도입 배경

오늘날의 디지털 환경에서 사이버 위협은 개별 조직의 경계를 넘어 전 세계적으로 연결된 생태계 전반에 영향을 미친다. 공격자들은 포럼, 다크웹 마켓, 비공개 채널을 통해 협력하고 전술을 공유하며 도구를 거래한다. 이러한 협력적인 위협에 맞서기 위해 방어자들 역시 정보를 공유해야 한다는 것은 자명한 사실이다. 그러나 오랫동안 사이버 위협 인텔리전스(CTI) 공유는 비효율성과 혼돈의 장벽에 부딪혀 왔다. STIX와 TAXII는 바로 이 문제를 해결하기 위해 탄생한 표준이다.

구시대의 방식

STIX와 TAXII가 등장하기 전, CTI 공유는 주로 수동적이고 비정형적인 방식에 의존했다. 보안 분석가들은 이메일을 통해 PDF 보고서를 주고받거나, 악성 IP 주소 목록이 담긴 스프레드시트를 공유하고, 긴급한 경우 전화로 구두 정보를 전달했다. 이러한 방식은 선의에 기반했지만, 다음과 같은 근본적인 결함을 내포하고 있었다.

• 기계 판독 불가능(Not Machine-Readable): 분석가는 50페이지짜리 PDF 보고서를 직접 읽고, 그 안에서 악성 파일 해시나 IP 주소를 찾아내어 방화벽이나 침입 탐지 시스템(IDS)에 수동으로 복사하여 붙여넣어야 했다. 이 과정은 시간이 많이 걸리고, 지루하며, 결정적으로 사람의 실수에 매우 취약했다.
• 맥락의 부재(Lack of Context): 악성 IP 주소 목록은 그 자체만으로는 "왜" 이 주소들이 위험한지에 대한 정보를 제공하지 못한다. 이것이 특정 피싱 캠페인에 사용된 것인지, 랜섬웨어의 명령 제어(C2) 서버인지, 아니면 단순한 스캐닝 활동의 일부인지 알 수 없었다. 이러한 맥락의 부재는 방어적인 대응의 깊이와 효과를 심각하게 제한했다.
• 일관성 없는 형식(Inconsistent Formats): 모든 조직, 정부 기관, 보안 벤더는 각기 다른 용어와 형식으로 위협을 설명했다. 이는 마치 성경에 나오는 '바벨탑'처럼, 모두가 다른 언어를 사용하여 소통이 불가능한 상황과 같았다. 이로 인해 여러 소스에서 얻은 정보를 통합하고 연관 관계를 분석하는 것은 거의 불가능에 가까웠다. 이러한 상황은 공통되고 구조화된 정보 표현의 필요성을 절실하게 만들었다.

해결책의 등장

보편적 언어와 글로벌 우편 서비스이러한 혼란을 해결하기 위해 미국 국토안보부(DHS)의 주도로 시작되어 현재는 비영리 표준화 기구인 OASIS에서 관리하는 두 가지 핵심 표준이 개발되었다. 이 보고서 전반에 걸쳐 사용될 핵심 비유는 다음과 같다.

• STIX (Structured Threat Information eXpression): 위협을 설명하기 위한 보편적 언어이다. 이는 위협 정보를 표현하기 위한 문법, 어휘, 문장 구조(즉, "무엇을" 공유할 것인가)를 제공하여 모든 사람이 동일하고 명확한 방식으로 위협을 설명할 수 있게 한다.
• TAXII (Trusted Automated eXchange of Intelligence Information): STIX로 작성된 메시지를 전달하기 위한 안전하고 자동화된 글로벌 우편 서비스이다. 이는 정보를 주고받는 방법(즉, "어떻게" 공유할 것인가)에 대한 프로토콜을 정의한다.

