STIX(Structured Threat Information Expression)

개요

STIX는 Structured Threat Information Expression의 약자로, 사이버 위협 정보를 구조화된 형태로 표현하고 공유하기 위한 국제 표준 언어다. 공격자 프로필, 공격 수단, 피해 정보, 취약점, 캠페인, 전술(TTPs) 등 다양한 위협 요소를 정형화하여 조직 간 협력적 보안 대응을 가능하게 하며, MITRE와 DHS(미국 국토안보부)의 지원 아래 발전해왔다.

---

1. 개념 및 정의

STIX는 JSON 기반의 표현 언어로, 사이버 보안 관련 객체들을 구성하고 연결해 공격자의 의도, 능력, 활동 흐름을 설명할 수 있도록 설계되었다.

• 목적: 위협 정보의 이해, 자동화, 공유를 통해 보안 협력 강화
• 표현 방식: JSON 기반 데이터 모델 (STIX 2.x 버전 기준)
• 연계 표준: TAXII (Threat Automated eXchange of Indicator Information)와 함께 사용되어 자동 공유 가능

---

2. STIX의 주요 구성 요소 (Objects)

객체	설명	예시
Indicator	공격 탐지용 시그니처 또는 패턴 정보	특정 IP, 해시값, 도메인 등
Threat Actor	공격 주체 및 관련 조직	APT28, Lazarus Group 등
Attack Pattern	공격자가 사용하는 방법론	피싱, SQL Injection, 인증 우회 등
Malware	악성코드 정보 및 특성	TrickBot, Emotet 등
Vulnerability	악용 가능한 보안 취약점	CVE-2023-12345
Campaign	장기적인 공격 계획 및 흐름	2024 러시아 선거 간섭 캠페인
Relationship	객체 간 연결 관계 정의	Indicator → Malware ‘uses’ 관계 등

이 객체들은 상호 연결되어 위협 인텔리전스의 맥락을 제공한다.

---

3. STIX의 특징 및 장점

특징	설명
구조화된 표현	위협 정보를 JSON 기반 스키마로 일관되게 표현 가능
상호 운용성	다양한 보안 솔루션과 연계하여 활용 가능 (SIEM, SOAR 등)
공유 자동화	TAXII와 함께 사용 시 위협 정보 자동 유통 가능
맥락 중심 정보	단순 지표(IP 등)뿐 아니라 공격자 전술, 동기 등도 표현 가능
커뮤니티 기반	STIX Working Group, OASIS 등 글로벌 보안 커뮤니티 주도 개발

STIX는 인간과 기계가 모두 이해 가능한 위협 표현을 지향한다.

---

4. 활용 사례

분야	적용 방식	효과
위협 인텔리전스 플랫폼	STIX 포맷으로 위협 데이터를 수집/분석	전 세계 위협 지표 통합 분석 가능
보안 운영 센터(SOC)	SIEM, SOAR 시스템과 연계한 자동 대응	탐지 → 차단 → 대응 흐름 자동화
CERT/CSIRT	기관 간 위협 정보 공유 및 협업	공동 대응 체계 강화
보안 분석 리포트 작성	위협 요소를 STIX 기반으로 문서화	이해도 및 공유 효율 향상

STIX는 공공과 민간 보안 조직 모두에서 활용되고 있다.

---

5. STIX & TAXII 연계

• STIX: 위협 정보를 표현하는 콘텐츠 형식
• TAXII: STIX 데이터를 전송하고 수신하는 통신 프로토콜

이 둘은 함께 사용되어 위협 정보의 자동 수집–전송–활용 파이프라인을 구성한다.

---

6. 도입 시 고려사항

• STIX 2.x 버전 호환 여부 확인 (STIX 1과 호환성 차이 있음)
• 커스텀 객체(CO) 설계: 조직 특화 위협 요소 표현 필요 시 확장 가능
• 자동화 연동: SIEM, EDR, TIP 등 연계 전략 필요
• 정책 연계: 개인정보 포함 시 처리 기준 정비 필요

STIX는 기술 도입과 함께 정보 보호 정책 정비가 병행되어야 한다.

---

7. 결론

STIX는 복잡하고 방대한 사이버 위협 정보를 표준화·자동화·구조화하여 조직 간 실질적인 협업과 대응을 가능하게 하는 핵심 기술이다. 사이버 보안이 ‘공동 방어’의 시대로 접어든 지금, STIX는 단순한 포맷 이상의 글로벌 보안 협력 인프라로 작동하고 있다.