TAXII(Trusted Automated eXchange of Indicator Information)

개요

TAXII는 Trusted Automated eXchange of Indicator Information의 약자로, 사이버 위협 인텔리전스(CTI)를 **표준화된 형식(STIX)**으로 안전하게 교환하기 위한 통신 프로토콜이다. 정부 기관, 보안 기업, CERT 등 다양한 조직 간에 위협 정보를 구조화된 방식으로 주고받을 수 있도록 하여, **공동 방어(Collaborative Defense)**를 실현하는 핵심 인프라로 자리잡고 있다.

---

1. 개념 및 정의

TAXII는 STIX 형식의 위협 정보를 자동화된 방식으로 송수신할 수 있게 해주는 표준 API 체계다.

• 목적: 위협 정보 공유의 표준화, 자동화, 보안성 확보
• 표현 언어: JSON (STIX 데이터와 함께 사용)
• 표준화 주체: OASIS(Open Automated Sharing for Information Security) 컨소시엄

TAXII는 STIX와 함께 CTI의 표준화된 생산–유통–활용 흐름을 구성한다.

---

2. TAXII 구조 및 구성 요소

구성 요소	설명	기능
Collection	공유할 위협 정보의 논리적 저장소	STIX 객체 집합을 정의하는 단위
API Root	TAXII 서버의 진입점	서버 구조 및 Collection 정보 제공
Channel	구독 기반 정보 유통 경로 (TAXII 1.x)	생산자-소비자 간 메시지 큐 구조 (1.x에서 사용)
Inbox/Outbox	송신/수신 역할 구분 (1.x)	위협 정보를 주고받는 송수신 역할
Status Resource	전송 결과 상태 확인	응답 지연/에러 상황 대응
인증 및 암호화	HTTPS, API 키, JWT 등	기밀성 및 무결성 보장

TAXII 2.x부터는 REST API 방식으로 단순화되고 유연성이 강화되었다.

---

3. TAXII vs STIX

구분	STIX	TAXII
역할	위협 정보 표현 언어	위협 정보 전달 프로토콜
형식	JSON 기반 객체 모델	RESTful API + 인증 구조
사용 목적	위협 요소 정의 및 구조화	CTI 공유/송수신 자동화
예시	Indicator, Malware, TTP 등	TAXII 서버에서 Indicator 목록 요청/응답

두 기술은 표현 vs 전달, 즉 콘텐츠와 운반수단의 관계다.

---

4. 주요 활용 사례

조직	적용 방식	특징
MITRE	ATT&CK 데이터 일부 TAXII로 제공	전술/기술 위협 정보 구독 가능
국가정보보안센터(NCSC)	CERT 간 위협 정보 공유	다양한 기관과 실시간 위협 연계
ISAC(산업별 정보공유센터)	민간–공공 CTI 허브	에너지, 금융, 제조 등 산업별 TAXII 채널 운영
기업 보안 운영(SOC)	SIEM, SOAR 연동	위협 탐지 자동화 및 대응 시간 단축

TAXII는 글로벌 CTI 생태계를 연결하는 핵심 API로 확산 중이다.

---

5. 도입 시 고려사항

• 버전 호환성: TAXII 1.x ↔ 2.x는 상호 호환되지 않음 → 2.x 채택 권장
• 서버 구성 전략: 자체 TAXII 서버 구축 vs 상용 TIP 연동 결정 필요
• API 인증 정책: OAuth2, Basic Auth 등 정책 명확화
• 공유 정책 정의: 누구와 무엇을 어떤 조건으로 공유할지 명문화
• 보안 검토: HTTPS, 액세스 로그, 감사 체계 구축 필수

TAXII는 기술 표준이지만, 정책과 신뢰 모델 없이 효과를 발휘하기 어렵다.

---

6. 결론

TAXII는 사이버 위협 인텔리전스 공유의 신뢰성과 효율성을 극대화하는 보안 통신 표준이다. 다양한 보안 조직과 기업 간 실시간 정보 공유를 가능케 하며, 글로벌 위협 대응의 핵심 인프라로서 중요성이 계속 커지고 있다. 앞으로의 보안은 단독 방어가 아닌 네트워크 기반 방어, TAXII는 그 연결의 중심에 있다.