CTI
Cyber Threat Intelligence
오늘의 주제는 CTI이다. 정보보호 교육도 듣고, 관련 프로젝트와 세미나 경험 등을 쌓으며 매우 큰 관심을 갖게 된 분야이다. 지금으로서는 1지망에 가장 가깝긴 하지만, 뭐든 이른 확신은 좋지 않으니... 일단은 차근차근 알아가며 관련 지식과 경험부터 쌓아 보려 한다.
1. CTI의 개념과 필요성
1.1 CTI의 정의와 핵심 요소
CTI(Cyber Threat Intelligence) 는 사이버 보안 위협에 대한 정보를 수집하고, 분석하여, 조직의 의사결정과 방어 전략 수립에 활용할 수 있도록 정제한 정보 기반 인텔리전스다. 단순한 로그, IOC(Indicator of Compromise) 모음이 아니라, 그것들이 "의미 있는 맥락과 행위 기반 분석을 통해 해석되고 이해될 수 있을 때 CTI로 간주된다.
국제적으로는 [Gartner], [MITRE], [NIST] 등에서 다음과 같은 CTI의 핵심 속성을 공통적으로 정의한다:
-
Contextual (맥락성)
- 공격자는 누구인가?
- 어떤 목적을 가지고 있는가?
- 특정 산업을 노리고 있는가?
-
Actionable (실행 가능성)
- 네트워크 장비나 EDR, SIEM에 적용 가능한 정보인가?
- 대응 시나리오에 즉시 반영 가능한가?
-
Timely (적시성)
- 현재 위협에 대한 정보인가, 과거의 정보인가?
- 적시에 수집·전달되어 대응 시간을 최소화할 수 있는가?
-
Accurate (정확성)
- 잘못된 경보를 발생시키지 않도록 신뢰 가능한 출처 기반인가?
요약: CTI는 단순한 로그의 나열이 아니라, 공격자의 전술(Tactics), 기술(Techniques), 절차(Procedures)까지 포함하는 TTP 기반 분석 체계
1.2 위협 데이터, 정보, 인텔리전스의 구분
CTI의 기본적인 틀을 이해하기 위해서는, Threat Data, Threat Information, Threat Intelligence의 세 단계 개념을 명확히 구분할 필요가 있다
| 구분 | 설명 | 예시 |
|---|---|---|
| Threat Data | 구조화되지 않은 원시 위협 데이터 | PCAP, 로그, 도메인/IP, 해시값, 포렌식 덤프 등 |
| Threat Information | 분석을 통해 의미가 부여된 위협 정보 | 악성코드가 특정 국가에서 발생, APT 그룹과 연계 가능성 |
| Threat Intelligence | 조직의 보안 전략 수립에 사용 가능한 분석/판단된 인텔리전스 | 이 위협은 북한 계열 Lazarus 그룹이 금융기관을 겨냥하여 수행한 공격으로 판단됨 |
즉, 데이터 → 정보 → 인텔리전스로 갈수록 추상도와 활용도는 높아지고, 기술적 분석뿐 아니라 사이버 범죄의 전술·정책적 맥락까지 포함하게 된다.
1.3 사이버 보안 전략에서 CTI의 위치
CTI는 조직 보안 체계 전반에서 다음과 같은 위치와 역할을 수행한다:
1) 보안 운영(SOC)과의 연계
- CTI는 SIEM이나 EDR 등의 경보 정보의 맥락 제공자 역할을 한다.
- IOC에 기반한 탐지뿐 아니라, TTP 기반 탐지 규칙 생성에 도움을 준다.
2) 위협 사냥(Threat Hunting)
- 정적 탐지 시스템으로는 포착되지 않는 은밀한 위협에 대한 사전 탐지에 활용된다.
- MITRE ATT&CK 매트릭스를 기반으로 특정 APT 그룹의 기법을 선제적으로 탐지 가능.
3) 보안 정책 및 대응 전략 수립
- CSIRT(Computer Security Incident Response Team) 은 CTI를 기반으로 대응 시나리오를 사전에 설계하고, 공격 발생 시 빠르게 의사결정을 내릴 수 있다.
- 산업 및 조직 맞춤형 보안 정책 수립 가능.
