Skip to content
Home » 안전한 사이버 위협정보 공유 체계를 구축한다: Tlp의 이해

안전한 사이버 위협정보 공유 체계를 구축한다: Tlp의 이해

사이버 위협정보 분석 공유 시스템(C-TAS)👍
TLP(Traffic Light Protocol)는 잠재적으로 민감한 위협 정보의 공유를 촉진하고 보안 방어 담당자와 시스템 관리자, 보안 관리자, 연구원 간의 더 효과적인 협업을 지원하기 위해 만들어졌다. TLP가 탄생한 배경에는 보안 경보를 서로 공유하기 시작한 여러 국가의 공공 부문 보안사고 대응팀의 노력이 있었다. 이 프로토콜은 위협 데이터를 받은 사람이 해당 데이터의 민감도를 평가하고 다른 사람과 공유하며 악의적인 행위자에게 도움이 되거나 개인 데이터가 노출되거나 개인정보 보호 규정이 위반되지 않도록 하는 것을 목적으로 한다.

TLP는 색 코드 분류를 사용한다. 이는 신호등(Traffic Light)이라는 개념에서 따온 것이다. 각 색상은 데이터 공유 방법을 의미한다. 적색(TLP:RED)은 완전한 중지를 의미하며, 황색(TLP:AMBER)은 비공유가 자체적으로 위험한 경우를 제외하고 중지해야 한다는 의미이다. 녹색(TLP:GREEN)은 데이터를 공유해도 안전하다면 공유할 수 있음을 의미한다. TLP 2.0에서는 공유 제약 사항을 더 명확히 하기 위해 미국 CISA(Cybersecurity and Infrastructure Security Agency)가 TLP 2.0 가이드를 발표했다. 이 가이드를 통해 사용자들은 TLP를 더욱 효과적으로 사용할 수 있게 되었다.

위협 데이터의 안전한 공유

위협 데이터의 안전한 공유는 매우 중요한 문제입니다. 위협을 발견하게 되면, 어떤 정보를 공유할지 신중하게 판단해야 합니다. 유럽 사이버 기관인 ENISA는 CSIRT(컴퓨터 보안 사고 대응 팀) 담당자 회의에서 발표된 프레젠테이션은 참석자 대부분에게는 TLP:RED(고위험, 제한된 공개)에 해당하지만, 이 정보에 대해 조치를 취할 수 있는 팀에는 예외적으로 TLP:AMBER(중간위험, 제한적 공개)가 적절하다고 언급했습니다. 이전에는 TLP에 대신하여 취약점의 완전 공개, 책임 공개, 제한적 공개 분류 체계를 사용했지만, TLP가 더 세밀한 접근이 가능함을 입증하였습니다. TLP의 체계는 비밀/일급비밀과 같은 기밀문서 표식에서 영감을 받았으나, TLP와 기밀문서 분류는 전혀 상관이 없습니다. TLP는 기밀문서에 사용해서는 안되며, 일부 국가에서는 핵심 인프라에 대한 위협과 같은 특정 종류의 데이터를 자동으로 기밀로 분류하여 배포를 철저히 통제하고 있습니다. 이러한 사항을 고려하여 위협 데이터의 안정한 공유를 실천해야 합니다.

사이버 위협정보 분석 공유 시스템(C-TAS)👍

사이버 위협정보 분석 공유 시스템(C-TAS)👍
사이버 위협정보 분석 공유 시스템(C-TAS)👍

TLP의 간단한 역사

TLP의 간단한 역사
미국은 몇 년에 걸쳐 일련의 정보 공유 및 분석 센터(ISAC)를 만들었다(영국에서는 ‘정보 교환’이라고 함). 가령 선거 보안, 유틸리티 보안, 자동차 보안을 위한 ISAC처럼 다양한 수직 산업에 맞게 정립됐다. 이런 프로토콜이 사고 대응 및 보안 팀 포럼(FIRST)에 채택됐고 포럼은 2016년 8월 TLP 1.0을 발표했다. 이후 2022년 8월에 개선된 TLP 2.0이 발표됐다. 당시 더블린 회의에서는 TLP 2.0에 대한 광범위한 논의가 이뤄졌다. 그때부터 업데이트된 프로토콜을 지원하는 다양한 제품이 나왔다. 현재 전 세계에서 50명 이상의 특별 관심 그룹 회원이 TLP에 기여하고 있다. TLP 2.0이 논의된 이유 중 하나는 표준의 정밀함을 높여 유용성을 높이기 위해서였다. FIRST TLP SIG 공동 의장인 돈 스티크부트는 더블린 회의에서 “커뮤니티 내부, 회사 내부, 비즈니스 섹터 내부, 국가 내부, 그리고 전 세계적으로 기밀 정보와 민감한 정보가 더 많이 배포되고 있다. 따라서 민감한 정보를 적절한 대상과 공유하고 있음을 보장하기 위해 쉽게 사용하고 이해할 수 있으며, 번역이 본래 의미를 왜곡할 일이 없을 정도로 간결한 시스템이 필요하다. 업데이트되고 현대화된 TLP 버전 2.0은 그 조건에 부합한다”라고 말했다.

