Categories: 정보관리기술사

제135회 정보관리기술사 3교시 2번 — MITRE ATT&CK·APT·사이버킬체인·SOAR 자동화

정보관리기술사 · 135회 3교시 · 2번 · 배점 25점

제135회 정보관리기술사 3교시 2번

서술형 | 25점
[문제] MITRE ATT&CK 프레임워크의 개념과 구조(Tactic, Technique, Sub-technique)를 설명하고, APT(Advanced Persistent Threat) 공격의 단계와 특징을 서술하시오. 또한 사이버 킬 체인(Cyber Kill Chain)과 MITRE ATT&CK의 차이점, SOAR 플랫폼과 연계하여 위협 탐지·대응을 자동화하는 방안을 논하시오.

1. MITRE ATT&CK 프레임워크 개념과 구조

MITRE ATT&CK(Adversarial Tactics, Techniques & Common Knowledge)는 실제 사이버 공격 사례에서 관찰된 공격자 전술(Tactic)·기법(Technique)을 체계화한 지식 베이스이다. 방어자가 공격자 관점에서 탐지·대응 전략을 수립하는 표준 프레임워크로 활용된다.

구성 요소 설명 예시
Tactic (전술) 공격자의 목표 (WHY). 14개 전술 범주 Initial Access, Execution, Persistence, Lateral Movement, Exfiltration
Technique (기법) 전술 달성 방법 (HOW). 각 전술 내 다수 기법 T1566 Phishing, T1059 Command Scripting, T1078 Valid Accounts
Sub-technique 기법의 세부 변형 T1566.001 Spearphishing Attachment, T1566.002 Spearphishing Link

2. APT 공격의 단계와 특징

APT(Advanced Persistent Threat)는 특정 조직을 장기간에 걸쳐 은밀하게 공격하는 지능형 지속 위협이다. 국가 지원 해킹 그룹(Lazarus, APT28 등)이 대표적이다.

단계 내용 MITRE ATT&CK 매핑
① 정찰 표적 조직 정보 수집 (SNS, 링크드인, OSINT) Reconnaissance (TA0043)
② 초기 침투 스피어피싱, 취약점 익스플로잇, 공급망 공격 Initial Access (TA0001)
③ 지속성 확보 백도어·루트킷 설치, 스케줄 작업 등록 Persistence (TA0003)
④ 측면 이동 내부 네트워크 확산, 자격 증명 탈취 Lateral Movement (TA0008)
⑤ 데이터 유출 기밀 데이터 수집·암호화·외부 전송 Exfiltration (TA0010)

3. 사이버 킬 체인 vs MITRE ATT&CK

구분 Cyber Kill Chain (Lockheed Martin) MITRE ATT&CK
관점 외부 침투 중심 (7단계 선형 모델) 내부 망 이동 포함, 더 상세한 기법 분류
단계/기법 수 7단계 14개 전술, 200+ 기법, 400+ 서브기법
활용 공격 흐름 이해, 단계별 차단 Red Team/Blue Team 모두 활용, 탐지 룰 매핑

4. SOAR + ATT&CK 연계 자동화

  • 탐지 룰 ATT&CK 매핑: SIEM 탐지 규칙에 ATT&CK 기법 ID를 태깅하여 공격자 TTP(전술·기법·절차) 가시화
  • SOAR Playbook 자동화: 특정 ATT&CK 기법 탐지 시 자동으로 봉쇄·격리·조사 Playbook 실행
  • 위협 인텔리전스 연계: STIX/TAXII로 위협 인텔 공유. ATT&CK 기법 기반 IOC 자동 적용
  • Purple Team Exercise: Red Team이 ATT&CK 기법으로 공격 → Blue Team 탐지율 측정 → 탐지 커버리지 개선
[ 결론 ]

MITRE ATT&CK는 공격자 전술·기법을 체계화한 표준 프레임워크로, APT 분석에서 탐지 룰 개선까지 폭넓게 활용된다. SOAR와 연계하면 ATT&CK 기법 탐지 즉시 Playbook이 자동 실행되어 MTTD(평균 탐지 시간)와 MTTR(평균 복구 시간)을 획기적으로 단축한다.

zerg96

Recent Posts

충격! 코스피 8% 폭락에 SK텔레콤 AI 차단까지 – 한국의 AI 도박이 터졌다

코스피 8% 폭락, 서킷브레이커 발동, SK텔레콤 Claude AI 차단까지. 한국의 AI 레버리지 버블이 단 하루…

2주 ago

당신 얼굴이 이미 쓰이고 있다… AI 딥페이크 범죄, 생각보다 훨씬 심각합니다

SNS 사진 1장으로 30초 만에 딥페이크 영상이 완성됩니다. 당신의 얼굴이 이미 범죄에 악용되고 있을 수…

3주 ago

당신 얼굴이 이미 쓰이고 있다 — AI 딥페이크 범죄, 생각보다 훨씬 심각합니다

SNS 사진 1장으로 30초 만에 딥페이크 영상이 완성됩니다. 당신의 얼굴이 이미 범죄에 악용되고 있을 수…

3주 ago

달러·원 환율 급등, 지금 당신이 꼭 알아야 할 것들

달러/원 환율이 급등하는 이유와 실생활 영향을 정리했습니다. 지금 당장 활용할 수 있는 환전·투자 대응 전략까지…

3주 ago

미래에셋·미래에셋벤처투자·미래에셋생명 동반 급등, 스페이스X와 무슨 관계?

미래에셋·미래에셋벤처투자·미래에셋생명이 동반 급등한 이유는 스페이스X 상장 기대감입니다. 세 회사가 스페이스X와 어떻게 연결되어 있는지 상세히 분석했습니다.

3주 ago

스페이스X 상장 D-데이? 일론 머스크가 절대 말 안 하는 진짜 이유

스페이스X 상장이 계속 미뤄지는 진짜 이유를 파헤쳤습니다. 화성 계획, 스타링크 분리, 국방 계약... 머스크가 절대…

3주 ago