◎ 개요
- 사이버 보안에서 MITRE ATT&CK는 단순한 “공격 분류표”가 아니라, 실제 공격자가 어떻게 움직이는지를 행위 기반으로 정리한 지식 기반입니다.
- 특히 SOC, EDR, CTI 환경에서는 공격을 IOC 중심으로만 보지 않고, 전술과 기법 단위로 해석할 수 있게 해 주기 때문에 탐지 설계와 위협 분석의 공통 언어로 널리 활용됩니다.
◎ ATT&CK의 목적
- ATT&CK의 핵심 목적은 공격자의 행위를 표준화된 언어로 정리해 방어자가 더 잘 탐지하고 대응하도록 돕는 것입니다.
- 이 프레임워크는 실제 관찰된 침해 사례를 기반으로 유지되며, 조직이 보안 간극을 찾고 완화 우선순위를 정하는 데 활용됩니다.
- 즉, 특정 악성코드 이름이나 해시값보다 “공격자가 무엇을 했는가”를 중심에 둔 구조라고 이해하시면 됩니다.
- ATT&CK는 탐지 룰, 헌팅 가설, 위협 인텔리전스 분석, 레드팀 시나리오까지 하나의 체계로 묶어 줍니다.
- 그래서 보안팀은 “이 위협이 어떤 도구를 썼는가”보다 “어떤 전술과 기법이 반복되는가”를 기준으로 방어 전략을 수립할 수 있습니다.
◎ CTI 기반 철학
- ATT&CK의 설계 철학은 CTI와 매우 가깝습니다.
CTI는 위협 주체의 목적, 기법, 인프라, 절차를 이해해 방어에 반영하는 것이 핵심이고, ATT&CK는 그중에서도 반복적으로 관찰되는 행위 패턴을 체계적으로 정리합니다. - 그래서 ATT&CK는 단순한 공격 사전이 아니라, “실제 관찰된 적대 행위”를 바탕으로 한 운영형 지식베이스에 가깝습니다.
- 이 관점은 보안 운영에 특히 유용합니다.
- 같은 공격자라도 도구는 바꾸지만 행위 패턴은 반복되는 경우가 많기 때문입니다.
- ATT&CK는 바로 이 반복성을 기반으로 탐지 로직과 대응 절차를 재사용 가능하게 만들어 줍니다.
◎ Cyber Kill Chain과 차이
- Cyber Kill Chain은 공격을 단계적으로 설명하는 데 강점이 있는 선형 모델입니다.
- 반면 ATT&CK는 공격자가 수행하는 구체적인 전술과 기술을 더 세밀하게 분해해 보여 주는 행위 중심 모델입니다.
- 즉, Kill Chain이 “공격이 어떤 순서로 진행되는가”를 설명하는 데 유리하다면, ATT&CK는 “그 단계에서 공격자가 실제로 무엇을 했는가”를 설명하는 데 더 강합니다.
- 실무에서는 두 모델을 경쟁 관계로 보기보다 보완 관계로 보는 편이 좋습니다.
- Kill Chain은 보고서의 큰 흐름을 잡는 데 좋고, ATT&CK는 그 흐름 안에서 탐지 포인트와 로그 수집 지점을 설계하는 데 좋습니다.
- 예를 들어 침투 이후 단계에서 공격자가 자격 증명 수집, 권한 상승, 방어 회피를 시도했다면, ATT&CK는 이를 각각의 기법으로 나누어 탐지와 헌팅을 세분화할 수 있게 해 줍니다.
◎ SOC에서의 활용
- SOC에서는 ATT&CK를 탐지 커버리지 관리에 많이 사용합니다.
- 현재 보유한 EDR, SIEM, NDR, IDP 등 각종 로그와 룰이 어떤 Technique를 커버하는지 매핑하면, 방어 공백을 쉽게 확인할 수 있습니다.
- 이 방식은 경보를 많이 만드는 것보다, 실제로 놓치고 있는 행위를 찾는 데 더 효과적입니다.
- 또한 SOC는 ATT&CK를 이용해 경보를 분류하고 우선순위를 조정할 수 있습니다.
- 예를 들어 동일한 이벤트라도 Initial Access와 Impact 계열 기법인지, 아니면 단순한 오탐 후보인지에 따라 대응 우선순위가 달라질 수 있습니다.
