티스토리 뷰

Incident Response/MITRE ATT&CK

MITRE ATT&CK란?

Noctis41 2025. 5. 9. 00:08

론: 왜 MITRE ATT&CK가 필요한가?

사이버 공격은 더 이상 단일 벡터나 단순한 악성코드로 설명되지 않는다. 오늘날 공격자들은 정찰에서 침투, 권한 상승, lateral movement, 데이터 유출, 시스템 파괴까지 수많은 단계와 기술을 조합해 목표를 달성한다. 보안 담당자 입장에서는 이러한 다단계 공격 흐름을 단편적인 경보(Alert)나 로그만으로는 이해하기 어렵다.

MITRE ATT&CK는 바로 이 문제를 해결하기 위한 공격자 중심의 프레임워크이다. 이 프레임워크는 실제 공격자들이 사용하는 전술(Tactics), 기술(Techniques), 절차(Procedures)를 표준화하고 정리함으로써, 보안 분석가가 침해 행위를 더 구조적으로 이해하고 대응할 수 있도록 돕는다.

1. MITRE ATT&CK의 탄생과 철학

MITRE는 미국 연방정부와 협력하는 비영리 연구기관으로, 2013년 "FMX (Fort Meade Experiment)" 프로젝트를 통해 엔드포인트 텔레메트리를 기반으로 공격자 행위를 분류하고 탐지하는 실험을 진행했다. 이 과정에서 탄생한 것이 ATT&CK Framework다.

ATT&CK는 'Adversarial Tactics, Techniques & Common Knowledge'의 약자로, 공격자의 목표(Tactic)와 이를 달성하는 수단(Technique), 그리고 그 실행 방식(Procedure)을 체계적으로 구조화한 전 세계적 표준 사이버 위협 지식 기반이다.

출처:https://www.igloo.co.kr/security-information/mitre-attck-framework-%EC%9D%B4%ED%95%B4%ED%95%98%EA%B8%B0/

2. 전술(Tactics), 기술(Techniques), 절차(Procedures): 구성요소 상세 분석

https://www.igloo.co.kr/security-information/mitre-attck-framework-%EC%9D%B4%ED%95%B4%ED%95%98%EA%B8%B0/

Tactics (전술)

공격자가 특정 시간이나 단계에서 이루고자 하는 목적이다. 예를 들어 시스템에 초기 진입하거나, 지속적인 접근 권한을 확보하는 것이 이에 해당한다.

  • 예시: Initial Access, Execution, Privilege Escalation, Exfiltration 등
  • Enterprise Matrix에서는 총 14개의 Tactic이 정의되어 있다.

Techniques (기술)

Tactic을 달성하기 위한 구체적인 방법론이다. 각 Tactic에는 여러 Technique이 매핑되어 있고, 기술 수준에 따라 Sub-Technique으로 세분화된다.

  • 예시: PowerShell 실행 (T1059.001), DLL Injection (T1055.001), LSASS Dumping (T1003.001)
  • 최신 Enterprise Matrix에는 약 196개의 Technique과 411개의 Sub-Technique이 존재한다.

출처: https://www.igloo.co.kr/security-information/mitre-attck-framework-%EC%9D%B4%ED%95%B4%ED%95%98%EA%B8%B0/

Procedures (절차)

실제 APT 그룹이나 악성코드가 특정 Technique을 어떻게 사용했는지를 기술한다.

  • 예시: APT29가 PowerShell Empire를 사용해 Credential Dumping을 수행한 방식
  • 보안 분석 시 위협 인텔리전스와 연계하여 활용 가능

3. ATT&CK Matrix: 공격 라이프사이클을 한눈에

ATT&CK Matrix는 Tactics을 상단에 두고, 각 Tactic에 속하는 Technique들을 가로로 나열하여 공격의 전체 흐름을 시각화한 것이다. 분석가는 이 매트릭스를 통해 공격 시나리오 전체를 시간의 흐름이나 단계별로 추적할 수 있다.

Enterprise Matrix

Windows, Linux, macOS, 클라우드, 컨테이너 기반 환경의 공격을 포괄함

ID 이름 설명
TA0043 정찰 (Reconnaissance) 내부정찰단계로 다른 시스템으로 이동하기 위해 탐구하는 단계
TA0042 자원 개발
(Resource Development)		 다른 시스템으로 이동하기 위한 정보로 계정 등을 확보하는 단계
TA0001 초기 접근 단계
(Initial Access)		 네트워크 진입을 위해 사용자 환경에 대한 정보를 취득하는 것을 목적으로 함
TA0002 실행 (Execution) 공격자가 로컬 또는 원격 시스템을 통해 악성코드를 실행하기 위한 행동
TA0003 지속 (Persistence) 공격 기반을 유지하고 시스템에 지속적으로 접근하기 위한 행동
TA0004 권한 상승
(Privilege Escalation)		 공격자가 시스템이나 네트워크에서 높은 권한을 얻기 위한 행동
TA0005 방어 회피
(Defense Evasion)		 공격자가 침입한 시간 동안 탐지 당하는 것을 피하기 위한 행동
TA0006 접속 자격 증명
(Credential Access)		 시스템, 도메인 서비스, 자격증명 등을 접근하거나 제어하기 위한 행동
TA0007 탐색 (Discovery) 시스템 및 내부 네트워크의 정보를 얻기 위한 행동
TA0008 내부 확산
(Lateral Movement)		 네트워크 상의 원격 시스템에 접근한 후 이를 제어하기 위한 행동
TA0009 수집 (Collection) 공격 목적이나 관련 정보가 포함된 데이터를 수집하기 위한 행동
TA0011 명령 및 제어
(Command And Control)		 공격자가 침입한 대상 네트워크 내부 시스템과 통신하며 제어하기 위한 행동
TA0010 유출 (Exfiltration) 공격자가 네트워크에서 데이터를 훔치기 위한 행동
TA0040 임팩트 (Impact) 공격 목표의 가용성과 무결성을 손상시키기 위한 행동