4) 조직 전반의 리스크 평가
- 사이버 위협 인텔리전스를 활용하여, 기업 자산에 대한 사이버 위험 평가와 우선순위 선정이 가능하다.
- 예: "이 산업군은 최근 APT29 그룹의 타깃이 되었으며, 우리 조직도 유사한 기술스택을 사용하고 있다."
CTI는 단순 보안 기술이 아니라, 사이버 방어 전략의 중추적 요소이며, 정보 기반의 결정을 가능하게 하는 실질적 기반이다.
2. CTI의 유형별 분류
CTI는 활용 목적과 적용 범위에 따라 전략적(Strategic), 전술적(Tactical), 운영적(Operational), 기술적(Technical) 인텔리전스로 구분된다. 이 네 가지는 조직 내에서의 역할, 수신자, 데이터의 심층 정도가 서로 다르기 때문에 반드시 구분해서 이해할 필요가 있다.
2.1 전략적(Strategic) 인텔리전스
조직의 경영진, 의사결정자(CISO, CIO 등) 를 대상으로 제공되는 고수준 인텔리전스. 조직의 보안 투자 및 정책 결정에 기여하는 정보로, 기술적인 세부사항보다는 위협 트렌드, 지정학적 상황, 산업별 위험 등을 중심으로 구성된다.
1) 특징
- 비기술적인 내용 중심, 텍스트 기반 보고서 형태.
- 장기적인 보안 전략 수립과 보안 예산 편성에 영향.
- OSINT, APT 그룹 동향, 국가별 위협 동향 등.
2) 예시
- “2023년 북미 지역 금융기관 대상 랜섬웨어 공격 급증: Lockbit 그룹 주도”
- “한국 내 제조업 타깃 APT31 활동 보고서 (KISA 제공)”
사용자는 보안 책임자, 경영진이며, 이 정보를 바탕으로 보안 조직 구조나 기술 도입 여부 등을 판단함.
2.2 전술적(Tactical) 인텔리전스
SOC 애널리스트, SIEM 관리자, 침해사고 대응팀(CSIRT) 등을 위한 정보로, 공격자의 TTP(Tactics, Techniques, Procedures) 에 관한 내용이 중심이다. 주로 MITRE ATT&CK 프레임워크와 연계되어 표현된다.
1) 특징
- 공격의 의도, 방법, 단계별 기법 중심.
- 보안 탐지 룰 구성, 탐지 툴 튜닝에 활용.
- 적절한 방어 정책 수립 및 탐지 룰 정교화 가능.
2) 예시
- “APT28은 PowerShell을 통한 스크립트 다운로드(T1059.001)를 이용해 초기 접근을 수행”
- “내부 침투 이후 Mimikatz(T1003.001) 사용하여 계정 정보 덤프”
보안 탐지 시스템에서 False Positive 최소화, 위협 식별 정확도 향상에 기여함.
2.3 운영적(Operational) 인텔리전스
실제 공격 발생 시점에, 특정 공격 캠페인의 세부 정보를 파악하고 대응하기 위한 인텔리전스. 보통 침해사고 대응팀(Incident Response) 이나 위협 헌터(Threat Hunter) 가 활용한다.
1) 특징
- 캠페인 타임라인, 공격 인프라, 대상 산업군 등 정황 중심 정보.
- 위협 행위자 식별, 공격 동선 추적, 대응 우선순위 결정에 활용.
- 종종 비공개 소스(예: 침해 리포트, 다크웹 포럼 등)를 통해 수집.
2) 예시
- “2024년 5월 12일 기준, FIN7이 등록한 C2 도메인 4개가 활성화됨”
- “APT37이 한 금융기관을 침투 후 3일간 내부망에서 lateral movement 수행”
실시간 분석 및 대응에 쓰이므로, 정보의 정확성과 적시성이 핵심임.
2.4 기술적(Technical) 인텔리전스
보안 장비나 스크립트에서 자동으로 처리 가능한 위협 지표(IoC, Indicator of Compromise) 정보를 의미하며, 가장 구조화된 형태의 데이터로 구성된다. 주로 자동화된 보안 시스템에 연동되어 실시간 탐지와 차단을 수행할 수 있도록 함.
1) 특징
- IP 주소, 도메인, 해시, URL, C2 주소 등 정형 데이터 중심.
