MITRE ATT&CK 프레임워크란 무엇인가?"

MITRE ATT&CK 프레임워크는 공격자의 전술과 기법에 대한 지식 기반입니다. 본 가이드는 위협 탐지 및 대응을 개선하기 위해 이 프레임워크를 활용하는 방법을 살펴봅니다.

프레임워크의 구조와 사이버 보안에서의 적용에 대해 알아보세요. MITRE ATT&CK 프레임워크를 이해하는 것은 조직이 보안 전략을 강화하는 데 매우 중요합니다.

MITRE란?

1958년 MIT 링컨 연구소의 분사 기관으로 설립된 MITRE 는 매사추세츠주 베드퍼드와 버지니아주 맥린에 본사를 둔 정부 지원 비영리 기관입니다. MITRE는 항공, 국방, 의료, 국토 안보 및 사이버 보안 분야의 연구, 개발 및 시스템 엔지니어링을 지원하기 위해 연방 정부 자금 지원 연구 센터를 운영합니다.

사이버 보안 커뮤니티에 대한 주요 기여로는 공개 취약점 정보를 게시하는 공통 취약점 및 노출(CVE) 데이터베이스와 위협 정보 공유를 지원하는 구조화된 위협 정보 교환(STIX) 언어가 있습니다.

MITRE Engenuity는 2019년 "민간 부문과 협력하여 사이버 방어 분야의 산업 전반적 문제 해결"을 목표로 설립된 전담 재단입니다. MITRE Engenuity는 MITRE Engenuity ATT&CK 프레임워크를 개발했으며 MITRE Engenuity ATT&CK 평가를 수행합니다.

MITRE ATT&CK의 목표는 무엇인가?

MITRE Engenuity는 비영리 연구 기관으로, 다음과 같은 목표를 가지고 있습니다:

1. 특정 상용 보안 제품을 사용하여 알려진 공격자의 행동을 탐지하는 방법에 대한 객관적인 통찰력을 최종 사용자에게 제공합니다.
2. 보안 제품 및 서비스가 알려진 공격자 행동을 탐지하는 실제 역량에 대한 투명성을 제공합니다.
3. 보안 벤더 커뮤니티가 알려진 공격자 행동 탐지 역량을 강화하도록 유도합니다.

ATT&CK 프레임워크는 이해관계자, 사이버 방어 담당자 및 벤더가 위협의 정확한 특성과 이를 무력화할 수 있는 사이버 방어 계획의 객관적 평가에 대해 명확하게 소통할 수 있도록 하는 공통 어휘를 제공합니다.

이 프레임워크는 다음과 같은 세 가지 이점을 제공합니다:

• 전술과 기법의 조합 측면에서 공격자의 작전 계획에 대한 통찰력을 얻을 수 있습니다.
• 위협의 정확한 본질을 명확히 전달하고 더 깊은 통찰력으로 신속하게 대응할 수 있습니다.
• 전형적인 적대자가 누구이며 어떻게 공격하는지 이해하면, 그들을 무력화할 방어 체계를 선제적으로 설계할 수 있습니다.

ATT&CK는 무엇을 의미하나요?

ATT&CK는 적대적 전술, 기법 및 공통 지식(Adversarial Tactics, Techniques, and Common Knowledge) (ATT&CK)를 의미합니다. MITRE Engenuity ATT&CK는 실제 관찰을 기반으로 한 적대자 전술 및 기법에 대한 전 세계적으로 접근 가능한 지식 기반입니다.

ATT&CK 전술이란 무엇인가요?&

ATT&CK 전술은 공격자의 최상위 목표를 의미합니다. 전술은 분석가에게 활동의 잠재적 의도( 또는 적대자가 행동을 수행하는 이유(why)에 대한 답을 제공합니다. 전술은 개별 기법(예: 초기 접근, 실행, 지속성)을 포괄하는 상위 수준의 맥락적 범주를 나타냅니다.

ATT&CK 기법이란 무엇인가요?

ATT&CK 기법은 공격자가 목표를 달성하는 방법이며, 동시에 공격자가 행동을 통해 얻으려는 목적을 나타냅니다. 예를 들어 공격자는 데이터 유출 전술을 수행하는 과정에서 데이터를 암호화하거나 압축하는 기법을 사용할 수 있습니다.

전술과 기법의 관계는 ATT&CK 매트릭스로 시각화됩니다. 예를 들어, 지속성(Persistence) 전술에는 새 서비스 생성이나 새 예약 작업 생성 같은 일련의 연관 기법이 있을 수 있습니다.

MITRE ATT&CK는 사이버 킬 체인과 어떻게 다른가?

