MITRE ATT&CK 프레임워크에 대해

Cybertech Tel Aviv 2023 박람회에 참석해서 여러가지 보안 솔루션들을 구경하다가 MITRE ATT&CK 프레임워크를 이용해 개발한 솔루션들을 많이 보았다.

 

MITRE ATT&CK 프레임워크가 뭔지 몰랐던 나라서 전시회에선 그냥 신기해하면서 보다가 호텔에 와서 후다닥 찾아보았다.

 

MITRE ATT&CK 프레임워크를 한 문장으로 요약하면?

실제 공격 사례를 바탕으로 여러가지 환경에서의 취약점을 정의하고, 해당 취약점의 킬체인들을 정리해둔 데이터베이스

 

MITRE 는 보안 취약점 리스트인 CVE 를 관리하는 비영리 단체이다. 이 MITRE 에서 이때까지 축적된 모든 데이터들을 이용해 세상에 존재하는 취약점들을 공격 단계별로 분류하고, 이 취약점을 공격하는 방법들에 대해 정리한 것이 MITRE ATT&CK 프레임워크인 것이다.

 

그럼 공격 방법 나와있으니까 위험한거 아닌가?

물론 그런면도 없지않아 있다. 하지만 이 프레임워크를 개발하고 관리하는 이유는 프레임워크에 정의된 취약점 공격 방법을 이용한 모의 해킹을 통해 취약점을 미연에 방지하기 위한 것이기에 용도에 맞게 잘 사용한다면 보다 안전한 SW를 개발할 수 있다.

 

그래서 어떻게 생겼죠?

이렇게 생겼다. 원본은 당연히 영어로 정리되어 있는데 일부를 한국어로 번역해 보았다.

 

공격 단계를

정찰 》 자원 개발 》 초기 접근 단계 》 실행 》 지속 》 권한 상승 》 방어 회피 》 접속 자격 증명 》 탐색 》 내부 확산 》 수집 》 명령 및 제어 》 유출 》 임팩트

로 나눠 정리해둔 것을 확인해볼 수 있다.

 

공격 방법은 있는데 방어 방법은?

물론 방어 방법도 있다.

방어 방법은 ATT&CK 프레임워크가 아닌 D3FEND 프레임워크라는 다른 프레임워크에 자세히 정리되어 있다.

 

근데 왜 DEFEND 아니고 D3FEND 라 하지?

해커들의 은어라고 불리는 리트(Leet) 를 이용한 것이다.

위 표와 같이 알파벳과 비슷하게 생긴 숫자나 특수문자를 이용해 글자를 표시하는 방식이다.

아래 링크로 들어가면 리트로 작성된 구글을 이용할 수 있다.

https://www.google.com/webhp?hl=xx-hacker 

Google

 

더 자세한 내용은 각 프레임워크 공식 홈페이지를 참고하세요

ATT&CK : https://attack.mitre.org/

MITRE ATT&CK®

D3FEND : https://d3fend.mitre.org/

MITRE D3FEND Knowledge Graph