PASTA(Process for Attack Simulation and Threat Analysis)

개요

PASTA(Process for Attack Simulation and Threat Analysis)는 공격 중심(attack-centric) 위협 모델링 방법론으로, 애플리케이션의 기술 구조와 비즈니스 영향, 실제 공격 시나리오까지 통합 분석하여 실효성 높은 보안 대응 전략을 도출하는 7단계 프레임워크이다. DevSecOps 환경에서 보안 요구사항 정의, 위협 우선순위 도출, 보안 아키텍처 수립에 최적화되어 있다.

---

1. 개념 및 정의

PASTA는 비즈니스 위험과 기술 위협을 연결해 보안 설계를 가능케 하는 위협 모델링 접근법이다. 프로세스 중심의 구조화된 7단계 절차로 구성되며, 공격 시뮬레이션을 통해 실질적 리스크 기반 보안 요구사항을 도출한다.

단계	이름	설명
1단계	Definition of the Objectives	비즈니스 목표, 자산, 규제 요구사항 정의
2단계	Definition of the Technical Scope	시스템 구성, 아키텍처, 기술 스택 식별
3단계	Application Decomposition and Analysis	데이터 흐름, 인터페이스, 역할 모델 분석
4단계	Threat Analysis	위협 벡터, 위협 행위자, STRIDE 기반 위험 요소 도출
5단계	Vulnerability and Weakness Analysis	취약점 매핑 (CWE, CVE 등), 공격 표면 도출
6단계	Attack Simulation	위협 시나리오 기반 공격 경로 분석
7단계	Risk and Impact Analysis	리스크 수치화, 대응 우선순위 정의 및 보고

---

2. 특징

항목	PASTA	STRIDE	OWASP Top 10
분석 관점	공격 시나리오 기반	위협 유형 기반	취약점 기반
프로세스 구조	7단계 체계적 절차	간결한 요소 기반	항목별 단편적 대응
보안 요구 정의	가능 (리스크 기반 도출)	제한적	비포괄적
정량 평가	위험도 분석 포함	간접적	거의 없음

• 공격자 중심 사고: 실제 해커의 시점에서 보안 우선순위 판단 가능
• 정량적 리스크 평가: 보안 ROI, 대응 비용 등 의사결정 자료 활용 가능
• 보안 요구사항 자동 생성 기반 마련

---

3. 활용 도구 및 기술 요소

도구/프레임워크	설명	적용 사례
MITRE ATT&CK	공격 기술 매핑	단계 4~6 활용 가능
CVSS / CWE	취약점 영향도 수치화	단계 5에서 리스크 평가
Data Flow Diagram (DFD)	아키텍처 흐름 시각화	단계 3에서 활용
RiskLens / FAIR	비즈니스 영향 분석	단계 7에서 정량적 분석
OWASP Threat Dragon	PASTA 적용 시각화 도구	위협 모델 보고서 생성

---

4. 장점 및 이점

장점	설명	기대 효과
리스크 기반 설계 가능	기술과 비즈니스 리스크 연결	합리적 보안 예산 집행 가능
규제 대응 문서화 용이	분석 근거 및 위협 매핑 명확	GDPR, ISO27001 등 감사 대응
DevSecOps 통합 용이	요구사항 자동화 연계 가능	CI/CD와 보안 테스트 통합 가능
반복 가능 프로세스	시스템 변화에 따른 재활용 가능	위협 대응 민첩성 확보

---

5. 주요 활용 사례 및 고려사항

사례	적용 방식	유의점
클라우드 서비스 설계	멀티테넌시 환경에서 공격 경로 모델링	구성 경계 및 권한 분리 명확화 필요
금융 시스템 리디자인	위험 요소 재정의 및 대응 우선순위 수립	서비스 연계 리스크 반영 필요
스타트업 MVP 보안 분석	초기 릴리스에 최소 보안 요구 반영	오버엔지니어링 방지

• 공격 시나리오는 최신 트렌드(MITRE 등) 반영 필요
• 단계 간 연계성 및 반복 가능성을 고려한 문서 구조 설계 필요

---

6. 결론

PASTA는 단순 취약점 분석을 넘어, 보안 요구사항을 체계적으로 도출하고 실제 공격 시나리오 기반으로 위협을 평가할 수 있는 실전적 위협 모델링 방법론이다. DevSecOps, 클라우드 네이티브, 민감 데이터 기반 시스템 등에서 반복 활용이 가능하며, 전략적 보안 설계를 위한 강력한 프레임워크로 주목받고 있다.