2023년 12월, 한 기업의 보안팀에서 이상한 로그를 발견했다.
"PowerShell이 새벽 3시에 실행됐는데... 이거 공격인가요?"
옆 팀원이 물었다. "어떤 종류의 공격이요?"
보안 담당자는 대답하지 못했다. PowerShell 실행이 어떤 공격 단계에 해당하는지, 다음에 무엇이 올지, 어떤 탐지 규칙을 적용해야 하는지 판단할 기준이 없었기 때문이다.
바로 이 문제를 해결하기 위해 만들어진 것이 MITRE ATT&CK 프레임워크다.
MITRE ATT&CK이 뭔데?
"해커들이 실제로 쓰는 공격 기법을 전부 정리해놓은 데이터베이스가 있다면?"
MITRE ATT&CK은 실제 사이버 공격에서 관찰된 공격자의 행동을 체계적으로 분류한 지식 베이스다. MITRE Corporation이 2013년부터 운영하고 있으며, 전 세계 보안 커뮤니티의 기여로 지속적으로 업데이트된다.
ATT&CK은 Adversarial Tactics, Techniques, and Common Knowledge의 약자다. 이름 그대로 적의 전술과 기법, 그리고 공통 지식을 담고 있다.
핵심은 이거다. ATT&CK은 공격자가 무엇을 하는지가 아니라, 어떻게 하는지를 기록한다.
예를 들어보자.
- "해커가 데이터를 훔쳤다" — 이건 결과다.
- "해커가 LSASS 메모리에서 자격 증명을 덤프하고, SMB를 통해 내부 이동한 뒤, HTTPS로 데이터를 유출했다" — 이건 기법의 연쇄다.
ATT&CK은 후자를 다룬다. 공격의 각 단계를 전술(Tactic), 기법(Technique), **서브 기법(Sub-technique)**으로 나누어 분류한다.
현재 ATT&CK Enterprise 매트릭스에는 14개 전술, 216개 기법, 475개 서브 기법이 등록되어 있다. 기법과 서브 기법을 합치면 총 691개다. 여기에 더해 172개 위협 그룹, 784개 소프트웨어, 52개 캠페인이 문서화되어 있어, 특정 공격 그룹이 어떤 기법을 사용하는지까지 추적할 수 있다.
왜 보안팀에게 중요한데?
"우리 팀은 위협을 어떤 기준으로 분류하고 있나요?"
이 질문에 명확히 답할 수 없다면, ATT&CK이 필요하다.
공통 언어가 생긴다
보안 업계에서 가장 큰 문제 중 하나는 같은 공격을 다른 이름으로 부르는 것이다. A 벤더는 "Credential Harvesting"이라 하고, B 벤더는 "Password Theft"라 하고, 보안팀 내부에서는 "비밀번호 탈취"라고 부른다.
ATT&CK은 모든 기법에 고유한 ID를 부여한다. T1003이라고 하면, 전 세계 어떤 보안팀이든 "OS Credential Dumping"을 의미한다는 것을 안다. 벤더, 국가, 언어에 관계없이 소통할 수 있는 공통 언어가 생기는 것이다.
위협 평가의 기준이 된다
"우리 조직이 가장 경계해야 할 위협은 무엇인가?"
ATT&CK을 활용하면, 우리 산업을 주로 노리는 APT 그룹이 사용하는 기법 목록을 확인할 수 있다. 그리고 그 기법들에 대한 우리 조직의 탐지 역량을 평가할 수 있다. 막연한 불안감 대신 데이터 기반의 우선순위가 생긴다.
레드팀과 블루팀이 같은 지도를 본다
레드팀은 ATT&CK 기법을 기반으로 공격 시나리오를 설계하고, 블루팀은 같은 기법에 대한 탐지 규칙을 만든다. 양쪽이 같은 프레임워크를 사용하면, 보안 테스트의 커버리지를 정확히 측정할 수 있다.
