
이번에 공격 탐지부터 알림과 대응, 오탐·미탐 판별까지의 과정을 자동화하는 보안 플랫폼 구축 프로젝트를 진행하게 되었다.
본격적인 구현에 앞서 실제 침해사고 사례를 조사하고, 공격자의 목적과 공격에 사용된 기술을 분석하여 프로젝트에서 재현할 공격 시나리오를 설계하기로 했다.
공격자의 행동을 체계적으로 분류하고 이에 맞는 탐지 규칙과 대응 절차를 수립하기 위해서는 공통된 분석 기준이 필요하다. 이에 실제 공격 사례에서 관찰된 공격자의 전술·기술·절차를 체계적으로 정리한 MITRE ATT&CK 프레임워크를 활용하기로 했다.
이번 글에서는 침해사고 사례를 분석하고 이를 MITRE ATT&CK의 TTP에 매핑하기에 앞서, MITRE ATT&CK의 개념과 주요 구성 요소를 먼저 정리해 보고자 한다.
MITRE ATT&CK은 Adversarial Tactics, Techniques, and Common Knowledge의 약자로, 실제 사이버 침해사고에서 관찰된 공격자의 목적과 행동 방식을 체계적으로 분류하고 정리한 공개 지식 기반(Knowledge Base)이다.
이를 한 문장으로 표현하면 다음과 같다.
공격자가 어떤 목적을 가지고, 어떤 기술을 사용하여 움직이는지 정리한 공격 행동 지도
예를 들어 공격자는 다음과 같은 과정을 거쳐 공격을 수행할 수 있다.
피싱 메일 전송 (최초 침투)
↓
악성 파일 실행 (실행)
↓
시스템과 계정 정보 확인 (탐색)
↓
계정 정보 탈취 (인증 정보 접근)
↓
다른 시스템으로 이동 (내부 이동)
↓
중요 자료 수집 (수집)
↓
수집한 자료를 외부로 전송 (정보 유출)
MITRE ATT&CK은 이처럼 일련의 공격 흐름 속에서 발생하는 개별 행동들을 공격자의 목적(Tactic)과 기술(Technique) 단위로 해석하여 매핑해 둔 것이다.
ATT&CK 프레임워크는 대상 환경에 따라 크게 세 가지 영역으로 구분된다.
MITRE ATT&CK을 이해하려면 핵심 개념인 TTP의 의미를 알아야 한다.
TTP는 다음 세 가지 개념을 의미한다.
- Tactic : 공격의 목적 (Why)
- Technique : 목적을 달성하기 위한 기술 (How)
- Procedure : 실제 공격에 사용된 구체적인 절차와 구현 방식 (What/Who)
Tactic은 공격자가 특정 행위를 하는 궁극적인 목적을 의미한다. 현재 Enterprise ATT&CK v19.1 기준 총 15개의 Tactic이 정의되어 있다.
Credential Access(인증 정보 접근)라는 Tactic에 해당한다.Technique은 공격자가 앞서 언급한 Tactic(목적)을 달성하기 위해 사용하는 구체적인 기술이다.
Credential Access라는 목적을 달성하기 위해 공격자는 다음과 같은 기술(Technique)들을 사용할 수 있다.Sub-technique은 하나의 Technique을 더 구체적인 공격 방식이나 행동 단위로 세분화한 개념이다. Technique ID 뒤에 .001과 같은 번호가 추가된다.
Command and Scripting Interpreter(명령어 및 스크립트 인터프리터) 기술은 다음과 같이 하위 기술로 쪼개진다.Procedure는 특정 공격 그룹이나 악성코드가 Technique 또는 Sub-technique을 실제 공격에서 어떻게 구현하고 사용했는지 보여주는 구체적인 사례다.

이미지 출처: MITRE ATT&CK Enterprise Matrix, v19.1
MITRE ATT&CK 사이트에서는 앞서 설명한 Tactic과 Technique의 관계를 한눈에 볼 수 있도록 표 형태로 제공하는데, 이를 ATT&CK Matrix라고 한다.
Matrix의 최상단 가로축에는 공격 목적에 해당하는 Tactic이 나열되어 있고, 각 Tactic 아래의 세로축에는 해당 목적을 달성하기 위해 사용할 수 있는 수많은 Technique(및 Sub-technique)들이 격자 형태로 배치되어 있다.
2026년 4월 공개된 Enterprise ATT&CK v19.1 기준, 15개의 Tactic은 다음과 같다.
| Tactic | 의미 |
|---|---|
| Reconnaissance | 공격 대상에 대한 정보 수집 |
| Resource Development | 공격에 필요한 계정·도메인·인프라 준비 |
| Initial Access | 대상 시스템에 처음 침투 |
| Execution | 악성 코드나 명령어 실행 |
| Persistence | 시스템에 계속 접근할 수 있는 상태 유지 |
| Privilege Escalation | 더 높은 권한 획득 |
| Stealth | 정상 행위처럼 위장하여 탐지 가능성 감소 |
| Defense Impairment | 보안 도구나 방어 기능 무력화 |
| Credential Access | 계정과 인증 정보 탈취 |
| Discovery | 시스템과 네트워크 환경 탐색 |
| Lateral Movement | 내부의 다른 시스템으로 이동 |
| Collection | 공격 대상의 중요 정보 수집 |
| Command and Control | 감염된 시스템과 공격 서버 간 통신 |
| Exfiltration | 수집한 데이터를 외부로 유출 |
| Impact | 시스템 파괴, 암호화 또는 서비스 중단 |
ATT&CK Matrix는 공격이 반드시 왼쪽(Reconnaissance)에서 시작해 오른쪽(Impact) 순서대로만 진행된다는 의미는 아니다.
