 진지하게 쓰려면 결국 유료 키가 필요하다.

사람·계정 조사 — Sherlock, Maigret, WhatsMyName, OSINT Industries, Epieos

사람을 추적할 때 가장 처음 하는 일은 "이 사용자 이름이 어떤 사이트에 등록돼 있는가"를 확인하는 일이다.

  • Sherlock: 가장 유명한 username enumeration 도구. Python으로 작성. 400 종 이상의 사이트를 동시 조회. 무료 OSS.
  • Maigret: Sherlock의 사실상의 후속. 더 많은 사이트(2500 종 이상), Tor 지원, 메타데이터 추출까지 함께 한다.
  • WhatsMyName: 웹 기반(WebBreacher 운영). 별도 설치 없이 브라우저에서 username 입력 → 등록된 사이트 표시.
  • OSINT Industries: 프리미엄 SaaS. 이메일·전화번호·사용자 이름을 입력하면 상용·내부 데이터셋에서 매칭되는 모든 흔적(SNS 계정, 등록 서비스, 노출된 메타데이터)을 한 화면에 표시. 1 query에 0.5-2 USD 부근. 법 집행/조사 기관 라이선스가 다수.
  • Hunter.io, Snov.io: 이메일 정찰. 도메인을 넣으면 그 회사 직원 이메일 패턴을 추출. B2B 영업이 1차 타겟이지만 OSINT 측에서도 자주 쓴다.
  • Epieos: 이메일/전화 역검색 특화. Gmail 계정에서 Google ID와 연결된 공개 정보(리뷰, 지도 활동, 캘린더 정보)를 끌어낸다.
  • Spy Dialer, TruePeopleSearch: 미국 위주의 사람 검색 서비스. 한국에서는 사용 사례가 거의 없지만, 미국 인물 조사에는 표준.

Sherlock 사용은 매우 단순하다.

pip install sherlock-project
sherlock johndoe

OSINT Industries는 CLI/API와 웹 콘솔 모두 있고, 결과는 JSON으로 받아 Maltego/Aleph로 가져갈 수 있다.

이 카테고리에서 가장 큰 이슈는 개인정보 보호와 스토킹 우려다. 같은 도구가 스토커웨어로 쓰일 수 있어서, 사용 기록·동의·합법적 목적이 확인되지 않으면 도구가 차단되거나 계정이 정지되는 흐름이 강해지고 있다.

이미지·역검색 — Yandex, Bing, Google Lens, TinEye, Pimeyes, FaceCheck.ID

이미지 OSINT는 2026년 가장 빠르게 변하는 카테고리다.

  • Google Lens: 일반 객체·텍스트 인식 강력. 얼굴 검색은 정책상 제한.
  • Yandex Images: OSINT 커뮤니티가 가장 좋아하는 역검색. 얼굴 기반 매칭에 강하다. 러시아·우크라이나 전쟁 OSINT에서 사실상 1차 도구.
  • Bing Visual Search: 마이크로소프트. 일반 객체 강력하고 얼굴 검색은 제한.
  • TinEye: 가장 오래된 역검색 서비스. 정확 이미지 매칭(reverse image) 특화. 얼굴 인식은 안 한다.
  • Pimeyes: 폴란드. 얼굴 검색 특화. 한 장의 얼굴 사진을 올리면 웹에 노출된 같은 사람의 사진을 찾아 준다. 유료 구독 모델이고, 2026년에는 GDPR 단속과 EU AI Act 영향으로 EU 시민에 대한 무제한 검색을 막는 정책이 시행됐다.
  • FaceCheck.ID: 얼굴 검색 후발 주자. Pimeyes보다 공격적인 마케팅을 한다. 윤리 논란이 크다.
  • InVID & WeVerify: 브라우저 확장. 동영상 키프레임 추출, 메타데이터 분석, 역검색을 한 UI에 묶었다(iter94의 팩트체크 글에서 자세히 다룸).