- 단기 유효성이 높은 대신, 빨리 폐기되거나 회피되기 쉬움.
- STIX/TAXII, MISP 등의 포맷으로 표현 가능.
2) 예시
- SHA256 해시:
a34e8b23650b17c2459a0b10f9c02321e19f... - 악성 URL:
hxxp://example[.]com/login.php - C2 IP:
185.127.23.101
기술적 IoC는 탐지/차단을 위한 1차 필터이지만, 오탐 가능성도 존재하므로 상위 단계의 CTI와 함께 사용해야 실효성이 높아짐.
3. CTI 데이터 수집 및 분석 기법
효과적인 CTI는 정확하고 시의적절한 데이터 수집과 정교한 분석을 기반으로 한다. 정보의 출처는 다양하며, 신뢰성과 유효성, 자동화 가능성 등 각기 다른 특성을 지닌다. 이를 이해하고 적절히 조합하는 것이 CTI 성공의 핵심이다.
3.1 오픈소스 인텔리전스(OSINT)
OSINT(Open Source Intelligence) 는 공개적으로 접근 가능한 모든 정보를 의미한다. 합법적인 경로로 수집되며, 비용 부담이 적고 활용 범위가 넓다.
1) 주요 수집 대상
- 위협 행위자 그룹 활동: 트위터, 블로그, 포럼 등에서의 자발적 유출
- 취약점 정보: NVD, Exploit-DB, CVE feed
- 악성코드 캠페인 보고서: KISA, CERT, FireEye, Recorded Future 등의 위협 분석 리포트
- 공개 코드 저장소: GitHub, Pastebin, 공개 바이너리 저장소
2) 수집 도구 예시
SpiderFoot,theHarvester: 이메일, IP, 도메인 정보 수집Shodan,Censys: 인터넷 연결 장비 및 취약 시스템 검색- RSS 기반 수집 자동화 스크립트 (ex.
feedparser+MongoDB)
3) 장점과 한계
- 장점: 접근성, 비용 없음, 다양성
- 한계: 정보의 정확성/신뢰도 불확실, 노이즈 많음, 실시간성 낮음
OSINT는 다른 정보 출처를 보완하는 역할로 주로 활용되며, 자동화된 전처리 필터링이 중요함.
3.2 클로즈드 피드, 다크웹, 악성코드 분석
공개되지 않은 폐쇄형 데이터 또는 악의적 환경에서 수집한 정보는 보다 정밀하고 실무적인 위협 식별에 적합하다.
1) 클로즈드 CTI 피드
- 보안 솔루션 업체, 전문 CTI 벤더(FireEye, CrowdStrike, Anomali 등)에서 유료 제공.
- IP, 해시, 도메인뿐 아니라 APT 그룹 연계 정보, 캠페인 기반 분석 제공.
- 일부 피드는 TAXII 프로토콜로 자동 연동 가능.
2) 다크웹/딥웹 모니터링
- 공격자 커뮤니티, 해커 포럼, 거래 게시판, 크레덴셜 마켓 등에서 위협 단서 확보.
- 유출된 계정 정보, 공격 도구 판매, 특정 타깃 언급 등 직접적인 위협 발견 가능.
- 대표적 접근 방식: Tor 기반 크롤링, 스팸봇 활용, OSINT 대행 서비스 이용.
3) 악성코드 정적/동적 분석
- 정적 분석: 패킹 여부, 문자열 추출, 해시 분석, 악성 API 탐색
- 동적 분석: Cuckoo Sandbox, AnyRun 등에서의 행위 기반 분석
- C2 주소, 도메인, 드롭퍼 위치 등 기술적 인텔리전스 추출
이들 정보는 위협 행위자 식별, 캠페인 연계 분석, 사전 탐지 룰 생성에 필수적임
3.3 Threat Hunting과의 연계
Threat Hunting은 수동 탐지 체계를 넘어 능동적으로 위협을 탐색하는 활동이며, CTI는 이를 위한 기반 정보로 활용된다.
