2026년 4월 28일 MITRE가 12년간 유지해온 Defense Evasion 전술을 Stealth(TA0005)와 Defense Impairment(TA0112)로 분리했다. 신규 기법 22개·AI 정찰·Kimsuky 한국 컨텍스트까지 정리.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2026년 4월 28일, MITRE는 약 12년간 유지해온 ATT&CK의 한 전술을 두 개로 쪼갰다. Defense Evasion(방어 회피)이 Stealth와 Defense Impairment로 갈라졌다. Cymulate가 분석한 통계로 기존 Defense Evasion에 속해 있던 기법의 약 94%가 두 새 전술로 재분배됐다.
이 발표 직후 D3 Security의 Shriram Sharma가 한 줄로 정리했다.
"4월 28일에 행동을 바꾼 공격자는 없다. 그날 아침 들어온 위협은 전날과 같은 것이다. 바뀐 것은 우리가 그것을 어떻게 분류하고 대응을 조직하느냐다."
이 글은 한 가지 통념을 뒤집는다. v19 Defense Evasion 분리는 이름이 바뀐 사건이 아니다. 보안 운영의 측정 단위가 바뀐 사건이다. EDR이 정상 작동하는 가운데 공격자가 섞여드는 것과, EDR 자체가 침묵하는 것은 다른 신호이며 다른 대응이 필요하다는 인정이다.
v19 Enterprise는 다음과 같이 변했다.
분리의 적용 범위도 흥미롭다. Mobile과 ICS 매트릭스의 Defense Evasion은 v19에서는 그대로 유지됐다. Enterprise만 먼저 갈라졌다. MITRE는 다음 사이클부터 점진 적용을 검토하고 있다고 명시했다.
분리의 핵심 논리는 한 줄로 요약된다. MITRE의 Lauren Lusty가 2026년 3월 31일 사전 예고 글에서 명확히 했다.
"Stealth는 당신의 방어에 들키지 않는 것이고, Impair Defenses는 그 방어를 깨는 것이다."
비유로 설명하면 이렇다. 도둑이 평범한 손님처럼 옷을 입고 매장에 들어오면 Stealth다. 도둑이 보안 카메라의 전원을 끄고 들어오면 Defense Impairment다. 둘 다 들키지 않으려는 의도이지만, 매장 측의 대응 방식은 완전히 다르다. 손님의 행동 패턴 분석과 카메라 전원 모니터링은 다른 시스템이 다룬다.
분류 모호성이 운영에 미치는 영향은 명확하다. Lauren Lusty는 같은 글에서 다음과 같이 지적했다.
"모든 것이 한 통에 들어가면 명료성을 잃고, 명료성을 잃으면 우선순위를 잃는다."
기존 Defense Evasion에는 두 종류의 탐지가 한 카테고리에 묶여 있었다. ATT&CK 기반 탐지 룰을 만든 조직은 둘 중 하나에 강하고 다른 하나에 약한 상태가 흔했다. 분리는 이 갭을 보이게 만든다.
MITRE 공식 분석을 작성한 Amy L. Robertson은 분리의 본질을 이렇게 표현했다.
"Defense Evasion은 적이 '섞여드는' 행동과 '보안 도구를 깨부수는' 행동을 한 전술 안에 묶어왔다. 하지만 이 둘은 근본적으로 다른 행동이며, 서로 다른 방어 대응이 필요하다."
운영 갭은 측정 단위에서 드러난다. Lauren Lusty가 던진 질문이 핵심이다.
"당신의 EDR 에이전트가 변조되어 보고를 멈춘다면, 얼마나 빨리 알아차리는가?"
대부분의 조직은 EDR 콘솔에 들어오는 알람을 모니터링한다. 그러나 알람이 들어오지 않는 상태가 정상인지 침묵인지 구분하는 별도 신호는 약하다. Defense Impairment가 별도 전술로 떨어지자 이 갭이 측정 가능한 항목이 됐다.
이중 매핑은 허용된다. MITRE는 명시적으로 다음과 같이 처리했다.
"Some behaviors will be mapped to both Stealth and Defense Impairment, because adversaries don't always operate cleanly within one intent."
즉 "공격자는 한 의도 안에서만 깨끗이 움직이지 않는다"는 점을 인정했다. 한 기법이 두 전술에 동시에 매핑되는 경우가 있다. 이 점은 기존 분류 운영자에게 중요한 신호다. 단순 재배치가 아니라 두 전술의 상호 침투 가능성까지 모델에 들어왔다.
v19에서 추가된 22개 신규 기법은 세 흐름으로 정리된다.
특히 T1682에는 두 행위자가 절차 예시로 등재됐다. 이란의 APT42는 조직 이메일 수집과 잠재 사업 파트너 정찰에 LLM을 사용했다. 북한의 Kimsuky는 싱크탱크·정부·전문가를 식별한 후 스피어피싱 표적화에 LLM을 사용했다. 이 두 사례가 MITRE 공식 페이지에 처음 등재됐다.