이 두 표준의 결합은 CTI 공유를 수동적이고 느린 프로세스에서 자동화된 기계 대 기계(machine-to-machine) 교환으로 전환시켰다. 이를 통해 방어 시스템이 공격의 속도에 맞춰 기계의 속도로 운영될 수 있는 기반이 마련되었다.

언어와 전송 수단의 의도적인 분리

STIX와 TAXII의 설계에서 가장 중요한 특징 중 하나는 이 두 표준이 의도적으로 분리되어 있다는 점이다. STIX는 특정 전송 메커니즘에 의존하지 않으며, TAXII는 STIX가 아닌 다른 형식의 정보도 전송할 수 있다. 이러한 설계는 단일 표준으로 묶었을 때 발생할 수 있는 경직성을 피하고 엄청난 유연성을 제공하기 위한 전략적 선택이었다.

이 분리 설계가 중요한 이유는 다음과 같다.

1. 표준화된 '언어'로서의 STIX는 위협 정보를 구조화해야 하는 모든 상황에서 그 가치를 발휘한다.
   STIX 데이터는 파일로 저장될 수도 있고, 다른 API를 통해 전송될 수도 있으며, 심지어 사람이 읽기 위해 인쇄될 수도 있다. 그 본질적인 가치는 전달 방식이 아닌 구조 자체에 있다
2. 표준화된 '프로토콜'로서의 TAXII는 STIX에 최적화되어 있지만, 미래에 등장할 수 있는 다른 구조화된 데이터를 전송하는 데에도 사용될 수 있는 유연성을 가진다.
   이러한 분리는 두 표준 모두를 미래에도 유효하게 만든다. 만약 미래에 TAXII보다 더 효율적인 전송 프로토콜이 등장하더라도, STIX 언어 자체는 여전히 유효하며 새로운 프로토콜과 함께 사용될 수 있다. 반대로, 새로운 위협 모델링 언어가 등장하더라도 기존의 TAXII 인프라를 통해 전송할 수 있다.

결론적으로, STIX와 TAXII의 분리는 전체 프레임워크의 유연성, 상호 운용성, 그리고 장기적인 생존 가능성을 보장하는 핵심적인 설계 원칙이다. 이는 조직들이 완전한 자동화 전송 프로토콜(TAXII)을 구현할 준비가 되지 않았더라도, 우선 구조화된 언어(STIX)부터 도입할 수 있는 점진적인 채택 경로를 제공한다.

STIX 프레임워크 분석

STIX 2.x 데이터 모델은 사이버 위협에 대한 정보를 체계적으로 표현하기 위한 정교한 구조를 제공한다. 이 복잡한 개념을 쉽게 이해하기 위해, STIX를 범죄 수사팀이 작성하는 '사건 파일'에 비유할 수 있다. 이 비유를 통해 추상적인 STIX 객체들을 구체적이고 이해하기 쉬운 개념으로 전환해 본다.

STIX 사건 파일

과거의 위협 정보 공유 방식은 단순히 용의자(악성 IP 주소, 파일 해시 등) 목록을 나열하는 것과 같았다. 여기에는 용의자들이 누구인지, 어떤 동기를 가졌는지, 어떤 도구를 사용했는지에 대한 정보가 전혀 없었다. 반면, STIX 기반의 보고서는 용의자, 동기, 도구, 장소, 그리고 행동을 하나의 일관된 이야기로 엮어내는 완전한 '사건 파일'과 같다.

STIX 사건 파일은 크게 세 가지 유형의 구성 요소로 이루어져 있으며, 이는 사건 파일의 각 섹션에 해당한다.

• STIX 도메인 객체 (SDOs): 사건의 "누가, 무엇을, 왜, 어떻게"를 설명한다. 이는 범죄자, 그들의 동기, 그리고 범죄 계획과 같은 상위 수준의 개념을 나타낸다.
• STIX 사이버 관측 객체 (SCOs): "법의학적 증거"에 해당한다. 이는 범죄 현장에서 발견된 지문, 탄피, CCTV 영상과 같이 구체적이고 기술적인 사실들을 나타낸다.
• STIX 관계 객체 (SROs): "사건 보드 위의 붉은 실"과 같은 역할을 한다. 이는 증거와 용의자, 그리고 그들의 계획을 연결하여 완전한 서사를 구축하는 연결 고리이다.