1) 연계 구조
- CTI → 탐지 가설 생성 → 로그/이벤트 수집 → 분석 → IOC/행위 패턴 업데이트
- 예: APT29의 Cobalt Strike 사용 보고 → 환경 내 Beacon 관련 이상 커넥션 수색
2) 필요한 기술 스택
- SIEM (ex. Splunk, ELK): 대규모 로그 수집 및 인덱싱
- EDR (ex. SentinelOne, CrowdStrike): 엔드포인트 행위 데이터 수집
- YARA, Sigma: 탐지 룰 작성
- Jupyter Notebook, pandas: 데이터 분석 자동화
3) 분석 기법 예시
- 시간적 상관관계 분석: 동일한 TTP가 발생하는 시간대 식별
- 통계 기반 이상 탐지: 정상 동작과의 비교를 통한 이상 흐름 포착
- Kill Chain 매핑: 수집된 이벤트가 공격 단계 중 어디에 해당하는지 분석
Threat Hunting은 단순히 위협을 찾는 것이 아니라, 환경에 맞는 탐지 전략을 설계하고 CTI 피드백을 통한 지속적 개선을 목표로 한다.
4. CTI 통합 및 자동화 기술
4.1 STIX, TAXII, MISP 등 표준 포맷
위협 인텔리전스는 협업과 자동화를 위해 표준화된 표현 방식과 전송 방식을 따라야 한다. STIX와 TAXII는 가장 널리 쓰이는 오픈 표준이다.
1) STIX (Structured Threat Information Expression)
-
MITRE에서 개발한 위협 인텔리전스 표현 표준 포맷.
-
JSON 기반 구조로 구성되며, 객체 단위로 위협 정보를 표현.
-
주요 구성 요소:
Indicator: 악성 도메인, 해시 등 IOCMalware,Threat Actor,Campaign: 공격자 정보Relationship: 객체 간 관계 표현 (ex. APT28 → 사용한 Malware → 사용하는 TTP)
-
버전 2.1부터 구조가 단순화되어 실무에서 많이 활용됨.
2) TAXII (Trusted Automated eXchange of Indicator Information)
- STIX 형식의 정보를 주고받기 위한 API 기반 통신 프로토콜.
- TAXII 서버/클라이언트 구조를 통해 IOC의 자동 수집 및 배포 가능.
- 많은 CTI 플랫폼(MISP 포함) 및 벤더에서 기본 지원.
3) MISP (Malware Information Sharing Platform)
- EU 정부 주도로 개발된 오픈소스 CTI 플랫폼.
- STIX, TAXII 지원하며 웹 기반 UI 제공.
- 실시간 IOC 공유, Feed 구독, TAG 기반 분류 등 제공.
- 기업 간, 국가 간 CTI 협력 시 기반 인프라로 자주 사용됨.
이 세 가지는 위협 인텔리전스의 생성-표현-유통이라는 전체 흐름을 연결해주는 핵심 요소들이다.
4.2 TIP(Threat Intelligence Platform)의 역할
Threat Intelligence Platform(TIP) 은 다양한 위협 인텔리전스를 수집, 정규화, 분석, 배포하는 중앙 허브 역할을 한다. 단순 저장소가 아닌 지능형 처리 및 연동 기능이 핵심이다.
1) 주요 기능
- 인텔리전스 통합: OSINT, 상업 피드, 내부 분석 결과 등 다수 출처 통합
- 정규화 및 중복 제거: 포맷 표준화, 신뢰도 태깅, 우선순위 조정
- 상호 연관 분석: 다양한 IOC 및 엔터티 간 관계 시각화
- 자동 배포: SIEM, EDR, 방화벽, WAF 등으로 자동 푸시
- 수명 주기 관리: IOC의 유효 기간, 평판 점수 관리
2) 상용 TIP 예시
- Anomali, ThreatConnect, IBM X-Force Exchange, Recorded Future
- 대부분 TAXII 서버/클라이언트 역할 수행, API 연동 제공
3) 오픈소스 기반 TIP
- OpenCTI: MITRE ATT&CK 통합, MISP 연동 지원
- YETI: 실시간 피드 연동, 자동 태깅, 시각화 기능
TIP은 단순히 IOC 저장소가 아니라, 분석과 배포 자동화를 통해 보안 운영을 지능화하는 허브라는 점이 핵심이다.
