◎ 개요

  • MITRE ATT&CK를 제대로 읽으시려면 먼저 계층 구조부터 잡으시는 것이 좋습니다.
    ATT&CK는 상위에 Tactic, 그 아래에 Technique, 더 세부 단계로 Sub-technique를 두는 구조이며, 실제 공격 사례는 Procedure로 기록됩니다.
  • 이 구조를 이해하면 탐지 룰을 설계할 때도 “무슨 행동을 봐야 하는가”를 훨씬 명확하게 정리할 수 있습니다.

 

◎ Tactic은 왜, Technique은 어떻게

 - Tactic은 공격자의 목적, 즉 “왜 이 행동을 하는가”를 뜻합니다.

  • 예를 들어 공격자가 권한을 더 얻고 싶어 한다면 그 목적은 Privilege Escalation 같은 Tactic으로 해석할 수 있습니다.
  • 반면 Technique은 그 목적을 달성하는 방법, 즉 “어떻게 수행하는가”를 나타냅니다.

 

 - 이 차이는 실무에서 매우 중요합니다.

  • 같은 Tactic이라도 Technique은 여러 개일 수 있고, 하나의 Technique이 여러 Tactic에 연결되는 경우도 있습니다.
  • 그래서 ATT&CK를 볼 때는 “이 공격이 어떤 단계인가”만 보지 말고, “그 단계에서 어떤 행위가 실제로 일어났는가”까지 함께 보셔야 합니다.

 

◎ Sub-technique의 의미

 - Sub-technique는 Technique을 더 세밀하게 쪼갠 하위 분류입니다.

  • 예를 들어 하나의 Technique 안에서도 플랫폼, 도구, 실행 방식이 다르면 방어 관점에서 완전히 다른 탐지 포인트가 생길 수 있습니다.
  • 이런 차이를 반영하기 위해 ATT&CK는 Technique 아래에 Sub-technique를 두어 보다 구체적인 행위를 표현합니다.

 

 - 실무에서는 Sub-technique를 단순한 “세부 항목”으로만 보면 안 됩니다.

  • 오히려 어떤 로그가 필요한지, 어떤 룰을 분리해야 하는지, 어떤 방어 예외를 두어야 하는지에 직접 영향을 주는 요소로 보시는 편이 좋습니다.
  • 즉, Sub-technique는 탐지 정밀도를 높이기 위한 세부화 장치라고 이해하시면 됩니다.

 

◎ Technique ID 체계

 - ATT&CK의 Technique ID는 보통 Txxxx 형식을 사용합니다.

  • 여기서 xxxx는 숫자이며, Technique을 고유하게 식별하는 번호입니다.
  • Sub-technique는 여기에 점을 붙여 Txxxx.xxx 형태로 표시합니다.
  • 예를 들어 T1059는 하나의 Technique이고, T1059.001처럼 끝에 세부 번호가 붙으면 그 아래의 Sub-technique입니다.
  • 이 ID 체계는 블로그, 룰, 헌팅 쿼리, CTI 보고서에서 공통 참조 키로 쓰이기 때문에 매우 중요합니다.
  • 즉, 이름보다 ID를 먼저 익혀 두시면 도구와 문서가 달라도 같은 내용을 빠르게 연결할 수 있습니다.

 

◎ Procedure는 실제 사례

 - Procedure는 ATT&CK에서 가장 현실적인 부분입니다.

  • MITRE FAQ에 따르면 Procedure는 공격자가 Technique나 Sub-technique를 실제로 어떻게 구현했는지를 뜻하며, 현장에서 관찰된 사용 예시로 기록됩니다.
  • 즉, Technique가 “이론적 분류”라면 Procedure는 “실전 구현”이라고 보시면 이해가 쉽습니다.
  • 예를 들어 공격자가 자격 증명을 탈취하기 위해 PowerShell을 사용해 LSASS 메모리를 덤프했다면, 이는 단일 행위가 아니라 여러 (Sub-)Technique가 결합된 Procedure로 볼 수 있습니다.
  • 이런 사례는 ATT&CK의 “Procedure Examples” 섹션에서 확인할 수 있으며, 실제 공격 보고서와 탐지 설계를 연결하는 핵심 근거가 됩니다.
  • 즉, Procedure를 읽어야 Technique가 추상적인 이름이 아니라 실제 공격자 행동으로 보이게 됩니다.

 

◎ 실전에서 읽는 법

  • ATT&CK 매트릭스를 볼 때는 먼저 Tactic을 통해 공격자의 목적을 파악하고, 그 다음 Technique과 Sub-technique로 구체적인 행위를 읽으시는 순서가 좋습니다.
  • 이렇게 보면 공격 흐름이 훨씬 선명해지고, 어떤 로그와 어떤 경보가 필요한지도 자연스럽게 연결됩니다.
  • 특히 SIEM이나 EDR 환경에서는 Technique ID를 기준으로 룰을 라벨링하면 탐지 커버리지와 공백 분석이 쉬워집니다.
  • 또한 한 공격 보고서 안에 여러 Procedure가 등장하더라도, 그것을 바로 기술 이름으로만 받아들이지 마시고 Technique와 Sub-technique에 재분류해 보시는 것이 좋습니다.
  • 이 작업을 해 두시면 CTI 리포트, 위협 헌팅, Purple Team 시나리오까지 하나의 구조로 묶을 수 있습니다.

 

◎ 정리

  • Tactic은 공격자의 왜, Technique은 어떻게, Sub-technique는 어떤 구체적 방식으로를 보여 줍니다.
  • Technique ID는 Txxxx, Sub-technique ID는 Txxxx.xxx 형식으로 관리되며, Procedure는 실제 현장에서 관찰된 구현 사례입니다.
  • 이 구조를 이해하시면 ATT&CK를 단순한 분류표가 아니라, 탐지와 분석을 연결하는 실무 도구로 활용하실 수 있습니다.

 

 

 

반응형

+ Recent posts