CISO가 다수의 공개 IP 블록리스트를 중복도 기반 선별 방식으로 자동 통합하는 ShadowFortress를 개발했다

다수의 공개 IP 블록리스트(blocklist.de, feodotracker, spamhaus 등)가 품질이 불균일하고 중복이 심한 문제를 가지고 있다. 수동으로 관리하려면 비현실적이며, 유료 솔루션은 단순 IP 파일 형태로 자유롭게 사용하기 어렵다.

Technical Solution

• 공개 블록리스트 소스에서 IP 수집
• 전체 IP 중복 제거 처리
• 중복도 순위로 가장 신뢰성 높은 IP 선별(10개 이상 소스에 등장한 IP 우선)
• 자체 화이트리스트로 합법적 IP 범위 제외
• 인바운드/아웃바운드용 2개 파일 생성
• GitHub Actions로 6시간마다 자동 업데이트

Impact

100,000개 IP 최대 제한으로 네트워크 장비 성능 저하 방지

Key Takeaway

단일 소스의 IP보다 여러 소스에 중복 등장하는 IP가 악성일 가능성이 훨씬 높다.