MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)

개요

MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)은 사이버 공격자들의 실제 공격 방법(TTP: Tactics, Techniques, and Procedures)을 기반으로 정교하게 정리된 오픈소스 위협 인텔리전스 프레임워크입니다. 보안 분석, 탐지, 방어, 레드팀 훈련 등 다양한 사이버 보안 활동의 표준 언어로 활용됩니다.

---

1. 개념 및 정의

항목	설명
정의	사이버 공격자의 행위를 전술·기술·절차로 분류한 위협 지식 베이스
목적	위협 탐지 및 대응 강화를 위한 표준화된 참조 모델 제공
필요성	공격자 행위 기반의 분석 및 방어 전략 수립이 중요해짐

MITRE는 미국 비영리 연구기관으로, ATT&CK는 2015년부터 오픈소스로 공개 운영됨

---

2. 특징

특징	설명	비교
전술(Tactic) 중심 구조	공격의 목적(왜)을 기준으로 분류	Kill Chain은 단계 기반 분류
기술(Technique) 세분화	각 전술에 따른 구체적 행위 정의	TTP 상세 수준이 높음
공개 위협 인텔리전스	실제 사례 기반 위협 지식 공개	CTI와의 연동 쉬움

ATT&CK는 기업 보안 전략 수립의 기반으로 사용됨

---

3. 구성 요소

구성 요소	설명	예시
Tactic	공격자가 달성하려는 목적 (열 개 이상)	Initial Access, Privilege Escalation 등
Technique	목적 달성을 위한 수단	Phishing, Credential Dumping 등
Sub-technique	기술의 구체적인 하위 유형	Spearphishing Attachment 등

Enterprise, Mobile, ICS(산업 제어 시스템) 별 Matrix 제공됨

---

4. 기술 요소

기술	설명	사용 예
ATT&CK Navigator	기술 매핑 및 시각화 툴	탐지/방어 커버리지 분석
Sigma, YARA 연동	탐지 룰과 기술 매핑	SIEM 룰 작성에 활용 가능
ATT&CK API	JSON 기반 위협 정보 자동 연동	CTI/EDR/보안 플랫폼 통합

AI 기반 위협 모델링에도 ATT&CK TTP 활용 가능

---

5. 장점 및 이점

장점	설명	효과
표준화된 위협 언어	사이버 보안 커뮤니케이션 단일화	벤더 간 연동 및 협업 강화
방어 전략 가시화	탐지 및 방어 미비 구간 확인 가능	보안 갭(Gap) 분석 도구 역할
공격자 관점 이해	실제 행위 기반 방어 전략 수립	수동 룰 기반 보안보다 효과적

레드팀/블루팀 모두에게 유용한 참조 모델 제공

---

6. 주요 활용 사례 및 고려사항

사례	설명	참고사항
위협 탐지 룰 설계	SIEM/EDR의 탐지 룰 개발 기준	Splunk, Sentinel 등에서 활용
보안 훈련/테스트	레드팀 시뮬레이션 시 기술 선택	Atomic Red Team 도구 연계 가능
보안 리스크 평가	조직 보안 커버리지 매핑 분석	보안 성숙도 평가에 활용됨

기술은 많지만 실제 탐지·대응 가능성은 사전 검증 필요함

---

7. 결론

MITRE ATT&CK는 현대 사이버 보안의 실질적 위협을 구조화된 방식으로 이해하고 대응하기 위한 핵심 프레임워크입니다. 기술 중심의 탐지·방어에서 행위 기반 전략으로 전환하려는 조직에게 필수적인 기준점 역할을 하며, 보안 조직 간 협업과 CTI 연계를 위한 공통 언어로 자리잡고 있습니다.