4.3 보안 장비와의 연동(SIEM, EDR 등)
CTI의 효과는 SIEM, EDR, NDR, Firewall, WAF 등 보안 솔루션에 통합 적용될 때 극대화된다. 단순히 정보 수집에 그치지 않고, 탐지/대응을 자동화하는 단계로 확장된다.
1) SIEM과의 연동
- Splunk, QRadar, ELK 등 SIEM은 CTI를 기반으로 로그를 상관 분석.
Threat Intelligence Lookup기능을 통해 IP/도메인 해시 조회- CTI 기반 탐지 룰(예: Sigma 룰)을 통해 자동 경고 생성
- Splunk + MISP 연동을 통해 실시간 IOC 피드 연동 가능
2) EDR과의 연동
- CrowdStrike, SentinelOne, Carbon Black 등은 IOC를 받아 엔드포인트 이상 행위 탐지에 활용.
- YARA 룰 기반 스캔, 해시 기반 격리, 스크립트 차단 등으로 자동 대응 가능
- CTI 플랫폼에서 위협 해시값을 EDR에 자동 푸시하는 구조 구현 가능
3) 기타 장비와의 연동
- Firewall/WAF: 차단 정책 자동 업데이트 (예: 악성 IP 차단)
- SOAR: CTI 기반 Playbook 자동 실행 → 탐지 → 격리 → 보고
- NDR (Network Detection & Response): 비정상 패턴에 CTI 태깅 적용
연동의 핵심은 정제된 CTI를 실시간으로 배포할 수 있는 자동화 파이프라인 구축이다.
5. CTI의 실무 활용 및 인시던트 대응
5.1 기업 내 CTI 적용 흐름
조직 내에서 CTI를 효과적으로 활용하기 위해서는 다음과 같은 흐름을 따른다.
1) 위협 정보 수집
- 내부 소스: 로그 데이터, 보안 장비 알림, 사용자 신고 등의 내부 데이터를 수집한다.
- 외부 소스: 오픈소스 인텔리전스(OSINT), 상업용 인텔리전스 피드, 다크웹 모니터링 등 외부 채널을 활용한다.
2) 정보 정제 및 분석
- 수집된 데이터를 정규화하고, 중복을 제거하며, 신뢰도를 평가한다.
- 분석 도구를 활용하여 위협 패턴을 식별하고, 위협 수준을 평가한다.
3) 인텔리전스 생성
- 분석된 정보를 바탕으로 IOC(Indicators of Compromise)와 TTP(Tactics, Techniques, and Procedures)를 도출한다.
- 위협 모델링을 수행하고, 조직에 맞는 대응 전략을 수립한다.
4) 대응 및 예방 조치
- 도출된 인텔리전스를 기반으로 보안 장비의 탐지/차단 정책을 업데이트하거나, 사용자 교육을 실시한다.
- 인시던트 대응 계획을 수립하고, 필요시 보안 훈련을 진행한다.
5.2 IOC, TTP 기반 탐지 및 대응
CTI의 핵심은 IOC 및 TTP를 활용한 위협 탐지와 대응에 있다.
1) IOC 기반 탐지
- IOC는 알려진 위협의 지표로, 특정 IP 주소, 도메인, 파일 해시 등이 해당된다.
- 보안 장비나 SIEM 시스템에서 이러한 IOC를 활용하여 실시간으로 위협을 탐지할 수 있다.
2) TTP 기반 탐지
- TTP는 공격자의 전술, 기술, 절차를 의미하며, MITRE ATT&CK 프레임워크를 통해 체계화되어 있다.
- TTP 기반 탐지는 행위 기반 분석을 통해 알려지지 않은 위협도 탐지할 수 있다.
3) 대응 전략
- IOC는 빠른 차단에 효과적이며, TTP는 지속적인 방어 전략 수립에 기여한다.
- 예를 들어, 특정 TTP를 사용하는 공격자가 확인되면, 해당 TTP에 대한 방어 조치를 강화할 수 있다.
6. CTI 관련 직무 및 진로 탐색
6.1 CTI Analyst의 역할과 요구 역량
CTI Analyst는 사이버 위협 정보를 수집, 분석, 평가하여 조직의 보안 전략 수립과 인시던트 대응을 지원하는 핵심 역할을 수행한다. 주요 업무는 다음과 같다:
1) 위협 정보 수집 및 분석
- 오픈소스(OSINT), 상업용 인텔리전스 피드, 다크웹 등 다양한 소스에서 위협 정보를 수집한다.
