◎ 개요
- ATT&CK Navigator를 제대로 쓰시면 단순히 매트릭스를 보는 수준을 넘어, 우리 환경의 탐지 커버리지와 공격 우선순위를 한눈에 정리하실 수 있습니다.
- 특히 Layer를 여러 개 만들고 이를 합치면 어떤 Technique가 반복적으로 등장하는지, 어디에 방어 공백이 있는지, 어떤 시나리오를 Purple Team 대상으로 삼아야 하는지까지 연결됩니다.
- 실무에서는 이 기능이 CTI 분석, 탐지 엔지니어링, 보안 로드맵 작성에 모두 유용합니다.
◎ Layer 생성하기
- Navigator의 기본 단위는 Layer입니다.
- Layer는 특정 위협 그룹, 특정 공격 캠페인, 특정 방어 체계, 또는 특정 환경의 탐지 상태를 시각적으로 표현하는 사용자 정의 뷰라고 보시면 됩니다.
- 새 Layer를 만들면 비어 있는 매트릭스에서 시작할 수 있고, 기존 Layer를 불러오거나 다른 Layer를 기반으로 새 Layer를 만들 수도 있습니다.
- 실무에서는 보통 다음처럼 사용하시면 편합니다.
- 하나의 Layer에 위협 그룹의 Technique를 넣습니다.
- 다른 Layer에 내부 탐지 커버리지를 넣습니다.
- 이후 두 Layer를 비교하거나 결합해 차이를 봅니다. 이 방식은 개별 공격군 분석과 내부 방어 상태를 같은 화면에서 비교할 수 있게 해 줍니다.
◎ Heatmap 구성하기
- Heatmap은 Technique 사용 빈도나 중요도를 색상으로 표현하는 방식입니다.
- Navigator에서는 각 Technique에 점수(score)를 부여한 뒤, 이를 기반으로 색의 강도를 조절해 시각화할 수 있습니다.
- 예를 들어
- 여러 공격 그룹에서 자주 등장하는 Technique는 더 진하게 표시하고, 거의 보이지 않는 Technique는 약하게 표시할 수 있습니다.
- Heatmap을 잘 쓰는 핵심은 점수의 기준을 일관되게 두는 것입니다.
- 단순히 “많이 보였다”가 아니라 “우리 환경에서 중요도가 높은가”, “위협 보고서에서 반복되었는가”, “실제 탐지 룰이 있는가” 같은 기준을 미리 정해 두시면 해석이 훨씬 쉬워집니다.
- 이렇게 만들어진 Heatmap은 탐지 우선순위와 헌팅 우선순위를 직관적으로 보여 줍니다.
◎ Detection Coverage 시각화
- Navigator의 가장 실무적인 용도 중 하나가 Detection Coverage 시각화입니다.
- 여기서 중요한 것은 “어떤 Technique를 알고 있느냐”가 아니라 “어떤 Technique를 실제로 관찰하고 있느냐”입니다.
- 따라서 내부 로그, EDR 룰, SIEM 탐지, 클라우드 로그를 기준으로 Layer를 만들고, 커버되는 Technique와 비어 있는 Technique를 분리해 보셔야 합니다.
- 예를 들어
- 엔드포인트 탐지가 강한 조직이라면 Execution, Credential Access, Defense Evasion 쪽은 진하게 보일 수 있고, 클라우드 계정 보호가 약하면 Persistence나 Privilege Escalation의 클라우드 관련 Technique가 비어 있을 수 있습니다.
- 이 차이를 시각화하면 단순한 표보다 훨씬 빠르게 방어 공백을 찾을 수 있습니다.
- 또한 팀 회의에서 비전문가에게도 현재 커버리지를 설명하기 쉬워집니다.
◎ 실습 흐름
- 실습을 하실 때는 먼저 기준이 되는 Layer를 하나 만드시는 것이 좋습니다.
- 그 Layer에 특정 위협 그룹의 Technique 집합이나 특정 공격 시나리오를 넣고, 각 Technique에 점수를 할당합니다.
