◎ 개요

  • 사이버 보안 실무에서 MITRE ATT&CK는 단순히 공격 기법을 나열한 목록이 아니라, 공격자의 행위를 도메인과 플랫폼 단위로 체계화한 매트릭스입니다.
  • v19.1 기준으로 ATT&CK를 이해하려면 먼저 Enterprise, Mobile, ICS의 차이와 플랫폼 개념, 그리고 과거에 분리되어 있던 PRE-ATT&CK의 통합 흐름을 함께 보시는 것이 좋습니다.
  • 이 구조를 이해하시면 이후 탐지 룰 설계, 헌팅 시나리오 구성, CTI 매핑까지 훨씬 수월해집니다.

 

◎ Enterprise, Mobile, ICS 차이

  • ATT&CK의 세 가지 주요 매트릭스는 서로 다른 공격 환경을 다룹니다. 
  • Enterprise는 기업 IT 환경과 클라우드, 인프라를 포괄하며, 실제 조직의 서버, 엔드포인트, 계정, SaaS, IaaS까지 폭넓게 포함합니다. 
  • Mobile은 iOS와 Android 기반 장치를 대상으로 한 공격 행위를 다루고, ICS는 산업 제어 시스템과 OT 환경의 공격 행위를 중심으로 구성됩니다.
  • 즉, 같은 ATT&CK라도 “어떤 운영 환경을 기준으로 보느냐”에 따라 매트릭스가 달라집니다.
  • Enterprise는 현재 가장 널리 활용되는 영역이며, 실제 SOC와 CTI, EDR 운영에서도 가장 자주 참조됩니다.
  • 반면 Mobile은 앱 권한, 단말 탈취, 계정 연동 같은 특성이 중요하고, ICS는 가용성과 안전성이 우선이기 때문에 IT 보안과 다른 관점이 필요합니다.

 

◎ Enterprise 매트릭스

  • Enterprise Matrix는 현재 ATT&CK의 중심축이라고 보셔도 좋습니다.
  • MITRE 공식 Enterprise Matrix에는 Windows, macOS, Linux뿐 아니라 PRE, Office Suite, Identity Provider, SaaS, IaaS, Network Devices, Containers, ESXi가 포함되어 있습니다.
  • 즉, 과거처럼 단일 OS 중심 프레임워크가 아니라, 엔터프라이즈 전반의 공격 표면을 다루는 구조로 확장되었습니다.
  • 실무적으로는 Enterprise Matrix를 보면 초기 침투부터 영향 단계까지 공격 흐름을 더 세분화해 파악할 수 있습니다.
  • 예를 들어 온프레미스 Windows 서버에서의 침해와 SaaS 계정 탈취, 클라우드 IAM 오남용, 컨테이너 환경 공격은 모두 Enterprise 안에서 해석할 수 있습니다.
  • 이 점 때문에 Enterprise는 탐지 엔지니어링과 위협 인텔리전스의 공통 기준으로 가장 많이 사용됩니다.

 

 

◎ Mobile과 ICS

 - Mobile Matrix는 모바일 기기의 특성을 반영합니다.

  • 단순히 “작은 PC”를 보는 것이 아니라, 앱 생태계, 권한 모델, 이동통신, 단말 분실과 계정 연동 같은 요소를 고려해야 합니다.
  • 그래서 모바일 공격을 다룰 때는 네트워크 트래픽보다 앱 행위, 권한 요청, 인증 흐름, 기기 관리 체계가 더 중요해지는 경우가 많습니다.

 - ICS Matrix는 산업 제어 시스템의 안정성과 안전성을 중심에 둡니다.

  • IT 환경에서는 비정상 행위 탐지가 핵심이지만, ICS에서는 가동 중단과 물리적 영향까지 고려해야 하므로 공격 행위의 의미가 훨씬 더 민감해집니다.
  • 따라서 ICS는 행위 분류 자체도 중요하지만, 실제 운영 영향과 공정 안정성 관점에서 해석해야 합니다.

 

◎ Platform 개념

  • ATT&CK에서 Platform은 공격이 발생하는 대상 환경을 뜻합니다.
  • Enterprise 기준으로는 Windows, macOS, Linux 같은 운영체제뿐 아니라 SaaS, IaaS, Identity Provider, Office Suite, Containers, ESXi, Network Devices까지 플랫폼으로 다뤄집니다.
  • 즉, 플랫폼은 단순한 제품명이 아니라 공격자가 상호작용하는 운영 환경의 범주라고 이해하시면 됩니다.
  • 이 개념이 중요한 이유는 같은 Technique라도 플랫폼에 따라 탐지 포인트가 달라지기 때문입니다.
  • 예를 들어 계정 기반 공격은 Windows 로컬 계정, Azure AD 같은 IdP, SaaS 세션, 클라우드 역할 권한에서 전혀 다른 관찰 지점을 가질 수 있습니다.
  • 따라서 ATT&CK를 볼 때는 Technique 이름만 보지 말고, 반드시 어떤 Platform에 적용되는지 함께 확인하시는 것이 좋습니다.

 

◎ PRE-ATT&CK 통합

  • PRE-ATT&CK는 과거에 공격 전 단계, 즉 피해자 환경 밖에서 수행되는 정찰과 자원 개발 행위를 다루던 별도 영역이었습니다.
  • 하지만 현재는 Enterprise Matrix 안으로 통합되어 있으며, MITRE 공식 Enterprise Matrix에서도 PRE Platform이 포함되어 있습니다.
  • 즉, PRE는 독립 프레임워크가 아니라 Enterprise의 일부로 이해하시는 것이 v19.1 기준에 맞습니다.
  • PRE의 핵심은 공격자가 피해자 내부에 들어오기 전에 어떤 준비를 하는지 보는 데 있습니다.
  • 예를 들어 타깃 조사, 인프라 준비, 계정 확보, 도구 개발 같은 활동은 실제 침해 이전 단계의 전형적인 행위로 해석할 수 있습니다.
  • 이 통합 덕분에 ATT&CK는 단순히 침투 이후 행위만 보는 것이 아니라, 공격 준비 단계부터 연속적으로 추적할 수 있게 되었습니다.

 

◎ 실무 적용 포인트

  • Enterprise, Mobile, ICS를 구분하고 Platform을 함께 보는 습관은 탐지 품질에 직접적인 영향을 줍니다.
  • 예를 들어 기업 내부 관제에서는 Windows와 Linux만 보는 것보다 SaaS와 Identity Provider까지 함께 보면 훨씬 현실적인 커버리지를 만들 수 있습니다.
  • 또한 PRE 통합 개념을 이해하면 CTI 보고서에서 침해 전 준비 활동까지 함께 매핑할 수 있어, 초기 경보와 사전 대응에도 도움이 됩니다.

 

◎ 정리

  • 정리하자면, ATT&CK v19.1의 구조는 “도메인”과 “플랫폼”을 기준으로 이해해야 가장 명확합니다.
  • Enterprise는 기업과 클라우드 운영 전반, Mobile은 모바일 단말, ICS는 산업 제어 시스템을 다루며, PRE는 Enterprise 안에 통합된 사전 침해 단계로 보시면 됩니다.
  • 이 구조를 정확히 잡아 두시면 이후 Tactic, Technique, Sub-technique를 읽을 때 훨씬 자연스럽게 연결됩니다.

 

 

 

반응형

+ Recent posts