이는 단순한 "AI 위협" 추측이 아니다. ATT&CK은 관측된 공격 행동만 등재한다. T1682 등재는 공격자가 LLM을 정찰 도구로 사용한다는 사실이 운영 단계에서 인정됐다는 뜻이다.
Amy Robertson은 AI 신규 기법에 한 줄을 덧붙였다.
"AI는 기존 공격 활동을 더 빠르고 싸고 확장 가능하게 만든다. 다만 적이 하는 일을 근본적으로 바꾸지는 않는다 — 아직은."
T1682 Query Public AI Services에 Kimsuky가 절차 예시로 들어간 사실은 한국 독자에게 즉각적 의미를 갖는다. 북한 연계 APT가 ChatGPT 같은 LLM에 한국 싱크탱크 명단을 묻고, 표적화된 스피어피싱을 만드는 작업이 ATT&CK 공식 데이터베이스에 등재됐다.
REVELARE에 이미 발행된 글들과의 연결은 다음과 같다.
신규 그룹은 두 곳이다. 첫 번째는 G1054 MirrorFace다.
2024년 6~9월 ESET이 명명한 캠페인 "Operation AkaiRyū"(붉은 용)는 분기점이었다. 일본 외 지역에서 처음으로 유럽 중부 외교 기관이 표적이 됐고, 미끼로는 오사카 엑스포 2025가 사용됐다. 한국에 대한 직접 표적 보고는 현재까지 발견되지 않았다. 다만 상위 menuPass 산하 그룹이 지역 외교·정책 표적을 확대 중이라는 패턴은 한국 정책·외교 영역의 잠재 표적 평가에 의미가 있다.
두 번째는 VOID MANTICORE다. 그룹 ID는 G1055.
이 그룹의 2026년 3월 11일 사건은 새 전술의 의미를 보여준다. 미국 의료기기 제조사 Stryker Corporation의 Microsoft Intune MDM 콘솔을 장악한 후, 79개국 8만~20만 대 디바이스에 원격 와이프 명령을 발송했다. 보안 도구의 정당한 기능을 공격에 사용한 사례다. 이는 정확히 새 전술 Defense Impairment의 작동 방식을 보여주는 표본이다.
PacketViper의 Francesco Trama는 분리의 의미를 한 문장으로 정리했다.
"Defense Evasion은 죽었다. 이는 공격자가 더 정교해졌다는 사실, 그리고 프레임워크가 따라잡아야 했다는 사실을 인정한 것이다."
CardinalOps 보고서는 기업 SIEM이 실제 공격에 사용된 ATT&CK 기법의 약 79%를 탐지하지 못한다고 분석했다. 이 갭이 어느 카테고리에 분포하는지는 기존 Defense Evasion 단일 분류로는 보이지 않았다. v19 분리는 그 갭을 두 단위로 측정 가능하게 만들었다.
기존 ATT&CK 매핑을 가진 조직 입장에서 이 분리는 세 가지 변화를 만든다.
첫째, 탐지 룰의 기법 매핑이 두 전술로 흩어진다. Sigma·Splunk·Elastic 룰 라이브러리에서 Defense Evasion으로 태깅된 룰들이 Stealth 또는 Defense Impairment로 재태깅된다. 한 룰이 두 전술에 동시 매핑될 수 있다는 점도 새 변수다.
둘째, EDR 자체의 작동 상태가 별도 측정 항목이 된다. 알람의 부재는 침묵일 수도, 정상일 수도 있다. Defense Impairment가 분리되자 "EDR 무응답 시간"이 별도 신호로 처리될 수 있게 됐다.
셋째, 위협 인텔리전스의 보고 형식이 바뀐다. APT 그룹 분석에서 "Defense Evasion에 강하다"는 식의 평가는 v19 이후 두 전술로 분해된다. 어느 그룹이 Stealth에 능하고 어느 그룹이 Defense Impairment에 능한가는 그룹별 운영 능력의 다른 표현이다.
Cymulate의 Amanda Kegley는 다음과 같이 정리했다.
"보안 팀이 공격자 활동을 단순히 탐지하는 것만으로는 충분하지 않다. 방어 통제 자체가 지속적으로 작동하는지 동시에 확인해야 한다."
v19은 이 점을 ATT&CK 매트릭스에 명시적으로 반영했다. Defense Evasion이 한 전술이었을 때 가려져 있던 "통제 자체의 가용성"이 별도 측정 단위로 떠오른 것이다.
이 글에서 잡히는 패턴은 하나다. v19 분리는 새로운 공격에 대한 경고가 아니다. 이미 일어나고 있던 두 종류의 공격을 같은 통에서 분리해 보이게 만든 사건이다. 그래서 4월 28일에 공격자는 행동을 바꾸지 않았다. 바뀐 것은 우리가 그것을 어떻게 측정하느냐다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.
KW_PROTECT_0