성규 유MITRE ATT&CK 1
MITRE ATT&CK
개인 블로그를 운영하든, 사내 위키를 관리하든, 웹·엔드포인트·클라우드 어디서든 공격을 “행위”로 이해하는 관점은 이제 기본이 되었습니다. MITRE ATT&CK는 그 행위를 전술(Tactic)–기법(Technique)–서브기법(Sub-technique)으로 구조화해, 탐지·분석·보고를 하나의 언어로 묶어 줍니다.
1. 왜 ATT&CK인가: “무엇이 일어났나”에서 “어떻게 이루어졌나”로
시그니처와 IOC는 발견된 것을 빠르게 잡아냅니다. 하지만 변종이 등장하면 허점을 남깁니다. ATT&CK는 **공격자의 목표(전술)**와 **그 목표를 이루는 방법(기법)**을 기록해 변종에도 흔들리지 않는 행위 중심 탐지를 가능하게 합니다.
-
장점: 팀 간 공통 용어, 플랫폼 가리지 않는 구조, 리포트 표준화
-
주의: 도입만으로 탐지 품질이 오르진 않습니다. 데이터 수집·정규화·운영 절차가 함께 필요합니다.
체크리스트
□ IOC 보고서에 ATT&CK ID를 함께 표기한다.
□ 보안 규칙명보다 T-ID를 주 키로 관리한다.
□ 주간 회고에서 탐지/공백을 전술 단위로 리뷰한다.
2. 기본 구성
-
전술(Tactic): 공격의 상위 목표(예: 초기 접근, 권한상승, 측면이동).
-
기법(Technique): 목표를 달성하는 방법(예: 피싱, 자격증명 덤프).
-
서브기법(Sub-technique): 구현 세부(예: 스피어피싱 링크, LSASS 메모리 덤프).
실무에선 서브기법 수준으로 정의할수록 오탐/미탐 조정이 쉽습니다.
체크리스트
□ 룰/플레이북은 가능하면 서브기법 레벨로 쪼갠다.
□ 동일 이벤트도 **맥락(계정/시간/출처)**에 따라 전술이 달라질 수 있음을 기록한다.
□ 사후 보고서에 전술 흐름(예: TA0001→TA0002→TA0004)을 타임라인으로 표기한다.
3. 매트릭스 읽는 법
ATT&CK 매트릭스는 열=전술, 각 카드가 기법입니다. 사건을 재구성할 땐 타임라인을 따라 전술 흐름을 세우고, 각 지점에 해당 기법을 매핑합니다.
-
우선 탐색 전술: 초기 접근, 실행, 권한상승, 측면이동
-
문서화 팁: “규칙명”보다 T-ID + 한 줄 설명을 리포트 본문에 직접 남기기
체크리스트
□ 인시던트 타임라인에 전술 코드를 함께 적는다.
□ 빈 전술 열이 왜 비었는지(미관측/무관/탐지실패) 사유를 기록한다.
□ 모든 스크린샷·증거에 T-ID 워터마크를 넣는다.
4. 데이터 소스/컴포넌트
ATT&CK는 각 기법마다 권장 데이터 소스/컴포넌트를 제시합니다. 예) 프로세스 생성, 명령 실행, 인증, 파일/레지스트리 변경, 클라우드 감사, ID 프로바이더 로그 등.
핵심은 두 가지입니다.
-
커버리지: 무엇을 얼마나 수집하는가
-
정규화: 같은 의미의 필드는 같은 이름으로 보이게 하는가
체크리스트
□ 기법별 필수 로그 필드(예: parent_process, user, src_ip)를 정의한다.
□ 파서/정규화 실패를 탐지 실패로 간주하고 알림을 건다.
□ 수집·보관 주기를 전술 중요도에 따라 차등 설정한다.
5. 맵핑 절차
-
타임라인 정리: 이벤트를 시간순으로 배열
-
의도 파악: 각 이벤트가 달성하려는 전술 가설 세우기
-
후보 기법 축소: 기법/서브기법 목록으로 좁히기
-
데이터 대조: 필요한 로그/지표로 사실 확인
-
연결: 탐지 규칙, 완화 통제, 재발 방지 액션에 묶기
동일 이벤트라도 맥락 따라 전술 라벨이 달라질 수 있음을 항상 주석으로 남기세요.
체크리스트
□ 매핑 근거(왜 그 T-ID인가)를 1줄 메모로 남긴다.
□ “증거 링크”를 타임라인 항목 옆에 직접 첨부한다.
□ 매핑 결과를 플레이북 업데이트로 반드시 환류한다.
맺음말
ATT&CK는 “무엇을 할 수 있는가”를 말해주는 공통 언어입니다. 조직은 여기에 우선순위·데이터 품질·운영 절차를 더해 우리만의 탐지 체계로 완성해야 합니다. 작은 전술 몇 개로 시작해도 괜찮습니다. 중요한 것은 행위 중심 사고로 끝까지 연결하는 습관입니다.
출처