MITRE ATT&CK 5분정리: 필수 개념부터 활용 전략까지 한눈에!

ATT&CK의 개요

MITRE ATT&CK은 실제 사이버 공격 사례를 기반으로 구축된 적대적 기술의 지식 베이스입니다. 공격 생명 주기의 다양한 단계와 공격 대상 플랫폼을 체계적으로 분류하여 공격자의 행동 방식을 이해하는 데 도움을 줍니다. 마치 범죄자들의 수법을 기록해둔 데이터베이스처럼, ATT&CK은 사이버 공격의 패턴을 분석하고 효과적인 방어 전략을 수립하는 데 필수적인 도구입니다.

ATT&CK 모델의 핵심 개념

ATT&CK 모델은 다음과 같은 핵심 개념으로 구성됩니다.

• 전술(Tactics): 공격자가 공격 목표를 달성하기 위한 전략적 행동 (예: 초기 침투, 권한 상승, 정보 유출 등)
• 기술(Techniques): 전술을 실행하기 위한 구체적인 방법 (예: 피싱, 취약점 악용, 악성 코드 실행 등)
• 하위 기술(Sub-techniques): 기술을 더욱 세분화하여 설명 (예: 피싱 중 스피어 피싱, 웨일링 등)
• 절차(Procedures): 공격자가 특정 기술을 실제로 사용하는 방식

MITRE ATT&CK의 기술 도메인 및 플랫폼 구조

MITRE ATT&CK은 공격자가 활동하는 생태계인 기술 도메인(Technology Domains)을 기준으로 구성됩니다. 현재 ATT&CK은 다음과 같은 세 가지 기술 도메인을 제공합니다.

• Enterprise: 기존 기업 네트워크 및 클라우드 기술을 나타냅니다.
• Mobile: 모바일 통신 장치를 나타냅니다.
• ICS (Industrial Control Systems): 산업 제어 시스템을 나타냅니다.
  각 기술 도메인 내에는 플랫폼(Platforms)이 존재하며, 이는 운영 체제 또는 애플리케이션(예: Microsoft Windows)을 의미합니다.
• 기술(Techniques) 및 하위 기술(Sub-techniques)은 여러 플랫폼에 적용될 수 있습니다.

MITRE ATT&CK 활용 방법: 4가지 주요 사용 사례

MITRE ATT&CK은 다양한 사이버 보안 분야에서 활용될 수 있으며, 사용자들이 가장 흔하게 적용하는 4가지 주요 사용 사례는 다음과 같습니다.

1. 탐지 및 분석 (Detections and Analytics)

• ATT&CK은 공격자가 사용하는 기술을 탐지하는 분석 기법 개발에 도움을 줍니다.
• 행위 기반 분석 탐지 기능을 구축, 테스트 및 개선하는 방법론을 제시합니다.
• ATT&CK을 활용한 분석 기법 개발에 대한 입문 정보를 제공합니다.
  • ATT&CK을 활용한 탐지 및 분석 시작하기 블로그 게시물 (2019년 6월)
  • ATT&CK 기반 분석을 통한 사이버 위협 탐지 (2017년 6월)
  • ATT&CKing the Status Quo 프레젠테이션 (2018년 8월)

2. 위협 인텔리전스 (Threat Intelligence)

• ATT&CK은 위협 인텔리전스를 구조화, 비교 및 분석하는 공통 언어를 제공합니다.
• 사이버 위협 인텔리전스를 활용하여 관련 탐지를 유도하는 행위로 운영하는 방법을 설명합니다.
• 위협 인텔리전스를 위한 ATT&CK 사용법의 기본을 설명하는 블로그 게시물을 제공합니다.
  • ATT&CK을 활용한 탐지 및 분석 시작하기 블로그 게시물 (2019년 6월)
  • ATT&CKing Your Adversaries 프레젠테이션 (2019년 8월)
  • 위협 인텔리전스 관련 블로그 게시물 (2018년 9월)

3. 적대적 모방 및 레드 팀 운영 (Adversary Emulation and Red Teaming)

