1. CTI란 무엇인가

1.1 CTI의 정의

• 단순한 공격 로그나 이벤트가 아니라, 공격자의 의도, 전술·기법·절차(TTPs), 캠페인, 인프라, 피해 대상을 맥락(Context)과 함께 분석·구조화한 정보
• 단순 “SQL Injection 로그가 발생했다”가 아니라, “어떤 유형의 공격자가, 어떤 목적을 가지고, 어떤 패턴으로 이 공격을 수행했는가” 를 설명하기 위한 정보 체계

1.2 로그 분석 vs CTI의 차이

CTI는 SIEM 위에 얹는 상위 계층의 분석 레이어같은 느낌

---

2. CTI의 구성 요소

2.1 TTPs (전술/기법/절차)

• 공격자가 목표를 달성하기 위해 사용하는 행동 패턴
• 국제 표준 프레임워크: MITRE ATT&CK

예시:

• Initial Access → Web Exploitation
• Persistence → Web Shell
• Discovery → Path Traversal 반복

2.2 IOC (Indicator of Compromise)

• 공격을 식별할 수 있는 관측 가능한 흔적
• IP, URL, User-Agent, Payload 패턴 등
• 단, IOC 단독은 CTI가 아님 → 반드시 맥락과 행위 해석이 결합되어야 CTI가 됨

2.3 Threat Actor / Campaign

• 특정 공격 그룹 또는 자동화된 공격 캠페인
• APT, 범죄 조직, 크롤링 봇, 스캐너 툴 체인 등

2.4 Confidence & Context

• 이 공격이 얼마나 의심스러운가
• 정상 행위와의 구분 근거
• 반복성, 시간대, 범위 👉 우리 프로젝트의 attack_confidence (Low/Medium/High) 개념이 여기에 해당함

---

3. CTI는 프로젝트 어디에 적용할 수 있는가

3.1 탐지 룰 설계 단계 (Detection Rule Layer)

• 현재: WEB-SQLI-001, WEB-XSS-001, WEB-PATH-001, WEB-404-001 등
• CTI 관점: 룰마다 다음 메타데이터 추가 - 공격 목적, 연관 TTP, 공격자 행위 시나리오 예시:

  rule_id: WEB-PATH-001
  attack_type: Path Traversal / LFI
  tactic: Discovery
  technique: T1083 (File and Directory Discovery)
  description: >
  웹 애플리케이션 파라미터를 통해 서버 내부 파일 존재 여부를
  반복적으로 탐색하는 행위
  

3.2 이벤트 집계 & 상관분석

• 현재: 단건 이벤트 탐지 중심
• CTI 적용 시: 동일 IP / UA / 패턴의 시간적/행위적 연속성 분석
• 단건은 Low, 패턴화되면 Medium / High
• 예시: 404 + Path Traversal + SQLi 시도 -> Reconnaissance 캠페인

3.3 Attack Confidenct 산정 로직

3.4 리포트 & 대시보드

• CTI 적용 전: “어떤 공격이 몇 건 발생”
• CTI 적용 후: “현재 관측된 공격 캠페인 요약” / “공격자의 의도 및 다음 단계 예측”
• 예시 문구: “최근 24시간 동안 DVWA 대상에서 웹 취약점 사전 탐색(Reconnaissance) 단계로 추정되는 자동화 공격 패턴이 관측됨”

---

4. 우리 프로젝트에서 CTI 도입의 현실적인 목표

• 이 프로젝트에서의 CTI는 APT 추적이 목적이 아님
• 현실적 목표 정리
  1. 로그 → 행위 단위로 해석
  2. 단일 이벤트 → 공격 시나리오
  3. 룰 집합 → 공격 단계 맵핑
  4. 경보 → 의사결정 정보
• 즉, “SIEM + CTI-lite 구조”