OSINT 워크플로에서는 한 장의 이미지를 항상 3개 엔진(Google Lens, Yandex, Bing) 이상에 동시에 던지는 것이 정석이다. "Yandex에서만 매칭, Google에서는 매칭 안 됨" 같은 패턴이 자주 나오기 때문이다.

지리 위치(Geolocation) — SunCalc, GeoGuessr 기법, Mapillary, GeoSpy AI

영상이나 사진이 "어디에서 찍혔는가"를 추정하는 작업은 OSINT의 꽃이다.

  • SunCalc / SunCalc.org: 위도·경도·날짜·시각을 넣으면 태양 위치와 그림자 방향을 계산. 사진의 그림자로 시간/방향 역추적할 때 표준.
  • GeoGuessr + 커뮤니티 기법: 게임이지만 OSINT 훈련용으로도 쓴다. 도로 표지판, 차량 번호판, 가로등 모양, 도로 마킹 패턴 등 국가·지역별 단서를 익히는 학습 도구.
  • Mapillary, KartaView, Google Street View: 거리 뷰 비교용. Mapillary는 Meta 자회사이고 KartaView는 Grab 산하. 비도시 지역과 사용자 업로드 비중이 높다.
  • GeoSpy AI: 2024년 등장한 AI 지리 위치 모델. 한 장의 풍경 사진만으로 추정 위도/경도와 신뢰 구간을 반환. 2025년부터 Bellingcat·OCCRP가 도입. 무료 티어와 유료 API가 있다.
  • Telegram + GeoChat 류 봇: 채팅방에 위치를 던지면 근처 매핑 도구·소셜 미디어 결과를 자동 반환하는 봇들. 정확도 편차가 크다.

지리 위치는 도구 자체보다 방법론이 80%를 결정한다. Bellingcat의 표준 워크플로는 (1) 지형 단서(산·하천·해안선) → (2) 인공물(건물·간판·도로) → (3) 그림자/태양 → (4) 차량/식생 → (5) 마지막 검증으로 Street View/Mapillary cross-check다.

소셜 미디어 OSINT — X, Telegram, Discord, Reddit, Mastodon, LinkedIn

플랫폼별로 OSINT 친화도가 매우 다르다.

  • X (Twitter): 2023년 API 가격 인상 이후 무료 OSINT의 상당 부분이 사라졌다. 2026년 시점 X Premium API는 월 5000 USD부터. 비공식 도구(Nitter, snscrape)는 차단·렌더링 변경으로 끊임없이 깨진다.
  • Telegram: 가장 핫한 OSINT 표적. 채널·그룹 모니터링은 TGStat, Telemetr.io, Tgstat.ru 같은 서비스가 표준. 메시지 검색·인기 채널·시간대 분석을 제공.
  • Discord: 봇 기반 모니터링이 일반적. 그러나 Discord ToS상 자동 스크래핑은 금지여서 합법적 OSINT는 봇 초대 후 acquire 가능한 데이터에 한한다.
  • Reddit: Pushshift API가 2023년 사실상 종료된 이후 OSINT의 큰 손실. 2024-2026년 사이 r/PushshiftReplacement 등 비공식 대체가 나왔지만 데이터 시간 범위가 제한적.
  • Mastodon + ActivityPub federation: 2024년 이후 큰 OSINT 표적이 됐다. 인스턴스가 분산돼 있어서 검색이 어렵지만, ActivityPub fediverse 검색 도구가 늘고 있다.
  • LinkedIn: PhantomBuster, Apollo.io, Lusha 같은 도구가 인물·회사 정보 추출에 표준. LinkedIn ToS와 GDPR/CCPA 준수가 핵심 리스크.

플랫폼 OSINT의 공통 트렌드는 "API 가격이 올라가고, 비공식 스크래핑이 어려워진다"이다. 결과적으로 OSINT Industries 같은 상용 집계 서비스에 비용이 모이는 흐름이다.

