제135회 정보관리기술사 3교시 2번 — MITRE ATT&CK·APT·사이버킬체인·SOAR 자동화

정보관리기술사 · 135회 3교시 · 2번 · 배점 25점

Table of Contents

제135회 정보관리기술사 3교시 2번

서술형 | 25점

[문제] MITRE ATT&CK 프레임워크의 개념과 구조(Tactic, Technique, Sub-technique)를 설명하고, APT(Advanced Persistent Threat) 공격의 단계와 특징을 서술하시오. 또한 사이버 킬 체인(Cyber Kill Chain)과 MITRE ATT&CK의 차이점, SOAR 플랫폼과 연계하여 위협 탐지·대응을 자동화하는 방안을 논하시오.

1. MITRE ATT&CK 프레임워크 개념과 구조

MITRE ATT&CK(Adversarial Tactics, Techniques & Common Knowledge)는 실제 사이버 공격 사례에서 관찰된 공격자 전술(Tactic)·기법(Technique)을 체계화한 지식 베이스이다. 방어자가 공격자 관점에서 탐지·대응 전략을 수립하는 표준 프레임워크로 활용된다.

구성 요소	설명	예시
Tactic (전술)	공격자의 목표 (WHY). 14개 전술 범주	Initial Access, Execution, Persistence, Lateral Movement, Exfiltration
Technique (기법)	전술 달성 방법 (HOW). 각 전술 내 다수 기법	T1566 Phishing, T1059 Command Scripting, T1078 Valid Accounts
Sub-technique	기법의 세부 변형	T1566.001 Spearphishing Attachment, T1566.002 Spearphishing Link

2. APT 공격의 단계와 특징

APT(Advanced Persistent Threat)는 특정 조직을 장기간에 걸쳐 은밀하게 공격하는 지능형 지속 위협이다. 국가 지원 해킹 그룹(Lazarus, APT28 등)이 대표적이다.

단계	내용	MITRE ATT&CK 매핑
① 정찰	표적 조직 정보 수집 (SNS, 링크드인, OSINT)	Reconnaissance (TA0043)
② 초기 침투	스피어피싱, 취약점 익스플로잇, 공급망 공격	Initial Access (TA0001)
③ 지속성 확보	백도어·루트킷 설치, 스케줄 작업 등록	Persistence (TA0003)
④ 측면 이동	내부 네트워크 확산, 자격 증명 탈취	Lateral Movement (TA0008)
⑤ 데이터 유출	기밀 데이터 수집·암호화·외부 전송	Exfiltration (TA0010)

3. 사이버 킬 체인 vs MITRE ATT&CK

구분	Cyber Kill Chain (Lockheed Martin)	MITRE ATT&CK
관점	외부 침투 중심 (7단계 선형 모델)	내부 망 이동 포함, 더 상세한 기법 분류
단계/기법 수	7단계	14개 전술, 200+ 기법, 400+ 서브기법
활용	공격 흐름 이해, 단계별 차단	Red Team/Blue Team 모두 활용, 탐지 룰 매핑

4. SOAR + ATT&CK 연계 자동화

탐지 룰 ATT&CK 매핑: SIEM 탐지 규칙에 ATT&CK 기법 ID를 태깅하여 공격자 TTP(전술·기법·절차) 가시화
SOAR Playbook 자동화: 특정 ATT&CK 기법 탐지 시 자동으로 봉쇄·격리·조사 Playbook 실행
위협 인텔리전스 연계: STIX/TAXII로 위협 인텔 공유. ATT&CK 기법 기반 IOC 자동 적용
Purple Team Exercise: Red Team이 ATT&CK 기법으로 공격 → Blue Team 탐지율 측정 → 탐지 커버리지 개선

[ 결론 ]

MITRE ATT&CK는 공격자 전술·기법을 체계화한 표준 프레임워크로, APT 분석에서 탐지 룰 개선까지 폭넓게 활용된다. SOAR와 연계하면 ATT&CK 기법 탐지 즉시 Playbook이 자동 실행되어 MTTD(평균 탐지 시간)와 MTTR(평균 복구 시간)을 획기적으로 단축한다.

zerg96