MITRE ATT&CK 프레임워크 기초

◎ MITRE ATT&CK란 무엇인가? 프레임워크의 목적, 역사, 글로벌 활용 배경
1. MITRE ATT&CK 프레임워크 개요
 - MITRE ATT&CK는 사이버 공격자의 실제 행동 양식을 체계적으로 분류하고 정리한 지식 기반입니다.
 - MITRE라는 비영리 연구기관이 2013년에 개발했으며, 전 세계 보안 전문가들이 공격자의 전술(Tactics), 기법(Techniques), 그리고 절차(Procedures)를 이해하고 분석하는 데 사용합니다.
 - 이 프레임워크는 버그, 악성코드, 시그니처 중심 탐지를 넘어 “공격자의 행동” 자체에 집중하여 대응 능력을 강화하는 데 목적이 있습니다.

2. 개발 배경 및 목적
 - 전통적인 보안대책이 정적 탐지 중심인 데 반해, 공격자들이 사용하는 다양한 변종과 전략에 효과적으로 대응하기 위하여 행동 기반의 위협 인텔리전스를 제공하기 위해 만들어졌습니다.
 - 보안 팀이 위협을 공통의 언어로 이해하고, 공격 시나리오를 모델링하며, 대응 계획을 수립하는 데 기여합니다.

3. 글로벌 활용 현황
 - 기업, 정부, 보안 업체 등 전 세계 조직들이 침입 탐지, 위협 사냥(Threat Hunting), 사고 대응, 레드·블루팀 훈련 등에 광범위하게 활용 중입니다.
 - MITRE ATT&CK는 보안 운영센터(SOC) 성능 개선, 위협 인텔리전스 공유, 보안 제품의 기능 평가와 개발에도 중요한 역할을 합니다.


◎ ATT&CK의 다양한 매트릭스 구성 방식
1. ATT&CK 매트릭스 개요
 - ATT&CK 프레임워크는 공격자의 행위를 단계별로 시각화하고 정리하기 위한 매트릭스 형식으로 구성되어 있습니다.
 - 매트릭스는 전술(Tactics)을 가로축으로, 각 전술을 달성하기 위한 구체적인 기법(Techniques)을 세로축으로 배열하여 전체 공격 경로를 한눈에 파악할 수 있게 합니다.

2. 주요 매트릭스 종류 및 특징
 - Enterprise ATT&CK
  > 가장 널리 알려진 매트릭스로, 기업 환경의 다양한 운영체제(Windows, macOS, Linux)와 네트워크 기반 공격 기법을 포함합니다.
  > 전술과 기법은 기업 내에서 공격자가 사용하는 행동을 상세히 분류하고 있습니다.
 - Mobile ATT&CK
  > Android와 iOS 환경을 대상으로 하는 공격 기법과 전술을 다룹니다.
  > 모바일 장치에 특화된 공격 경로 및 방어 방법을 포함합니다.
 - Cloud ATT&CK
  > 클라우드 환경(예: AWS, Azure, GCP)에서의 공격 기법에 초점을 맞춘 매트릭스입니다.
  > 클라우드 서비스 구성의 취약점을 이용한 공격을 이해하는 데 중요합니다.
 - Pre-ATT&CK
  > 본격적인 사이버 공격이 시작되기 전, 공격자가 정보를 수집하고 준비하는 초기 단계 행동을 분류합니다.
  > 표적 선정, 정보 수집, 리컨 등의 활동이 포함되어 공격 예방과 조기경보에 활용됩니다.

3. 매트릭스 활용법
 - 각각의 매트릭스를 통해 특정 환경이나 플랫폼에 특화된 공격 경로를 학습할 수 있습니다.
 - 심층적인 공격 분석과 방어 전략 수립에 유용하며, 보안 운영센터(SOC)의 탐지 룰 개발에도 활용됩니다.


◎ 핵심 개념 이해  - 전술(Tactic), 기법(Technique), 절차(Procedure)
1. 전술(Tactic)이란?
 - 공격자가 특정 목적을 달성하기 위해 수행하는 큰 전략적 단계로, 공격의 "왜(Why)"에 해당합니다.
 - 예를 들어, 초기 접근(Initial Access), 권한 상승(Privilege Escalation), 방어 회피(Defense Evasion) 등이 전술에 해당합니다.
 - 전술은 공격자의 목표를 설명하고, 각 전술은 여러 기법으로 구성됩니다.

2. 기법(Technique)이란?
 - 각 전술을 구현하기 위한 구체적인 방법이나 절차를 의미하며, 공격의 "어떻게(How)"에 해당합니다.
 - 예를 들어, 피싱(Phishing), 명령어 실행(Command Execution), 토큰 도용(Token Impersonation) 등이 기법에 포함됩니다.
 - ATT&CK 프레임워크에는 수백 가지의 기법과 이 중 일부는 하위 기법(Sub-techniques)으로 세분화되어 있습니다.