첫눈에 MITRE Engenuity ATT&CK 프레임워크는 록히드 마틴의 사이버 킬 체인과 유사해 보입니다. 두 프레임워크 모두 위협 행위와 목표에 대한 서로 다른 모델을 제시합니다.

사이버 킬 체인은 7단계로 구분됩니다:

1. 정찰
2. 무기화
3. 전달
4. 악용
5. 설치
6. 명령 및 통제
7. 목표에 대한 작업

MITRE Engenuity ATT&CK 프레임워크는 10단계로 구성됩니다:

1. 초기 접근
2. 실행
3. 지속성
4. 권한 상승
5. 방어 회피
6. 인증 정보 접근
7. 탐색
8. 횡방향 이동
9. 정보 수집 및 유출
10. 명령 및 제어

ATT&CK 프레임워크의 각 단계는 에는 공격자의 행동을 설명할 때 추가적인 세분화와 구체성을 제공하는 여러 전술과 기법이 포함됩니다. ATT&CK는 공격의 단계를 설명하는 것을 넘어, 특정 공격자의 행동과 동기를 모델링합니다.

또한 사이버 킬 체인은 정찰 단계부터 시작하여 목표물에 대한 행동으로 끝나는 순차적인 흐름으로 읽힙니다. ATT&CK 프레임워크는 시간 순서가 아니며 공격자가 공격 과정에서 전술과 기법을 변경할 수 있다고 가정합니다.

MITRE는 이 프레임워크가 "중간 수준의 적대자 모델"이라고 지적하며, 지나치게 일반화되지도 지나치게 구체적이지도 않음을 의미합니다. 록히드 마틴 사이버 킬 체인과 같은 상위 모델은 적대자의 목표를 설명하지만, 목표 달성 방법에 대해서는 구체적이지 않습니다.

반대로, 익스플로잇 및 악성코드 데이터베이스는 거대한 퍼즐 속 IoC "조각들"을 구체적으로 정의하지만, 악의적인 행위자들이 이를 어떻게 사용하는지와 반드시 연결되지는 않으며, 일반적으로 악의적인 행위자가 누구인지도 식별하지 않습니다. MITRE Engenuity의 TTP 모델은 전술이 단계별 중간 목표이고 기법이 각 전술을 달성하는 방법을 나타내는 적절한 중간 지점입니다.

MITRE ATT&CK 프레임워크 활용 방법

CISO와 보안 팀은 다음과 같은 ATT&CK 프레임워크 모범 사례를 활용하여 보안 태세를 개선할 수 있습니다:

1. 사이버 보안 전략 수립

ATT&CK를 활용하여 사이버 보안 전략을 수립하십시오. 조직 유형에 대해 사용되는 것으로 알려진 기법에 대응하기 위한 방어 체계를 구축하고, 네트워크에서 ATT&CK 기법의 증거를 탐지할 수 있는 보안 모니터링을 갖추십시오.

2. 적대자 모의 계획 실행

적대자 모의 계획에 ATT&CK를 활용하여 레드팀 성과를 개선하십시오. 레드팀은 특정 위협의 전술과 기법을 정의하는 일관되고 체계적인 접근 방식을 개발 및 배포한 후, 환경을 논리적으로 평가하여 방어 체계가 예상대로 작동하는지 확인할 수 있습니다.

3. 방어 체계의 취약점 식별

ATT&CK 매트릭스는 블루팀이 잠재적 또는 진행 중인 사이버 공격의 구성 요소를 더 잘 이해하여 방어 체계의 취약점을 파악하고 해당 취약점에 대한 해결책을 구현하는 데 도움이 될 수 있습니다. ATT&CK는 귀사가 더 취약한 기법에 대해 권장되는 개선 조치 및 보완 통제 수단을 문서화합니다.

4. 위협 인텔리전스 통합

ATT&CK는 귀사의 위협 인텔리전스를 사이버 방어 운영에 통합할 수 있습니다. 위협을 특정 공격자 기법과 매핑하여 취약점이 존재하는지 파악하고, 위험을 평가하며, 이를 해결하기 위한 실행 계획을 수립할 수 있습니다.

MITRE ATT&CK는 보안 제품을 어떻게 평가하나요?

MITRE Engenuity ATT&CK 평가 시뮬레이션은 공격자의 알려진 TTP(전술, 기술 및 절차)를 모방하도록 설계되며, 통제된 실험실 환경에서 수행되어 참여 업체별 제품의 효과를 판단합니다. MITRE Engenuity에 따르면:&

"(ATT&CK) 평가는 적대자 에뮬레이션을 사용하며, 이는 특정 적대자의 ‘스타일’로 테스트하는 방법입니다. 이를 통해 테스트할 관련 ATT&CK 기법의 하위 집합을 선택할 수 있습니다. 에뮬레이션 계획을 수립하기 위해 공개된 위협 인텔리전스 보고서를 활용하여 ATT&CK에 매핑한 후, 해당 행동을 재현할 방법을 결정합니다."

