What is MITRE ATT&CK?

• CTI와 관련된 자료를 찾던 도중 MITRE ATT&CK에 대해서 접하게 되었다.
• 본 글은 IGLOO Security - MITRE ATT&CK Framework 이해하기를 참고하여 작성하였다.
• 2024.10.29 작성.

사이버 킬체인

Cyber Kill Chain

ATT&CK Framework는 MITRE에서 실제 공격 사례를 바탕으로 킬 체인(Cyber Kill Chain)의 단계를 자체적으로 개발하여 정리한 것이다.

여기서 언급되는 사이버 킬체인은 사이버 공격을 분석하기 위한 가장 널리 알려진 모델로 기존 군사용어인 킬체인(Kill Chain, 타격순환체계)에서 비롯되었으며 발사된 미사일을 요격하는 것이 아닌, 선제 공격을 통해 미사일 발사 자체를 저지하겠다는 것으로 이러한 개념을 사이버 공간상으로 가져와 적용한 것이다.

다양한 사이버 공격을 분석해보면 일반적으로 아래의 5가지 단계를 거치게 되며, 사이버 킬체인은 각 단계별 위협요소를 제거하기 위한 일렬의 활동으로 모든 공격을 다 막아낼 수는 없기 때문에 공격자 입장에서의 공격 분석을 통하여 각 단계별 연결고리(Chain)를 사전에 끊어 피해를 최소화 하자는 것이 이 전략의 목표라고 할 수 있다.

Lockheed Martin's Cyber Kill Chain

사이버 보안 분야에서 '킬체인'이란 용어를 처음 사용한 것은 미국의 군수업체인 록히드마틴(Lockheed Martin Corporation)이다.
고도화된 공격(APT, Advanced Persistent Threat)에 대응하기 위하여 제시한 방법으로써, 공격자가 표적을 공격할 때 거쳐야 하는 과정을 총 7단계로 나눈 후 각 단계에서 공격을 탐지, 차단, 대응하는 방어 전략이다.
사이버 공격은 시작부터 종단까지 각 단계들이 모두 성공해야만 최종 목적을 달성할 수 있는데 이러한 특정이 잘 나타나 있는 통합된 프로세스를 보여주고 있다.

Cyber Kill Chain의 한계점

각 단계에 따른 공격자의 행위를 시간의 흐름에 따라 묘사하여 나열한 것이지, 단계별로 어떤 기술들이 사용되고 관련된 공격 도구나 해킹 그룹 등에 대한 정보와의 연결고리가 없다는 한계가 존재한다.
즉, 공격자의 행동이 전술적 공격 목표와 각 행동의 연관성을 표현하고 전달하기에는 효과적이지 않다는 것이다. 또한 외부 침입자 대한 방어를 위주로 한 전략이라 공격자가 이미 침투했거나 내부자에 의한 공격 등 내부 보안에 대한 전략은 전무하다. 이러한 시사점은 사이버 킬체인에 새로운 전략 혹은 단계의 추가 적용이 필요함을 시사한다.