Attack Tree

개요

Attack Tree는 시스템 또는 애플리케이션을 대상으로 가능한 공격 경로를 구조화된 트리 형태로 표현한 보안 분석 기법이다. 트리의 루트 노드는 공격자의 목표(예: 시스템 침입)를 의미하고, 가지(branch)들은 그 목표를 달성하기 위한 하위 단계 또는 공격 경로를 의미한다. 이를 통해 위협의 논리적 전개 구조를 시각적으로 파악하고, 보안 강화 우선순위를 정할 수 있다.

---

1. 개념 및 정의

Attack Tree는 공격자의 시점에서 시스템을 분석하고, 공격 경로를 AND/OR 논리 구조로 나열한 계층적 모델이다. 트리의 각 노드는 공격 단계, 방법, 조건 등을 나타내며, 가능한 시나리오를 포괄적으로 구조화함으로써 위협 분석과 방어 전략 수립을 지원한다.

구성 요소	설명	예시
루트 노드(Root)	공격자의 주요 목표	사용자 계정 탈취
중간 노드(Branch)	하위 공격 경로 또는 조건	암호 추측, 피싱 링크 클릭 유도
리프 노드(Leaf)	구체적 실행 방법 또는 이벤트	키로거 설치, 악성 링크 전송
AND 노드	모든 자식 노드가 만족되어야 공격 성공	① 악성코드 전달 + ② 실행 권한 확보
OR 노드	하나의 자식 노드가 충족되면 공격 가능	피싱 or 악성 앱 다운로드 중 택1

---

2. 특징

항목	Attack Tree	STRIDE	Threat Modeling 일반
분석 방식	공격자 목표 중심	위협 분류 중심	설계 위협 식별 중심
시각화 구조	트리 계층 구조	DFD 기반	자유형 템플릿 다양
정량화 가능성	각 노드에 리스크 값/확률 적용 가능	제한적	낮음

• 공격자의 관점 분석: 실제 공격이 어떻게 진행될 수 있는지 구조적 이해 제공
• 시나리오 기반 접근: 현실적인 공격 경로 파악 및 모의해킹 설계에 유리
• 정량적 보안 평가 가능: 각 노드에 성공 확률, 비용, 영향도 등을 부여 가능

---

3. 분석 절차 및 활용 도구

단계	설명	도구 예시
1. 목표 정의	보호 자산 또는 공격 목표 설정	서비스 계정 침해 방지
2. 트리 구성	가능한 공격 경로를 AND/OR 로 나열	Lucidchart, draw.io, Threatspec
3. 위험 평가	각 노드에 비용/확률/영향 점수 부여	ARTree, SecurITree
4. 우선순위 분석	리스크가 높은 경로 중심 대응 설계	FAIR, CVSS 연계 가능
5. 대응 설계	방어 조치 매핑 및 자동화 연계	XDR, EDR 시스템 연동 가능

---

4. 장점 및 이점

장점	설명	기대 효과
구조적 위협 파악	공격 가능 경로를 논리적으로 정리	위협 누락 최소화
리스크 기반 대응 전략	각 경로의 위험도 기반 대응 설계	보안 자원 효율화
시나리오 테스트 설계	모의 해킹, 침해 대응 연습 시 유용	실전 대응력 강화
반복적 확장성	시스템 변화에 따라 노드 추가 용이	지속 보안 유지 가능

---

5. 활용 사례 및 고려사항

사례	적용 방식	고려사항
IoT 장비 보안	하드웨어 펌웨어 탈취 공격 시나리오 구성	물리적 접근 요소 반영 필요
웹 서비스 보안 진단	계정 탈취 → 데이터 유출 흐름 트리화	인증-인가 흐름 정확성 필요
금융 보안 테스트	이상 거래 감지 회피 시나리오 모델링	로그 분석 및 행동 기반 연계 필요

• 복잡한 트리일수록 시각화와 관리 도구의 사용이 중요함
• 비즈니스 영향도와 기술적 현실성 간 균형 고려 필요

---

6. 결론

Attack Tree는 공격자의 입장에서 가능한 모든 공격 경로를 논리적으로 도식화하여, 위협을 구조적으로 분석하고 실효성 있는 대응 전략을 수립하는 데 유용한 보안 프레임워크다. 다양한 환경과 시스템에 적용 가능하며, 위협 기반 설계(Security by Design)와 보안 자동화 도입의 기반이 될 수 있다.