3. 절차(Procedure)이란?
 - 실제 공격자가 특정 기법을 활용하여 공격을 수행하는 구체적이고 상세한 실행 방법을 뜻합니다.
 - 절차는 공격 그룹이 사용하는 도구, 스크립트, 기법의 변형 등 실전 사례에 근거합니다.
 - 이를 통해 조직은 특정 공격자 그룹의 행태를 분석하고 대응할 수 있습니다.

4. 개념 간 차이 및 관계
 - 전술은 목적(Why), 기법은 수단(How), 절차는 실제 실행 사례(What)로 이해할 수 있으며, 이러한 계층적 관계가 ATT&CK 프레임워크를 구성합니다.
 - 이 구조 덕분에 보안팀은 공격의 큰 흐름을 파악하면서도 세세한 기술적 요소까지 분석할 수 있습니다.


◎ MITRE ATT&CK 프레임워크 구성 요소 이해
1. 데이터 출처(Data Sources)
 - ATT&CK 프레임워크는 다양한 데이터 출처 기반으로 공격 탐지 및 분석을 지원합니다.
 - 데이터 출처란 보안 로그, 네트워크 트래픽, 엔드포인트 이벤트, 프로세스 정보, 권한 변화 로그 등 시스템 내부와 외부에서 수집 가능한 증거 데이터입니다.
 - 이런 데이터 출처를 통해 각 전술과 기법이 시스템 내에서 어떻게 나타나는지 탐지할 수 있습니다.

2. 완화책(Mitigation)
 - Mitigation은 공격자의 특정 기법을 방어하거나 차단하기 위한 보안 조치를 의미합니다.
 - ATT&CK는 각 기법에 대응하는 완화 전략을 제공해 조직이 우선순위를 정하고 방어력을 강화할 수 있도록 합니다.
 - 예를 들어, 계정 권한 관리를 강화하거나, 의심스러운 프로세스 실행을 차단하는 정책이 포함됩니다.

3. 공격 그룹(Groups)
 - 공격 그룹은 특정 국가, 조직, 해커 집단 등 실제 공격자 그룹을 식별하고 그들의 주로 사용하는 TTP(전술, 기법, 절차)를 문서화한 개념입니다.
 - ATT&CK 데이터베이스에는 Red Teams, APT(Advanced Persistent Threat) 그룹 등의 프로파일이 포함되어 있어 특정 그룹 맞춤형 대응 전략을 세울 수 있습니다.

4. 공격 도구(Software)
 - 공격 도구는 해커가 공격 실행 시 활용하는 악성 소프트웨어, 툴킷, 공개 도구 등 실제 사용 소프트웨어를 의미합니다.
 - ATT&CK는 각 기법과 관련된 공격 도구 정보를 제공해 방어 조직이 공격 유형에 따른 도구 기반 탐지 방안을 마련할 수 있도록 돕습니다.


◎ 전술(Tactic)과 기법(Technique)의 차이 및 실사례 탐구
1. 전술(Tactic)과 기법(Technique)의 차이 이해
 - 전술(Tactic): 공격자가 특정 목표를 달성하기 위해 사용하는 큰 전략 단계이며, 공격의 "목적(Why)"을 나타냅니다.
  > 예: 초기 접근(Initial Access), 권한 상승(Privilege Escalation), 방어 회피(Defense Evasion) 등.
 - 기법(Technique): 각 전술을 수행하기 위한 구체적인 공격 방법 및 수단으로, 공격의 "방법(How)"에 해당합니다.
  > 예: 피싱, 프로세스 인젝션, 패스워드 덤핑 등.

2. 실사례를 통한 차이점 구체화
 - 실제 해킹 사례나 공개된 APT 보고서에서 전술과 기법이 어떻게 적용되는지 살펴봅니다.
 - 예를 들어 공격자가 '초기 접근'이라는 전술을 위해 이메일 피싱이라는 기법을 사용한 사례를 분석합니다.
 - 이를 통해 전술은 공격의 목적 단계를, 기법은 그 목적을 달성하는 행동 자체임을 명확히 구분할 수 있습니다.

3. 교육 목표 및 중요성
 - 전술과 기법의 차이점을 명확히 이해하면 보안 담당자가 공격 시나리오를 더 체계적으로 분석하고 대응하는 데 도움이 됩니다.
 - 공격자의 행동 패턴을 분류하고 탐지·방어 전략을 구체적으로 설계할 수 있습니다.


◎ ATT&CK Navigator 온라인 툴 실습(https://attack.mitre.org/resources/attack-data-and-tools/)
1. ATT&CK Navigator 소개
 - ATT&CK Navigator는 MITRE에서 제공하는 무료 웹 기반 도구로, ATT&CK 매트릭스를 시각적으로 탐색하고 분석할 수 있도록 설계되었습니다.
 - 보안 분석가가 공격 전술과 기법을 시각화하여 조직의 보안 상태를 평가하고 취약점을 식별하는 데 유용합니다.

