사이버 공격 현황과 사이버 킬 체인에 대해 알아보겠습니다.

 Ⅰ. 사이버 공격 현황과 사이버 킬 체인

전통적인 방어 기반의 보안 전략은 공격자가 충분한 시간과 자원을 갖고 꾸준히 공격한다면 뚫지 못 할 시스템은 없습니다.

그렇기 때문에 100% 막겠다는 방어 전략은 불가능하며 모든 조직의 보안 전략은 해킹 당했다는 가정 속에서 세우고 실행해야 합니다.

 방어 기반의 전통적인 보안 전략의 한계가 드러났기 때문에 조직과 보안 전문가들은 새로운 방어 전략을 구상하고 시스템을 갖춰야 했습니다. 이런 상황에서 제시된 전략 가운데 하나가 바로 사이버 킬 체인(Cyber Kill Chain)입니다.
 사이버 킬 체인은 사이버 공격을 프로세스 상으로 분석해 각 공격 단계에서 조직에게 가해지는 위협 요소들을 파악하고 공격자의 목적과 의도, 활동을 분쇄, 완화시켜 조직의 회복 탄력성을 확보하는 전략입니다. 요약하면 공격자의 입장에서 사이버 공격 활동을 파악, 분석해 공격 단계 별로 조직에게 가해지는 위협 요소를 제거하거나 완화하자는 것입니다.

 

Ⅱ. 사이버 킬 체인(Cyber Kil Chain) 이란?
사이버 킬 체인은 군사 용어인 킬 체인(Kill Chain, 타격순환체계)에서 가져온 것입니다만 의미는 조금 다릅니다. 1991년 걸프전에서 처음 등장한 킬 체인 전략은 이라크군의 스커드 미사일을 방어하기 위한 선제 공격형 방어 전략이었습니다.
 발사된 미사일을 요격하는 것이 아닌, 선제 공격을 통해 미사일 발사 자체를 저지하겠다는 것으로서 그 개념을 사이버 공간상으로 가져와 적용한 것입니다.
 다양한 사이버 공격을 분석해보면 대부분은 아래의 5가지 단계를 거치게 됩니다. 사이버 킬체인은 각 단계별 위협요소를 제거하기 위한 일렬의 활동으로 모든 공격을 다 막아낼 수는 없기 때문에 공격자 입장에서의 공격 분석을 통해 단계별 연결고리(Chain)를 사전에 끊어 피해를 최소화 하자는 것이 이 전략의 목표라고 할 수 있습니다.

 

◆ 단계별 사이버 킬체인

 공격자의 공격 활동은 일반적으로 정찰(Reconnaissance), 무기화 및 전달(Weaponization and delivery), 악용과 설치(Exploitation and Installation), 명령과 제어(Command & Control), 탈출(Exfiltration) 과정을 거칩니다.

단계	단계명	설명
1단계	정찰(reconnaissance)	공격 대상 인프라에 침투해 거점을 확보하고 정찰 수행
2단계	무기화 및 전달 (weaponization and delevery)	공격 목표를 달성하기 위해 정보를 수집하고 권한 획득
3단계	익스플로잇/설치 (exploit and installation)	악성코드 설치 및 실행
4단계	명령/제어 (Command and Control)	원격지에서 명령 실행
5단계	행동 및 탈출 (action and exfiltraction)	정보유출이나 시스템 파괴 후 공격자 로그 삭제

 

Ⅲ. 록히드 마틴의 Cyber Kill Chain

 미국 군수업체인 록히드마틴 (Lockheed Martin Corporation)에서 고도화된 공격(APT)에 대응하기 위해 제시한 방법으로, 공격자가 표적을 공격할 때 거쳐야 하는 과정을 △정찰 △무기화 △전달 △공격 △설치 △명령 및 제어 △목표 장악 등 총 7단계로 나눈 후 각 단계에서 공격을 탐지ㆍ차단ㆍ대응하는 방어 전략이다. 사이버 공격은 시작부터 종단까지 각 단계들이 모두 성공해야만 최종 목적을 달성할 수 있는데 이러한 특징이 잘 나타나 있는 통합된 프로세스를 보여주고 있습니다.

Ⅳ. MITRE ATT&CK 
 MITRE ATT&CK은 Adversarial Tactics, Techniques, and Common Knowledge의 약어이며, 실제 사이버 공격 사례를 관찰한 후 공격자가 사용한 악의적 행위(Adversary behaviors)에 대해서 공격방법(Tactics)과 기술(Techniques)의 관점으로 분석하여 다양한 공격그룹의 공격기법 들에 대한 정보를 분류해 목록화 해 놓은 표준적인 데이터입니다.
 전통적인 사이버 킬체인의 개념과는 약간 관점을 달리하여 지능화된 공격의 탐지를 향상시키기 위해 위협적인 전술과 기술을 체계화(패턴화)한 것인데, 원래 ATT&CK는 MITRE에서 윈도우 기업 네트워크 환경에 사용되는 해킹 공격에 대해서 방법(Tactics), 기술(Techniques), 절차(Procedures) 등 TTPs를 문서화하는 것으로 시작되었으며 이후 공격자로부터 발생한 일관된 공격 행동 패턴에 대한 분석을 기반으로 TTPs 정보를 매핑하여 공격자의 행위를 식별해 줄 수 있는 프레임워크로 발전하였습니다.

 

 MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)는 공격자의 전략, 기술 및 일반적인 지식을 기술하기 위한 지식 저장소입니다. 이는 실제로 관찰된 사이버 공격에서 사용되는 전술 및 기술을 설명하고, 조직이 이를 통해 자신의 사이버 방어 전략을 개선할 수 있도록 돕는 데 사용되고 있으며, MITRE ATT&CK는 다양한 행위자의 활동을 설명하기 위해 행위자의 목표, 공격 단계 및 해당 공격에 사용된 기술을 나열합니다.

MITRE ATT&CK는 크게 두 가지 요소로 구성됩니다:
1) 탐지(ATT&CK for Detection): 공격 행위자의 활동을 탐지하기 위한 지식을 제공합니다. 이는 공격에 사용되는 일반적인 행위 및 해당 행위를 감지하기 위한 로그 및 이벤트 소스 등을 설명합니다.
2) 행위(ATT&CK for Enterprise): 공격 행위자의 활동을 설명합니다. 이는 행위자의 목표, 공격 단계 및 해당 단계에서 사용되는 기술을 설명합니다.

 

◆ MITRE ATT&CK Matrix