• ATT&CK은 레드 팀이 특정 위협을 모방하고 운영을 계획하는 데 사용할 수 있는 공통 언어 및 프레임워크를 제공합니다.
• 공격자 모방을 통해 보안 상태를 개선하기 위한 자체 ATT&CK 평가 수행 방법을 설명합니다.
• 사이버 위협 인텔리전스를 활용하여 관련 탐지를 유도하는 행위로 운영하는 방법을 설명합니다.
  • ATT&CK을 활용한 적대적 모방 및 레드 팀 운영 시작하기 블로그 게시물 (2019년 7월)
  • ATT&CK 평가를 통한 보안 상태 개선 프레젠테이션 (2019년 6월)
  • APT ATT&CK - ATT&CK을 활용한 위협 기반 퍼플 팀 운영 프레젠테이션 (2019년 5월)

4. 평가 및 엔지니어링 (Assessment and Engineering)

• ATT&CK은 조직의 역량을 평가하고 도구 또는 로깅과 같은 엔지니어링 결정을 내리는 데 사용될 수 있습니다.
• ATT&CK을 활용한 SOC 평가에 대한 경험 및 교훈을 공유합니다.
• 행위 기반 분석 탐지 기능을 구축, 테스트 및 개선하는 방법론을 제시합니다.
  • ATT&CK을 활용한 평가 및 엔지니어링 시작하기 블로그 게시물 (2019년 8월)
  • ATT&CK 기반 SOC 평가에서 얻은 교훈 (2019년 6월)
  • ATT&CK 기반 분석을 통한 사이버 위협 탐지 (2017년 6월)

MITRE ATT&CK의 오용 방지: 주의해야 할 사항

MITRE ATT&CK은 단순한 지식 베이스가 아닌, 사고방식과 프로세스를 포함하는 도구입니다. 효과적인 활용을 위해 다음과 같은 오용 사례를 피해야 합니다.

1. 100% 적용 목표 지양:

• 모든 조직은 고유한 사이버 위협에 직면합니다.
• 모든 전술이나 기술이 모든 조직에 적용되는 것은 아닙니다.
• 자신에게 가장 관련성이 높은 기술에 우선순위를 두고 대비해야 합니다.

2. 단일 기술 식별에 안주하지 않기:

• 하나의 기술을 식별했다고 해서 성공을 선언해서는 안 됩니다.
• 공격자는 대부분의 기술을 다양한 방식으로 수행할 수 있습니다.
• 기술이 수행될 수 있는 다른 방법을 찾아 이해해야 합니다.

3. 매트릭스에만 의존하지 않기:

• ATT&CK 매트릭스는 실제 관찰된 행동만 문서화합니다.
• 공격자는 아직 문서화되지 않은 다른 행동을 사용할 수 있습니다.
• 조직이 직면한 위협의 전체적인 그림을 얻으려면 다음을 수행해야 합니다.
  • 자체 인텔리전스 소스 활용
  • 자체 관찰 기술 생성 및 문서화
  • 행동에만 국한하지 않고, 적시의 지표를 활용하여 공격자 탐지

마치며,

ATT&CK은 단순히 기술적인 정보의 집합이 아니라, 사이버 위협에 대한 종합적인 이해를 바탕으로 능동적인 대응 전략을 수립하는 데 필요한 사고방식과 프로세스를 제공합니다. 기술 도메인과 플랫폼이라는 체계적인 구조는 다양한 환경에서의 위협을 분석하고 예측하는 데 도움을 주며, 실제 공격 사례를 기반으로 구축된 지식 베이스는 현실적인 위협에 대한 효과적인 방어 전략을 가능하게 합니다.
따라서 ATT&CK을 활용하는 사이버 보안 전문가들은 단순히 기술적인 취약점을 점검하는 데 그치지 않고, 공격자의 행동 패턴을 분석하고 예측하여 선제적인 대응 체계를 구축해야 합니다. 지속적인 학습과 유연한 적용을 통해 ATT&CK을 활용함으로써, 조직은 끊임없이 진화하는 사이버 위협 환경에서 더욱 안전하게 보호될 수 있습니다.