2. 주요 기능
 - ATT&CK 매트릭스의 특정 전술 및 기법을 선택, 강조 및 필터링할 수 있습니다.
 - 조직별 맞춤형 매핑 작업: 탐지 기능, 완화책, 위협 인텔리전스 정보 등을 오버레이해 보안 통찰력을 높입니다.
 - 여러 레이어 저장 및 공유 기능으로 팀 내 협업 강화에 도움을 줍니다.

3. 실습 내용
 - ATT&CK Navigator 접속 및 기본 인터페이스 이해
 - 매트릭스에서 전술과 기법 선택, 색상 코딩을 활용한 매핑 실습
 - 실제 침해 사고 대응 시나리오를 바탕으로 해당 기법과 전술을 매핑해보기
 - 탐지 현황 및 취약점 표시, 완화책과 연결하여 방어 개선점 도출
 - 저장 및 공유 기능 활용법 체험

4. 실무 활용 가치
 - 분석가 및 보안 운영팀이 조직 내 보안 현황을 시각적으로 파악하고, 공격 경로별 취약점 점검을 쉽게 수행할 수 있습니다.
 - 위협 인텔리전스 공유 및 레드·블루팀 훈련 지원에 탁월한 도구로 평가받고 있습니다.


◎ 초기 침투(Initial Access) 주요 공격기법 탐구
1. 초기 침투란?
 - 초기 침투 단계는 공격자가 목표 네트워크나 시스템에 최초로 접근하는 과정을 의미합니다.
 - 공격의 시작점으로서, 이후 공격 전개에 매우 중요한 역할을 합니다.

2. 대표적인 초기 침투 기법
 - 피싱(Phishing): 이메일, 메시지 등을 이용하여 악성 링크 또는 첨부파일로 피해자의 인증 정보를 탈취하거나 악성코드를 실행시키는 방법
 - 악성 웹사이트(Malicious Websites): 사용자 방문 시 취약점을 악용하는 드라이브-바이 다운로드 공격
 - 공격 대상 시스템의 취약점 악용(Vulnerability Exploitation): 보안 패치가 되지 않은 소프트웨어 취약점 공격
 - 공개 서비스 익스플로잇(Exploitation of Public-Facing Applications): 웹 애플리케이션, 관리 페이지 등 외부 접근이 가능한 서비스의 취약점을 이용
 - 합법적 자격증명 사용(Legitimate Credential Use): 탈취하거나 획득한 정상 자격증명을 이용해 시스템에 접속

3. 탐지 및 방어 전략 개요
 - 교육에서는 각각의 기법별 탐지 방법론과 실무 적용 가능한 방어책을 설명합니다.
 - 예를 들어, 피싱 방지를 위한 이메일 필터링, 접근 권한 관리, 취약점 주기적 점검 및 패치, 그리고 이상 로그인 감지 시스템 활용 등이 포함됩니다.

4. 실제 사례 중심 학습
 - 최근 사이버 공격 사례에서 초기 침투 단계에 활용된 기법 분석
 - ATT&CK 매트릭스 내 해당 전술 및 기법 위치 학습


◎ 실행(Execution) 단계와 관련 핵심 기술 분석
1. 실행 단계 개요
 - 실행 단계는 공격자가 탈취한 권한이나 침투 지점을 활용하여 악성 코드를 실행하거나 명령을 수행하는 단계입니다.
 - 이 단계는 공격의 핵심 행위로, 공격자의 의도를 실제 시스템에 구현하는 역할을 합니다.

2. 주요 실행 기술
 - 명령줄 인터페이스 사용(Command-Line Interface): 시스템 명령어 실행을 통한 공격 및 악성코드 실행
 - 스크립트 실행(Scripting): 파워셸, 배치, 파이썬 등 스크립트 언어를 이용한 공격 코드 실행
 - 허가된 애플리케이션 오용(Trusted Developer Utilities): 윈도우 관리 도구(PsExec, WMI) 등의 합법 툴을 악용
 - 매크로 실행(Office Macros): 문서에 삽입된 매크로를 통해 자동 실행되는 악성 코드
 - 서비스 실행 및 프로세스 인젝션: 시스템 서비스나 정상 프로세스에 악성 코드를 삽입

3. 탐지 및 방어 전략
 - 실행 행위 탐지를 위해 프로세스 생성 모니터링, 스크립트 실행 로그 분석, 매크로 사용 제한, 이상 명령 실행 차단 등이 설명됩니다.
 - 합법적 도구의 악용 탐지를 위한 행동 기반 모니터링이 강조됩니다.