핵심 개념 (SDOs)

사건 파일의 핵심 내용을 구성하는 주요 SDO들을 비유와 함께 살펴본다.

• Threat Actor (위협 행위자): 범죄를 계획하고 실행하는 주체, 즉 범죄 조직이나 개인을 의미한다. (예: "Lazarus Group", "APT28").
• Campaign (캠페인): 특정 목표를 가진 일련의 조직적인 범죄 활동이나 작전을 의미한다. (예: "Operation Stuxnet", "2016년 DNC 해킹").
• Malware (악성코드): 범죄 조직이 사용하는 특수한 도구나 무기를 나타낸다. (예: "WannaCry 랜섬웨어", "Zeus 뱅킹 트로이목마").
• Attack Pattern (공격 패턴): 범죄 조직의 특징적인 수법이나 전술, 기술, 절차(TTPs)를 의미한다. 이는 종종 MITRE ATT&CK 프레임워크와 같은 표준화된 지식 베이스에 매핑된다. (예: "악성 첨부파일을 포함한 스피어 피싱 이메일 발송").
• Indicator (지표): 범죄 활동이 진행 중이거나 발생했음을 시사하는 단서나 패턴이다. (예: "시스템에 해시값 X를 가진 파일이 존재하며, 이는 WannaCry 악성코드의 존재를 나타낸다.").
• Course of Action (대응 방안): 위협에 대응하기 위한 권고 사항이나 조치 방법을 의미한다. (예: "IP 주소 Y로의 모든 트래픽 차단", "감염된 시스템 네트워크 격리").
• Vulnerability (취약점): 범죄자들이 악용한 시스템의 보안 결함이다. (예: "은행 금고의 잠기지 않은 뒷문", "CVE-2017-0199 원격 코드 실행 취약점").

증거 보관실 (SCOs)

SCO는 네트워크나 호스트에서 관찰된 객관적인 사실, 즉 디지털 포렌식 증거를 나타낸다. 이는 해석이 개입되지 않은 순수한 데이터이다. 예를 들어, File (악성 실행 파일), IPv4-Addr (C2 서버의 IP 주소), Domain-Name (악성 도메인), Email-Addr (피싱 이메일 발신 주소), Registry-Key (악성코드가 생성한 레지스트리 키) 등이 있다.

관계성 (SROs)

SRO는 분리된 정보 조각들을 연결하여 의미 있는 맥락을 부여한다.

• Relationship (관계): 두 객체를 연결하는 일반적인 연결자이다. 'uses' [Malware] (위협 행위자가 악성코드를 사용한다) 또는 [Malware] 'communicates-with' [IPv4-Addr] (악성코드가 특정 IP 주소와 통신한다)와 같이 동사를 사용하여 관계를 명확히 표현한다.
• Sighting (목격): 특정 위협 요소가 실제로 관찰되었음을 알리는 '목격자 보고서'와 같다. [Organization X] 'sighted' [Indicator Y] on their network at [Timestamp] (X 기관이 Y 지표를 특정 시간에 자신들의 네트워크에서 목격했다)와 같은 형식으로 표현된다. 이는 커뮤니티 내에서 위협 정보의 신뢰도를 검증하는 데 매우 중요한 역할을 한다.

STIX 실습

맨디언트(Mandiant)의 APT1 보고서에 기반한 시나리오를 STIX로 어떻게 표현하는지 살펴본다.

