개요
ATT&CK는 MITRE가 개발한 사이버 공격자 행동을 체계적으로 정리한 공격 기술 및 전술(TTPs) 지식베이스입니다. 실제 사이버 공격 사례에 기반해 공격자들이 시스템에 침투하고, 확장하고, 목적을 달성하는 방법을 전술(Tactics)과 기술(Techniques) 단위로 구조화하여 정리했습니다. 보안 분석, 위협 헌팅, 레드팀/블루팀 훈련, 공격 시뮬레이션 등 다양한 사이버 보안 활동에 활용됩니다.
1. 개념 및 정의
| 항목 | 설명 |
| 정의 | 실제 사이버 공격자의 행동을 체계적으로 분류한 오픈 소스 지식베이스 |
| 목적 | 공격 이해 및 대응 체계화, 위협 기반 방어 전략 수립 지원 |
| 필요성 | 다양한 공격 벡터를 표준화하여 조직의 방어력을 체계적으로 향상 |
ATT&CK는 엔터프라이즈 환경(Windows, Linux, macOS), 모바일, ICS(산업제어시스템) 등 다양한 플랫폼에 대해 정의되어 있습니다.
2. 특징
| 특징 | 설명 | 비교 |
| 전술(Tactics) 중심 구조 | 공격의 목적별로 전술을 분류 | 단순 이벤트 분석 대비 흐름 이해 용이 |
| 기술(Techniques) 상세화 | 실제 사용된 방법론 및 사례 기반 정의 | 벤더별 독자 분류 체계보다 표준성 높음 |
| 위협 인텔리전스 연계 | 공격 그룹(Threat Actor) 및 툴과 매핑 | IOC(Indicator of Compromise) 기반 분석 보완 |
ATT&CK는 특히 MITRE ATT&CK Navigator, ATT&CK for Threat Intelligence와 연동되어 사용됩니다.
3. 구성 요소
| 구성 요소 | 설명 | 예시 |
| Tactics(전술) | 공격자가 달성하려는 목적 | 초기 접근(Initial Access), 권한 상승(Privilege Escalation) 등 |
| Techniques(기술) | 전술을 달성하기 위한 구체적 방법 | 피싱, 크리덴셜 덤핑, 명령제어(C2) 등 |
| Sub-techniques(세부 기술) | 기술의 세부 실행 방법 | 스피어 피싱 첨부파일, NTLM Credential Dumping 등 |
| Mitigations(완화책) | 공격 기술을 방어하기 위한 방법 | 사용자 교육, 네트워크 세분화 |
| Detection(탐지 방법) | 공격 기술 식별 방법 제시 | 로그 분석, 행동 기반 탐지 등 |
ATT&CK는 JSON, STIX2 포맷으로 제공되어 자동화 및 분석 시스템과 쉽게 연동 가능합니다.
4. 기술 요소 및 운용 방식
| 기술 | 설명 | 활용 사례 |
| ATT&CK Navigator | 커스터마이징 가능한 매핑 툴 제공 | 조직 방어 범위 시각화 및 GAP 분석 |
| ATT&CK Evaluations | 보안 제품 평가 기준 제공 | EDR/XDR 솔루션 성능 비교 기준 |
| Threat Actor 매핑 | 공격 그룹별 사용 기술 정리 | APT29, FIN7 등 위협 분석에 활용 |
| Threat-Informed Defense 모델 | 위협 정보 기반 방어 전략 수립 지원 | 리스크 기반 방어 우선순위 결정 |
ATT&CK는 사이버 킬체인(Cyber Kill Chain) 모델보다 더 세밀하고 다층적인 공격 흐름 이해를 지원합니다.
5. 장점 및 이점
| 장점 | 설명 | 효과 |
| 체계적 공격 분석 지원 | 공격 단계를 일관성 있게 분석 가능 | 사고 대응 및 포렌식 정확도 향상 |
| 방어 우선순위 설정 | 위협 인텔리전스를 기반으로 대응 강화 | 리스크 기반 보안 투자 최적화 |
| 레드팀/블루팀 훈련 강화 | 현실성 높은 공격 시나리오 설계 가능 | 조직 보안 능력 향상 |
특히 ATT&CK는 표준화된 공격 이해 체계로 글로벌 보안 커뮤니티에서 광범위하게 채택되고 있습니다.
6. 주요 활용 사례 및 고려사항
| 사례 | 설명 | 고려사항 |
| 위협 헌팅 프로그램 구축 | ATT&CK 기반 탐지 룰 설계 및 운용 | 전술/기술별 커버리지 주기적 점검 필요 |
| 보안 솔루션 평가 | ATT&CK Evaluation 참여 결과 분석 | 실제 공격 기술 커버리지 확인 필수 |
| 사이버 공격 대응 훈련 | 공격 기술 기반 시뮬레이션 및 대응 연습 | 최신 업데이트 반영 및 현실성 확보 필요 |
ATT&CK는 지속적으로 업데이트되므로 최신 버전 유지 및 변화 관리가 중요합니다.
7. 결론
ATT&CK는 현대 사이버 보안 전략 수립에 있어 필수적인 참조 모델로, 공격자의 관점에서 시스템을 바라보고 대응 방안을 체계화할 수 있게 합니다. 조직은 ATT&CK를 활용하여 위협 기반 방어 전략(Threat-Informed Defense)을 강화하고, 보다 민첩하고 정밀한 보안 대응 체계를 구축해야 합니다.
'Topic' 카테고리의 다른 글
| Purple Teaming (0) | 2025.04.30 |
|---|---|
| Attack Surface Management (ASM) (0) | 2025.04.30 |
| D3FEND (0) | 2025.04.30 |
| FDS(Fraud Detection System) (0) | 2025.04.30 |
| EIR(Equipment Identity Register) (1) | 2025.04.30 |