4. 사례 중심 학습
 - 최근 사이버 공격에서 실행 단계에 활용된 구체 기술 사례 연구
 - ATT&CK 매트릭스 내 실행 전술과 관련 기법 위치 학습


◎ 지속성(Persistence) 확보 전략 학습
1. 지속성(Persistence) 개요
 - 지속성은 공격자가 시스템 내에서 장기간 은밀하게 접근 권한을 유지하는 전략 및 기술을 의미합니다.
 - 시스템 재부팅 후에도 공격자의 접근이 유지되도록 하는 것이 주요 목표입니다.

2. 주요 지속성 확보 기법
 - 자동 실행 프로그램 등록(Startup Items): 윈도우 레지스트리, 시작 폴더에 악성코드 등록
 - 서비스 및 드라이버 설치: 악성 서비스를 시스템 서비스로 등록하여 자동 시작
 - 스케줄러 작업 등록(Task Scheduler): 예약된 작업에 악성명령 추가
 - 웹쉘, 백도어 설치: 웹 서버에 지속적인 접근 통로 생성
 - 루트킷, 부트킷 활용: 커널 모드에서 은닉하여 탐지 회피 및 지속성 확보

3. 탐지 및 대응 전략
 - 레지스트리 모니터링, 자동 시작 항목 점검, 프로세스 및 서비스 변화 감시 등이 강조되며,
 - 정상적인 시스템 프로세스 및 서비스와의 구분을 위한 행동 기반 탐지법 소개
 - 스케줄러 작업 및 스크립트 감시 강화

4. 실제 사례 분석
 - 다양한 공격 캠페인에서 사용된 지속성 기법 사례를 분석하고,
 - ATT&CK 프레임워크 내 지속성 관련 기법 매핑 학습


◎ 권한 상승(Privilege Escalation) 탐지와 예방법
1. 권한 상승 개요
 - 권한 상승은 공격자가 제한된 권한에서 관리자 권한 등 더 높은 권한으로 권한을 확장하는 과정입니다.
 - 이 단계는 공격자가 시스템 내 통제력을 극대화하는 데 필수적입니다.

2. 대표적인 권한 상승 기법
 - 취약점 악용(Exploitation of Vulnerabilities): OS나 소프트웨어 내 권한 상승 취약점 공격
 - 토큰 조작(Token Manipulation): 인증 토큰이나 액세스 토큰을 훔치거나 위조
 - 보안 설정 변경 및 권한 탈취: 권한이 높은 계정 또는 그룹에 자신을 추가
 - 환경 변수 및 실행 파일 변조: 특정 프로세스 실행 시 권한 상승 트리거

3. 탐지 전략
 - 이상 토큰 활동 및 권한 변경 로그 모니터링
 - 감사 정책 강화 및 권한 변경 이벤트 알림 설정
 - 의심스러운 프로세스 및 실행 파일 모니터링
 - 취약점 패치 및 소프트웨어 업데이트 상태 점검

4. 예방법 및 대응책
 - 최소 권한 원칙(Principle of Least Privilege) 엄격 적용
 - 정기적인 권한 검토 및 계정 관리
 - 특권 계정 사용 모니터링 및 접근 제어 강화
 - 보안 취약점 신속 대응 및 시스템 강화

5. 사례 학습
 - 실제 공격에서의 권한 상승 기법 및 탐지 실패 사례 분석
 - ATT&CK 프레임워크 내 해당 기법과 방어책 매핑


◎ 방어회피(Defense Evasion) 기법 및 대응 원리
1. 방어회피 개요
 - 방어회피는 공격자가 보안 솔루션 탐지, 분석, 차단을 피하기 위해 사용하는 다양한 기술과 전략을 의미합니다.
 - 공격의 성공과 지속성 확보를 위해 필수적인 단계입니다.

2. 주요 방어회피 기법
 - 코드 난독화(Obfuscation): 악성 코드의 분석을 어렵게 만들기 위해 코드 변환
 - 프로세스 인젝션(Process Injection): 정상 프로세스에 악성 코드를 삽입해 탐지 회피
 - 로그 삭제 및 변조(Log Deletion/Manipulation): 공격 흔적을 감추기 위해 로그를 삭제하거나 수정
 - 안티 디버깅 및 안티 분석 기술(Anti-Debug/Anti-VM): 분석 도구 및 가상 환경 탐지를 피함
 - 파일 및 프로세스 숨기기: 루트킷이나 숨김 속성 활용

3. 탐지 및 대응 원리
 - 행동 기반 분석과 비정상 행위 탐지 강화
 - 엔드포인트 보안 솔루션의 심층 모니터링 및 이상 징후 자동 경고
 - 로그 무결성 검증 및 중앙 집중식 로그 관리
 - 위협 인텔리전스와 연계한 공격 패턴 식별