배경:

"위협 행위자 그룹 APT1은 장기간에 걸쳐 스파이 활동 캠페인을 수행했다. 그들은 피싱 이메일을 통해 'POISON IVY'라는 특정 악성코드 변종을 유포했다. 이 악성코드는 IP 주소 1.2.3.4의 명령 제어(C2) 서버와 통신한다. 이 활동에 대한 지표는 해시값 'abc...def'를 가진 파일의 존재이다."

STIX 표현 (단순화):

1. "APT1"에 대한 Threat-Actor 객체를 생성한다.
2. 그들의 스파이 활동 작전에 대한 Campaign 객체를 생성한다.
3. "POISON IVY"에 대한 Malware 객체를 생성한다.
4. [file:hashes.MD5 = 'abc...def']와 같은 STIX 패턴을 가진 Indicator 객체를 생성한다.
5. "1.2.3.4"에 대한 IPv4-Addr (SCO) 객체를 생성한다.
6. Relationship 객체를 사용하여 이들을 연결한다:
   • [Threat-Actor: APT1] -> attributed-to -> [Campaign]
   • [Campaign] -> uses -> [Malware: POISON IVY]
   • [Indicator] -> indicates -> [Malware: POISON IVY]
   • [Malware: POISON IVY] -> communicates-with -> [IPv4-Addr: 1.2.3.4]

이 예시는 STIX가 어떻게 평범한 텍스트 단락을 기계가 읽고 분석할 수 있는 구조화된 인텔리전스 객체들의 그래프로 변환하는지를 명확하게 보여준다.

전략적 방어를 위한 촉매제로서의 STIX

초기의 위협 정보 공유는 IP 주소나 파일 해시와 같은 개별적인 침해 지표(IOCs)에 집중되었다. 이러한 접근 방식은 순전히 전술적이고 반응적인 방어에 머물렀다. 공격자는 IP 주소를 쉽게 바꾸거나 악성코드를 약간 수정하여 해시값을 변경함으로써 이러한 지표를 무력화할 수 있었고, 이는 방어자에게 끝없는 "두더지 잡기" 게임을 강요했다.

STIX는 Campaign, Threat Actor, Attack Pattern (TTPs)과 같은 고수준의 개념을 도입하고 이들을 서로 연결함으로써 근본적인 변화를 가져왔다. 방어자는 이제 단순히 일회성 IP 주소를 차단하는 대신, 이 IP가 특정 Threat Actor가 수행하는 더 큰 Campaign의 일부이며, 그들이 지속적으로 사용하는 특정 Attack Pattern(예: 매크로가 포함된 워드 문서를 이용한 스피어 피싱)과 관련이 있음을 파악할 수 있다.

이러한 맥락적 서사는 전략적 방어를 가능하게 한다. 조직은 일시적인 지표 대신 공격자의 행동 방식 자체를 방어하는 데 집중할 수 있다. 예를 들어, 매크로 보안 정책을 강화하거나 특정 유형의 피싱 공격에 대해 사용자를 교육하는 것은 공격자가 IP 주소를 바꾸는 것보다 훨씬 극복하기 어려운 방어벽을 만든다. 이처럼 STIX는 단순히 IOC를 공유하는 형식을 넘어, 사이버 보안 방어 패러다임을 반응적, 전술적 접근에서 예측적, 전략적 접근으로 전환시키는 강력한 프레임워크이다.

