1. 공격자의 '행동 패턴'에 주목하는 보안 패러다임, TTPs의 개요
정의: 사이버 공격자나 공격 그룹의 전략(Tactics), 기술(Techniques), 세부 절차(Procedures)를 체계적으로 정리한 행동 양식.
등장 배경: IP, Hash 등 단순한 **침해지표(IoC)**는 공격자가 쉽게 변경 가능하므로, 변경하기 어려운 공격자의 **'습성(Behavior)'**을 분석하여 방어 효율을 극대화하기 위함.
2. TTPs의 3단계 계층 구조 및 세부 내용
TTPs는 전략적 수준에서 실행 수준으로 이어지는 위계적 구조를 가집니다.
| 구분 | 개념 및 특징 | 상세 설명 및 예시 |
| Tactics (전략) | 공격 목적 (What/Why) | 공격자가 달성하려는 상위 목표 (예: 초기 침투, 권한 상승, 정보 유출 등) |
| Techniques (기술) | 실행 방법 (How) | 전략을 달성하기 위해 사용하는 구체적인 수단 (예: 피싱 메일 송신, SQL Injection, 무차별 대입 공격) |
| Procedures (절차) | 세부 단계 (Step-by-Step) | 특정 공격 그룹이 기술을 구현하는 일련의 과정과 도구 설정 (예: 특정 도메인을 이용한 악성코드 유포 시나리오) |
3. TTPs 기반 위협 분석 모델: MITRE ATT&CK 프레임워크
TTPs를 실무적으로 가장 잘 구현한 모델은 MITRE ATT&CK입니다.
Matrix 구조: 가로축은 Tactics(공격 단계), 세로축은 Techniques(사용 기술)로 구성된 행렬 형태.
활용성: 공격자의 행동을 표준화된 언어로 설명함으로써 보안 관제(SIEM), 모의해킹, 위협 헌팅(Threat Hunting)의 기준점으로 활용.
4. TTPs와 침해지표(IoC)의 상관관계: 고통의 피라미드 (Pyramid of Pain)
TTPs는 공격자가 변경하기 가장 힘들어하는 최상위 요소입니다.
하위 요소 (Hash, IP): 방어자가 차단하기 쉽지만, 공격자도 변경하기 매우 쉬움 (사소한 위협).
중위 요소 (Tools): 공격자가 사용하는 도구를 무력화하면 공격 비용이 상승함.
최상위 요소 (TTPs): 공격자의 행동 양식 자체를 탐지하고 대응하면, 공격자는 자신의 공격 인프라와 지식을 완전히 재구축해야 하므로 가장 큰 타격을 입음.
5. 기술사적 제언: TTPs 기반의 능동적 방어 체계 구축
위협 인텔리전스(CTI) 고도화: 단순 Blacklist 기반 차단을 넘어, 유관 기관과 공유된 TTPs 데이터를 활용하여 아군 네트워크 내의 잠재적 위협을 선제적으로 찾아내는 **위협 헌팅(Threat Hunting)**으로 진화해야 함.
보안 오케스트라(SOAR) 연계: 탐지된 TTPs 패턴을 바탕으로 대응 시나리오(Playbook)를 자동화하여 대응 시간(MTTR)을 단축시켜야 함.
결언: 공격자는 도구를 바꿀 수 있지만 습관은 버리기 어려움. 기술사는 TTPs 분석을 통해 공격자의 의도를 읽고, 단순 방어를 넘어 공격자의 비용을 극대화하는 전략적 보안 거버넌스를 확립해야 함.
댓글 없음:
댓글 쓰기