"우리는 14개 전술 중 몇 개를 탐지할 수 있는가?" — 이런 질문이 가능해진다.
14개 전술이 뭔데?
"공격자는 시스템을 침투할 때 어떤 순서로 움직이는가?"
ATT&CK은 공격자의 행동을 14개 전술로 분류한다. 전술은 공격자의 목적을 나타낸다. "왜 이 행동을 하는가?"에 대한 답이다.
| 순서 | 전술 ID | 전술 (영문) | 전술 (한글) | 공격자의 목적 |
|---|---|---|---|---|
| 1 | TA0043 | Reconnaissance | 정찰 | 공격 대상의 정보를 수집한다 |
| 2 | TA0042 | Resource Development | 자원 개발 | 공격에 필요한 인프라와 도구를 준비한다 |
| 3 | TA0001 | Initial Access | 초기 접근 | 대상 네트워크에 처음 발을 들인다 |
| 4 | TA0002 | Execution | 실행 | 악성 코드를 실행한다 |
| 5 | TA0003 | Persistence | 지속성 확보 | 재부팅 후에도 접근을 유지한다 |
| 6 | TA0004 | Privilege Escalation | 권한 상승 | 더 높은 권한을 획득한다 |
| 7 | TA0005 | Defense Evasion | 방어 회피 | 보안 솔루션의 탐지를 피한다 |
| 8 | TA0006 | Credential Access | 자격 증명 접근 | 계정 정보와 비밀번호를 탈취한다 |
| 9 | TA0007 | Discovery | 탐색 | 내부 네트워크 구조를 파악한다 |
| 10 | TA0008 | Lateral Movement | 내부 이동 | 다른 시스템으로 이동한다 |
| 11 | TA0009 | Collection | 수집 | 유출할 데이터를 모은다 |
| 12 | TA0011 | Command and Control | 명령 및 제어 | 침투한 시스템을 원격으로 제어한다 |
| 13 | TA0010 | Exfiltration | 유출 | 수집한 데이터를 외부로 빼돌린다 |
| 14 | TA0040 | Impact | 영향 | 시스템을 파괴하거나 데이터를 암호화한다 |
중요한 점이 있다. 공격자가 반드시 1번부터 14번까지 순서대로 진행하는 것은 아니다. 어떤 공격자는 정찰 없이 바로 초기 접근을 시도하고, 어떤 공격자는 내부 이동 없이 바로 데이터를 유출한다. 전술은 순서가 아니라 공격자의 목적 카테고리로 이해해야 한다.
실제로 어떻게 쓰는 건데?
"프레임워크가 691개 기법이라는 건 알겠는데, 이걸 실제 공격에 어떻게 적용하는 거지?"
가장 강력한 활용법은 실제 위협 그룹의 공격을 ATT&CK에 매핑하는 것이다. 두 가지 사례로 보자.
사례 1: APT29의 SolarWinds 공급망 공격 (2020)
2020년 12월, SolarWinds의 네트워크 관리 소프트웨어 Orion의 업데이트에 악성 코드가 삽입된 사실이 밝혀졌다. 미국 재무부, 국토안보부를 포함한 수많은 기관이 영향을 받았다.
이 공격의 배후로 지목된 APT29 (Cozy Bear)는 러시아 대외정보국(SVR)과 연계된 것으로 알려진 위협 그룹이다.
왜 이 공격이 위험했는가?
공격자는 매일 믿고 받던 소프트웨어 업데이트를 오염시켰다. 마치 매일 오던 택배 트럭에 폭탄을 숨긴 것처럼. 이것이 공급망 공격의 본질이다. 신뢰를 무기로 사용한다.