STIX 도메인 객체 (SDO)	목적	간단한 비유/예시
Threat Actor	악의적인 의도를 가진 개인, 그룹, 조직을 식별	범죄 조직 (예: Lazarus Group)
Campaign	특정 목표를 가진 일련의 악의적인 활동을 그룹화	특정 은행을 노린 연쇄 강도 사건
Malware	악성 코드를 나타내고 그 특성을 설명	범죄에 사용된 특수 제작된 도구 (예: WannaCry)
Indicator	악의적인 활동을 탐지하는 데 사용되는 패턴이나 단서	범죄 현장에 남겨진 특정 종류의 발자국
Attack Pattern	공격자가 목표를 침해하기 위해 사용하는 기술(TTPs)	범죄 조직의 특징적인 침입 수법 (예: 스피어 피싱)
Course of Action	위협에 대응하기 위한 권고 조치	경찰의 대응 작전 계획 (예: 특정 도로 봉쇄)
Intrusion Set	공통된 속성을 가진 공격 활동 및 리소스의 집합체	특정 범죄 조직의 모든 사건 파일 및 증거물 모음
Vulnerability	공격자가 악용할 수 있는 소프트웨어나 시스템의 결함	건물의 보안 시스템에 있는 설계상의 허점
Identity	실제 개인, 조직, 시스템 또는 그룹을 나타냄	범죄 조직의 알려진 신원 또는 소속
Tool	공격자가 사용할 수 있는 합법적인 소프트웨어나 도구	범죄에 사용된 일반 망치나 드라이버

TAXII 프로토콜의 이해

STIX가 위협 정보를 표현하는 '언어'라면, TAXII는 그 정보를 교환하는 '고속도로'이다. TAXII 프로토콜의 아키텍처와 클라이언트가 서버와 상호 작용하여 STIX 데이터를 교환하는 방식을 이해하기 위해, 현대적인 자동화 도서관 시스템에 비유해 본다.

TAXII 도서관: 인텔리전스의 중앙 허브

TAXII 서버는 사이버 위협 인텔리전스를 위한 전문 도서관과 같다. 이 도서관은 책 대신 STIX 객체들의 모음을 보관하고 있다. TAXII 클라이언트는 이 도서관의 자원에 접근할 수 있는 회원증을 가진 도서관 회원에 비유할 수 있다. TAXII는 독점적이거나 복잡한 시스템이 아니라, HTTPS 및 RESTful API와 같은 표준 웹 기술을 기반으로 구축되어 현대적인 보안 도구와 쉽게 통합될 수 있다는 장점이 있다.

도서관 탐색: 주요 TAXII 개념

도서관 비유를 사용하여 TAXII 서버의 아키텍처를 자세히 살펴본다.

• TAXII 서버 (Server): 도서관 건물 전체를 의미한다.
• API 루트 (API Root): 도서관의 특정 동(wing)이나 층에 해당하며, 종종 특정 신뢰 그룹이나 주제에 할당된다. 예를 들어, "금융 서비스 ISAC 전용관"과 같이 구분될 수 있다. 하나의 서버는 여러 개의 API 루트를 가질 수 있다.
• 컬렉션 (Collection): 특정 동 안에 있는 책장이나 섹션으로, 논리적으로 그룹화된 인텔리전스를 담고 있다. 예를 들어, "피싱 지표 모음", "랜섬웨어 보고서 모음"과 같은 컬렉션이 있을 수 있다. 이는 클라이언트가 정보를 요청하고 서버가 응답하는(pull) 모델의 핵심 메커니즘이다.
• 채널 (Channel): 초기 개념에서는 정보가 구독자에게 푸시되는 "신간 알림 게시판"과 같은 역할을 하도록 구상되었다. 그러나 중요한 점은 TAXII 2.1 명세에서는 이 개념을 위한 키워드를 예약하고 있지만, 공식적으로 서비스를 정의하지 않았다는 것이다. 따라서 현재 운영 환경에서는 Collection이 주요 서비스로 사용된다. 이 점을 명확히 함으로써 사용자의 혼란을 방지할 수 있다.

책 대출하기: TAXII 클라이언트 폴링 워크플로우

TAXII 클라이언트가 서버로부터 데이터를 검색하는 과정, 즉 '풀(pull)' 또는 '폴링(polling)' 모델은 다음과 같은 명확한 단계로 이루어진다.

1. 탐색 (Discovery): 클라이언트는 먼저 서버에 "어떤 서비스를 제공하나요?"라고 묻는다. 클라이언트는 알려진 Discovery URL(예: https://otx.alienvault.com/taxii/discovery 25)에 접속한다. 서버는 사용 가능한 API 루트 목록으로 응답한다.

