[문제] MITRE ATT&CK 프레임워크의 개념과 구조(Tactic, Technique, Sub-technique)를 설명하고, APT(Advanced Persistent Threat) 공격의 단계와 특징을 서술하시오. 또한 사이버 킬 체인(Cyber Kill Chain)과 MITRE ATT&CK의 차이점, SOAR 플랫폼과 연계하여 위협 탐지·대응을 자동화하는 방안을 논하시오.
1. MITRE ATT&CK 프레임워크 개념과 구조
MITRE ATT&CK(Adversarial Tactics, Techniques & Common Knowledge)는 실제 사이버 공격 사례에서 관찰된 공격자 전술(Tactic)·기법(Technique)을 체계화한 지식 베이스이다. 방어자가 공격자 관점에서 탐지·대응 전략을 수립하는 표준 프레임워크로 활용된다.
| 구성 요소 | 설명 | 예시 |
|---|---|---|
| Tactic (전술) | 공격자의 목표 (WHY). 14개 전술 범주 | Initial Access, Execution, Persistence, Lateral Movement, Exfiltration |
| Technique (기법) | 전술 달성 방법 (HOW). 각 전술 내 다수 기법 | T1566 Phishing, T1059 Command Scripting, T1078 Valid Accounts |
| Sub-technique | 기법의 세부 변형 | T1566.001 Spearphishing Attachment, T1566.002 Spearphishing Link |
2. APT 공격의 단계와 특징
APT(Advanced Persistent Threat)는 특정 조직을 장기간에 걸쳐 은밀하게 공격하는 지능형 지속 위협이다. 국가 지원 해킹 그룹(Lazarus, APT28 등)이 대표적이다.
| 단계 | 내용 | MITRE ATT&CK 매핑 |
|---|---|---|
| ① 정찰 | 표적 조직 정보 수집 (SNS, 링크드인, OSINT) | Reconnaissance (TA0043) |
| ② 초기 침투 | 스피어피싱, 취약점 익스플로잇, 공급망 공격 | Initial Access (TA0001) |
| ③ 지속성 확보 | 백도어·루트킷 설치, 스케줄 작업 등록 | Persistence (TA0003) |
| ④ 측면 이동 | 내부 네트워크 확산, 자격 증명 탈취 | Lateral Movement (TA0008) |
| ⑤ 데이터 유출 | 기밀 데이터 수집·암호화·외부 전송 | Exfiltration (TA0010) |
3. 사이버 킬 체인 vs MITRE ATT&CK
| 구분 | Cyber Kill Chain (Lockheed Martin) | MITRE ATT&CK |
|---|---|---|
| 관점 | 외부 침투 중심 (7단계 선형 모델) | 내부 망 이동 포함, 더 상세한 기법 분류 |
| 단계/기법 수 | 7단계 | 14개 전술, 200+ 기법, 400+ 서브기법 |
| 활용 | 공격 흐름 이해, 단계별 차단 | Red Team/Blue Team 모두 활용, 탐지 룰 매핑 |
4. SOAR + ATT&CK 연계 자동화
- 탐지 룰 ATT&CK 매핑: SIEM 탐지 규칙에 ATT&CK 기법 ID를 태깅하여 공격자 TTP(전술·기법·절차) 가시화
- SOAR Playbook 자동화: 특정 ATT&CK 기법 탐지 시 자동으로 봉쇄·격리·조사 Playbook 실행
- 위협 인텔리전스 연계: STIX/TAXII로 위협 인텔 공유. ATT&CK 기법 기반 IOC 자동 적용
- Purple Team Exercise: Red Team이 ATT&CK 기법으로 공격 → Blue Team 탐지율 측정 → 탐지 커버리지 개선
[ 결론 ]
MITRE ATT&CK는 공격자 전술·기법을 체계화한 표준 프레임워크로, APT 분석에서 탐지 룰 개선까지 폭넓게 활용된다. SOAR와 연계하면 ATT&CK 기법 탐지 즉시 Playbook이 자동 실행되어 MTTD(평균 탐지 시간)와 MTTR(평균 복구 시간)을 획기적으로 단축한다.