- 그다음 내부 탐지 Layer를 별도로 만들어 “탐지됨”, “부분 탐지”, “미탐지” 같은 기준으로 색을 부여하시면 됩니다.
- 이후 두 Layer를 비교하면 다음과 같은 질문에 답하기 쉬워집니다.
- 어떤 Technique가 위협 측면에서는 자주 쓰이는데 방어는 약한가.
- 어떤 전술 단계가 반복적으로 비어 있는가.
- 어떤 로그 소스를 먼저 보강해야 하는가.
- 즉, Navigator는 단순한 시각화 도구가 아니라 탐지 개선 우선순위를 정하는 의사결정 도구로 쓰는 편이 좋습니다.
◎ Purple Team 활용
- Purple Team에서는 Navigator가 특히 유용합니다.
- 공격 시나리오를 ATT&CK Technique로 먼저 정리해 두면, 레드팀은 어떤 행위를 재현할지 명확해지고 블루팀은 어떤 로그와 탐지를 준비해야 하는지 쉽게 정리할 수 있습니다.
- 즉, 기술 이름이 아니라 Technique 단위로 합의하면 협업 비용이 크게 줄어듭니다.
- 실전에서는 다음 순서가 가장 효율적입니다.
- 우선순위 높은 Technique를 고릅니다.
- 해당 Technique를 재현하는 공격 절차를 준비합니다.
- 공격 중 어떤 로그가 남는지 확인합니다.
- 탐지되지 않은 구간을 보강합니다.
- 이 과정을 반복하면 Purple Team은 일회성 점검이 아니라 지속적인 탐지 개선 사이클이 됩니다.
- Purple Team에서 Navigator를 쓰면 결과를 시각적으로 공유하기도 쉽습니다.
- 레드팀이 수행한 Technique와 블루팀이 탐지한 Technique를 서로 다른 색으로 표시하면, 무엇을 잡았고 무엇을 놓쳤는지 한눈에 드러납니다.
- 이 방식은 탐지 품질, 로그 품질, 대응 성숙도를 동시에 점검하는 데 효과적입니다.
◎ 실무 팁
- Navigator를 처음 쓰실 때는 처음부터 모든 Technique를 채우려 하지 않으시는 편이 좋습니다.
- 먼저 중요한 전술 몇 개만 잡고, 내부 로그로 실제 확인 가능한 Technique부터 색을 입히는 것이 현실적입니다.
- 그다음 가시성이 확보되면 위협 그룹별 Layer, 클라우드 Layer, EDR Layer처럼 점차 확장하시면 됩니다.
- 또한 Heatmap 색상은 지나치게 복잡하게 만들지 않는 것이 좋습니다.
- 색상은 해석을 돕기 위한 수단이지, 그 자체가 목표는 아닙니다.
- 점수 체계와 범례를 단순하게 유지하면 회의나 보고서에서도 전달력이 훨씬 좋아집니다.
◎ 정리
- ATT&CK Navigator는 Layer를 만들고, 그 위에 Technique 점수와 색을 입혀, 공격과 방어를 동시에 보게 해 주는 도구입니다.
- Heatmap은 반복되는 위협과 중요한 Technique를 직관적으로 보여 주고, Detection Coverage 시각화는 내부 방어 공백을 빠르게 찾게 해 줍니다.
- 그리고 Purple Team에서는 공격 재현과 탐지 검증을 하나의 공통 언어로 묶어 주는 역할을 합니다.
반응형
'IT > MITRE ATT&CK' 카테고리의 다른 글
| [MITRE ATT&CK] Execution 이해하기 (0) | 2026.06.24 |
|---|---|
| [MITRE ATT&CK] Initial Access 이해하기 (0) | 2026.06.23 |
| [MITRE ATT&CK] Data-driven Detection 관점에서 ATT&CK 보기 (0) | 2026.06.21 |
| [MITRE ATT&CK] ATT&CK 구성요소 심화 이해하기 (0) | 2026.06.20 |
| [MITRE ATT&CK] Tactic, Technique, Sub-technique 구조 이해하기 (0) | 2026.06.19 |