   • 비유: 클라이언트가 도서관에 들어가 중앙 안내도를 보고 어떤 관들이 운영 중인지 확인한다.

2. 인증 (Authentication): 클라이언트는 자신의 도서관 회원증(예: API 키, 사용자 이름/비밀번호, 클라이언트 인증서)을 제시하여 리소스에 접근할 권한이 있음을 증명한다.

3. 컬렉션 목록 가져오기 (Get Collections): 특정 API 루트를 선택한 클라이언트는 "이 관에는 어떤 컬렉션들이 있나요?"라고 묻는다. 서버는 해당 클라이언트가 접근 권한을 가진 Collection 목록을 반환한다.

   • 비유: 클라이언트가 금융 서비스 전용관으로 이동하여 책장들의 이름표를 확인한다.

4. 컬렉션 폴링 (Poll Collection): 클라이언트는 "지난번 방문 이후 '피싱 지표' 컬렉션에 추가된 모든 새로운 인텔리전스 객체를 주세요"와 같이 구체적인 요청을 보낸다. 이때 날짜, STIX 객체 유형 등으로 필터링할 수 있다. 서버는 요청에 맞는 STIX 객체들의 묶음(bundle)으로 응답한다.

   • 비유: 클라이언트가 피싱 관련 책장으로 가서 지난 화요일 이후 출판된 모든 신간을 대출한다.

공유 모델: 도서관 간의 상호작용

TAXII는 다양한 정보 공유 시나리오를 지원하기 위해 세 가지 주요 공유 모델을 지원한다.

• 허브 앤 스포크 (Hub and Spoke): 중앙 도서관(예: ISAC)이 다수의 회원에게 인텔리전스를 배포하는 모델이다.
• 소스/구독자 (Source/Subscriber): 단일 정보 제공자(예: 상용 위협 피드)가 고객에게 인텔리전스를 전송하는 모델이다.
• 피어 투 피어 (Peer-to-Peer): 신뢰 관계에 있는 여러 조직이 서로 직접 인텔리전스를 공유하는 모델이다.

'신뢰 기반 자동화'의 구현체로서의 TAXII

IP 주소를 차단하는 것과 같은 보안 조치를 자동화하는 것은 본질적인 위험을 수반한다. 만약 수신한 인텔리전스가 부정확하다면, 정상적인 비즈니스 파트너의 IP나 중요한 클라우드 서비스를 차단하여 심각한 서비스 장애를 유발할 수 있다. 따라서 자동화는 인텔리전스 소스에 대한 높은 수준의 신뢰가 보장될 때에만 가능하다.

TAXII는 바로 이 신뢰를 구축하고 강제하도록 설계되었다. HTTPS 프로토콜을 사용하여 전송 중 데이터의 위변조를 방지하고, 강력한 인증 메커니즘을 통해 허가된 클라이언트만 데이터에 접근하도록 보장한다. 또한, API 루트와 컬렉션 구조를 통해 서버 관리자는 매우 세분화된 접근 제어를 설정할 수 있다. 예를 들어, 완전 자동화 조치를 위한 "신뢰도 높은 검증된 지표" 컬렉션과 분석가의 검토가 필요한 "검증되지 않은 원시 지표" 컬렉션을 분리하여 운영할 수 있다.

이러한 설계는 TAXII가 단순한 전송 프로토콜을 넘어 신뢰 기반 자동화(Trust-Based Automation) 프레임워크임을 보여준다. TAXII가 제공하는 보안 및 접근 제어 기능들은 조직이 수동 검토에서 자동화된 대응으로 나아갈 수 있는 확신을 제공하며, 이는 현대 CTI 프로그램의 궁극적인 목표이다. 이러한 신뢰 보장 기능이 없다면, TAXII는 단순히 조금 더 나은 FTP 서버에 불과했을 것이다.

