미국 비영리단체 마이터 社(MITRE™Corp)에서 개발한 ATT&CK 프레임워크는 국내외 국가공공기관 뿐만 아니라 기업 등 사이버공격으로부터 관찰된 위협 전략과 기법을 알려주는 일종의 위협 헌팅 플랫폼이다.
그 중 마이터 인게이지(MITRE Engage) 프레임워크는 2022년 초반에 개발되어 사이버 교전, 기만, 거부 활용을 계획하고 수행할 때 활용할 수 있도록 개발 되었다.
마이터 社(MITRE™Corp) 관계자에 따르면, 인게이지 프레임워크는 ‘공격은 가정이 아니라 실제 상황이다’라는 개념을 기반으로 개발되었으며, 공격을 결국 피할 수 없다는 점을 감안하면, 교전을 통해 피해를 대비하거나 피해 규모를 줄여볼 수 있다.
해커의 행동을 예측할 수 있으니 보다 빠르고 효과적으로 공격을 막아 볼 수 있다는 개념이다.
마이터 社(MITRE™Corp) 최고정보보안책임자 빌 힐은 “사이버 교전은 적군의 전투 계획을 살펴보는 과정과 유사하다”라며 “교전의 상대는 영리하기 때문에 한 가지 방어책만 정해 놓고 모든 공격을 막을 수 있을 것이라 기대하면 안 된다. 적의 다음 행동을 알아야 한다”라고 설명했다.
해커와 교전을 벌이면 공격자와 방어자 모두 진화된 전투 기술을 활용하며 새로운 공격 기술과 양상을 알 수 있다. 빌 힐에 따르면, 사이버 교전 기법에서 방어자는 공격받는 환경을 자체적으로 통제하면서 공격을 유도해 해커의 행동과 전술을 관찰할 수 있다.
“교전 기법은 위협 사냥(threat hunting)과 비슷하면서도 다르다. 위협 사냥은 이미 네트워크 내에 있는 해커를 찾아내 제거 한다. 반면 교전은 좀 더 선제적이고 의도적이다. 가령 적의 공격 방식을 알아내겠다는 목표를 세우고, 의도적으로 공격을 주고받는 상황을 만든다”라고 설명했다.
방어자가 이런 의도적인 교전을 활용하면 초기 공격 이후 해커가 어떤 일을 하는지 알아낼 수 있다.
마이터 인게이지(MITRE Engage)는 교전 기법을 알려주는 종합 가이드라고 보면 된다. 방어자의 입장인 독자들은 좀 더 실무적으로 해커의 교전 기법들을 학습하면서 방어할 수 있는 기법들을 배우는 시간이 되길 바란다.
1장 개요
1.1사이버 거부, 기만 및 공격자 교전
1.2공격자 교전 시작하기
2장 MITRE ENGAGE 메트릭스
2.1ENGAGE 구조
2.2MITRE ATT&CK 매핑
2.3ENGAGE 메트릭스 작전화
2.4사이버 전략에 ENGAGE 메트릭스 통합
3장 공격자 교전 작전의 구성요소
3.1구성요소 0: 작전 목표
3.2구성요소 1: 묘사
3.3구성요소 2: 묘사
3.4구성요소 3: 모니터링
3.5구성요소 4: 분석
4장 공격자 교전 작전 보안(OPSEC)
5장 공격자 교전 프로세스
5.1단계 1: 공격자 및 사용자 조직의 지식 평가
5.2단계 2: 작전 목표 결정
5.3단계 3: 공격자 반응 방법 결정
5.4단계 4: 공격자 감지 대상 결정
5.5단계 5: 공격자와 교전하기 위한 제시 채널 결정
5.6단계 6: 성공 및 통문 기준 결정
5.7단계 7: 작전 실행
5.8단계 8: 실행 가능한 첩보로 순수 데이터 전환
5.9단계 9: 첩보 피드백
5.10단계 10: 향후 작전을 위한 성공/실패 분석
6장 작전 템플릿
6.1팀 훈련 및 조직
6.2역할 및 책임
6.3생애주기 템플릿
7장 향후 고려사항
8장 감사의 글
부록
A생애주기 별 활동의 역할과 책임 요약
B임무 필수 과제 목록
C페르소나 프로파일 워크시트
D기만 정보 워크시트 구성
E작전 데이터 템플릿
F공격자 취약성
G교전 활동 대비 공격자 취약성 매핑
HMITRE ATT&CK 공격 기술 대비 교전 활동 및 공격자 취약성 매핑
IMITRE ATT&CK 공격 기술
J참조 문서