실제 공격에서는 일부 단계가 생략되거나, 하나의 기술이 여러 목적에 사용되거나, 동일한 행동이 반복될 수 있다. 따라서 Matrix는 고정된 공격 순서도라기보다 공격자의 행동을 분류하기 위한 기준표에 가깝다.
공격자가 회사 직원에게 악성 첨부파일을 전송했다고 가정해 보자.
직원이 첨부파일을 실행하자 PowerShell 명령어가 동작하고, 외부 서버에서 악성 파일을 다운로드했다고 한다.
이 공격을 ATT&CK에 매핑하면 다음과 같이 정리할 수 있다.
| 공격자의 행동 | Tactic | Technique |
|---|---|---|
| 악성 첨부파일이 포함된 이메일 전송 | Initial Access | Spearphishing Attachment (T1566.001) |
| 사용자가 악성 첨부파일 실행 | Execution | User Execution: Malicious File (T1204.002) |
| PowerShell 명령어 실행 | Execution | Command and Scripting Interpreter: PowerShell (T1059.001) |
| 외부 서버에서 악성 파일 다운로드 | Command and Control | Ingress Tool Transfer (T1105) |
| 운영체제와 시스템 정보 확인 | Discovery | System Information Discovery (T1082) |
| 사용자 계정 확인 | Discovery | Account Discovery (T1087) |
| LSASS 등에서 인증 정보 추출 | Credential Access | OS Credential Dumping (T1003) |
| RDP·SMB 등으로 내부 시스템 접속 | Lateral Movement | Remote Services (T1021) |
| 로컬 시스템의 중요 파일 수집 | Collection | Data from Local System (T1005) |
| 기존 C2 채널로 자료 전송 | Exfiltration | Exfiltration Over C2 Channel (T1041) |
MITRE ATT&CK에서는 악성 첨부파일을 이용한 표적형 피싱을 T1566.001, PowerShell을 이용한 명령 실행을 T1059.001로 식별한다.
각 기술에 고유한 ID가 있기 때문에 서로 다른 보안 조직도 같은 기준으로 공격 행동을 표현할 수 있다.
Tactic : Execution
Technique : Command and Scripting Interpreter
Sub-technique: PowerShell
ATT&CK ID : T1059.001
MITRE ATT&CK은 공격 기술을 외우기 위한 목록이 아니다. 실제 보안 업무에서는 다음과 같이 활용할 수 있다.
수집된 로그와 공격자의 행동을 Technique에 연결하면 공격이 어느 단계까지 진행되었는지 파악할 수 있다.
예를 들어 다음과 같은 로그가 발견되었다고 가정해 보자.
WINWORD.EXE
└─ powershell.exe
└─ 외부 서버 접속 및 파일 다운로드
이를 통해 악성 문서 실행, PowerShell 악용, 외부 파일 다운로드로 이어지는 흐름을 추정할 수 있다.
ATT&CK Technique을 기준으로 필요한 로그와 탐지 규칙을 설계할 수 있다.
PowerShell 악용을 탐지하려면 다음 데이터를 확인할 수 있다.
조직에서 수집하는 로그와 탐지 규칙을 ATT&CK Matrix에 표시하면 어떤 Technique은 탐지할 수 있고, 어떤 Technique은 확인하기 어려운지 파악할 수 있다.
MITRE에서 제공하는 ATT&CK Navigator를 사용하면 탐지 범위, 레드팀·블루팀 계획, 기술별 탐지 현황 등을 Matrix 위에 시각화할 수 있다.
보안 보고서에 등장하는 공격 그룹과 악성코드의 행동을 ATT&CK 기준으로 정리하면 서로 다른 공격 사례를 비교하기 쉬워진다.
예를 들어 두 공격 그룹이 서로 다른 악성코드를 사용했더라도 모두 PowerShell을 이용해 악성 코드를 실행했다면 공통적으로 T1059.001에 매핑할 수 있다.
알려진 공격 그룹의 Technique을 참고하여 실제 공격자의 행동을 재현하고, 조직의 탐지 및 대응 체계가 정상적으로 동작하는지 검증할 수 있다.
MITRE ATT&CK은 공격을 분석하는 데 유용하지만 Technique을 매핑하는 것만으로 분석이 끝나는 것은 아니다.
동일한 명령어나 프로그램이라도 실행된 상황에 따라 정상 행위일 수도 있고 공격 행위일 수도 있다.
예를 들어 PowerShell은 시스템 관리자가 사용하는 정상적인 관리 도구이기도 하다. 따라서 단순히 PowerShell이 실행되었다는 이유만으로 공격이라고 판단해서는 안 된다.
다음과 같은 주변 정보를 함께 살펴봐야 한다.
ATT&CK은 공격을 자동으로 판정해 주는 도구가 아니라, 수집한 증거를 일관된 기준으로 설명하고 분석하도록 도와주는 프레임워크이다.
MITRE ATT&CK은 실제 공격 사례를 기반으로 공격자의 목적과 행동 기술을 정리한 지식 기반이다.
MITRE ATT&CK을 활용하면 단순히 “악성코드가 실행되었다”라고 기록하는 것에서 그치지 않고 다음과 같이 공격 흐름을 구조적으로 설명할 수 있다.
어떤 목적으로
→ 어떤 기술을 사용했고
→ 공격이 어디까지 진행되었으며
→ 이를 탐지하려면 어떤 로그가 필요한가
따라서 MITRE ATT&CK은 침해사고 대응, 보안 관제, 위협 인텔리전스, 탐지 규칙 개발 및 모의해킹 등 다양한 보안 업무에서 공격자와 방어자의 행동을 연결해 주는 공통 언어라고 할 수 있다.