STIX와 TAXII의 운영

지금까지 STIX와 TAXII의 기술적 표준을 살펴보았다면, 이제 이들이 실제 보안 운영 환경에서 어떻게 활용되고 어떤 가치를 창출하는지 구체적인 사례를 통해 알아본다.

현대 보안 운영 센터(SOC)의 활용 사례

STIX/TAXII가 현대 SOC의 워크플로우에 어떻게 통합되는지 단계별로 살펴본다.

1. 수집 (Ingestion): SOC의 위협 인텔리전스 플랫폼(TIP) 또는 SIEM 시스템이 TAXII 클라이언트로 구성된다. 이 시스템은 신뢰할 수 있는 정보 소스(예: 소속 산업의 ISAC 또는 CISA의 AIS와 같은 정부 피드)의 TAXII 서버를 15분마다 폴링하도록 예약된다.
2. 파싱 및 정규화 (Parsing & Normalization): TIP는 STIX 형식의 인텔리전스를 자동으로 수집한다. STIX는 표준화된 형식이므로, 별도의 복잡한 파서(parser)를 개발할 필요가 없다. TIP는 수신된 객체가 특정 Malware 객체와 관련된 Indicator라는 것을 즉시 이해하고 데이터베이스에 저장한다.
3. 강화 및 연관 분석 (Enrichment & Correlation): 새로 수집된 인텔리전스는 조직 내부의 로그 데이터와 자동으로 연관 분석된다. 예를 들어, TIP는 외부 피드에서 수신한 악성 IP 주소(Indicator)가 내부의 특정 자산과 통신한 기록이 있는지 즉시 확인할 수 있다.
4. 자동화된 대응 (Automated Action): ISAC 피드와 같이 신뢰도가 매우 높은 소스로부터 수신된 정보에 대해서는 사전 정의된 자동화 규칙(SOAR 플레이북)이 실행된다. STIX Indicator 객체에 포함된 악성 IP 주소는 사람의 개입 없이 자동으로 조직의 방화벽 및 웹 프록시에 차단 규칙으로 추가된다.
5. 경보 및 보고 (Alerting & Reporting): 분석가에게는 고위험 경보가 생성된다. 이 경보는 단순히 "악성 IP 탐지됨"과 같은 단편적인 정보가 아니라, STIX 데이터로부터 얻은 풍부한 맥락을 포함한다. 예를 들어, "위협 행위자 'FIN7' 및 그들의 'Carbanak' 악성코드와 관련된 악성 IP 1.2.3.4가 내부 자산 XYZ와의 통신 시도 중 차단되었습니다."와 같은 상세한 정보를 제공한다.

명백한 이점

STIX/TAXII를 도입함으로써 얻을 수 있는 이점은 명확하고 강력하다.

• 속도와 자동화: 수동으로 정보를 복사하고 붙여넣던 작업이 기계 대 기계 교환으로 대체되면서, 위협 대응 시간이 몇 시간 또는 며칠에서 몇 초 또는 몇 분 단위로 극적으로 단축된다.
• 정확성과 일관성: 기계가 판독 가능한 데이터를 사용함으로써 사람이 정보를 옮기는 과정에서 발생하는 실수를 원천적으로 제거하고, 모든 정보가 일관되고 완전한 형태로 유지되도록 보장한다.
• 상호 운용성: 벤더 중립적인 생태계를 조성하여 Palo Alto Networks, Splunk, IBM 등 서로 다른 회사의 보안 솔루션들이 원활하게 인텔리전스를 공유하고 이해할 수 있게 한다.
• 협업 강화: 조직들이 ISAC과 같은 정보 공유 커뮤니티를 형성하고 공동 방어 체계를 구축할 수 있는 안전하고 확장 가능한 방법을 제공한다.

이러한 이점들을 종합적으로 보여주는 다음 표는 수동 방식과 자동화된 방식의 차이를 한눈에 비교하여 STIX/TAXII의 가치를 명확하게 보여준다.