목표는 초기 침해부터 지속성 확보, 횡방향 이동, 데이터 유출 등에 이르기까지 포괄적이고 성공적인 공격의 모든 단계를 거치는 완전하고 논리적인 공격을 구성하는 것입니다.

MITRE Engenuity는 평가 과정에서 벤더와 협력하므로, MITRE Engenuity는 사실상 레드팀 역할을 수행하며, MITRE Engenuity에 탐지 및 대응을 제공하는 벤더는 블루팀 역할을 수행합니다. 그 결과, 실제 공격에서 관찰된 침입자의 알려진 TTP(전술, 기술 및 절차)를 기반으로 침입자가 실제 공격에서 사용할 가능성이 높은 접근 방식을 모방하여 보안 통제를 실시간으로 테스트하는 데 도움을 주는 "퍼플 팀"이 탄생합니다.

MITRE ATT&CK 평가가 중요한 이유는 무엇일까요?

보안 솔루션 테스트는 오랫동안 문제가 많았고 실제 능력을 판단하기에 부적합했습니다. 초기 EICAR 테스트부터 수년 동안 운영되어 온 전문 제3자 테스트 연구소에 이르기까지, 인위적인 테스트와 실제 효과 사이에는 항상 큰 괴리가 존재했습니다. 벤더들 스스로도 오랫동안 고객들이 제품에 대한 확신과 교육을 모두 필요로 한다는 사실을 인식해 왔으며, 당연히 자사 솔루션의 강점을 가장 잘 발휘할 수 있는 상황에서 솔루션을 선보이려 노력해 왔습니다.

MITRE가 제시하는 것은 독특합니다. 첫째, 이 평가는 독립적이고 중립적이며 공개된 테스트 기준과 결과를 제공합니다. 중요한 점은 이 테스트가 공급업체 제품들을 서로 비교하여 순위 매기거나 평가하려는 목적이 아니라는 것입니다. 목표는 제품이 공격의 특정 단계에 어떻게 대응하는지 보여주는 데 있습니다. 이는 기업 사용자가 도입했거나 도입을 고려 중인 제품이 실제 환경에서 어떻게 작동할지 이해하는 데 도움이 됩니다.

둘째, 잠시 후 언급할 몇 가지 주의사항이 있지만, 현재 이용 가능한 다른 어떤 것보다 실제 환경에 가장 가깝습니다. 실제 관측된 TTP(전술·기술·절차)를 연결하고 전체 공격 라이프사이클의 행동을 모방하는 단계별로 적용함으로써, 소비자는 알려진 및 알려지지 않은 악성코드 샘플 모음에 대한 테스트보다 제품 성능에 대한 훨씬 풍부한 통찰력을 얻을 수 있습니다.

MITRE ATT&CK 엔터프라이즈 평가의 역사는 무엇입니까?

MITRE Engenuity ATT&CK 평가는 2018년에 처음 시작되었습니다. MITRE Engenuity는 알려진 고급 위협 그룹에 대한 지식 기반을 유지하고 있으며, 매년 평가 테스트를 위해 모방할 적대 그룹(들)을 선택합니다. MITRE Engenuity ATT&CK 평가 참가자 비교 도구에 게시됩니다.

APT 3 (2018)

APT3는 2010년 처음 활동하기 시작한 중국 기반 위협 그룹으로, 중국 국가안전부(중국 정보기관)와 연관되어 있습니다. APT3는 고딕 팬더(Gothic Panda), 피르피(Pirpi), UPS 팀(UPS Team), 버키(Buckeye) 등 다양한 이름으로 불리며 항공우주, 방위산업, 첨단기술, 통신 및 운송 산업 분야의 공격과 연관되어 있습니다.

APT3의 목적은 민간 기관이나 정부로부터 핵심 정보를 탈취하여 중국의 정치적, 경제적, 군사적 목표를 달성하는 것입니다. 초기에는 미국 기업을 표적으로 삼았으나, 현재는 홍콩의 정치적 반대 세력으로 초점이 이동했습니다.

APT3 테스트 과정은 두 가지 시나리오로 나뉘었습니다. 첫 번째는 CobaltStrike를, 두 번째는 PowerShell 엠파이어를 사용한 두 번째 공격 시나리오로 구성되었습니다. 공격 시나리오는 다음과 같은 운영 흐름으로 이루어졌습니다:

1. 명령 및 제어 설정
2. 도구 준비
3. 초기 침해
4. 초기 탐색
5. 접근권 확장
6. 지속성 확보
7. 지적 재산권 도용

APT29 (2019)

APT29는 2008년경 처음 활동하기 시작한 러시아 기반 위협 집단으로, 러시아 외무정보국(SVR)과 연관되어 있습니다. APT29는 Cozy Bear, The Dukes, StellarParticle, Dark Halo 등 다양한 이름으로 불립니다. 유럽 및 NATO 회원국과 싱크탱크를 대상으로 한 공격과 연관되어 있습니다.