도메인·인프라 — Shodan, Censys, SecurityTrails, DomainTools, VirusTotal

위협 인텔리전스·CTI 영역의 표준 도구 군이다.

  • Shodan: "인터넷 검색 엔진"의 원조. 노출된 서비스·포트·배너 인덱싱. 학생/연구자 라이선스 99 USD/년, 비즈니스 라이선스는 그 이상.
  • Censys: Shodan의 가장 강력한 경쟁자. 학술 출신(University of Michigan). TLS 증명서 검색이 특히 강하다. 무료 티어는 250 query/월.
  • ZoomEye: 중국 Knownsec 운영. 아시아 권 IP에 대한 커버리지가 강하다.
  • Fofa: 중국. ZoomEye와 비슷한 위치.
  • SecurityTrails: 도메인 히스토리·서브도메인·DNS 변경 추적 특화.
  • DomainTools: WHOIS 히스토리 표준. 유료가 비싸지만 법 집행/CTI에서 사실상 필수.
  • PassiveTotal (RiskIQ → Microsoft Defender Threat Intelligence): RiskIQ가 Microsoft에 인수된 이후 MDTI로 통합. 도메인·IP·SSL·WHOIS·PDNS를 한 화면에 묶는다.
  • VirusTotal: Google 산하. 파일·URL·도메인·IP를 70 종 이상의 AV/threat intel 소스로 동시 조회. CTI의 1차 도구.
  • URLscan.io: URL을 헤드리스 브라우저로 실행해 스크린샷·DOM·네트워크 활동·연결된 도메인을 기록. 무료 공개 스캔 + Pro 라이선스.
  • Any.Run: 인터랙티브 멀웨어 샌드박스. CTI/위협 분석에 표준.
  • OTX AlienVault: AT&T Cybersecurity의 OSINT IOC 공유 플랫폼. 무료.
  • GreyNoise: 인터넷 노이즈(스캐너·봇) 분류 특화. "이 IP는 일반 스캐너인가, 표적 공격자인가"를 빠르게 판단.

Shodan CLI 사용은 다음과 같다.

pip install shodan
shodan init <YOUR_API_KEY>
shodan search 'product:nginx country:KR port:443' --limit 20
shodan host 1.2.3.4

이 카테고리의 가장 큰 변화는 PassiveTotal의 Microsoft 흡수다. 독립 SaaS였던 시절보다 가격 정책과 라이선스가 엄격해지면서, 중소 조사 기관은 Censys + URLscan + VirusTotal 조합으로 대체하는 흐름이 늘었다.

유출·해킹 데이터베이스 — HaveIBeenPwned, DeHashed, Intelligence X, LeakIX

유출 데이터(breach data) 영역은 가장 윤리적·법적 논란이 큰 카테고리다.

  • HaveIBeenPwned (HIBP): Troy Hunt가 운영. 가장 합법·윤리적으로 안전한 도구. 이메일/전화번호가 어떤 유출에 포함됐는지만 알려 주고, 비밀번호·평문은 노출하지 않는다. 무료.
  • DeHashed: 유출된 자격 증명(이메일+비밀번호 해시/평문)을 검색 가능. 법적 회색지대. 2023년 미국 FBI 압수·복원 이력. 2026년 시점 합법적 OSINT 사용을 강조한다.
  • Intelligence X: 유출·다크웹·과거 텔레그램 채널·과거 페이스트빈을 합친 거대 인덱스. 무료 티어와 상용 라이선스가 있고, 정부/조사 기관 라이선스가 다수.
  • LeakIX: 노출된 데이터베이스/Elasticsearch/S3 버킷 인덱싱. 시민 OSINT가 가장 자주 노출 사고를 발견하는 경로.
  • WikiLeaks, DDoSecrets: 활동가·언론 중심 유출 자료 아카이브. DDoSecrets는 2020년 이후 BlueLeaks를 시작으로 정부·기업·러시아 자료 다수.

