당신의 네트워크를 무적으로 만드는 방법 ATT&CK Matrix - Resource Development

Resource Development

서론: 사이버 보안의 중요성

사이버 보안의 중요성은 오늘날 디지털 세계에서 무시할 수 없는 요소입니다. 기술의 급속한 발전과 인터넷의 보편화는 우리 생활을 혁신적으로 개선했지만, 동시에 사이버 위협의 증가라는 부정적인 결과를 낳았습니다. 해커들은 더욱 정교하고 복잡한 방법으로 개인 정보, 기업 데이터, 심지어 국가 안보에 이르기까지 다양한 목표를 공격하고 있습니다. 이러한 공격은 금전적 손실은 물론, 신뢰도 하락, 법적 책임, 그리고 브랜드 이미지 손상과 같은 장기적인 피해를 초래할 수 있습니다. 따라서, 사이버 보안은 단순히 IT 부서의 책임이 아니라 조직의 모든 구성원이 함께 고민하고 실행해야 하는 중대한 사안입니다. 강력한 보안 프로토콜, 지속적인 교육 및 인식 제고, 그리고 최신 보안 동향에 대한 업데이트는 우리 모두가 안전한 디지털 환경에서 생활하고 업무를 수행할 수 있도록 하는 데 필수적입니다.

 

ATT&CK Matrix와 Resource Development의 이해

ATT&CK Matrix는 사이버 보안 전문가들이 공격자의 행동을 이해하고 대응 전략을 개발하는 데 사용하는 프레임워크입니다. MITRE Corporation에 의해 개발되었으며, 전 세계적으로 널리 사용되고 있습니다. 이 행렬은 사이버 공격의 전술, 기술, 절차(TTPs)를 체계적으로 분류하고 설명합니다. 공격자들이 목표를 달성하기 위해 어떤 방식으로 침투하고, 어떤 도구를 사용하며, 어떤 기법을 적용하는지에 대한 광범위한 정보를 제공합니다.

Resource Development는 ATT&CK Matrix 내의 주요 카테고리 중 하나로, 공격자가 공격을 준비하는 데 필요한 자원을 개발하거나 확보하는 과정을 다룹니다. 이에는 계정 생성, 도메인 구매, 서버 임대, 소프트웨어 개발 또는 구매, 개인 정보 및 데이터 수집 등이 포함됩니다. 공격자들이 자신의 의도를 숨기며 합법적인 인프라를 악용하는 방법을 이해함으로써, 보안 전문가들은 보다 효과적인 방어 메커니즘을 구축할 수 있습니다.

Resource Development를 통해 공격자들이 어떻게 자원을 확보하고 사용하는지를 파악함으로써, 조직은 보안 취약점을 식별하고 강화할 수 있으며, 사이버 위협에 대한 예방 조치를 세울 수 있습니다. 이러한 이해는 공격을 사전에 차단하고, 조직의 데이터와 시스템을 보호하는 데 핵심적인 역할을 합니다.

 

사이버 보안 전략

Resource Development의 8가지 항목 소개

Resource Development는 사이버 공격자들이 공격을 수행하기 전에 필요한 자원을 확보하고 준비하는 과정을 말합니다. MITRE ATT&CK Matrix 내에서 이 과정은 다음과 같은 8가지 항목으로 세분화됩니다:

1. 계정 구매 및 생성 (Acquire or Create Accounts): 공격자들은 공격 실행을 위해 다양한 온라인 서비스나 애플리케이션에서 계정을 구매하거나 생성합니다. 이러한 계정은 익명성을 유지하고, 공격 대상에 접근하는 데 사용됩니다. 예를 들어, 소셜 미디어 계정을 이용해 피싱 공격을 시도하거나, 클라우드 서비스 계정을 통해 악성 코드를 배포할 수 있습니다.

2. 도메인 구매 및 생성 (Acquire or Create Domains): 공격자는 공격에 사용될 도메인을 구매하거나 생성하여 피싱 사이트를 운영하거나 명령 및 제어(C2) 서버로 사용합니다. 이를 통해 사용자를 속여 개인 정보를 수집하거나, 공격 명령을 전달할 수 있습니다.

3. 서버 임대 및 구매 (Acquire or Lease Infrastructure): 공격 인프라를 구축하기 위해 서버를 임대하거나 구매합니다. 이 서버들은 공격자가 악성 코드를 호스팅하거나, 데이터를 수집 및 전송하는 데 사용됩니다. 또한, 공격자는 이 서버를 통해 공격 대상의 네트워크에 침입할 수 있습니다.

4. 소프트웨어 개발 및 구매 (Develop Capabilities): 공격자는 특정 공격 목적에 맞는 소프트웨어를 개발하거나, 시장에서 구매합니다. 이에는 악성 코드, 스파이웨어, 랜섬웨어 등이 포함될 수 있으며, 이를 통해 공격자는 대상 시스템을 손상시키거나 정보를 도용할 수 있습니다.

5. 개인 정보 및 데이터 수집 (Compromise Accounts): 타깃이 되는 개인이나 조직에 관한 정보를 수집합니다. 이 정보는 공격 계획을 수립하고, 피싱 이메일을 맞춤화하는 데 사용됩니다. 공격자는 공개된 데이터베이스, 소셜 미디어, 또는 이전의 침투 활동을 통해 이러한 정보를 획득할 수 있습니다.

6. 캠페인 운영 (Stage Capabilities): 공격자는 다수의 공격을 동시에 또는 순차적으로 계획하고 실행합니다. 이러한 캠페인은 특정 목표를 가지고 있으며, 공격자는 이를 통해 대규모의 피해를 입히거나 중요 정보를 탈취할 수 있습니다.