ATT&CK으로 매핑하면 이 공격의 전체 그림이 보인다.
| 전술 | 기법 ID | 기법명 | APT29가 한 일 |
|---|---|---|---|
| 초기 접근 | T1195.002 | Supply Chain Compromise | SolarWinds Orion 업데이트에 SUNBURST 백도어 삽입 |
| 실행 | T1059.001 | PowerShell | PowerShell을 사용해 추가 페이로드 실행 |
| 지속성 확보 | T1078 | Valid Accounts | 탈취한 정상 계정으로 지속적 접근 유지 |
| 방어 회피 | T1027 | Obfuscated Files | 파일 난독화를 통한 탐지 우회 |
| 명령 및 제어 | T1071.001 | Web Protocols | HTTPS를 통한 C2 통신 |
이렇게 매핑하면 "이 공격 그룹은 주로 어떤 기법을 사용하는가"가 명확해진다. 보안팀은 이를 기반으로 탐지 규칙의 우선순위를 정할 수 있다.
사례 2: LockBit 랜섬웨어 공격
LockBit은 RaaS(Ransomware-as-a-Service) 모델로 운영되는 랜섬웨어다. 국가 배후 APT와는 목적이 다르다. APT29가 정보 수집이 목적이라면, LockBit은 금전이 목적이다.
왜 공격자는 LockBit을 선택하는가?
LockBit은 파일 암호화 속도가 빠르고, 초기 접근부터 암호화까지의 과정을 자동화했다. 탐지되기 전에 빠르게 암호화를 완료하는 것이 핵심이기 때문이다.
| 전술 | 기법 ID | 기법명 | LockBit이 한 일 |
|---|---|---|---|
| 초기 접근 | T1190 | Exploit Public-Facing Application | 노출된 RDP, VPN 취약점 악용 |
| 실행 | T1059.001 | PowerShell | PowerShell로 악성 스크립트 실행 |
| 방어 회피 | T1562.001 | Disable or Modify Tools | EDR, 백신 프로세스 강제 종료 |
| 내부 이동 | T1021.001 | Remote Desktop Protocol | RDP를 통한 내부 이동 |
| 수집 | T1005 | Data from Local System | 로컬 시스템에서 데이터 수집 |
| 영향 | T1486 | Data Encrypted for Impact | 파일 암호화 후 몸값 요구 |
| 영향 | T1490 | Inhibit System Recovery | 볼륨 섀도우 복사본 삭제로 복구 방해 |
두 사례를 비교해보면 흥미로운 점이 보인다. APT29와 LockBit 모두 PowerShell을 사용하고 내부 이동을 수행한다. 하지만 최종 목적은 완전히 다르다. 동일한 기법이라도 공격자의 맥락에 따라 의미가 달라지는 것이다.
주요 APT 그룹과 ATT&CK 매핑
ATT&CK에 등록된 주요 위협 그룹을 정리하면 다음과 같다.
| 위협 그룹 | ATT&CK ID | 배후 추정 | 주요 타겟 | 대표 기법 |
|---|---|---|---|---|
| APT29 | G0016 | 러시아 SVR | 정부, 외교 | 공급망 공격, SAML 토큰 위조 |
| APT28 | G0007 | 러시아 GRU | 정부, 군사, 미디어 | 스피어피싱, 제로데이 익스플로잇 |
| Lazarus Group | G0032 | 북한 | 금융, 암호화폐, 방산 | 사회공학, 커스텀 악성코드 |
| APT41 | G0096 | 중국 | 의료, 게임, 기술 | 공급망 공격, 이중 목적 |
| Salt Typhoon | G1045 | 중국 | 통신사, ISP | 네트워크 인프라 침투 |
| APT42 | G1044 | 이란 IRGC | 언론, 활동가, 정치인 | 자격 증명 수집, 감시 |
| FIN7 | G0046 | 금전 목적 | 소매, 외식, 숙박 | POS 악성코드, 사회공학 |
2024-2025년에 뭐가 바뀌었는데?
"ATT&CK은 계속 업데이트된다고 했는데, 최근에는 어떤 변화가 있었나?"