이 카테고리는 국가별 법령이 매우 다르다. EU GDPR, 한국 개인정보보호법, 일본 개인정보보호법에 따라 유출 데이터의 다운로드/보유/사용은 합법성을 별도로 검토해야 한다.

문서·다크웹 — TOR Browser, Ahmia, OnionScan, Dark.Fail

다크웹(Tor onion services) OSINT는 별도 전문 영역이다.

  • TOR Browser: 표준 접근 도구. 최신 11.x 라인업.
  • Ahmia: 가장 신뢰할 만한 onion 검색 엔진. 필터링된 인덱스(아동 성착취물 등 제외).
  • OnionScan: Tor hidden service를 스캐닝해 잘못 설정된 메타데이터·이미지 EXIF·SSH key fingerprint를 추출. OPSEC 분석에 표준.
  • Dark.Fail: onion 서비스 상태(uptime)·검증된 PGP 키 미러링. 사기 onion 서비스(다크 마켓 피싱) 식별에 표준.
  • Recorded Future Dark Web Intelligence: 상용. 다크웹·텔레그램·범죄 포럼에서 IOC·자산 노출·brand mention을 실시간 모니터링.

다크웹 OSINT의 90%는 "범죄 포럼·텔레그램 채널"이지 onion 서비스 자체가 아니다. 2020년대 후반부터 다크웹의 거래·범죄 활동은 텔레그램·Discord로 이주한 비중이 크다.

시각 조사 기법 — Bellingcat 방법론과 Forensic Architecture

도구만큼이나 중요한 게 방법론이다. 2026년 시점 시각 조사(visual investigation)의 표준은 다음 두 그룹이 만든다.

  • Bellingcat (Eliot Higgins): 시민 OSINT의 사실상 대명사. MH17, 시리아 화학 무기, GRU 요원 신원, 우크라이나 전쟁 보고서로 정통성을 굳혔다. 무료 워크북·교육 과정·YouTube 채널 운영.
  • OCCRP & Aleph: 조직 범죄·부패에 특화된 글로벌 컨소시엄. Aleph는 그들의 데이터 플랫폼.
  • Forensic Architecture (Goldsmiths, University of London): 인권 침해·전쟁 범죄의 3D 재구성 특화. Hrant Dink 암살, 가자 폭격, 화이트헬멧 공격 등 분석.

Bellingcat 표준 시각 조사 워크플로는 (1) 원본 영상 메타데이터 검증 → (2) 키프레임 추출 → (3) 지리 위치 추정 → (4) 시간 추정(그림자, 날씨) → (5) Street View/Mapillary cross-check → (6) Twitter/Telegram 동시 시간 게시물 cross-check → (7) 가설 기록과 반박 가능성 검토다.

한국 OSINT 생태계 — KISIA, NIS, 금융정보분석원

한국 OSINT 생태계는 비교적 작지만 빠르게 성장 중이다.

  • 한국정보보안교육센터 (KISIA, Korea Information Security Industry Association): 한국 정보 보안 산업 협회. OSINT 교육 과정과 자격증 인증. SIS, OSCP 등 국제 자격증과 함께 한국 사이버보안기사가 표준.
  • 한국인터넷진흥원 (KISA): KrCERT/CC 운영. 한국 내 사이버 침해 사고 대응 표준. OSINT는 그 일부.
  • 국가정보원 (NIS) Open Source Intelligence Section: 공식 OSINT 조직은 비공개지만 사이버안전센터(NCSC) 산하에 분석 기능 다수.
  • 금융정보분석원 (FIU, KoFIU): 자금 세탁 방지(AML) OSINT. 가상자산 사업자 신고 의무와 함께 OSINT 기반 의심 거래 감시.
  • 민간 영역: 안랩, SK Shieldus, 라온시큐어, 이스트시큐리티 등 사이버 보안 기업이 자체 OSINT/CTI 팀 운영. 탐사 보도 쪽은 뉴스타파, 셜록(Sherlock 미디어), 시사인 일부 기자가 OSINT 기법을 적극 활용.