4. 실무 적용 방안
 - 보안 운영팀의 지속적인 모니터링 및 탐지 룰 업데이트
 - 레드팀 및 블루팀 간 협업을 통한 방어회피 기술 대응 능력 향상
 - 최신 공격 기법 동향과 해킹 도구 분석 지속

5. 사례 학습
 - 최근 사례를 통해 방어회피 기법의 구체적 활용 상황 분석
 - ATT&CK 매트릭스 내 방어회피 전술과 기법 위치 학습


◎ 자격증명 탈취(Credential Access) 주요 기법
1. 자격증명 탈취 개요
 - 자격증명 탈취는 공격자가 시스템 또는 네트워크 내 사용자 인증 정보를 훔쳐내어 권한을 획득하거나 확대하는 단계입니다.
 - 공격자는 탈취한 자격증명을 활용해 추가 침투 및 권한 상승을 시도합니다.

2. 대표적인 자격증명 탈취 기법
 - 패스워드 덤핑(Password Dumping): 메모리, 레지스트리, 데이터베이스 등에서 비밀번호 해시나 평문을 추출
 - 키로깅(Keylogging): 사용자의 키 입력을 기록하여 자격증명 정보 획득
 - 크리덴셜 스토어 접근(Credential Store Access): 윈도우 자격증명 관리자, 브라우저 저장 비밀번호 등 탈취
 - 네트워크 자격증명 가로채기(Network Credential Capture): 패킷 스니핑, Man-in-the-Middle 공격으로 자격증명 획득
 - 토큰 도용(Token Theft): 인증 토큰을 훔쳐 권한을 획득

3. 탐지 및 방어 전략
 - 메모리 분석 및 이상한 프로세스 감지
 - 키로깅 탐지를 위한 엔드포인트 보안 강화
 - 권한 접근 관리 및 세분화
 - 네트워크 트래픽 모니터링과 암호화 통신 보장
 - 자격증명 정책 및 주기적 변경 권고

4. 실제 사례 분석
 - 유명 공격 캠페인에서의 자격증명 탈취 사례와 탐지 실패/성공 사례 학습
 - ATT&CK 프레임워크 내 자격증명 접근 관련 기법 매핑 및 대응책 이해


◎ 환경 탐지(Discovery) 방법과 대응
1. 환경 탐지(Discovery) 개요
 - 환경 탐지는 공격자가 침투한 네트워크 또는 시스템 내 환경 정보를 수집하는 작업입니다.
 - 주요 목표는 네트워크 구성, 사용자 계정, 시스템 설정, 보안 도구 등을 파악하여 공격 효과성을 높이는 데 있습니다.

2. 대표적인 환경 탐지 기법
 - 시스템 정보 검색(System Information Discovery): OS 버전, 하드웨어 정보, 네트워크 설정 확인
 - 계정 탐색(Account Discovery): 사용자 계정 목록 및 권한 확인
 - 네트워크 탐색(Network Service Scanning): 활성화된 서비스 및 네트워크 공유 리소스 파악
 - 보안 제품 탐지(Security Software Discovery): 설치된 보안 솔루션 및 방화벽 감지
 - 권한 및 그룹 정보 조회: 관리자 그룹 및 권한 수준 확인

3. 탐지 및 대응 방안
 - 환경 탐지 활동 시도에 대한 로그 및 행위 모니터링 강화
 - 비 정상적인 정보 수집 패턴 탐지
 - 사용자 권한 및 네트워크 접근 제어 강화
 - 침해 탐지 시스템(IDS/IPS), EDR, SIEM 등 연계 분석 활용

4. 실제 사례 분석
 - 환경 탐지 기법이 적용된 공격 캠페인 사례와 대응 실패 및 성공 사례 학습
 - ATT&CK 매트릭스 내 환경 탐지 관련 전술과 기법 위치 확인


◎ 횡적 이동(Lateral Movement) 시나리오
1. 횡적 이동 개요
 - 횡적 이동은 공격자가 초기 침투 후 네트워크 내 다른 시스템이나 자원으로 이동하여 더 넓은 접근 권한이나 중요한 정보를 확보하는 단계입니다.
 - 네트워크 내 공격 범위를 넓히고 목표 환경 내에서 권한을 확대하는 핵심 전략입니다.