- ATT&CK 기반 태깅을 해 두면 교대 근무자 간 인수인계나 사건 타임라인 정리도 훨씬 일관되게 이루어집니다.
◎ EDR에서의 활용
- EDR에서는 ATT&CK가 탐지 룰의 구조를 정리하는 데 유용합니다.
- 예를 들어 PowerShell 실행, 의심스러운 스크립트 인터프리터 사용, 자격 증명 덤핑, 원격 서비스 실행 같은 행위를 Technique 단위로 묶으면 제품별 탐지 편차를 비교하기 쉬워집니다.
- 즉, EDR의 알림을 단순 이벤트가 아니라 “어떤 공격 기술을 시사하는가”로 해석할 수 있게 됩니다.
- 이 접근은 탐지 엔지니어링에도 직접 연결됩니다.
- ATT&CK에서 Technique를 기준으로 룰을 관리하면, 특정 벤더 제품을 바꾸더라도 탐지 목표를 유지하기 쉽습니다.
- 결국 EDR은 도구이고, ATT&CK는 그 도구를 평가하고 설계하는 기준점 역할을 하게 됩니다.
◎ CTI에서의 활용
- CTI에서는 ATT&CK가 위협 보고서의 기술적 내용을 표준화하는 데 쓰입니다.
- APT나 랜섬웨어 보고서에서 “어떤 행위가 관찰되었는가”를 Technique와 Sub-technique로 정리하면, 다른 조직과 비교하거나 내부 대응책으로 연결하기가 훨씬 쉬워집니다.
- 특히 단일 캠페인보다 특정 공격 그룹의 반복 패턴을 분석할 때 ATT&CK 매핑은 매우 유용합니다.
- CTI 팀은 이를 통해 위협 주체별 우선순위를 정하고, 실제 환경에 맞는 헌팅 가설을 세울 수 있습니다.
- 예를 들어 특정 그룹이 초기 침투 이후 자격 증명 접근과 원격 서비스 사용을 자주 한다면, 해당 기법에 대한 로그 확보와 헌팅 쿼리를 먼저 준비하는 식입니다.
◎ 실무 포인트
- ATT&CK를 제대로 활용하려면 “행위 중심”으로 보는 습관이 중요합니다.
- 악성코드 이름이나 IP 주소가 바뀌어도 공격자의 전술은 반복될 수 있으므로, 탐지와 분석은 Technique 단위로 쌓아 가는 편이 좋습니다.
- 또한 MITRE ATT&CK Navigator 같은 시각화 도구를 함께 쓰면 커버리지와 공백을 한눈에 파악하기 좋습니다.
- 실무적으로는 다음 순서가 가장 이해하기 쉽습니다.
- 내부 로그와 룰을 ATT&CK Technique에 매핑합니다.
- 커버되지 않는 기법을 식별합니다.
- 우선순위가 높은 공격군에 맞춰 탐지 룰을 보강합니다.
- 다시 헌팅과 사고 대응 절차에 반영합니다.
◎ 정리
- MITRE ATT&CK는 공격을 설명하는 프레임워크이면서 동시에 방어를 설계하는 프레임워크입니다.
- Cyber Kill Chain이 큰 흐름을 보여 준다면, ATT&CK는 그 안의 구체적 행위를 세밀하게 분해해 SOC, EDR, CTI 운영에 바로 연결할 수 있게 해 줍니다.
- 그래서 보안 실무에서는 ATT&CK를 단순 참고 자료가 아니라, 탐지와 헌팅, 대응을 정렬하는 기준축으로 쓰는 것이 가장 효과적입니다.
반응형
'IT > MITRE ATT&CK' 카테고리의 다른 글
| [MITRE ATT&CK] ATT&CK Navigator 실습하기 (0) | 2026.06.22 |
|---|---|
| [MITRE ATT&CK] Data-driven Detection 관점에서 ATT&CK 보기 (0) | 2026.06.21 |
| [MITRE ATT&CK] ATT&CK 구성요소 심화 이해하기 (0) | 2026.06.20 |
| [MITRE ATT&CK] Tactic, Technique, Sub-technique 구조 이해하기 (0) | 2026.06.19 |
| [MITRE ATT&CK] MITRE ATT&CK Matrix 구조 이해하기 (0) | 2026.06.18 |
