위협 인텔리전스(CTI)란?
CTI(Cyber Threat Intelligence)는 위협 행위자, 전술, 기법, 절차(TTP)에 관한 증거 기반의 지식입니다. 정보보안기사 시험에서는 인텔리전스 유형, STIX/TAXII 표준, MITRE ATT&CK, 다크웹 모니터링이 핵심 출제 범위입니다.
인텔리전스 유형
- 전략적 인텔리전스: 고위 경영진용. 위협 환경, 국가 행위자 동향, 산업별 위협 트렌드
- 전술적 인텔리전스: 보안 팀용. TTP(Tactics, Techniques, Procedures), 공격자 행동 패턴
- 운영적 인텔리전스: 사고 대응팀용. 진행 중인 캠페인, 특정 공격의 세부 정보
- 기술적 인텔리전스: SOC/SIEM용. IOC(Indicator of Compromise): IP, 도메인, 해시, URL
STIX와 TAXII
- STIX(Structured Threat Information eXpression): 위협 인텔리전스 표현 표준. STIX 2.1은 JSON 기반. 위협 행위자, 공격 패턴, IOC 등을 표준화된 형식으로 표현
- TAXII(Trusted Automated eXchange of Intelligence Information): STIX 데이터를 교환하기 위한 프로토콜. HTTPS 기반. Collection과 Channel 두 가지 모델
- MISP(Malware Information Sharing Platform): 오픈소스 위협 인텔리전스 플랫폼. 조직 간 IOC 공유
MITRE ATT&CK 프레임워크
실제 공격자의 TTP를 체계적으로 분류한 지식 베이스입니다. Enterprise, Mobile, ICS 매트릭스 제공.
- 전술(Tactic): 공격자의 목표 (초기 접근, 실행, 지속성, 권한 상승 등 14가지)
- 기법(Technique): 전술을 달성하는 구체적 방법 (200개 이상)
- 하위 기법(Sub-technique): 기법의 더 구체적인 변형
- 활용: 레드팀 시뮬레이션, 탐지 갭 분석, SOC 대응 절차 개선
다크웹 모니터링
다크웹(Dark Web)은 Tor 브라우저 등 특수 소프트웨어로만 접근 가능한 익명 네트워크입니다. 랜섬웨어 그룹이 피해자 정보를 게시하거나, 유출 데이터·크리덴셜이 거래됩니다.
- 기업 모니터링 대상: 유출된 임직원 자격증명, 기업 데이터 판매 게시물, 랜섬웨어 그룹 피해자 목록
- 서비스: Recorded Future, Digital Shadows, ZeroFox, Kela
- HUMINT vs OSINT: HUMINT는 사람에서 수집되는 정보, OSINT는 공개된 출처에서 수집
정보보안기사 기출 핵심 정리
- CTI 유형: 전략적(경영진) → 전술적(TTP) → 운영적(캠페인) → 기술적(IOC)
- STIX = 위협 인텔리전스 표현 표준(JSON), TAXII = 교환 프로토콜
- MITRE ATT&CK = TTP 지식 베이스, 14가지 전술 매트릭스
- IOC = IP·도메인·해시·URL 등 침해 지표
- 다크웹 = Tor 기반 익명 네트워크, 자격증명·데이터 유출 거래