사이버 위협 인텔리전스(CTI, Cyber Threat Intelligence)

개요

사이버 위협 인텔리전스(CTI)는 사이버 공격에 대한 사전 탐지와 대응을 위해 적의 전술, 기법, 절차(TTPs), 관련 인디케이터(Indicator), 공격자 그룹 정보 등을 수집·분석·공유하는 보안 정보 체계이다. 정적 대응에서 지능형 선제적 방어 체계로의 전환을 가능하게 하며, 보안 운영 센터(SOC), 침해사고 대응팀(CERT/CSIRT), 위협 헌팅 등에서 핵심적인 역할을 수행한다.

---

1. 개념 및 정의

CTI는 단순한 위협 데이터가 아니라, **분석과 컨텍스트가 결합된 정보(Intelligence)**로, 조직의 보안 전략 수립과 정책 결정에 활용된다.

• 목적: 공격자 행동 예측, 보안 정책 최적화, 탐지율 향상
• 구성 요소: 데이터 수집 → 분석 → 평가 → 배포 → 활용
• 유형 분류:
  • 전술적(Tactical): IOC, 공격 징후
  • 기술적(Technical): 해시, IP, 도메인
  • 운영적(Operational): 공격 시나리오, TTPs
  • 전략적(Strategic): 공격 동기, 국지적·지정학적 위협 분석

---

2. 핵심 구성 요소

구성 요소	설명	예시
Indicators (IoC)	침해 지표	악성 IP, 도메인, 파일 해시 등
TTPs	공격자의 행동 패턴	MITRE ATT&CK에서 정의된 전술/기법
Attribution	공격자 식별 정보	APT28, Lazarus Group 등 위협 그룹 식별
Campaign	연속된 공격 흐름	2023 정부기관 대상 피싱 캠페인
Malware Analysis	악성코드 특성 분석	Emotet 분석, C2 통신 구조 등

CTI는 단편 정보보다 연결과 해석이 핵심이다.

---

3. 주요 활용 시나리오

영역	활용 방식	기대 효과
SOC	탐지 규칙 최적화 및 경보 대응	탐지율 향상, 오탐/미탐 최소화
위협 헌팅	TTP 기반의 능동적 위협 탐색	숨은 공격자 조기 탐지
침해 대응	IOC 기반 네트워크/호스트 차단	대응 시간 단축
보안 전략	특정 위협 그룹의 공격 트렌드 분석	리스크 기반 정책 설계
보안 공유 협력	정보 공유(ISAC, STIX/TAXII)	공동 방어 강화

CTI는 보안 운영에 지능과 방향성을 부여하는 엔진이다.

---

4. 주요 프레임워크 및 도구

도구/프레임워크	설명	특징
MITRE ATT&CK	공격자의 TTPs를 프레임워크화	전술별 위협 분석 표준화 도구
MISP	오픈소스 위협 인텔리전스 플랫폼	STIX/TAXII 연계, 커뮤니티 활용 활발
ThreatConnect	상용 CTI 플랫폼	전략–전술–운영 정보 통합 제공
Anomali	CTI 플랫폼 및 탐지 연계 지원	SIEM, SOAR 등 보안 자동화 연계
VirusTotal	샌드박스 기반 위협 샘플 분석	파일, URL 기반 위협 인사이트 확보

CTI 플랫폼은 데이터 수집–연계–시각화–공유를 전방위적으로 지원한다.

---

5. 도입 시 고려사항

• 위협 정보의 품질: 정확성, 최신성, 맥락 포함 여부 확인
• 자동화 연동성: SIEM, EDR, SOAR와 연계할 수 있는 구조 필요
• 분석가의 역량 확보: 단순 수신이 아닌 분석/판단 기반의 대응 체계 필요
• 정보 공유 모델 정의: 외부 조직과의 정보교류 정책 명문화 필요

CTI는 도구보다 조직의 정보 활용 문화가 핵심이다.

---

6. 결론

사이버 위협 인텔리전스는 단순한 데이터의 나열이 아닌, 지능형 방어를 위한 전략적 통찰이다. 적을 아는 것이 가장 강한 방어라는 점에서, CTI는 선제적 사이버 보안 전략의 출발점이며, 점점 더 많은 기업과 기관이 이를 핵심 역량으로 구축하고 있다. 미래의 보안은 기술이 아닌 정보 해석력에서 승부가 갈릴 것이다.