Cozy Bear는 2015년 민주당 전국위원회 해킹과 이후 소셜 미디어 봇넷을 통한 선거 개입으로 가장 잘 알려져 있습니다.APT29의 동기는 정치적·경제적·군사적 측면에서 대립하는 주권 국가 및 정부를 겨냥합니다. APT29는 정교하고 자금력이 풍부한 집단으로, 은밀한 작전과 맞춤형 악성코드로 유명합니다.

APT29 테스트 프로세스는 두 가지 시나리오로 나뉘었습니다. 첫 번째는 광범위한 '스매시 앤 그랩(smash and grab)' 기법(이 그룹의 대규모 스피어 피싱 캠페인을 모방)과 두 번째는 표적화된 '로우 앤 슬로우(low and slow)' 기법을 사용했습니다. 공격 시나리오는 다음과 같은 운영 흐름으로 구성되었습니다:

1. 명령 및 제어(C&C) 설정
2. 도구 준비
3. 표적화된 초기 침투 또는 광범위한 초기 침투(스매시 앤 그랩)
4. 스텔스 도구 키트 배포
5. 스텔스 정보 수집
6. 작전 후 정리

Carbanak 및 FIN7 (2020)

Carbanak과 FIN7은 러시아와 연계된 공격자로, 둘 다 Carbanak 악성코드를 사용하지만 별개의 위협 그룹으로 추적됩니다. Carbanak은 2014년에 처음 발견되었으며 주로 미국, 독일, 중국, 우크라이나의 은행 네트워크와 금융 기관을 표적으로 삼습니다.

카르바낙은 은행과 수천 명의 개인 고객으로부터 9억 달러 이상을 탈취했다고 주장합니다. FIN7은 2015년 중반에 처음 확인되었으며, 미국 소매업, 레스토랑 및 호텔 산업을 표적으로 삼습니다. FIN7은 피해자로부터 10억 달러 이상을 훔쳤다고 주장합니다.

Carbanak/FIN7 테스트 프로세스는 두 가지 시나리오로 나뉘었습니다. 첫 번째는 금융 기관을, 두 번째는 호텔 관리자를 표적으로 삼았습니다. 공격 시나리오는 다음과 같은 운영 흐름으로 구성되었습니다:

1. 명령 및 제어(C&C) 설정
2. 도구 준비
3. 표적 초기 침투
4. 접근권 확장
5. 지속성 확보
6. 불법 자금 이체 또는 호텔 결제 정보 탈취

MITRE ATT&CK 2021 평가의 새로운 점은 무엇일까요?

2021년 4월에 발표된 결과는 금융 위협 그룹인 Carbanak과 FIN7을 모방하는 데 중점을 둡니다.

Carbanak과 FIN7은 모두 광범위한 영향을 미친 것으로 잘 기록된 역사를 가지고 있습니다. Carbanak은 은행과 1,000명 이상의 개인 고객으로부터 누적 9억 달러를 훔친 것으로 알려져 있습니다. FIN7은 전 세계 피해자로부터 1,500만 건 이상의 고객 신용카드 정보를 탈취한 것으로 알려져 있습니다.

이들의 악성 활동의 주요 목적은 기업으로부터 금융 자산(예: 직불카드 정보)을 탈취하거나, 재무부서 직원의 컴퓨터를 통해 금융 데이터에 접근하여 해외 계좌로 송금을 수행하는 것입니다.

2021년 ATT&CK 평가에서는 두 가지 중요한 진화도 도입되었습니다: 리눅스 환경에서의 테스트와 보호 기능 테스트의 추가입니다. MITRE Engenuity는 또한 ATT&CK Navigator를 출시했는데, 이는 특정 ATT&CK 평가에서 공급업체 간 상대적 성과를 비교하고 이해하는 도구입니다.

MITRE ATT&CK 도구 및 리소스

MITRE Engenuity는 평가 결과의 원시 데이터만 공개합니다. 데이터 해석과 결론 도출은 독자의 몫입니다. SentinelOne 팀은 백서 MITRE ATT&CK 평가 – Carbanak 및 Fin7를 제공하여 결과 이해를 돕고 있습니다.

더 알아볼 준비가 되셨나요? SentinelOne은 위협 라이프사이클의 모든 단계에서 귀사의 비즈니스를 선제적으로 보호합니다.

"

Mitre Attack Framework FAQs