2. 대표적인 횡적 이동 기법
 - 원격 서비스 이용(Remote Services): RDP(Remote Desktop Protocol), SMB(Server Message Block), SSH 등 원격 관리 프로토콜의 악용
 - 명령어 실행(Remote Command Execution): 원격 시스템에 명령어를 실행하여 제어권 확보
 - 자격증명 재사용 및 위조(Credential Reuse and Forgery): 탈취한 자격증명을 이용해 다른 시스템 접근
 - 스크립트 및 툴 사용: PowerShell, PsExec 등의 도구를 활용한 자동화된 이동

3. 횡적 이동 탐지 및 대응 전략
 - 원격 접속 로그 및 비정상 활동 모니터링 강화
 - 네트워크 세분화와 최소 권한 정책 적용
 - 정상적이지 않은 권한 사용 및 스크립트 실행 탐지
 - LDAP, AD 모니터링을 통한 권한 남용 식별

4. 시나리오 기반 실습
 - 실제 공격 시나리오를 통해 횡적 이동 단계의 기술 적용 과정 학습
 - ATT&CK 매트릭스 내 횡적 이동 전술과 기법 매핑 실습
 - 탐지와 대응 방안 도출, 보안 체계 개선 논의


◎ 데이터 수집(Collection) 절차
1. 데이터 수집 개요
 - 데이터 수집 단계는 공격자가 목표 시스템이나 네트워크에서 원하는 정보를 모으는 과정입니다.
 - 수집된 데이터는 이후 공격 전개, 정보 유출, 악용 등을 위해 사용됩니다.

2. 주요 데이터 수집 기법
 - 파일 및 데이터베이스 접근: 문서, 데이터베이스, 로그 파일 등 민감 데이터 수집
 - 스크린샷 캡처: 화면 정보를 캡처하여 중요 정보를 획득
 - 키로깅(Keylogging): 사용자의 키 입력 기록
 - 네트워크 트래픽 스니핑: 네트워크 내 전송되는 데이터 감청
 - 오프라인 수집: USB 등 외부 저장 매체로의 데이터 복사

3. 데이터 수집 탐지 및 방어 전략
 - 파일 무결성 모니터링 및 접근 제어 강화
 - 이상한 프로세스 및 네트워크 연결 모니터링
 - 사용자 행위 분석(UEBA)을 통한 비정상 활동 탐지
 - 보안 정책 강화 및 데이터 암호화 적용

4. 실제 사례 및 실습
 - 데이터 수집 기법이 적용된 공격 시나리오 분석
 - ATT&CK 프레임워크 내 수집 전술 및 기법 매핑 실습
 - 탐지 및 대응 전략 구축 워크샵


◎ 명령제어(Command & Control, C2) 채널
1. 명령제어(C2) 개요
 - C2 채널은 공격자가 감염된 시스템과 통신하며 명령을 전달하고 데이터를 수집하는 통신 경로입니다.
 - 공격자는 C2 채널을 통해 원격으로 시스템을 제어하고 추가 공격 행위를 지시합니다.

2. C2 채널의 유형과 특성
 - 비콘(Beaconing): 감염 시스템이 정기적으로 C2 서버에 신호를 보내 연결을 유지
 - 프로토콜 다양성: HTTP/HTTPS, DNS, SMTP, IRC, P2P 등 다양한 프로토콜 사용
 - 암호화 및 위장: 트래픽을 암호화하거나 정규 트래픽으로 위장하여 탐지 회피
 - 다단계 C2: 중간 노드를 거치거나 여러 레이어로 구성된 복잡한 구조

3. 탐지 및 차단 전략
 - 이상한 네트워크 트래픽 패턴 탐지 및 분석
 - DNS 쿼리 모니터링과 이상 징후 분석
 - 인바운드 및 아웃바운드 트래픽 검사 강화
 - 방화벽, IPS/IDS 규칙으로 의심스런 C2 트래픽 차단

4. 실제 사례와 실습
 - 유명 랜섬웨어 및 APT 공격에서 사용된 C2 채널 분석 사례
 - ATT&CK 프레임워크 내 C2 관련 전술과 기법의 매핑 및 이해
 - 실습을 통한 C2 채널 식별 및 대응 방안 수립


◎ 외부 유출(Exfiltration) 수법
1. 외부 유출 개요
 - 외부 유출은 공격자가 탈취한 데이터를 조직 외부로 전송하는 과정을 의미합니다.
 - 공격의 최종 목적 중 하나로 민감 정보 노출, 지적 재산권 손실, 금전적 피해 등이 발생합니다.

2. 대표적인 외부 유출 수법
 - 네트워크 전송(Network Transfer): FTP, HTTP, HTTPS, DNS 등 다양한 프로토콜을 이용해 데이터 전송
 - 스테가노그래피(Stenography): 데이터에 정보를 숨겨서 탐지를 회피
 - 외부 저장 매체 사용: USB 등 물리적 매체를 이용한 데이터 반출
 - 클라우드 서비스 악용: 공개된 클라우드 저장소나 합법적 파일 공유 서비스를 통한 유출
 - 코인 마이닝 및 백도어 활용: 공격자가 설치한 백도어를 통한 지속적 데이터 전송

3. 탐지 및 방어 전략
 - 비정상적인 네트워크 트래픽 분석 및 차단
 - 데이터 전송 패턴 모니터링 및 이상징후 탐지
 - 엔드포인트 DLP(Data Loss Prevention) 솔루션 적용
 - 클라우드 설정 및 접근 권한 관리 강화

4. 사례 연구 및 실습
 - 실제 APT 공격에서 발견된 외부 유출 기법 사례 분석
 - ATT&CK 프레임워크 내 외부 유출 관련 전술과 기법 매핑
 - 방어 체계 강화 및 탐지 시나리오 실습


◎ 영향(Impact) 및 랜섬웨어 등 파괴 유형
1. 영향(Impact) 개요
 - 영향 전술은 공격자가 시스템이나 네트워크에 가하는 손상이나 혼란의 단계를 의미합니다.
 - 데이터 삭제, 서비스 방해, 시스템 마비 등 조직의 정상 기능을 방해하는 행위가 포함됩니다.

