MITRE ATT&CK이란 무엇일까?

JHLee·어제

정보 보안

목록 보기
12/12
post-thumbnail

MITRE ATT&CK이란 무엇일까?

1. MITRE ATT&CK을 정리하게 된 이유

이번에 공격 탐지부터 알림과 대응, 오탐·미탐 판별까지의 과정을 자동화하는 보안 플랫폼 구축 프로젝트를 진행하게 되었다.

본격적인 구현에 앞서 실제 침해사고 사례를 조사하고, 공격자의 목적과 공격에 사용된 기술을 분석하여 프로젝트에서 재현할 공격 시나리오를 설계하기로 했다.

공격자의 행동을 체계적으로 분류하고 이에 맞는 탐지 규칙과 대응 절차를 수립하기 위해서는 공통된 분석 기준이 필요하다. 이에 실제 공격 사례에서 관찰된 공격자의 전술·기술·절차를 체계적으로 정리한 MITRE ATT&CK 프레임워크를 활용하기로 했다.

이번 글에서는 침해사고 사례를 분석하고 이를 MITRE ATT&CK의 TTP에 매핑하기에 앞서, MITRE ATT&CK의 개념과 주요 구성 요소를 먼저 정리해 보고자 한다.


2. MITRE ATT&CK이란?

MITRE ATT&CK은 Adversarial Tactics, Techniques, and Common Knowledge의 약자로, 실제 사이버 침해사고에서 관찰된 공격자의 목적과 행동 방식을 체계적으로 분류하고 정리한 공개 지식 기반(Knowledge Base)이다.

이를 한 문장으로 표현하면 다음과 같다.

공격자가 어떤 목적을 가지고, 어떤 기술을 사용하여 움직이는지 정리한 공격 행동 지도

예를 들어 공격자는 다음과 같은 과정을 거쳐 공격을 수행할 수 있다.

피싱 메일 전송 (최초 침투)
  ↓
악성 파일 실행 (실행)
  ↓
시스템과 계정 정보 확인 (탐색)
  ↓
계정 정보 탈취 (인증 정보 접근)
  ↓
다른 시스템으로 이동 (내부 이동)
  ↓
중요 자료 수집 (수집)
  ↓
수집한 자료를 외부로 전송 (정보 유출)

MITRE ATT&CK은 이처럼 일련의 공격 흐름 속에서 발생하는 개별 행동들을 공격자의 목적(Tactic)기술(Technique) 단위로 해석하여 매핑해 둔 것이다.

ATT&CK 프레임워크는 대상 환경에 따라 크게 세 가지 영역으로 구분된다.

  • Enterprise: 기업의 서버, PC, 네트워크, 클라우드 환경
  • Mobile: 스마트폰과 모바일 운영체제(Android, iOS) 환경
  • ICS: 산업 제어 시스템 환경

🔗 MITRE ATT&CK 공식 사이트


3. 공격자의 행동 양식: TTP

MITRE ATT&CK을 이해하려면 핵심 개념인 TTP의 의미를 알아야 한다.

TTP는 다음 세 가지 개념을 의미한다.

- Tactic     : 공격의 목적 (Why)
- Technique  : 목적을 달성하기 위한 기술 (How)
- Procedure  : 실제 공격에 사용된 구체적인 절차와 구현 방식 (What/Who)

① Tactic: 공격의 이유와 목적 (Why)

Tactic은 공격자가 특정 행위를 하는 궁극적인 목적을 의미한다. 현재 Enterprise ATT&CK v19.1 기준 총 15개의 Tactic이 정의되어 있다.

  • 예시: 공격자가 시스템 내부의 계정과 비밀번호를 훔치려고 한다면, 그 목적은 Credential Access(인증 정보 접근)라는 Tactic에 해당한다.

② Technique: 목적을 달성하는 방법 (How)

Technique은 공격자가 앞서 언급한 Tactic(목적)을 달성하기 위해 사용하는 구체적인 기술이다.

  • 예를 들어 Credential Access라는 목적을 달성하기 위해 공격자는 다음과 같은 기술(Technique)들을 사용할 수 있다.
    • Brute Force (비밀번호 무차별 대입)
    • Credentials from Web Browsers (브라우저 저장 인증 정보 탈취)
    • OS Credential Dumping (운영체제 메모리 내 인증 정보 추출)

③ Sub-technique: 기술의 세부 분류

Sub-technique은 하나의 Technique을 더 구체적인 공격 방식이나 행동 단위로 세분화한 개념이다. Technique ID 뒤에 .001과 같은 번호가 추가된다.

