Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
보안

글로벌 칼럼 | 보안 운영의 '국제 통용어' 마이터 어택의 변화하는 역할

Jon Oltsik | CSO 2022.12.07
마이터의 어택(ATT&CK) 프레임워크는 2013년 개발된 이후 보안 운영 전문가의 큰 관심을 끌었다. 초창기 SOC(Security Operation Center)팀은 마이터 어택을 참조 아키텍처로 사용해 경고 및 위협 인텔리전스를 적의 전술 및 기술 분류 쳬계와 비교했다.
  
ⓒ Astris1 (CC BY-SA 3.0)

ESG(Enterprise Strategy Group) 조사에 따르면, 마이터 어택은 이제 변곡점에 도달했다. 보안팀은 보안 운영의 기반으로서 마이터 어택이 지닌 가치를 인식할 뿐 아니라 더 다양한 사용례와 폭넓은 이점으로 기반을 다지기를 바란다. 9년이 지난 지금, 마이터 어택과 그 사용례는 참조 아키텍처 이상으로 발전했고 여러 면에서 보안 운영의 국제적인 통용어로 자리매김했다.

기업의 48%는 보안 운영을 위해 마이터 어택을 '광범위하게' 사용한다고 답했으며, 다른 41%는 '제한적으로' 사용한다고 말했다. 마이터 어택이 미래의 보안 운영 전략에 얼마나 중요한지 물었을 때 그 결과는 훨씬 인상적이었다. 마이터 어택이 '중요하다'고 답한 응답자는 19%였으며, '매우 중요하다'고 말한 응답자는 62%에 달했다. 15%는 마이터 어택이 '보안 운영 전략의 중요한 구성 요소'라고 간주하고 있었다. 


마이터 어택의 새로운 사용례

마이터 어택을 수용하는 조직이 많은 이유는 무엇일까? ESG 연구에 따르면, 기업은 마이터 어택을 다양하게 활용한다. 예를 들면 다음과 같다. 
 
  • 조직의 38%는 마이터 어택을 위협 인텔리전스 경보 분류 및 조사 프로세스에 적용한다. 가장 기본적인 사용례이며, SOC팀이 경보를 강화하는 데 도움이 되며, 무엇을 찾아야 하는지 청사진을 제공한다. 
  • 37%는 마이터 어택을 보안 엔지니어링 지침으로 사용한다. 엔지니어는 프레임워크를 사용해 표적으로 삼은 적대적 캠페인을 매핑한 다음 적절한 위치에 올바른 보안 제어, 탐지 규칙 및 대책을 구현한다.
  • 35%는 마이터 어택을 사용해 공격자의 TTP(tactics, techniques, and procedures)를 더 잘 이해한다. 특히 서양권 정부 기관의 SOC팀에서 근무한다면 APT29와 같은 국가 위협에 대해 우려해야 한다. 이때 어택 프레임워크는 특정 사이버 공격에 사용되는 TTP를 격리하고 표시하는 데 사용된다. 이를 기반으로 SOC팀은 제어 및 데이터 소스를 평가하고 맹점과 약점을 식별하여 이런 인사이트를 기반으로 방어를 강화할 수 있다. 
  • 34%의 조직은 마이터 어택을 사용해 사이버 공격의 전체 범위를 이해한다. 어택 같은 프레임워크로 무장한 애널리스트는 개별 경고를 과거에 발생한 일과 미래에 발생할 수 있는 일에 매핑할 수 있다. 개별 경보를 분류하는 것과 본격적인 위협 포렌식 및 조사 간의 차이는 바로 여기에 있다. 
  • 33%는 마이터 어택으로 보안 솔루션 업체가 제공하는 위협 인텔리전스를 보완한다. EDR(Endpoint Detection and Response), NDR(Network Detection and Response), DNS 서비스 및 이메일 게이트웨이는 모두 의심스러운 활동을 알리고 차단하기 위해 위협 인텔리전스를 통합하지만, 격리된 기술을 기반으로 한다. 마이터 어택은 이런 개별 기술로 상세한 위협 상황을 그리는 데 도움을 줄 수 있다. 


마이터 어택의 미래

그렇다면 마이터 어택은 어느 곳을 향하고 있을까? 예측하자면 다음과 같다. 
 
  • 지속적인 보안 테스트를 할 수 있다. 마이터 어택은 기업이 핵심 지표 및 경고를 확장된 킬 체인에 매핑하도록 지원함으로써 이미 위협 인텔리전스의 가치를 높였다. 마찬가지로 마이터 어택은 지속적인 보안 테스트의 주류화를 주도할 것이라고 생각한다. 실제로 이런 변화는 이미 이뤄지고 있다. 레드 카나리아(Red Canary)의 아토믹 레드(Atomic Red)와 같은 오픈소스 도구가 대표적이다. 또한 어택에 대한 지식과 사용례 증가는 어택IQ(AttackIQ), 사이뮬레이트(Cymulate), 랜도리(Randori), 베로딘(Verodin) 및 세이프비치(SafeBeach)와 같은 지속적인 보안 테스트 도구의 채택으로 이어질 것으로 예상된다.
  • 조직의 마이터 어택 운영을 돕는 스타트업이 생길 것이다. 많은 조직이 마이터 어택 도입을 원하지만 이런 노력을 극대화하는 기술이나 통합 소프트웨어 스택이 없을 수 있다. 따라서 이런 격차를 해소하기 위해 관련 스타트업이 출현할 가능성이 크다. 다이들 사이버(Tidal Cyber)도 마이터 출신 직원이 바로 이런 목적으로 설립한 스타트업이다. 
  • 많은 조직이 마이터의 다른 프로젝트를 집중적으로 살펴볼 것으로 전망된다. 마이터 어택의 성공을 기반으로 CISO와 SOC팀은 마이터 드(D3FEND) 및 마이터 인게이지(Engage)와 같은 다른 프로젝트를 적극적으로 검토할 수 있다. 디펜더는 마이터 어택을 보완하는 사이버보안 지식 프래프이며, 인게이지는 해커의 공격을 의도적으로 유발해 행동과 전술을 관찰하는 프레임워크다. 특히 마이터 인게이지는 디셉션(deception) 기술 시장을 활성화하는 역할을 할 수 있다.

*Jon Oltsik은 ESG의 수석 애널리스트다.
editor@itworld.co.kr
 Tags 마이터어택 마이터인게이지 마이터디펜드 마이터

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2023 International Data Group. All rights reserved.