- 수집된 데이터를 분석하여 공격자의 전술, 기술, 절차(TTP)를 파악한다.
2) 인텔리전스 보고서 작성
- 분석 결과를 바탕으로 조직 내 이해관계자에게 전달할 수 있는 형태의 보고서를 작성한다.
- 기술적 세부사항과 함께 전략적 시사점을 포함하여 경영진의 의사결정을 지원한다.
3) 보안 장비 및 정책 연동
- 도출된 IOC(Indicators of Compromise)를 보안 장비(SIEM, EDR 등)에 적용하여 탐지 및 대응 체계를 강화한다.
- 보안 정책 수립에 필요한 인텔리전스를 제공한다.
CTI Analyst에게 요구되는 역량은 다음과 같다:
- 기술적 역량: 네트워크 프로토콜, 악성코드 분석, 로그 분석 등 사이버 보안 전반에 대한 이해가 필요하다.
- 분석 능력: 수집된 데이터를 기반으로 위협을 식별하고 평가하는 능력이 요구된다.
- 커뮤니케이션 능력: 기술적 내용을 비기술적 이해관계자에게 효과적으로 전달할 수 있어야 한다.
- 도구 활용 능력: MISP, YARA, Wireshark 등 다양한 분석 도구를 활용할 수 있어야 한다.
6.2 국내외 관련 기관 및 산업 동향
CTI 분야는 전 세계적으로 빠르게 성장하고 있으며, 국내에서도 다양한 기관과 기업이 관련 활동을 수행하고 있다.
1) 국내 주요 기관 및 기업
- 한국인터넷진흥원(KISA): 사이버 위협 정보 공유 및 분석을 위한 다양한 프로그램을 운영하고 있다.
- 금융보안원(FSI): 금융권을 대상으로 한 CTI 활동을 수행하며, 위협 정보 공유 체계를 구축하고 있다.
- 샌즈랩: 인공지능과 빅데이터를 활용한 CTI 기술을 개발하고 있으며, 위협 예측 및 대응 능력을 강화하고 있다 .
- GTT Korea
2) 글로벌 동향
- Mandiant: CTI Analyst의 핵심 역량 프레임워크를 개발하여 업계 표준을 제시하고 있다 .
- SANS Institute: CTI 분야의 교육과 인증 프로그램을 통해 전문가 양성을 지원하고 있다 .
- Studocu
- SANS Institute
6.3 커리어 로드맵과 기술 스택
1) 학습 단계
- 기초 지식 습득: 네트워크, 운영체제, 보안 개념 등 기본적인 IT 지식을 학습한다.
- 전문 지식 강화: 악성코드 분석, 침해사고 대응, 위협 인텔리전스 등 전문 분야를 심화 학습한다.
2) 실무 경험
- 인턴십 및 프로젝트 참여: 보안 관련 인턴십이나 프로젝트에 참여하여 실무 경험을 쌓는다.
- CTF 대회 참가: 사이버 보안 대회에 참가하여 실전 대응 능력을 향상시킨다.
3) 인증 취득
- CTIA: EC-Council에서 제공하는 위협 인텔리전스 분석가 인증
- GCTI: GIAC에서 제공하는 사이버 위협 인텔리전스 인증
4) 기술 스택
- 프로그래밍 언어: Python, PowerShell 등 스크립트 언어를 활용하여 자동화 및 분석 작업을 수행한다.
- 분석 도구: MISP, YARA, Wireshark, Splunk 등 다양한 도구를 활용하여 위협 정보를 수집하고 분석한다.
- 데이터베이스 및 시각화: SQL, Kibana 등을 활용하여 데이터를 저장하고 시각화한다.
7. 마무리
마지막 부분의 커리어 로드맵 부분을 작성하면서 크게 느꼈지만, 정말 갈길이 멀다... 본문과는 크게 상관이 없어 보여 적지 않았지만 CEH(Certified Ethical Hacker) 같은 탐나는 자격증도 알게 되었고, 어떤 도구를 미리미리 다뤄봐야 하는지에 대해서도 나름 인사이트를 얻을 수 있었다.
열심히 해야지 뭐...
