746. TI (위협 인텔리전스) / STIX, TAXII, IoC 관리

핵심 인사이트: 전 세계 방화벽들이 서로 수배 전단지를 공유하지 않으면, 어제 미국에서 털어먹은 러시아 해커가 오늘 한국에 와도 우린 멍청하게 또 당한다. 하지만 TI(위협 인텔리전스)를 도입하면, "123.x.x.x IP가 방금 미국 은행을 공격했다!"라는 정보가 단 1초 만에 한국 방화벽으로 자동 동기화되어 즉시 입구 컷을 때린다. 해커의 움직임을 전 세계가 실시간으로 공유하는 궁극의 인터폴 수배망이다.

Ⅰ. CTI (Cyber Threat Intelligence, 사이버 위협 인텔리전스)의 개념

  • 개념: 단순한 방어 장비(방화벽)를 넘어, 현재 일어나고 있거나 발생할 가능성이 있는 사이버 공격(해커 집단, 유행하는 랜섬웨어, 신종 악성 IP, 취약점)에 대한 증거 기반의 빅데이터와 인사이트(정보)를 수집, 분석하여 전 세계 기업이 방어에 선제적으로 활용하도록 배포하는 지식 플랫폼입니다.
  • 구글의 VirusTotal, 한국 KISA의 C-TAS, 민간 업체의 TI 피드(Feed) 서비스 등이 대표적입니다.

Ⅱ. 핵심 재료: IoC (침해 지표, Indicator of Compromise) 🌟

TI 시스템이 씹고 뜯고 맛보는 핵심 데이터(수배 전단지의 내용물)입니다.

  • 개념: 어떤 컴퓨터가 해킹당했을 때(또는 해킹을 시도할 때) 남기는 범죄자의 명확한 족적, 즉 **'침해(해킹) 사고의 뚜렷한 증거 지표'**입니다.
  • IoC의 종류:
    • 해커의 명령조종(C&C) 서버 IP 주소 (예: 185.12.x.x)
    • 악성코드를 퍼뜨리는 가짜 도메인 URL (예: naver-login-update.com)
    • 방금 잡힌 신종 랜섬웨어 실행 파일의 고유한 해시값(SHA-256)
    • 특정 윈도우 레지스트리 키가 몰래 변경된 기록

Ⅲ. 공유를 위한 국제 표준어: STIX와 TAXII 🌟

미국 은행에서 잡은 해커(IoC) 정보를 한국 은행의 방화벽(IPS)에 1초 만에 꽂아 넣으려면, 둘이 **"말이 통하는 자동화된 언어(표준)"**를 써야 합니다. OASIS 기구에서 이를 통일했습니다.

1. STIX (Structured Threat Information eXpression) - "어떻게 적을 것인가?"

  • 해커의 신상 명세서(IoC)를 적는 전 세계 공통 **JSON(또는 XML) 기반의 통일된 양식(언어)**입니다.
  • "공격자 이름은 A, 목적은 랜섬웨어, 악성 파일 해시값은 B, 타겟 포트는 C"라는 내용을 인간이 아닌 기계(보안 장비)가 1초 만에 읽고 해석할 수 있도록 매우 체계적으로 구조화한 포맷입니다.

2. TAXII (Trusted Automated eXchange of Indicator Information) - "어떻게 배달할 것인가?"

  • STIX로 예쁘게 적은 수배 전단지를, 인터넷(HTTPS)을 통해 전 세계 기업의 방화벽과 SIEM 장비로 실시간으로 빠르고 안전하게 배달(전송)해 주는 통신 배달 프로토콜입니다. (Pub/Sub 모델을 지원하여 구독만 해놓으면 새 수배 전단지가 폰 푸시 알림처럼 쏙쏙 들어옵니다.)

Ⅳ. SIEM / SOAR와의 궁극적 연계 (실무)

  • 사내 SIEM 관제 화면에 어떤 파일이 찍힙니다. SIEM은 이 파일의 해시값을 즉시 인터넷망의 TI(위협 인텔리전스) 서버에 던져 질문합니다.
  • TI 서버가 0.1초 만에 "그거 어제 북한 킴수키 해커 그룹이 뿌린 신종 악성코드임!"이라고 STIX 문서로 답장을 줍니다.
  • 사내 SOAR(자동화 장비)가 이 답장을 읽고, 사내망 스위치와 백신(EDR)에 "그 해시값 파일 가진 놈 다 찢어죽여!"라고 자동 방역 명령을 하달합니다. 완전한 자동 방어 생태계입니다.

📢 섹션 요약 비유: 옛날 경찰(일반 방화벽)은 도둑이 자기 구역에 들어와서 물건을 훔칠 때까지(공격 개시) 도둑 얼굴을 모르는 맹인이었습니다. TI(위협 인텔리전스)는 전 세계 인터폴이 만든 '거대한 실시간 수배자 클라우드'입니다. 서울에서 도둑이 편의점을 털면 그 도둑의 지문과 몽타주(IoC)가 STIX라는 공용 양식으로 예쁘게 팩스로 정리되어, TAXII라는 초고속 우편 시스템을 통해 전 세계 모든 경찰의 스캐너로 1초 만에 배달됩니다. 이제 뉴욕 경찰은 도둑이 비행기에서 내리자마자 몽타주를 대조해 입구에서 완벽히 체포할 수 있습니다.