MITRE CAPEC (Common Attack Pattern Enumeration and Classification)
개요
MITRE CAPEC는 MITRE 기관이 주도하는 공격자 관점의 공격 패턴(Attack Patterns)을 체계적으로 분류하고 정리한 위협 인텔리전스 프레임워크입니다. CWE(소프트웨어 취약점), CVE(공격 대상 취약점)와 연계되며, 보안 설계, 공격 시뮬레이션, 위협 모델링, 보안 교육 등 다양한 분야에서 활용됩니다. 공격의 ‘전술(Tactic)’과 ‘기법(Technique)’을 이해하고 방어 전략을 설계하는 데 핵심 도구입니다.
1. 개념 및 정의
CAPEC는 사이버 공격자들이 사용하는 공격 수단과 시나리오를 고유 ID와 이름으로 분류하여 다음 정보를 제공합니다:
- CAPEC ID: 고유 공격 패턴 식별자 (예: CAPEC-66: SQL Injection)
- Attack Pattern: 공격자가 수행하는 기술 또는 전술의 설명
- Taxonomy Tag: 공격 분류 (예: Injection, Spoofing, Enumeration 등)
- Relationships: CWE, CVE, ATT&CK 등과의 연계 정보
이는 공격을 예방하는 ‘방어자 중심의 사고’가 아니라, 공격자 관점의 사고로 전환하게 합니다.
2. 특징
| 항목 | 설명 | 효과 |
| 공격자 시나리오 중심 | 실제 공격 흐름에 따른 분류 구조 | 방어 전략의 현실성 강화 |
| CWE, CVE 연계 | 취약점(CWE), 사례(CVE)와 연결 | 실전 위협과 지식 체계 통합 |
| 계층형 구조 | 공격의 상위/하위 분류 체계 | 전술적/전략적 대응 구조 수립 가능 |
| 전술-기법-수단 구분 | MITRE ATT&CK과 통합 가능 | 표준 위협 모델링 연계 가능 |
CAPEC는 조직의 사전적 방어 전략 설계에 기반을 제공합니다.
3. 구성 요소
| 요소 | 설명 | 예시 |
| CAPEC ID | 고유 식별자 | CAPEC-137 (Parameter Injection) |
| Attack Technique | 공격 수단 및 동작 방식 설명 | 사용자 입력을 조작하여 명령 실행 유도 |
| Typical Severity | 예상 피해 수준 | Medium, High 등 |
| Related Weakness | 연계된 CWE 항목 | CWE-89 (SQL Injection) 등 |
| Mitigations | 대응 방법 제시 | 입력 검증, 인증 강화 등 |
각 항목은 CAPEC 공식 리포지터리 또는 JSON 포맷으로 제공됩니다.
4. 기술 요소
| 기술 요소 | 설명 | 활용 예시 |
| 위협 모델링 도구 연동 | STRIDE, LINDDUN과 결합 | 보안 설계 단계에서 공격 경로 식별 |
| 침투 테스트 설계 기반 | 시나리오 기반 공격 흐름 생성 | Red Team 활동 시 CAPEC 시퀀스 기반 구성 |
| 보안 분석 도구 통합 | SIEM, SOAR와 연계 | 경보 발생 시 CAPEC 코드 기준 자동 태깅 |
| 개발 보안 교육 콘텐츠 | 개발자 대상 실전형 교육 콘텐츠 구성 | CAPEC 기반 보안코딩 워크샵 |
CAPEC는 공격 인텔리전스와 DevSecOps 연계를 가능하게 하는 브릿지 역할을 합니다.
5. 장점 및 이점
| 장점 | 설명 | 기대 효과 |
| 사전 방어 설계 가능 | 공격 패턴을 사전에 모델링 | 위협 기반 보안 아키텍처 가능 |
| 위협 인식 정량화 | 각 공격 유형별 고유 ID 및 심각도 명시 | 조직 내 위협 수준 평가 체계화 |
| 보안 교육 정량화 | 공격자 사고방식 기반 실전 교육 | 개발자/운영자 보안 감수성 향상 |
| ATT&CK·CWE 연계 | 전방위 위협 분석 기반 마련 | 조직별 대응 전략 자동화 가능 |
CAPEC는 단일 사고 대응보다 체계적 위협 방어 체계 설계에 강력한 기반을 제공합니다.
6. 주요 활용 사례 및 고려사항
| 사례 | 설명 | 고려사항 |
| DevSecOps 보안 설계 | 설계 단계에서 공격자 시나리오 반영 | CAPEC ↔ CWE 맵핑 전략 수립 필요 |
| 레드팀 공격 시나리오 구축 | 침투 테스트를 CAPEC 기반으로 구성 | 공격 유형 별 Severity 평가 기준 확립 필요 |
| 조직 보안 역량 진단 | 보안 훈련, 퀴즈, 워크숍에 CAPEC 활용 | 실무 맥락 기반 시나리오 설계 필수 |
활용 시 최신 CAPEC DB 유지, 분석 자동화 연동 전략, 분석가 교육 병행이 중요합니다.
7. 결론
MITRE CAPEC는 공격자 관점에서 사이버 공격 패턴을 정형화하고 방어 전략을 사전적으로 설계할 수 있게 해주는 국제 위협 지식 체계입니다. CWE, CVE, ATT&CK과의 연계성과 실전성 높은 구조 덕분에 보안 설계, 위협 시뮬레이션, 교육, 자동화 대응까지 전방위로 활용 가능하며, 위협 중심 보안 전략 수립을 위한 핵심 기반으로 자리매김하고 있습니다.