[제138회 정보관리기술사 1교시 10번] TTPs(Tactics·Techniques·Procedures) — MITRE ATT&CK 프레임워크

출제 의도 분석

사이버 보안의 위협 인텔리전스(Threat Intelligence) 영역에서 TTPs는 공격자를 프로파일링하는 핵심 개념입니다. MITRE ATT&CK 프레임워크와 연결하여 설명하고, 실제 SOC(보안운영센터) 업무에서의 활용 방법을 서술하면 완성도 높은 답안이 됩니다.

1. TTPs 개념

TTPs는 사이버 공격자의 행동 패턴을 전술(Tactics), 기법(Techniques), 절차(Procedures)의 세 계층으로 구조화한 개념입니다. 단순한 악성코드 해시나 IP 주소보다 훨씬 오래 유효한 위협 인텔리전스로, 공격자의 “사고방식”을 이해하는 데 핵심입니다.

2. 세 계층 상세

계층	정의	예시	추상화 수준
Tactics (전술)	공격자의 목표/의도	초기 접근, 권한 상승, 횡적 이동	높음 (Why)
Techniques (기법)	목표 달성 방법	스피어 피싱, Pass-the-Hash	중간 (How)
Procedures (절차)	구체적 실행 과정	특정 APT가 사용한 Mimikatz 명령어	낮음 (What)

3. MITRE ATT&CK 프레임워크

MITRE ATT&CK은 TTPs를 체계화한 대표적 프레임워크로, 14개 전술(Tactics)과 수백 개의 기법(Techniques)을 매트릭스 형태로 정리합니다.

• Reconnaissance → Resource Development → Initial Access → Execution → Persistence → Privilege Escalation → Defense Evasion → Credential Access → Discovery → Lateral Movement → Collection → C2 → Exfiltration → Impact

4. 활용 방안

• 위협 인텔리전스 강화: 알려진 APT 그룹의 TTPs와 비교하여 공격자 식별
• 탐지 규칙 수립: SIEM에 TTP 기반 탐지 규칙 적용
• 레드팀 시뮬레이션: 실제 공격자 TTPs를 모방한 침투 테스트
• 보안 격차 분석: 현재 방어 체계가 어떤 TTPs에 취약한지 파악

핵심 정리

피라미드 오브 페인(Pyramid of Pain)에서 TTPs는 가장 상위에 위치하여 공격자가 바꾸기 가장 어려운 행동 패턴입니다. 따라서 TTPs 기반 방어는 IOC(침해지표) 차단보다 훨씬 지속적인 방어 효과를 제공합니다.