한국에서 OSINT는 개인정보보호법의 영향을 강하게 받는다. 사용자 이름, 이메일, 전화번호의 수집·보관·이용은 모두 정보 주체 동의 또는 법령상 근거가 필요하다. 정당한 취재나 학술 목적은 예외이지만 경계가 모호하다.

일본 OSINT 생태계 — NICT NICTER, JPCERT/CC, 공안조사청

일본 OSINT 생태계는 정부 주도 + 학계 비중이 한국보다 크다.

  • NICT (National Institute of Information and Communications Technology) NICTER: 사이버 공격 관측·분석 프로젝트. 다크넷 트래픽 모니터링 기반의 attack landscape 분석을 정기적으로 공개.
  • JPCERT/CC: 일본 CERT. 침해 사고 대응 + OSINT 분석. CSIRT 표준.
  • 공안조사청 (Public Security Intelligence Agency, PSIA): 일본 법무성 산하 정보 기관. 공식 OSINT 활용 비중은 알려진 바 적지만 보고서에서 자주 참조한다.
  • NHK 탐사 보도, 도쿄신문: 일본 내 OSINT 탐사 보도의 거점. 후쿠시마, 정치 자금, 자위대 관련 보도에서 OSINT 기법 활용.
  • 민간 보안 기업: NTT Security, IIJ, ラック (LAC), Trend Micro 일본 법인이 자체 OSINT/CTI 팀 운영.

일본에서 OSINT는 **個人情報保護法 (개인정보보호법)**의 영향을 받는다. 한국·EU만큼 엄격하지는 않지만 2022 년 개정 이후 cross-border 데이터 전송과 동의 요건이 강화됐다.

CTF·교육 — Trace Labs CTF, OSINT Dojo, HackTheBox

OSINT 학습은 책보다 실전이 빠르다. 2026년 표준 학습 경로는 다음과 같다.

  • Trace Labs Global OSINT Search Party CTF: 분기별 개최. 진짜 실종자 케이스 데이터를 받아 OSINT 자원봉사. 시민 OSINT의 가장 큰 행사. 우승 팀은 IRL 정보 기관에서도 채용 제안 받는 사례 다수.
  • OSINT Dojo: 무료 CTF 플랫폼. 입문~중급 챌린지 다수. The Twelve Days of OSINTmas 이벤트가 유명.
  • HackTheBox + TryHackMe: 보안 CTF지만 OSINT track이 별도. OhSINT, Sakura 룸 같은 입문 챌린지가 표준.
  • Cyber Detective CTF (Bristol): 영국 Bristol 대학 운영. 무료 OSINT 챌린지.
  • DEFCON Recon Village: 매년 라스베이거스에서 열리는 DEFCON 컨퍼런스의 OSINT 마을. CTF + 강연.

학습 순서는 (1) OSINT Dojo 입문 → (2) Cyber Detective CTF → (3) Trace Labs CTF 참여 → (4) HackTheBox/TryHackMe OSINT 룸 → (5) 자체 케이스 스터디(Bellingcat 워크북 따라하기) 순이 가장 흔하다.

법·윤리 — GDPR, EU AI Act, 한국·일본 개인정보보호법

OSINT의 법·윤리 측면은 2024-2026년에 가장 빠르게 변했다.