ATT&CK은 보통 1년에 두 번 메이저 업데이트를 한다. 2024년부터 2025년까지의 주요 변경 사항을 정리한다.
v16 (2024년 10월): 클라우드 플랫폼 재구성
기존 Azure AD, Office 365, Google Workspace가 Identity Provider와 Office Suite로 재편되었다. 클라우드 환경에서의 실제 공격 양상을 더 정확히 반영하기 위한 변화다.
ClickFix (T1204.004) 추가 (2025년 3월)
2025년 3월, T1204.004 User Execution: Malicious Copy and Paste가 추가되었다.
ClickFix는 사용자에게 "이 문제를 해결하려면 이 명령어를 복사해서 실행하세요"라고 유도하는 기법이다. 가짜 CAPTCHA 화면이나 오류 메시지를 띄워서, 사용자가 직접 악성 PowerShell 명령어를 복사-붙여넣기하게 만든다.
왜 공격자가 이 기법을 선택하는가? 사용자가 직접 실행하기 때문에 보안 솔루션의 자동 탐지를 우회할 수 있다.
v17 (2025년 4월): ESXi 플랫폼 추가
가상화 환경이 공격 대상이 되면서, VMware ESXi가 독립 플랫폼으로 추가되었다. 랜섬웨어 그룹이 ESXi 서버를 직접 공격해 가상 머신 전체를 암호화하는 사례가 증가했기 때문이다.
새로운 위협 그룹 3개도 등록되었다.
- Salt Typhoon (G1045): 중국 배후, 미국 통신사 인프라 침투
- APT42 (G1044): 이란 IRGC 연계, 언론인과 활동가 감시
- BlackByte (G1043): 랜섬웨어 그룹
v18 (2025년 10월): Detection Strategies & Analytics 도입
v18은 ATT&CK의 패러다임 전환이라 할 수 있다. **"공격자가 무엇을 하는가"**에서 **"어떻게 탐지할 것인가"**로 초점을 확장했다.
- 691개 Detection Strategies: 각 기법에 대한 고수준 탐지 전략
- 1,739개 Analytics: 구체적인 탐지 분석 규칙
기존에는 "이런 기법이 있다"까지만 알려줬다면, 이제는 "이 기법을 이렇게 탐지해라"까지 제공하는 것이다. 보안 운영 센터(SOC)에서 바로 활용할 수 있는 실용적인 변화다.
어디서 시작하면 되는데?
"691개 기법이나 되는데, 다 볼 수는 없잖아. 어디서부터 시작하면 되는 거야?"
전부 다 볼 필요 없다. 다음 4단계로 접근하면 된다.
1단계: 우리 조직의 위협을 파악한다
ATT&CK Groups 페이지에서 우리 산업을 노리는 위협 그룹을 찾는다. 금융이면 Lazarus와 FIN7, 정부 기관이면 APT29와 APT28, 통신이면 Salt Typhoon을 먼저 살펴본다.
2단계: 해당 그룹의 기법을 확인한다
위협 그룹 페이지에 들어가면 해당 그룹이 사용하는 모든 기법이 ATT&CK ID로 정리되어 있다. 이것이 우리 조직이 우선적으로 탐지해야 할 기법 목록이다.
3단계: ATT&CK Navigator로 시각화한다
ATT&CK Navigator는 MITRE가 제공하는 무료 시각화 도구다. ATT&CK 매트릭스를 웹 기반 인터페이스에서 탐색하고, 특정 기법을 색상으로 표시할 수 있다.
Navigator 활용법:
- 위협 그룹 레이어: 특정 APT 그룹이 사용하는 기법을 빨간색으로 표시
- 탐지 커버리지 레이어: 우리 팀이 탐지 가능한 기법을 파란색으로 표시
- 갭 분석: 두 레이어를 겹치면, 빨간색인데 파란색이 아닌 기법 = 우리의 탐지 사각지대
이 갭이 바로 보안팀이 다음에 투자해야 할 영역이다.