Translation (Korean):

TLP의 간단한 역사
미국은 몇 년에 걸쳐 정보 공유 및 분석 센터(ISAC)라는 일련의 기관을 만들었습니다. 이 기관은 영국에서는 ‘정보 교환’이라고 불리며, 선거 보안, 유틸리티 보안, 자동차 보안 등 다양한 산업 분야에 맞춰 설립되었습니다. 이러한 프로토콜은 사고 대응 및 보안 팀 포럼(FIRST)에서 채택되었고, 2016년 8월에 TLP 1.0이 발표되었습니다. 그 후, 2022년 8월에는 개선된 TLP 2.0이 발표되었습니다. 당시 더블린 회의에서는 TLP 2.0에 대한 광범위한 논의가 이루어졌으며, 이후 업데이트된 프로토콜을 지원하는 다양한 제품들이 출시되었습니다. 현재 전 세계에는 50명 이상의 특별 관심 그룹 회원들이 TLP에 기여하고 있습니다. TLP 2.0이 나오게 된 이유 중 하나는 표준의 정밀성을 높여 유용성을 향상시키기 위함입니다. FIRST TLP SIG 공동 의장인 돈 스티크부트는 더블린 회의에서 “커뮤니티 내부, 회사 내부, 비즈니스 섹터 내부, 국가 내부, 그리고 전 세계적으로 기밀 정보와 민감한 정보의 배포량이 증가하고 있습니다. 따라서 적절한 대상과 민감한 정보를 공유하는 데 있어 사용하기 쉽고 이해하기 쉬운, 번역 과정에서 의미가 왜곡되지 않는 간결한 시스템이 필요합니다. 업데이트되고 현대화된 TLP 버전 2.0은 이러한 요구사항을 충족합니다”라고 말하였습니다.

[ISI 2020 _강원] 사이버 위협정보 공유 표준화 동향 👍TTA, ICT 표준화👍

[ISI 2020 _강원] 사이버 위협정보 공유 표준화 동향  👍TTA,  ICT 표준화👍
[ISI 2020 _강원] 사이버 위협정보 공유 표준화 동향 👍TTA, ICT 표준화👍

TLP 2.0의 주요 업데이트

TLP 2.0의 주요 업데이트는 다음과 같습니다.

가장 중요한 변경 사항은 TLP 2.0에서 다음과 같이 적용되었습니다.

TLP는 이제 영어가 모국어가 아닌 사람들도 쉽게 이해할 수 있도록 더욱 명확하게 번역되었습니다. 이를 위해 표준 언어를 다듬어 번역 정확성을 향상시켰습니다. 이전까지 TLP는 네덜란드어, 포르투갈어, 프랑스어, 일본어, 노르웨이어로 번역되었습니다. 다양한 언어를 사용하는 사람들에게도 TLP에 접근하기 쉽도록 노력했습니다. 스티크부트는 이를 설명하면서 “이해를 강화하기 위해 최대한 간결하고 명료하게 유지하고자 했습니다”라고 말했습니다. 또한, 표준 문서에 사용되는 용어의 일관성도 확보했습니다.

또한, 색 테이블에 RGB, CMYK, 16진수 색 코드를 추가하여 다양한 문서에 사용할 수 있도록 했습니다.

전 세계적인 인종차별적 언어 배제를 위해 TLP:WHITE는 TLP:CLEAR로 변경되었습니다.

수신자의 조직에만 제한되는 정보를 강조하기 위해 TLP:AMBER+Strict 레이블이 추가되었습니다. 이는 정보 노출에 매우 유용한 지표로, 다양한 기업이 공급망에서 겪는 정보 노출을 고려할 때 (예: 솔라윈즈나 VM웨어 ESXi의 취약점) TLP의 효과를 예측할 수 있습니다.