  • GDPR (EU 일반 개인정보보호법): 2018년부터. 합법적 근거(legitimate interest, public interest journalism 등) 없이 EU 시민 데이터 처리는 위법. Pimeyes, Clearview AI는 다수의 GDPR 단속을 받았다.
  • EU AI Act (2024): 얼굴 인식의 공공장소 실시간 사용을 원칙적으로 금지(예외: 중범죄 수색 등). Pimeyes·FaceCheck.ID·Clearview AI는 EU에서 제한적으로만 운용된다.
  • 한국 개인정보보호법: 동의 + 목적 적합성 + 비례 원칙. 공익 목적 취재·연구는 일부 예외. 그러나 인터넷에 노출된 데이터도 결합하면 식별 가능성이 생기므로 OSINT는 항상 비식별성 위험이 동반.
  • 일본 個人情報保護法: 2022년 개정으로 cross-border 전송과 cookie 기반 식별자(third-party cookie) 제한.
  • 미국 CCPA/CPRA: 캘리포니아 거주자 데이터에 대한 opt-out 권리. 다른 주는 별도 법 시행.
  • 스토커웨어 우려: 같은 OSINT 도구가 스토킹에 쓰일 수 있어, OSINT Industries · Epieos 같은 상용 도구는 "이혼·가정 문제 사용 금지" "법 집행 또는 사이버 보안 목적만" 같은 약관을 강화.

OSINT 실무자가 사용하는 표준 점검 항목은 (1) 합법적 근거 확인 → (2) 데이터 최소화 → (3) 익명성/비식별성 평가 → (4) 보관 기간 명시 → (5) 결과의 출처·시각·신뢰도 기록 → (6) 제3자 공개 시 위험 평가다.

AI 증강 — Claude/ChatGPT, LangChain + Maltego Transform, GeoSpy AI

2025-2026년 OSINT의 가장 큰 변화는 LLM 증강이다.

  • Claude / ChatGPT for triage: 비정형 텍스트(텔레그램 채널 캡처, 다크웹 포럼 글, PDF 보고서)를 요약·엔티티 추출하는 1차 도구. 2026년 Claude 3.7 Opus·GPT-4 Turbo·Claude Sonnet 4 가 표준.
  • LangChain + Maltego transform: Maltego transform 안에서 LLM을 호출해 비정형 데이터를 그래프 노드/엣지로 변환. 2025년 후반부터 커뮤니티 transform이 다수.
  • GeoSpy AI: 한 장의 풍경 사진을 위경도와 신뢰 구간으로 반환. Bellingcat이 시범 사용 후 표준 도구로 채택.
  • OSINT-GPT, FraudGPT의 반대편: 악성 LLM(FraudGPT, WormGPT)이 사기·피싱에 쓰이는 만큼, OSINT 측에서도 LLM을 방어 인텔에 적극 도입.
  • 클러스터링·번역: 다국어 텔레그램·X 게시물을 자동 번역·클러스터링하는 OSS 파이프라인(Hugging Face Inference Endpoints + sentence-transformers)이 표준화.

다만 LLM은 할루시네이션 위험이 있어서, OSINT 영역에서는 "LLM이 추출한 엔티티는 인간 검증을 반드시 거친다"가 철칙으로 자리 잡았다.

TheHive / MISP — 협업 사고 대응 플랫폼

OSINT 결과를 팀에서 공유·추적하려면 협업 플랫폼이 필요하다.

  • TheHive 5.x: StrangeBee가 운영하는 SIRP(Security Incident Response Platform). 케이스 관리 + IOC + observable + task. OSS Community Edition + Enterprise.
  • MISP (Malware Information Sharing Platform): 유럽 CERT-EU 출신 OSS. IOC 공유·분류·연합 인덱싱 표준. 2026년 시점 70 개국 이상의 CERT가 MISP 인스턴스 연합.
  • Cortex: TheHive 자매 프로젝트. observable analyzer를 모듈화. VirusTotal, Shodan, MISP 등을 모듈로 호출.
  • YETI: 위협 인텔리전스 플랫폼. IOC + TTPs + actor 그래프.
  • OpenCTI: Filigran(프랑스)이 운영. MITRE ATT&CK + STIX 2.1 기반. 유럽 정부 CERT에서 채택 다수.

이 카테고리는 OSINT의 결과를 "단발성 분석"에서 "조직 자산"으로 격상시키는 핵심이다. 개인 조사로 끝나는 경우는 협업 플랫폼이 과해 보이지만, 팀 OSINT는 거의 항상 MISP 또는 OpenCTI를 깐다.

