위협 인텔리전스(Threat Intelligence)란?
CTI(Cyber Threat Intelligence)는 사이버 위협에 관한 수집·분석·공유된 정보로, 조직이 위협을 사전에 파악하고 방어 전략을 수립하는 데 활용됩니다. 정보보안기사 최신 출제 경향에 포함되는 주제입니다.
CTI 유형
- 전략적(Strategic) 인텔리전스: 최고 경영진 대상, 위협 행위자의 동기·목표·추세 분석. 비기술적
- 운영적(Operational) 인텔리전스: 보안 관리자 대상, 구체적 공격 캠페인·TTP 분석
- 전술적(Tactical) 인텔리전스: 보안 엔지니어 대상, 악성코드 해시·C2 IP 등 IOC 목록
- 기술적(Technical) 인텔리전스: 취약점 세부 정보, 익스플로잇 코드
IOC (Indicators of Compromise)
침해 사고가 발생했다는 증거 지표입니다.
- 파일 IOC: 악성 파일 MD5/SHA-256 해시
- 네트워크 IOC: C2 서버 IP 주소, 악성 도메인, URL
- 호스트 IOC: 레지스트리 키, 생성된 파일 경로, 프로세스명
- 이메일 IOC: 피싱 이메일 발신자, 제목 패턴
TTP (Tactics, Techniques, Procedures)
공격자의 행동 패턴을 기술하는 상위 개념으로, IOC보다 변경이 어려워 더 가치 있는 인텔리전스입니다.
- 전술(Tactics): 공격자의 목표 (초기 접근, 권한 상승 등)
- 기술(Techniques): 전술을 달성하는 구체적 방법
- 절차(Procedures): 특정 공격 그룹의 구체적 실행 방법
MITRE ATT&CK 프레임워크
실제 공격에서 관찰된 TTP를 체계적으로 정리한 지식 베이스입니다.
- 14개 전술 카테고리: 초기 접근, 실행, 지속성, 권한 상승, 방어 우회, 자격증명 접근, 발견, 측면 이동, 수집, C2, 데이터 유출, 영향
- 기업 환경, 모바일, ICS(산업제어시스템) 매트릭스 제공
STIX와 TAXII
STIX (Structured Threat Information eXpression)
- 사이버 위협 정보를 표준화된 형식(JSON 기반)으로 표현하는 언어
- 12개 STIX 객체: 공격 패턴, 캠페인, 과정, 침해 지표, 인프라 등
- STIX 2.1이 현재 표준
TAXII (Trusted Automated eXchange of Indicator Information)
- STIX 형식의 위협 정보를 자동으로 공유하는 전송 프로토콜
- HTTPS 기반, Collection과 Channel 두 가지 공유 모델
- ISAC(정보공유분석센터), FS-ISAC 등에서 활용
국내 위협 인텔리전스 공유 체계
- KISA 사이버위협정보분석공유시스템(C-TAS): 국내 기업 간 위협 정보 공유 플랫폼
- 금융보안원 e-CRIMS: 금융권 사이버 위협 정보 공유
시험 핵심 포인트
- IOC: 침해 발생 증거 지표 (해시, IP, 도메인)
- TTP: 공격자 행동 패턴, IOC보다 변경 어려워 더 가치있음
- STIX: 위협 정보 표현 언어 / TAXII: 위협 정보 공유 프로토콜
- MITRE ATT&CK: TTP 기반 공격 행위 지식 베이스
- CTI 4유형: 전략적·운영적·전술적·기술적
마무리
위협 인텔리전스는 사전 예방적 보안의 핵심입니다. STIX/TAXII의 역할 구분과 IOC vs TTP의 차이를 명확히 이해하면 관련 문제를 모두 맞출 수 있습니다.