7. 자금 조달 (Fundraising): 공격 활동에 필요한 자금을 조달하는 방법입니다. 이는 암호화폐 채굴, 온라인 사기, 랜섬웨어로 인한 몸값 요구 등 다양한 방법을 포함할 수 있습니다. 자금은 공격에 필요한 리소스 구매, 서비스 이용료 지불 등에 사용됩니다.

8. 공격 도구 준비 (Obtain Capabilities): 공격에 사용될 도구를 준비하고 테스트하는 과정입니다. 이는 공격자가 기존에 확보한 도구를 최적화하거나, 새로운 도구를 개발하는 작업을 포함할 수 있습니다. 목표 시스템에 효과적으로 침투하기 위해 공격 도구는 지속적으로 업데이트되고 개선됩니다.

이 8가지 항목을 통해 공격자들이 어떻게 사이버 공격을 준비하고 실행하는지에 대한 깊은 이해를 얻을 수 있으며, 이를 바탕으로 보다 효과적인 방어 전략을 수립할 수 있습니다.

 

각 항목별 대응 전략

대응 전략을 마련하는 것은 사이버 보안을 강화하고 공격자의 Resource Development 활동을 방해하거나 차단하기 위해 필수적입니다. 각 항목별로 구체적인 대응 전략을 살펴보겠습니다:

계정 구매 및 생성 대응: 조직은 강력한 액세스 제어 정책과 계정 관리 프로세스를 구현해야 합니다. 이는 다중 인증 요구(MFA), 정기적인 비밀번호 변경, 계정 활동 모니터링을 포함할 수 있습니다. 또한, 비정상적인 계정 생성 활동을 감지하기 위한 시스템을 구축하여 의심스러운 행동을 조기에 식별할 수 있습니다.

도메인 구매 및 생성 대응: 조직은 DNS 필터링 도구를 사용하여 악성 도메인에 대한 접근을 차단할 수 있습니다. 또한, 도메인 등록 정보 모니터링을 통해 자사 브랜드를 사칭하는 피싱 사이트를 조기에 발견하고 대응할 수 있습니다.

서버 임대 및 구매 대응: 외부 서버와의 통신을 모니터링하여 비정상적인 트래픽 패턴을 감지하는 네트워크 보안 시스템을 구축합니다. 또한, 클라우드 서비스 제공업체와 협력하여 보안 조치를 강화하고, 공격 인프라가 될 수 있는 서버의 사용을 감시합니다.

소프트웨어 개발 및 구매 대응: 애플리케이션 화이트리스팅을 통해 조직 내에서만 승인된 소프트웨어의 실행을 허용합니다. 또한, 소프트웨어 공급망 보안을 강화하여 악성 코드가 내장된 소프트웨어의 도입을 방지합니다.

개인 정보 및 데이터 수집 대응: 데이터 손실 방지(DLP) 솔루션을 사용하여 중요 정보의 무단 전송을 방지합니다. 직원 교육을 통해 피싱 공격에 대한 인식을 높이고, 개인 정보 보호 정책을 강화합니다.

캠페인 운영 대응: 이메일 필터링, 엔드포인트 보호, 그리고 네트워크 분리와 같은 다층적 방어 전략을 구현하여 공격 캠페인을 방해합니다. 또한, 위협 인텔리전스 공유 네트워크에 참여하여 최신 공격 동향에 대해 정보를 교환합니다.

자금 조달 대응: 금융 거래 모니터링을 강화하여 의심스러운 자금 이동을 추적합니다. 법 집행 기관과의 협력을 통해 악성 활동에 사용되는 자금 흐름을 차단할 수 있습니다.

공격 도구 준비 대응: 정기적인 시스템 및 네트워크 취약점 평가를 통해 보안 취약점을 식별하고 수정합니다. 또한, 침입 탐지 시스템(IDS)과 침입 방지 시스템(IPS)을 사용하여 알려진 공격 도구와 기술에 대한 시그니처 기반 탐지를 수행합니다.

이러한 대응 전략은 조직이 사이버 공격자의 Resource Development 활동을 방해하고, 조직의 자산을 보호하는 데 중요한 역할을 합니다. 각 전략은 지속적인 모니터링, 평가, 그리고 개선이 필요하며, 사이버 보안 환경의 변화에 맞춰 유연하게 조정되어야 합니다.

 

데이터 보호

결론: 사이버 보안을 위한 총체적 접근

사이버 보안은 단편적인 조치가 아닌, 조직 전반에 걸친 총체적인 접근을 필요로 합니다. MITRE ATT&CK Matrix의 Resource Development 항목을 통해 보안 위협에 대응하는 전략을 세우는 것은 이러한 접근의 일환입니다. 조직의 네트워크, 시스템, 데이터를 보호하기 위해서는 기술적 조치뿐만 아니라 직원 교육, 정책 수립, 그리고 조직 문화의 변화까지 포괄하는 전략이 필요합니다. 사이버 보안 위협은 지속적으로 진화하므로, 조직도 이에 대응하기 위해 지속적으로 학습하고, 적응하며, 투자해야 합니다. 각각의 보안 조치는 다른 조치와 연계되어 상호 보완적인 역할을 수행해야 하며, 이를 통해 조직은 더욱 강력하고 효과적인 보안 체계를 구축할 수 있습니다. 사이버 보안은 모두의 책임이며, 모든 구성원이 이를 인식하고 실천할 때 비로소 진정한 보안이 실현될 수 있습니다.

 

ATT&CK Matrix 사이버 보안 전략을 위한 궁극적 가이드

사이버 보안 강화의 첫걸음: ATT&CK Matrix - Reconnaissance

ATT&CK 공식 사이트 이동