워크플로 표준화 — 7단계 OSINT 사이클

2026년 시점 시민 OSINT/CTI 영역의 표준 워크플로는 7단계로 정리된다.

  1. 목표 정의(planning): 무엇을, 왜, 누구를 위해 조사하는가. 윤리적·법적 근거 확인.
  2. 수집(collection): passive(공개 소스 조회) 우선. active(상호작용 발생) 단계는 최소화.
  3. 처리(processing): 비정형 데이터 정제. PDF/이미지/HTML에서 IOC·엔티티 추출.
  4. 분석(analysis): 그래프화·시각화·시간선 작성. Maltego/Aleph/Cytoscape.
  5. 검증(verification): 출처 다중화, cross-check, 반박 가능성 검토. Bellingcat 표준.
  6. 보고(reporting): 가설·증거·신뢰도를 함께 기록. 출처와 시각을 첨부.
  7. 사후 관리(retention): 데이터 최소화·보관 기간·삭제·접근 권한 관리.

이 사이클은 정부 IC(Intelligence Community)의 OSINT 사이클을 시민 OSINT 맥락으로 옮긴 것이며, 2020년대 후반 다수 OSINT 트레이닝 프로그램의 공식 커리큘럼이 됐다.

도구 선택 가이드 — 어떤 조합으로 시작할까

처음 OSINT를 시작할 때 추천 순서는 다음과 같다.

  1. 시작은 무료 도구: Sherlock, theHarvester, Spiderfoot CE, Maigret, Cytoscape. 일주일이면 한 번씩 돌려 본다.
  2. 검색·역검색: Yandex, Google Lens, TinEye를 즐겨찾기. 모든 OSINT 케이스에서 이미지 역검색은 5분 안에 끝낸다.
  3. 인프라: Shodan(학생 라이선스), Censys 무료 티어, URLscan, VirusTotal. 도메인·IP 조사의 1차 도구.
  4. 사람·계정: OSINT Industries는 비용이 크다. 처음에는 Epieos + Sherlock + Maigret로 충분.
  5. 유출 DB: HIBP는 무료/합법. DeHashed/Intelligence X는 합법성 검토 후.
  6. 링크 분석: Maltego Community는 학습용. 진지하게 쓸 때만 Professional 또는 Aleph.
  7. 자동 정찰: Spiderfoot CE를 셀프 호스팅. Recon-ng는 CLI 친화적이면 추가.
  8. CTF: OSINT Dojo → Cyber Detective → Trace Labs CTF 순.
  9. 협업: 1인 작업이면 노트만. 팀이라면 TheHive + MISP.
  10. AI 증강: Claude/ChatGPT를 비정형 텍스트 triage에. 결과는 인간 검증 필수.

가장 큰 함정은 "처음부터 모든 도구를 깔려는 욕심"이다. 한 카테고리(예: 사람 조사)에 1주일 집중하는 학습 패턴이 가장 빨리 늘게 한다.

마치며 — 2026년 5월, OSINT는 "민주화됐지만 책임도 커졌다"

이 글의 결론은 두 가지다. 첫째, OSINT는 5년 전과 비교 불가할 정도로 민주화됐다. 무료 도구와 LLM 증강으로 시민·기자·조사관 누구나 진지한 조사를 수행할 수 있다. 둘째, 책임도 그만큼 커졌다. EU AI Act, GDPR, 한국·일본 개인정보보호법, 스토커웨어 우려가 동시에 압박해서 "무엇이든 검색해 본다"는 시절은 끝났다.

도구 선택보다 중요한 건 방법론이다. Bellingcat 워크북 1-2 챕터를 따라 손으로 한 번 따라 해 보는 게, OSINT 도구 30 종을 깔아 두는 것보다 훨씬 가치가 크다. 어떤 도구든 "출처, 시각, 신뢰도"의 3 종 메타데이터 없이 결과를 기록하지 말자. 이 한 가지 습관만 지키면 OSINT의 90%는 해결된다.

References

Discuss on TwitterView on GitHub