2. 주요 파괴 유형 및 기법
 - 데이터 삭제(Data Destruction): 파일, 로그, 백업 등을 삭제하여 복구 및 증거 분석 방해
 - 랜섬웨어(Ransomware): 중요 데이터를 암호화하고 금전 요구하는 악성 소프트웨어 공격
 - 서비스 거부 공격(DoS/DDoS): 네트워크 또는 시스템 자원을 과부하 시켜 정상 서비스 중단
 - 시스템 마비(System Shutdown/Reboot): 공격자가 시스템을 강제로 종료하거나 재부팅하는 행위
 - 부트킷(Bootkits) 및 루트킷(Rootkits): 시스템 부팅 과정이나 커널 영역을 조작하여 공격 지속성과 은닉성 확보

3. 탐지 및 대응 전략
 - 공격 조짐 모니터링 및 초기 탐지 강화
 - 백업 및 복구 체계 구축
 - 랜섬웨어 대비를 위한 사전 방어 및 사용자 교육
 - 침해사고 대응 및 사고 복구 계획 수립
 - 침해 흔적과 공격 루트를 추적하기 위한 포렌식 준비

4. 사례 분석 및 실습
 - 랜섬웨어 및 영향 관련 실제 공격 사례 연구
 - ATT&CK 프레임워크 내 영향 전술과 주요 기법 매핑
 - 조직별 영향 완화 방안 설계 및 대응 시나리오 실습


◎ 사이버 위협 인텔리전스(CTI) 기반 위협 매핑
1. CTI 개요
 - 사이버 위협 인텔리전스(CTI)는 공격자, 기법, 취약점 등의 위협 정보를 수집·분석하여 조직의 보안 대응에 활용하는 지능형 정보 체계입니다.
 - 공격 경로 및 행위자를 이해해 보다 능동적인 방어를 지원합니다.

2. ATT&CK와 CTI 연계
 - MITRE ATT&CK 프레임워크를 CTI 분석 도구로 활용하여 공격자의 전술과 기법을 체계적으로 매핑합니다.
 - TTPs(전술, 기법, 절차)를 기반으로 위협 행위자의 행동 패턴을 식별하고 추적할 수 있습니다.
 - 위협 캠페인의 전반적인 공격 흐름과 취약점을 시각화해 공격 위협 평가 및 대응 우선순위 설정에 도움을 줍니다.

3. 위협 매핑 프로세스
 - 위협 데이터 수집: 오픈소스, 상용 CTI 공급원 및 조직 내부 정보 활용
 - 공격 활동 분석: 공격자가 사용한 전술과 기법 식별
 - ATT&CK 매트릭스 활용: 식별된 기법과 전술을 매트릭스에 매핑해 공격 경로 시각화
 - 대응 전략 수립: 매핑 결과를 기반으로 탐지, 예방, 대응 조치 구체화

4. 실습 및 사례 연구
 - 실제 CTI 사례를 ATT&CK 프레임워크에 매핑하는 워크숍
 - 악성코드 캠페인, APT 그룹 공격 시나리오 매핑 및 분석
 - 조직 맞춤형 위협 인텔리전스 보고서 작성


◎ 실제 해킹 사례 ATT&CK 매핑 실습
1. 사례 선정
 - 대표적 글로벌 공격 사례인 SolarWinds 공급망 공격과 최근 랜섬웨어 캠페인 사례를 중심으로 학습
 - 각 사례의 공격 경로, 사용된 전술 및 기법을 상세 분석

2. ATT&CK 기반 매핑 실습
 - ATT&CK 매트릭스 내 관련 전술(Tactics)과 기법(Techniques)을 식별 및 매핑
 - 공격자의 공격 흐름을 단계별로 나누어 시각화
 - 실습을 통해 각 전술 및 기법별 탐지와 대응 방안 연계 학습

3. 행위 기반 분석과 탐지 강화
 - 공격 패턴과 관련 위협 인텔리전스 자료를 통합해 보다 심층적 분석 수행
 - 탐지 시나리오 작성 및 방어 개선점 도출

4. 단체 및 조직별 대응 방안 토론
 - 사례 매핑 결과를 바탕으로 조직별 보안 강화 전략 수립
 - 레드팀/블루팀 간 협의와 위협 헌팅 과정 연습