Mobile Matrix

iOS 및 Android 환경에 특화된 전술/기술을 정의함

ICS Matrix

PLC, RTU, HMI 등 산업제어시스템에 대한 전술과 위협을 포함함

4. 실무 활용: ATT&CK는 단순 지식이 아닌 실전 도구다

위협 헌팅

  • 특정 Technique(T1059.001 등)를 기반으로 의심스러운 프로세스 탐색
  • SIEM이나 EDR에서 관련 로그를 필터링 및 피봇 분석

탐지 시나리오 및 룰 설계

  • SIEM 룰에서 ATT&CK 기술 기반 경보 생성
  • XDR/EDR 연계 시 위협 탐지 로직 자동화 가능

레드팀/블루팀 훈련

  • ATT&CK 기반 APT 시나리오 생성
  • 예: APT28 시나리오 → 정찰(T1595) → 피싱(T1566) → 권한 획득(T1055)

보안 솔루션 평가

  • MITRE Engenuity 평가 참여: 공급업체의 탐지 범위 및 정확도를 ATT&CK 기반으로 공개
  • 예: Cybereason, Palo Alto Cortex XDR, SentinelOne 등

5. 관련 오픈소스 프로젝트

▶ CALDERA

MITRE에서 개발한 공격 시나리오 자동화 플랫폼. 다양한 플러그인으로 공격 수행 가능

Github: https://github.com/mitre/caldera

▶ Atomic Red Team

Technique별 테스트 단위 스크립트를 제공. PowerShell 기반의 경량 테스트 프레임워크

Github: https://github.com/redcanaryco/atomic-red-team

▶ METTA

Uber에서 개발한 공격 시뮬레이션 도구. YAML 파일 기반으로 시나리오 구성

이 도구들은 탐지 커버리지 확인, 탐지 룰 튜닝, 탐지 훈련용 테스트 환경 구축에 매우 유용하다.

Github: https://github.com/uber-common/metta

6. 실전 사례로 보는 ATT&CK 활용

[사례1] 한국수력원자력 해킹 시나리오

  • 공격자: 추정 북한계 해킹 그룹 (Kimsuky)
  • 공격 흐름: 정찰 → 피싱 메일 발송 → 실행(PowerShell) → 정보 수집 → 외부 유출
  • Matrix로 표현 시: T1598 → T1566.001 → T1059.001 → T1083 → T1041

출처 : https://www.igloo.co.kr/security-information/mitre-attck-framework-%EC%9D%B4%ED%95%B4%ED%95%98%EA%B8%B0/

[사례2] Stuxnet

  • ICS 환경을 겨냥한 초정밀 사이버 무기
  • 공격 흐름: USB 드라이브 감염 → 루트킷 설치 → PLC 코드 변조
  • ICS Matrix로 표현 시: Initial Access → Execution → Impair Process Control

출처: https://www.igloo.co.kr/security-information/mitre-attck-framework-%EC%9D%B4%ED%95%B4%ED%95%98%EA%B8%B0/

7. MITRE ATT&CK의 장점과 한계

장점

  • 위협에 대한 공통 언어 제공한다.
  • 다양한 보안 솔루션 간의 연계 및 비교 가능
  • SIEM, EDR, XDR, UEBA 등 보안 운영 자동화에 핵심적 활용

한계

  • 기법이 새로운 공격에 비해 느리게 반영될 수 있음
  • 사용자는 TTP에 대한 해석 능력과 맥락 판단 능력이 요구됨

8. 결론: 이제는 MITRE ATT&CK 기반 분석이 기본이다

MITRE ATT&CK은 단순한 프레임워크가 아니다. 침해사고 분석의 출발점이자 기준점이며, 탐지-대응-예방을 통합한 사이버 보안 운영 체계의 골격이다. 이제 보안 실무자라면 누구나 이 구조를 이해하고, 자신의 업무에 통합할 수 있어야 한다.

공격자는 흔적을 남긴다.
MITRE ATT&CK은 그 흔적을 해석하고 대응할 수 있는 가장 강력한 지도다.

'Incident Response > MITRE ATT&CK' 카테고리의 다른 글

MITRE ATT&CK - Resource Development  (0) 2025.05.13
MITRE ATT&CK - Reconnaissance  (2) 2025.05.11