STIX2 표준 기반의 사이버 위협 정보 관리 플랫폼

OpenCTI는 STIX2(Structured Threat Information Expression 2) 표준을 기반으로 사이버 위협 정보를 구조화한다. 이는 위협 행위, 공격 지표, 피해자 정보 등을 표준화된 형식으로 표현하여 정보의 상호 운용성(Interoperability)을 높인다. 특히, MITRE ATT&CK 프레임워크를 통합하여 공격 전술, 기술, 절차(TTPs)를 분석하고, 위협 정보를 체계적으로 관리할 수 있도록 지원한다.

OpenCTI는 GraphQL API를 제공하여 클라이언트가 필요한 데이터만 효율적으로 요청하고 받을 수 있도록 한다. 이는 REST API에 비해 데이터 오버페칭(Over-fetching) 문제를 해결하고, 프런트엔드 개발 생산성(Frontend Development Productivity)을 향상시킨다. 또한, GraphQL의 강력한 타입 시스템(Strong Type System)은 API 사용의 안정성을 높이고, 개발자가 API를 쉽게 이해하고 사용할 수 있도록 돕는다.

OpenCTI는 MISP, TheHive, MITRE ATT&CK 등 다양한 보안 솔루션과의 연동을 지원하여, 기존 보안 인프라와의 통합을 용이하게 한다. 또한, CSV, STIX2 번들 등 다양한 형식의 데이터 가져오기 및 내보내기를 지원하여, 데이터 이관 및 공유를 유연하게 한다. 커넥터(Connector)를 통해 새로운 플랫폼과의 연동을 쉽게 확장할 수 있도록 설계되었다.

OpenCTI는 커뮤니티 에디션(Community Edition, CE)과 엔터프라이즈 에디션(Enterprise Edition, EE) 두 가지 버전을 제공한다. 엔터프라이즈 에디션은 추가적인 기능과 성능을 제공하며, 연구 개발에 대한 투자를 통해 지속적으로 개선된다. Apache 2.0 라이선스를 따르는 커뮤니티 에디션은 오픈소스 생태계에 기여하고, 엔터프라이즈 에디션은 기업의 요구사항을 충족하는 기능을 제공한다.