4단계: 탐지 규칙을 구축한다
v18에서 추가된 Detection Strategies와 Analytics를 활용하면, 각 기법에 대한 구체적인 탐지 방법을 바로 참고할 수 있다. SIEM 쿼리를 만들 때 ATT&CK의 탐지 전략을 기반으로 하면 된다.
자주 묻는 질문 (FAQ)
Q. ATT&CK은 무료인가요?
그렇다. MITRE ATT&CK은 완전히 무료이며, 상업적 이용도 가능하다. attack.mitre.org에서 모든 데이터에 접근할 수 있고, STIX/TAXII 형식의 데이터도 무료로 제공된다.
Q. Cyber Kill Chain과 뭐가 다른가요?
Lockheed Martin의 Cyber Kill Chain은 공격의 흐름을 7단계로 나눈다. ATT&CK은 14개 전술 아래 691개 기법으로 훨씬 세분화되어 있다.
Kill Chain이 공격의 큰 흐름을 보여준다면, ATT&CK은 각 단계에서 공격자가 사용하는 구체적인 기법까지 보여준다. 둘은 경쟁 관계가 아니라 보완 관계다.
Q. 691개 기법이 너무 많으면 어떻게 하나요?
전부 다 볼 필요 없다. 우리 조직을 노리는 위협 그룹이 사용하는 기법부터 시작하면 된다. 대부분의 위협 그룹은 10~30개 기법을 주로 사용한다. 그것부터 탐지하면 된다.
Q. SOC에서 바로 적용할 수 있나요?
v18부터는 가능하다. 691개 Detection Strategies와 1,739개 Analytics가 추가되면서, 각 기법에 대한 구체적인 탐지 방법이 제공된다. "이 기법을 탐지하려면 어떤 데이터 소스를 보고, 어떤 패턴을 찾아야 하는가"까지 안내한다.
Q. Detection Strategies와 Analytics가 뭔가요?
v18에서 새로 도입된 개념이다. 기존의 Detection 필드를 두 계층으로 분리한 것이다.
- Detection Strategies (DETxxxx): "이 기법을 어떻게 탐지할 것인가"에 대한 고수준 접근법
- Analytics (ANxxxx): 실제 SIEM/EDR에서 구현 가능한 구체적인 탐지 로직
예를 들어, T1059.001 PowerShell의 경우:
- Detection Strategy: "스크립트 블록 로깅 모니터링"
- Analytics: "Event ID 4104에서 특정 패턴 탐지하는 Sigma 룰"
본 블로그의 관련 ATT&CK 기법 분석 시리즈
| 전술 | 기법 | 설명 |
|---|---|---|
| 자격 증명 접근 | T1003 자격증명 덤핑 | Mimikatz, SAM, NTDS.dit 등 8가지 서브기법 |
| 실행 | T1059 스크립트 실행 | PowerShell, Python, Bash 등 13가지 서브기법 |
| 방어 회피 | T1562 보안 무력화 | EDR 우회, 로그 삭제 등 12가지 서브기법 |
| 방어 회피 | T1036 위장 | 파일명 변장과 위장 등 4가지 서브기법 |
참고 자료
- MITRE ATT&CK 공식 사이트
- ATT&CK Enterprise Matrix
- ATT&CK Groups
- ATT&CK Navigator
- ATT&CK Navigator GitHub
- ATT&CK STIX/TAXII Data
- ATT&CK v16 Release Notes (2024.10)
- ATT&CK v17 Release Notes (2025.4)
- ATT&CK v18 Release Notes (2025.10)
- MITRE ATT&CK - APT29 (G0016)
- MITRE ATT&CK - LockBit (S1091)
- MITRE ATT&CK - Lazarus Group (G0032)
- MITRE ATT&CK - Salt Typhoon (G1045)
안내 및 법적 고지
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 기법 분류와 통계는 MITRE ATT&CK 공식 사이트에 근거하며, 사례 설명과 비유적 표현은 이해를 돕기 위해 작성되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.
COMMENTS (0)
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.