본 문서는 KISA C-TAS의 최초 연동 및 Export API를 활용한 원활한 로그 수집 가이드를 제공하기 위해 작성되었습니다.
실제 고객사 연동 과정에서 발생했던 시행착오와 해결 방안을 정리하였으며, 동일한 이슈를 겪는 분들께 실질적인 도움이 되기를 바랍니다.
내용 중 수정이 필요한 부분이나 추가 의견이 있으시면 언제든 피드백 부탁드립니다.
- C-TAS 최초 연동 시, Collect API 요청 및 KISA 승인 후 Export API로 로그 수집이 가능합니다.
- 이후 로그프레소는 특정 폴더에 저장된 파일을 수집합니다.
- C-TAS V3의 구동 환경은 JDK 21이 필수이니 참고 부탁드립니다.
사전 준비
- api.colKey: 데이터 전송(Collect)을 위한 인증 키 (KISA 제공)
- api.expKey: 데이터 수집을 위한 인증 키(KISA 제공)
- api.orgKey: 기관 식별 및 데이터 수신(Export)을 위한 인증 키(KISA 제공)
- C-TAS CollectAPI.zip 파일(KISA 제공)
- C-TAS ExportAPI.zip 파일(KISA 제공)
- C-TEX_Spec_v2.1.pdf 파일(KISA 제공)
- 방화벽 정책 허용 (아웃바운드 접속)
- 192.5.90.156(ccol.krcert.or.kr)
- 121.147.42.178 주소의 8443 포트
CollectAPI 사전 준비
요청할 address-type별로 데이터를 분류하여 CSV 파일을 생성한 후, KISA에 collectAPI를 통해 수집 요청을 진행해야 합니다.
- 샘플파일(helloCSV_2020-01-23_kisa.csv) 참고하여, address-type별로 분류된 CSV 파일 준비
- C-TEX_Spec_v2.1.pdf의 8페이지(<표1> (Domain/IP) Address 유형) 참고)
- CSV 수정 항목
- date : 2026-01-01 09:00:00
- source: site명
- address-ip: (site 공인IP)
- address-type : idabusing, attack 등 (C-TEX_Spec_v2.1.pdf의 8페이지(<표1> (Domain/IP) Address 유형) 참고)
- sample-type : drop, launch 등 (C-TEX_Spec_v2.1.pdf의 8페이지(<표2> (악성코드) Sample 유형)
- 파일명 예시
- attack_2026-01-01_site명.csv
- block_2026-01-01_site명.csv
CollectAPI 실행
- 터미널 접속 후 아래 명령어를 통해 각 CSV 파일을 실행
- 파일업로드 한 위치는 /opt/collectAPI로 가정
# 예시: attack 타입 실행
java -jar /opt/collectAPI/CollectAPI.jar /opt/collectAPI/attack_2026-01-01_site명.csv
정상 호출이라면, success 나타나야 함
ExportAPI 실행(하기 가이드 문서 참고)
JDK 실행 환경 관련 참고 사항
- 고객사 서버의 기본 JDK 버전이 낮아 실행이 불가능할 경우, 시스템 환경 변수를 수정하는 대신 JDK 21 바이너리를 별도 업로드하여 해결할 수 있습니다.
- Collect/Export API 실행 스크립트 내의 Java 실행 경로를 업로드한 JDK 21 경로로 직접 지정(Full Path)하도록 수정하면, 기존 환경에 영향을 주지 않고 정상적인 연동이 가능합니다.