  • 예를 들어 Command and Scripting Interpreter(명령어 및 스크립트 인터프리터) 기술은 다음과 같이 하위 기술로 쪼개진다.
    • PowerShell (.001)
    • Windows Command Shell (.003)
    • Unix Shell (.004)

④ Procedure: 실제 공격에서의 구체적인 구현 사례

Procedure는 특정 공격 그룹이나 악성코드가 Technique 또는 Sub-technique을 실제 공격에서 어떻게 구현하고 사용했는지 보여주는 구체적인 사례다.

  • 예를 들어 APT29는 인코딩된 PowerShell 스크립트를 사용하여 추가 악성코드를 다운로드하고 설치한 사례가 있다.

4. ATT&CK Matrix란?

이미지 출처: MITRE ATT&CK Enterprise Matrix, v19.1

MITRE ATT&CK 사이트에서는 앞서 설명한 Tactic과 Technique의 관계를 한눈에 볼 수 있도록 표 형태로 제공하는데, 이를 ATT&CK Matrix라고 한다.

Matrix의 최상단 가로축에는 공격 목적에 해당하는 Tactic이 나열되어 있고, 각 Tactic 아래의 세로축에는 해당 목적을 달성하기 위해 사용할 수 있는 수많은 Technique(및 Sub-technique)들이 격자 형태로 배치되어 있다.

2026년 4월 공개된 Enterprise ATT&CK v19.1 기준, 15개의 Tactic은 다음과 같다.

Tactic의미
Reconnaissance공격 대상에 대한 정보 수집
Resource Development공격에 필요한 계정·도메인·인프라 준비
Initial Access대상 시스템에 처음 침투
Execution악성 코드나 명령어 실행
Persistence시스템에 계속 접근할 수 있는 상태 유지
Privilege Escalation더 높은 권한 획득
Stealth정상 행위처럼 위장하여 탐지 가능성 감소
Defense Impairment보안 도구나 방어 기능 무력화
Credential Access계정과 인증 정보 탈취
Discovery시스템과 네트워크 환경 탐색
Lateral Movement내부의 다른 시스템으로 이동
Collection공격 대상의 중요 정보 수집
Command and Control감염된 시스템과 공격 서버 간 통신
Exfiltration수집한 데이터를 외부로 유출
Impact시스템 파괴, 암호화 또는 서비스 중단

ATT&CK Matrix는 공격이 반드시 왼쪽(Reconnaissance)에서 시작해 오른쪽(Impact) 순서대로만 진행된다는 의미는 아니다.

실제 공격에서는 일부 단계가 생략되거나, 하나의 기술이 여러 목적에 사용되거나, 동일한 행동이 반복될 수 있다. 따라서 Matrix는 고정된 공격 순서도라기보다 공격자의 행동을 분류하기 위한 기준표에 가깝다.


5. 공격 시나리오를 ATT&CK에 매핑해 보기

공격자가 회사 직원에게 악성 첨부파일을 전송했다고 가정해 보자.

직원이 첨부파일을 실행하자 PowerShell 명령어가 동작하고, 외부 서버에서 악성 파일을 다운로드했다고 한다.

이 공격을 ATT&CK에 매핑하면 다음과 같이 정리할 수 있다.

공격자의 행동TacticTechnique
악성 첨부파일이 포함된 이메일 전송Initial AccessSpearphishing Attachment (T1566.001)
사용자가 악성 첨부파일 실행ExecutionUser Execution: Malicious File (T1204.002)
PowerShell 명령어 실행ExecutionCommand and Scripting Interpreter: PowerShell (T1059.001)
외부 서버에서 악성 파일 다운로드Command and ControlIngress Tool Transfer (T1105)
운영체제와 시스템 정보 확인DiscoverySystem Information Discovery (T1082)
사용자 계정 확인DiscoveryAccount Discovery (T1087)
LSASS 등에서 인증 정보 추출Credential AccessOS Credential Dumping (T1003)
RDP·SMB 등으로 내부 시스템 접속Lateral MovementRemote Services (T1021)
로컬 시스템의 중요 파일 수집CollectionData from Local System (T1005)
기존 C2 채널로 자료 전송ExfiltrationExfiltration Over C2 Channel (T1041)

MITRE ATT&CK에서는 악성 첨부파일을 이용한 표적형 피싱을 T1566.001, PowerShell을 이용한 명령 실행을 T1059.001로 식별한다.

각 기술에 고유한 ID가 있기 때문에 서로 다른 보안 조직도 같은 기준으로 공격 행동을 표현할 수 있다.