5. 학습 효과
 - ATT&CK 프레임워크를 활용한 실제 사이버 공격 분석 능력 향상
 - 실전 대응 시나리오 작성 및 위협 인텔리전스 적용 역량 배양


◎ ATT&CK 기반 탐지강화 및 방어전략 수립
1. ATT&CK 프레임워크를 활용한 탐지 강화
 - ATT&CK 매트릭스를 기반으로 조직 내 취약 전술 및 기법을 식별
 - 행동 기반 탐지(behavioral-based detection) 원칙에 따른 탐지 룰 개발 및 적용
 - 로그, 프로세스, 네트워크 활동 등 다양한 데이터 출처를 활용한 탐지 시나리오 설계

2. 방어 전략 수립
 - 조직의 위협 모델에 맞춘 우선순위 기반 방어 전략 수립
 - 완화책(Mitigation)과 탐지체계 강화의 통합적 접근
 - 공격 단계별 방어 대응 계획 수립 및 역할 분담

3. 실무 적용 기술
 - SIEM, EDR 등 보안 솔루션과의 연계 활용 방안
 - 위협 헌팅(Threat Hunting) 활동에서의 ATT&CK 활용
 - 침해사고 대응(CIRT) 절차 내 ATT&CK 매핑 및 분석 활용

4. 사례 기반 전략 개선
 - 과거 공격 데이터 분석과 ATT&CK 적용 사례 공유
 - 지속적 학습과 전략 수정 프로세스 설계


◎ SIEM 운영 및 위협 헌팅 연계 학습
1. SIEM 개요 및 역할
 - 보안 정보 및 이벤트 관리(Security Information and Event Management, SIEM)는 다양한 보안 로그와 이벤트를 중앙에서 수집, 분석, 저장하는 시스템입니다.
 - 실시간 위협 탐지 및 로그 기반 보안 분석에 중요한 인프라로 활용됩니다.

2. ATT&CK와 SIEM 연계
 - MITRE ATT&CK 프레임워크를 SIEM 탐지 룰 설계 및 경보 정책에 통합하여 탐지 정확도 향상
 - ATT&CK 기반 전술과 기법을 기준으로 이벤트 상관관계 분석 및 위협 우선순위 결정

3. 위협 헌팅(Threat Hunting) 소개
 - 능동적으로 알려지지 않은 위협을 탐색하는 수동적 탐지 보완 활동
 - SIEM과 연계해 이상행위 및 공격 징후를 식별하는 기술과 방법론 중심

4. 운영 실무 및 기법
 - 로그 수집, 정규화, 저장 및 분석 절차 이해
 - 검색 쿼리 작성, 탐지 룰 개발 및 테스트
 - 위협 헌팅 시나리오 설계와 이를 통한 위협 탐색 수행
 - 자동화 및 대응 프로세스 연동 방안

5. 사례 연구 및 실습
 - 실무에서 발생하는 보안 이벤트 분석 및 ATT&CK 기반 매핑 실습
 - 위협 헌팅을 통한 조기 위협 탐지 성공 사례 분석


◎ 퍼플팀(Purple Team) 협업 활용법 실전
1. 퍼플팀 개요
 - 퍼플팀은 레드팀(공격)과 블루팀(방어)이 협력하여 보안 역량을 강화하는 접근법입니다.
 - 상호 피드백과 공동학습을 통해 조직의 사이버 방어 능력을 극대화합니다.

2. 공격-방어팀 협업 원리
 - 레드팀은 다양한 공격 시나리오와 기법을 실험하여 조직의 취약점을 발굴
 - 블루팀은 이를 탐지하고 대응하며, 탐지 실패 및 방어 약점을 공유
 - 양팀 간의 지속적인 정보 공유와 분석을 통해 방어 체계를 개선

3. ATT&CK 프레임워크 활용
 - 퍼플팀 활동에 ATT&CK 매트릭스를 도구로 사용, 공격 전술과 기법을 체계적으로 기록 및 분석
 - 각 공격 시나리오와 방어 대응을 ATT&CK 전술, 기법 단위로 매핑하여 효과 평가

4. 실전 협업 프로세스
 - 계획 수립: 목표 설정 및 시나리오 선정
 - 공격 실행: 레드팀의 다양한 공격 수행 및 기록
 - 탐지 및 대응: 블루팀의 실시간 대응과 분석
 - 결과 분석 및 피드백: 실패 원인 및 개선 방안 도출
 - 반복 개선: 지속적인 협업을 통한 보안 성숙도 증가

5. 사례 연구 및 실습
 - 실제 퍼플팀 운영 사례 분석
 - ATT&CK 기반 협업 시나리오 구성 및 실습
 - 워크숍을 통한 팀 간 커뮤니케이션 및 협업 능력 강화