◎ 개요

  • ATT&CK Navigator를 제대로 쓰시면 단순히 매트릭스를 보는 수준을 넘어, 우리 환경의 탐지 커버리지와 공격 우선순위를 한눈에 정리하실 수 있습니다.
  • 특히 Layer를 여러 개 만들고 이를 합치면 어떤 Technique가 반복적으로 등장하는지, 어디에 방어 공백이 있는지, 어떤 시나리오를 Purple Team 대상으로 삼아야 하는지까지 연결됩니다.
  • 실무에서는 이 기능이 CTI 분석, 탐지 엔지니어링, 보안 로드맵 작성에 모두 유용합니다.

 

◎ Layer 생성하기

 - Navigator의 기본 단위는 Layer입니다.

  • Layer는 특정 위협 그룹, 특정 공격 캠페인, 특정 방어 체계, 또는 특정 환경의 탐지 상태를 시각적으로 표현하는 사용자 정의 뷰라고 보시면 됩니다.
  • 새 Layer를 만들면 비어 있는 매트릭스에서 시작할 수 있고, 기존 Layer를 불러오거나 다른 Layer를 기반으로 새 Layer를 만들 수도 있습니다.

 

 - 실무에서는 보통 다음처럼 사용하시면 편합니다.

  • 하나의 Layer에 위협 그룹의 Technique를 넣습니다.
  • 다른 Layer에 내부 탐지 커버리지를 넣습니다.
  • 이후 두 Layer를 비교하거나 결합해 차이를 봅니다. 이 방식은 개별 공격군 분석과 내부 방어 상태를 같은 화면에서 비교할 수 있게 해 줍니다.

 

◎ Heatmap 구성하기

 - Heatmap은 Technique 사용 빈도나 중요도를 색상으로 표현하는 방식입니다.

  • Navigator에서는 각 Technique에 점수(score)를 부여한 뒤, 이를 기반으로 색의 강도를 조절해 시각화할 수 있습니다.

 

 - 예를 들어

  • 여러 공격 그룹에서 자주 등장하는 Technique는 더 진하게 표시하고, 거의 보이지 않는 Technique는 약하게 표시할 수 있습니다.

 

 - Heatmap을 잘 쓰는 핵심은 점수의 기준을 일관되게 두는 것입니다.

  • 단순히 “많이 보였다”가 아니라 “우리 환경에서 중요도가 높은가”, “위협 보고서에서 반복되었는가”, “실제 탐지 룰이 있는가” 같은 기준을 미리 정해 두시면 해석이 훨씬 쉬워집니다.
  • 이렇게 만들어진 Heatmap은 탐지 우선순위와 헌팅 우선순위를 직관적으로 보여 줍니다.

 

◎ Detection Coverage 시각화

 - Navigator의 가장 실무적인 용도 중 하나가 Detection Coverage 시각화입니다.

  • 여기서 중요한 것은 “어떤 Technique를 알고 있느냐”가 아니라 “어떤 Technique를 실제로 관찰하고 있느냐”입니다.
  • 따라서 내부 로그, EDR 룰, SIEM 탐지, 클라우드 로그를 기준으로 Layer를 만들고, 커버되는 Technique와 비어 있는 Technique를 분리해 보셔야 합니다.

 

 - 예를 들어

  • 엔드포인트 탐지가 강한 조직이라면 Execution, Credential Access, Defense Evasion 쪽은 진하게 보일 수 있고, 클라우드 계정 보호가 약하면 Persistence나 Privilege Escalation의 클라우드 관련 Technique가 비어 있을 수 있습니다.
  • 이 차이를 시각화하면 단순한 표보다 훨씬 빠르게 방어 공백을 찾을 수 있습니다.
  • 또한 팀 회의에서 비전문가에게도 현재 커버리지를 설명하기 쉬워집니다.

 

 

◎ 실습 흐름

 - 실습을 하실 때는 먼저 기준이 되는 Layer를 하나 만드시는 것이 좋습니다.

  • 그 Layer에 특정 위협 그룹의 Technique 집합이나 특정 공격 시나리오를 넣고, 각 Technique에 점수를 할당합니다.
  • 그다음 내부 탐지 Layer를 별도로 만들어 “탐지됨”, “부분 탐지”, “미탐지” 같은 기준으로 색을 부여하시면 됩니다.

 

 - 이후 두 Layer를 비교하면 다음과 같은 질문에 답하기 쉬워집니다.

  • 어떤 Technique가 위협 측면에서는 자주 쓰이는데 방어는 약한가.
  • 어떤 전술 단계가 반복적으로 비어 있는가.
  • 어떤 로그 소스를 먼저 보강해야 하는가.

 - 즉, Navigator는 단순한 시각화 도구가 아니라 탐지 개선 우선순위를 정하는 의사결정 도구로 쓰는 편이 좋습니다.

 

◎ Purple Team 활용

 - Purple Team에서는 Navigator가 특히 유용합니다.

  • 공격 시나리오를 ATT&CK Technique로 먼저 정리해 두면, 레드팀은 어떤 행위를 재현할지 명확해지고 블루팀은 어떤 로그와 탐지를 준비해야 하는지 쉽게 정리할 수 있습니다.
  • 즉, 기술 이름이 아니라 Technique 단위로 합의하면 협업 비용이 크게 줄어듭니다.

 

 - 실전에서는 다음 순서가 가장 효율적입니다.

  • 우선순위 높은 Technique를 고릅니다.
  • 해당 Technique를 재현하는 공격 절차를 준비합니다.
  • 공격 중 어떤 로그가 남는지 확인합니다.
  • 탐지되지 않은 구간을 보강합니다.

 

 - 이 과정을 반복하면 Purple Team은 일회성 점검이 아니라 지속적인 탐지 개선 사이클이 됩니다.

  • Purple Team에서 Navigator를 쓰면 결과를 시각적으로 공유하기도 쉽습니다.
  • 레드팀이 수행한 Technique와 블루팀이 탐지한 Technique를 서로 다른 색으로 표시하면, 무엇을 잡았고 무엇을 놓쳤는지 한눈에 드러납니다.
  • 이 방식은 탐지 품질, 로그 품질, 대응 성숙도를 동시에 점검하는 데 효과적입니다.

 

◎ 실무 팁

 - Navigator를 처음 쓰실 때는 처음부터 모든 Technique를 채우려 하지 않으시는 편이 좋습니다.

  • 먼저 중요한 전술 몇 개만 잡고, 내부 로그로 실제 확인 가능한 Technique부터 색을 입히는 것이 현실적입니다.
  • 그다음 가시성이 확보되면 위협 그룹별 Layer, 클라우드 Layer, EDR Layer처럼 점차 확장하시면 됩니다.
  • 또한 Heatmap 색상은 지나치게 복잡하게 만들지 않는 것이 좋습니다.
  • 색상은 해석을 돕기 위한 수단이지, 그 자체가 목표는 아닙니다.
  • 점수 체계와 범례를 단순하게 유지하면 회의나 보고서에서도 전달력이 훨씬 좋아집니다.

 

◎ 정리

  • ATT&CK Navigator는 Layer를 만들고, 그 위에 Technique 점수와 색을 입혀, 공격과 방어를 동시에 보게 해 주는 도구입니다.
  • Heatmap은 반복되는 위협과 중요한 Technique를 직관적으로 보여 주고, Detection Coverage 시각화는 내부 방어 공백을 빠르게 찾게 해 줍니다.
  • 그리고 Purple Team에서는 공격 재현과 탐지 검증을 하나의 공통 언어로 묶어 주는 역할을 합니다.

 

 

 

반응형

+ Recent posts