위협 인텔리전스(Threat Intelligence)는 사이버 위협 행위자, 공격 기법, 취약점에 관한 증거 기반 지식을 수집·분석·공유해 선제적 보안 대응을 가능하게 하는 프로세스다.
인텔리전스 유형
| 유형 | 설명 | 소비자 |
|---|
| 전략적 (Strategic) | 위협 트렌드, 지정학적 위험 | CISO, 경영진 |
| 전술적 (Tactical) | TTP (전술·기술·절차), MITRE ATT&CK | 보안 아키텍트 |
| 운영적 (Operational) | 특정 캠페인 세부 정보 | SOC 분석가 |
| 기술적 (Technical) | IOC (침해지표): IP, 해시, 도메인 | SIEM, Firewall |
IOC (침해지표) 유형
네트워크 기반 IOC:
- IP 주소: 알려진 C2 서버, 스캐너
- 도메인: 악성 도메인, DGA 도메인
- URL: 악성 URL, 피싱 페이지
- 인증서 해시: 악성 TLS 인증서
파일 기반 IOC:
- 파일 해시: MD5, SHA1, SHA256
- 파일 이름/경로: 악성코드 드롭 위치
- 레지스트리 키: 지속성 유지 키
행동 기반 IOC (TTP):
- MITRE ATT&CK 기법 번호 (T1059.001 등)
- 네트워크 패턴, 프로세스 트리
STIX/TAXII (인텔리전스 공유 표준)
json
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--8e2e2d2b-17d4-4cbf-938f-98ee46b3cd3f",
"created": "2024-01-15T00:00:00.000Z",
"name": "Malicious URL",
"pattern": "[url:value = 'http://malicious.example.com/payload']",
"pattern_type": "stix",
"valid_from": "2024-01-15T00:00:00Z",
"indicator_types": ["malicious-activity"],
"kill_chain_phases": [
{
"kill_chain_name": "mitre-attack",
"phase_name": "delivery"
}
]
}
MITRE ATT&CK 활용
ATT&CK 매트릭스 구조:
Tactics (14개) → Techniques → Sub-techniques
예: 랜섬웨어 공격 체인 매핑
T1566.001 (피싱: 첨부파일)
→ T1059.001 (PowerShell 실행)
→ T1055 (프로세스 인젝션)
→ T1083 (파일 시스템 탐색)
→ T1486 (데이터 암호화)
→ T1490 (복구 방해)
활용:
- 탐지 규칙 작성 (ATT&CK ID 기반)
- 레드팀 시뮬레이션 (MITRE Caldera)
- 보안 격차 분석
관련 문서