Tactic       : Execution
Technique    : Command and Scripting Interpreter
Sub-technique: PowerShell
ATT&CK ID    : T1059.001

6. 보안 담당자는 ATT&CK을 어떻게 활용할까?

MITRE ATT&CK은 공격 기술을 외우기 위한 목록이 아니다. 실제 보안 업무에서는 다음과 같이 활용할 수 있다.

침해사고 분석

수집된 로그와 공격자의 행동을 Technique에 연결하면 공격이 어느 단계까지 진행되었는지 파악할 수 있다.

예를 들어 다음과 같은 로그가 발견되었다고 가정해 보자.

WINWORD.EXE
└─ powershell.exe
   └─ 외부 서버 접속 및 파일 다운로드

이를 통해 악성 문서 실행, PowerShell 악용, 외부 파일 다운로드로 이어지는 흐름을 추정할 수 있다.

탐지 규칙 개발

ATT&CK Technique을 기준으로 필요한 로그와 탐지 규칙을 설계할 수 있다.

PowerShell 악용을 탐지하려면 다음 데이터를 확인할 수 있다.

  • Windows 프로세스 생성 로그
  • PowerShell Script Block 로그
  • 부모·자식 프로세스 관계
  • 명령줄 인자
  • 외부 네트워크 연결
  • 파일 생성 기록

보안 사각지대 점검

조직에서 수집하는 로그와 탐지 규칙을 ATT&CK Matrix에 표시하면 어떤 Technique은 탐지할 수 있고, 어떤 Technique은 확인하기 어려운지 파악할 수 있다.

MITRE에서 제공하는 ATT&CK Navigator를 사용하면 탐지 범위, 레드팀·블루팀 계획, 기술별 탐지 현황 등을 Matrix 위에 시각화할 수 있다.

위협 인텔리전스 분석

보안 보고서에 등장하는 공격 그룹과 악성코드의 행동을 ATT&CK 기준으로 정리하면 서로 다른 공격 사례를 비교하기 쉬워진다.

예를 들어 두 공격 그룹이 서로 다른 악성코드를 사용했더라도 모두 PowerShell을 이용해 악성 코드를 실행했다면 공통적으로 T1059.001에 매핑할 수 있다.

모의해킹과 레드팀 훈련

알려진 공격 그룹의 Technique을 참고하여 실제 공격자의 행동을 재현하고, 조직의 탐지 및 대응 체계가 정상적으로 동작하는지 검증할 수 있다.


7. ATT&CK을 사용할 때 주의할 점

MITRE ATT&CK은 공격을 분석하는 데 유용하지만 Technique을 매핑하는 것만으로 분석이 끝나는 것은 아니다.

동일한 명령어나 프로그램이라도 실행된 상황에 따라 정상 행위일 수도 있고 공격 행위일 수도 있다.

예를 들어 PowerShell은 시스템 관리자가 사용하는 정상적인 관리 도구이기도 하다. 따라서 단순히 PowerShell이 실행되었다는 이유만으로 공격이라고 판단해서는 안 된다.

다음과 같은 주변 정보를 함께 살펴봐야 한다.

  • 어떤 사용자가 실행했는가?
  • 어떤 부모 프로세스에서 실행되었는가?
  • 실행된 명령어는 무엇인가?
  • 외부 서버와 통신했는가?
  • 평소에도 발생하던 행위인가?
  • 실행 전후에 다른 의심스러운 이벤트가 있었는가?

ATT&CK은 공격을 자동으로 판정해 주는 도구가 아니라, 수집한 증거를 일관된 기준으로 설명하고 분석하도록 도와주는 프레임워크이다.


8. 정리

MITRE ATT&CK은 실제 공격 사례를 기반으로 공격자의 목적과 행동 기술을 정리한 지식 기반이다.

MITRE ATT&CK을 활용하면 단순히 “악성코드가 실행되었다”라고 기록하는 것에서 그치지 않고 다음과 같이 공격 흐름을 구조적으로 설명할 수 있다.

어떤 목적으로
→ 어떤 기술을 사용했고
→ 공격이 어디까지 진행되었으며
→ 이를 탐지하려면 어떤 로그가 필요한가

따라서 MITRE ATT&CK은 침해사고 대응, 보안 관제, 위협 인텔리전스, 탐지 규칙 개발 및 모의해킹 등 다양한 보안 업무에서 공격자와 방어자의 행동을 연결해 주는 공통 언어라고 할 수 있다.

profile
렛츠고

0개의 댓글