MITRE ATT&CK Matrix 해석 방법: 보안 전문가를 위한 가이드
MITRE ATT&CK(Matrix)는 사이버 공격자의 전술(Tactics), 기술(Techniques), 절차(Procedures)을 체계적으로 정리한 프레임워크입니다. 이 글에서는 MITRE ATT&CK의 구조와 해석 방법을 설명하고, 실제 보안 분석에 어떻게 활용할 수 있는지 알아보겠습니다.
1. MITRE ATT&CK Matrix란?
MITRE ATT&CK은 사이버 공격자들이 사용하는 기법을 정리한 위협 인텔리전스 프레임워크입니다. 이를 활용하면 조직의 보안 체계를 강화하고, 공격 탐지 및 대응을 효율적으로 수행할 수 있습니다.
MITRE ATT&CK의 주요 개념
MITRE ATT&CK은 크게 세 가지 요소로 구성됩니다.
| 개념 | 설명 |
| 전술 (Tactics) | 공격자가 수행하는 목적 (예: 초기 침투, 권한 상승, 방어 우회) |
| 기술 (Techniques) | 전술을 달성하기 위한 구체적인 방법 (예: 피싱, 크리덴셜 덤프) |
| 절차 (Procedures) | 실제 공격 그룹이 사용하는 특정 공격 방식 |
2. MITRE ATT&CK Matrix 구조 분석
MITRE ATT&CK 매트릭스는 전술(Tactics)이 가로축, 기술(Techniques)이 세로축으로 구성됩니다.
(1) 전술(Tactics) - 공격자의 목표
전술은 공격자가 각 단계에서 이루려는 목표를 의미합니다. 주요 전술은 다음과 같습니다.
| 전술 (Tactics) | 설명 |
| Initial Access (초기 접근) | 시스템에 첫 번째 발판을 마련 (예: 피싱, 취약점 악용) |
| Execution (실행) | 공격자가 악성 코드 실행 (예: PowerShell 실행, 매크로) |
| Persistence (지속성) | 시스템에 지속적으로 접근하기 위한 방법 (예: 스케줄러 등록) |
| Privilege Escalation (권한 상승) | 더 높은 권한을 얻기 위한 공격 (예: 취약점 악용) |
| Defense Evasion (방어 우회) | 탐지를 피하기 위한 기법 (예: 파일 난독화, 루트킷 사용) |
| Credential Access (크리덴셜 탈취) | 비밀번호나 인증 정보를 획득하는 공격 (예: Mimikatz, Credential Dumping) |
(2) 기술(Techniques) - 공격 방식
전술 아래에는 공격을 수행하는 기술이 존재합니다. 예를 들어, 초기 접근(Initial Access) 전술에서는 다음과 같은 기술이 사용될 수 있습니다.
| 전술 (Tactic) | 기술 (Technique) | 코드 (ID) |
| Initial Access | 피싱 (Phishing) | T1566 |
| Initial Access | 취약점 악용 (Exploit Public-Facing Application) | T1190 |
| Initial Access | 공급망 공격 (Supply Chain Compromise) | T1195 |
(3) 하위 기술(Sub-techniques) - 기술의 세부 변형
MITRE ATT&CK은 일부 기술을 더 세분화된 하위 기술(Sub-techniques) 형태로 제공합니다. 예를 들어, T1566 (Phishing) 기술은 다음과 같이 세분화됩니다.
- T1566.001 - Spearphishing Attachment (첨부 파일 기반 피싱)
- T1566.002 - Spearphishing Link (링크 클릭 유도)
- T1566.003 - Spearphishing via Service (SNS 및 메신저 피싱)
이러한 분류 덕분에 보안 담당자는 특정한 위협을 더 정밀하게 분석할 수 있습니다.
3. MITRE ATT&CK Matrix 활용 방법
(1) 보안 로그 분석 및 침해 지표(IOCs) 매핑
보안 분석가들은 MITRE ATT&CK을 사용하여 탐지된 이벤트를 공격 기법과 매핑할 수 있습니다. 예를 들어:
- Event ID 4688에서 PowerShell.exe -encodedcommand 명령어가 발견 → T1059 (Command and Scripting Interpreter)와 연관
- 메모리에서 Mimikatz 실행 기록 발견 → T1003 (Credential Dumping)과 관련
이런 식으로 보안 로그를 MITRE ATT&CK 기술에 매핑하면 공격을 더 체계적으로 분석할 수 있습니다.
(2) 탐지 규칙 설정 및 보안 정책 강화
MITRE ATT&CK을 활용하면 SIEM(Security Information and Event Management) 시스템에서 탐지 규칙을 강화할 수 있습니다.
- T1003 (Credential Dumping) 탐지를 위해 lsass.exe 프로세스 덤프 시도 감시
- T1055 (Process Injection) 탐지를 위해 일반적인 프로세스에 비정상적인 코드 주입 탐지
이를 통해 보안 운영팀은 탐지율을 높이고, 오탐(False Positive)을 줄일 수 있습니다.
(3) 레드팀 공격 시뮬레이션 (Adversary Emulation)
레드팀은 MITRE ATT&CK 기반으로 공격 시뮬레이션을 수행하여 조직의 보안 방어력을 테스트할 수 있습니다.
예를 들어, 다음과 같은 공격 시나리오를 실험할 수 있습니다.
- 초기 접근 (Initial Access)
- T1566.001 (첨부 파일 피싱) → 악성 문서를 통한 초기 침투
- 권한 상승 (Privilege Escalation)
- T1055 (프로세스 인젝션) → 높은 권한 프로세스에 코드 삽입
- 크리덴셜 탈취 (Credential Access)
- T1003 (Credential Dumping) → Mimikatz를 이용한 비밀번호 덤프
이를 통해 보안팀은 실제 공격자가 사용하는 기법을 미리 경험하고, 방어 전략을 최적화할 수 있습니다.
4. MITRE ATT&CK Matrix 활용 도구
MITRE ATT&CK은 다양한 보안 도구와 연계할 수 있습니다.
| 도구 | 설명 |
| ATT&CK Navigator | MITRE ATT&CK 공식 매트릭스 뷰어 |
| Atomic Red Team | MITRE ATT&CK 기반 공격 테스트 도구 |
| Sigma Rules | 보안 탐지 룰을 MITRE ATT&CK에 매핑 |
| CALDERA | 자동화된 공격 시뮬레이션 도구 |
이러한 도구를 활용하면 MITRE ATT&CK을 보다 효과적으로 사용할 수 있습니다.
5. 결론
MITRE ATT&CK Matrix는 공격자의 TTP(Tactics, Techniques, Procedures)를 분석하고 보안 탐지 및 대응을 강화하는 강력한 프레임워크입니다.
- 보안 로그 분석: 공격자의 기술을 식별하고 탐지 규칙을 설정
- 방어 전략 강화: 공격 시나리오 기반 보안 정책 수립
- 공격 시뮬레이션: 레드팀이 MITRE ATT&CK 기반으로 테스트 수행
MITRE ATT&CK을 활용하면 조직의 사이버 보안 수준을 한 단계 높일 수 있습니다. 앞으로도 지속적으로 업데이트되는 최신 공격 기법을 참고하며 보안 태세를 강화해 나가는 것이 중요합니다.
보안은 결국 공격자를 이해하는 것에서 시작됩니다. MITRE ATT&CK을 적극 활용해 효과적인 보안 전략을 마련해 보세요!