지표	수동 방식 (이메일/PDF)	자동화된 방식 (STIX/TAXII)
속도	몇 시간 ~ 며칠	몇 초 ~ 몇 분
기계 판독 가능성	아니오 (사람의 해석 필요)	예 (도구가 직접 사용 가능)
확장성	낮음 (분석가의 처리량에 제한됨)	높음 (수백만 개의 지표 처리 가능)
정확성	사람의 실수에 취약함	높음 (복사/붙여넣기 오류 제거)
맥락	단편적이거나 손실되기 쉬움	관계 객체를 통해 풍부하게 보존됨
실행 가능성	지연됨 (수동 조치 필요)	즉각적 (자동화된 대응 가능)

이 표는 STIX/TAXII 도입의 가치 제안을 명확하게 요약한다. 이는 여러 핵심 운영 지표에 걸쳐 '전'과 '후'의 상태를 직접적으로 대조함으로써, 관리자와 실무자 모두가 그 이점을 실질적이고 쉽게 이해할 수 있도록 돕는다.

STIX/TAXII 생태계

공개 위협 인텔리전스 피드 (TAXII 서버)

누구나 접근하여 STIX/TAXII를 경험해볼 수 있는 잘 알려진 공개 피드들이 있다.

• AlienVault OTX (Open Threat Exchange): 전 세계 보안 전문가와 연구원들이 참여하는 가장 널리 사용되는 커뮤니티 기반 위협 정보 공유 플랫폼이다. TAXII 클라이언트에 다음 탐색 URL을 사용하여 연결할 수 있다.
  • Discovery URL: https://otx.alienvault.com/taxii/discovery
• CISA AIS (Automated Indicator Sharing): 미국 사이버 보안 및 인프라 안보국(CISA)이 운영하는 피드로, 민관 협력을 통해 위협 정보를 공유한다. 정부 기관이 운영하는 만큼, 연결을 위해 특정 인증서나 사전 등록 절차가 필요할 수 있다.
• 기타 주목할 만한 피드: 이 외에도 많은 플랫폼들이 STIX/TAXII를 통해 데이터를 제공한다. MISP 커뮤니티, 스팸 및 피싱 인프라를 추적하는 Spamhaus, 피싱 URL에 특화된 OpenPhish 등 다양한 소스들이 있으며, 이들은 종종 자체 플랫폼 내에서 TAXII 서버 기능을 제공한다.

필수 도구 및 라이브러리

개발자와 분석가가 STIX/TAXII 표준을 보다 쉽게 다룰 수 있도록 도와주는 다양한 오픈 소스 도구들이 있다.

• Python 라이브러리: 프로그래밍 방식으로 STIX/TAXII와 상호작용하기 위한 가장 기본적인 도구이다.
  • stix2: STIX 2.x 객체를 생성, 파싱, 검증하는 공식 라이브러리이다.
  • taxii2-client: TAXII 2.x 서버와 통신하기 위한 공식 클라이언트 라이브러리이다.
  • 이 외에도 stix-validator (STIX 데이터 유효성 검증), stix-elevator (STIX 1.x에서 2.x로 변환), stix-slider (STIX 2.x에서 1.x로 변환)와 같은 유용한 도구들이 있다.
• TAXII 클라이언트:
  • cabby: TAXII 서버를 테스트하고 탐색하는 데 유용한 커맨드 라인 기반의 독립 실행형 클라이언트이다.
• 플랫폼:
  • MISP (Malware Information Sharing Platform): 단순한 피드가 아니라, 강력한 위협 인텔리전스 플랫폼(TIP)이다. MISP는 STIX/TAXII 데이터의 가져오기(import) 및 내보내기(export)를 완벽하게 지원하며, 종종 서로 다른 형식과 커뮤니티 간의 데이터를 변환하고 중개하는 다리 역할을 한다.