[정보보안 교육자료] 사이버 위협의 동향 및 정보보안의 중요성ㅣ공존스쿨 on SENㅣ서울특별시교육청TV

[정보보안 교육자료] 사이버 위협의 동향 및 정보보안의 중요성ㅣ공존스쿨 on SENㅣ서울특별시교육청TV
[정보보안 교육자료] 사이버 위협의 동향 및 정보보안의 중요성ㅣ공존스쿨 on SENㅣ서울특별시교육청TV

TLP를 업데이트한 이유

TLP를 업데이트한 이유는 데이터 공유 방식이 여러 당사자 간에 변경되는 과정과 데이터 민감도에 따라 위협 표식이 변경되는 방식에 대한 논의가 있었기 때문이다. 스티크부트는 문서의 최초 작성자가 표식 수준을 책임진다는 사실을 강조했다. 또한, TLP를 사용하지 않거나 제한적으로 사용 중인 잠재적 도입자가 더 많은 관심을 보이고 있다고 밝혔다. TLP 외에도 보안 위협 정보를 공유하고 자동화된 작업과 툴에서 사용할 수 있는 위협 메타데이터를 체계화하기 위한 노력이 많이 이루어지고 있다. 이러한 활동의 목표는 연구원과 방어자 사이에 연결 고리를 만들고 맬웨어의 작동 방식을 이해하고 침해 탐지 시스템이 이러한 위협을 찾고 데이터를 공유하고 무력화하는 데 도움이 되도록 하는 것이다. 유명한 사례로는 MITRE의 맬웨어 정보 공유 프로젝트인 MISP와 NATO에서 파생된 STIX 및 TAXII가 있다. MISP는 위협 이벤트와 조치를 자동으로 동기화하며, 여러 솔루션 업체가 MISP에서 위협 피드 데이터를 공유할 수 있는 커넥터를 제공한다. 오픈소스 및 상용 위협 인텔리전스 플랫폼과 MISP의 통합에는 스렛쿼션트 및 이클레틱Q가 포함된다. 이러한 플랫폼은 STIX 및 ATT&CK 데이터를 사용해 위협을 시각화하고 자동화된 작업을 생성하여 위협을 관리하고 제거할 수 있다. 이와 함께 다른 공격 후 손실 완화 작업도 수행할 수 있다.

[정보보안 교육] 사이버 위협의 동향 및 정보보안의 중요성ㅣ서울특별시교육청TV

[정보보안 교육] 사이버 위협의 동향 및 정보보안의 중요성ㅣ서울특별시교육청TV
[정보보안 교육] 사이버 위협의 동향 및 정보보안의 중요성ㅣ서울특별시교육청TV

어디서부터 TLP를 시작해야 할까?

어디서부터 TLP를 시작해야 할까?
위협 데이터를 아직 코드화하지 않았다면, 지금이 STIX와 TAXII에 대해 연구하고 이런 표준을 어떻게 사용하고 위협을 분류하는 데 어떻게 도움이 되는지 알아봐야 할 시간이다. 이들은 사이버 보안 분야에서 매우 중요한 도구로서, 위협 정보를 표준화하고 공유하는 데에 도움이 된다. 그런 다음 자동화된 지표 공유(Automated Indicator Sharing, AIS) 라고 하는, 기계가 읽을 수 있는 위협 정보의 실시간 교환에 도움이 되는 MISP와 CISA 프로그램을 살펴보자. MISP와 CISA는 무료 서비스이며, 맬웨어 침입 시도에 대한 데이터와 위협 대응 및 방어 방법을 제공한다. 이 프로그램에서는 TLP와 STIX 프로토콜을 모두 사용하고 TLP 2.0은 2023년 3월부터 지원한다. 다양한 분류 색상과 최선의 사용 방법을 보여주는 FIRST의 유용한 참조 가이드도 있다. 다음으로, TLP의 핵심은 제품이 아닌 삶의 방식임을 알아야 한다. TLP는 위협 데이터를 조직 전반에서 공유하는 방식을 의미하며, 공급업체와 파트너, 소프트웨어 공급망 전반에 어떻게 전파하는지를 검토해야 한다. 이는 사람과 프로세스에 의해 이루어지며, 기술은 TLP를 지원하는 역할을 한다. 밀러에 따르면, TLP는 이 위협 정보를 체계화해서 다른 사람과 공유하는 방식에 관한 것이다. 민감한 정보를 다른 조직과 공유하고자 하는 모든 보안 조직은 TLP를 사용해야 한다. 꼭 ISAC 컨텍스트에 포함되거나 특정 기술과 관련될 필요가 없다. 물리적 보안 정보에 TLP를 사용하는 조직도 있다. 간단하고 실용적이며, 안심하고 정보를 공유할 수 있게 해준다. TLP를 시작하려면 위협 데이터를 표준화하고 코드화하는 것부터 시작해야 한다.

AI로 대체되기 가장 쉬운 직업은?

AI로 대체되기 가장 쉬운 직업은?
AI로 대체되기 가장 쉬운 직업은?
안전한 사이버 위협정보 공유 체계를 구축한다” Tlp의 이해 - Itworld Korea
안전한 사이버 위협정보 공유 체계를 구축한다” Tlp의 이해 – Itworld Korea
Topic - Itworld Korea
Topic – Itworld Korea

See more here: molady.vn

Categories: https://molady.vn/kr

Leave a Reply

Your email address will not be published. Required fields are marked *