MITRE ATT&CK 프레임워크에 대한 이해: 왜 LOLBAS와 LOLDrivers도 ATT&CK 관점으로 봐야 하는가
MITRE ATT&CK은
보안 업계에서 가장 많이 인용되는 이름 중 하나입니다.
그런데 정작 현장에서는
이를 단순히
“공격 기법을 정리한 표” 정도로 이해하는 경우가 많습니다.
이렇게 되면 ATT&CK은
발표 자료에는 자주 등장하지만,
실제 운영과 대응의 중심에는 놓이지 못합니다.
하지만 본질은 다릅니다.
MITRE ATT&CK은
해킹 기법 목록이 아니라,
공격자를 이해하기 위한 프레임워크입니다.
그리고 이 점을 이해해야
LOLBAS, LOLDrivers, LOTL 같은 문제도
개별 도구나 IOC의 문제가 아니라
공격 흐름 전체의 일부로 볼 수 있게 됩니다.
지금의 공격은
새로운 악성코드 하나만 떨어뜨리는 방식으로
설명하기 어려운 단계에 들어왔습니다.
공격자는 이미 시스템 안에 있는 정상 파일과 정상 기능을 악용하고,
작은 행위들을 조합해
침투하고, 실행하고, 우회하고, 확산합니다.
그래서 지금 필요한 것은
개별 악성파일 탐지가 아니라,
행위를 구조적으로 읽는 시선입니다.
그 기준으로 가장 널리 쓰이는 것이
바로 MITRE ATT&CK입니다.
왜 MITRE ATT&CK을 먼저 이해해야 하는가
해킹을 처음 접하면
보통 악성코드 이름부터 외우게 됩니다.
랜섬웨어 이름,
APT 그룹 이름,
도구 이름,
취약점 이름을 외우는 식입니다.
물론 이것도 필요합니다.
하지만 이것만으로는
실제 공격을 이해하기 어렵습니다.
왜냐하면 공격자는
매번 이름이 다른 악성코드를 쓰더라도
행동 방식은 반복되기 때문입니다.
예를 들어 공격자는
- 처음에는 피싱이나 취약점으로 들어오고
- 이후 정상 계정이나 정상 프로세스를 이용해 실행하고
- 권한을 높이고
- 내부 이동을 시도하고
- 최종적으로 정보를 빼내거나 시스템을 파괴합니다
겉으로 드러나는 악성코드는 매번 달라도
그 흐름은 놀라울 만큼 비슷합니다.
MITRE ATT&CK은
바로 이 반복되는 공격 흐름을
전술(Tactics)과 기술(Techniques)로 구조화한 프레임워크입니다.
즉, ATT&CK의 핵심은
“무슨 악성코드였는가”보다
“공격자가 지금 어떤 목적을 가지고 어떤 행위를 하고 있는가”를
보게 만드는 데 있습니다.
Primitive와 Framework로 보면 더 쉽게 이해된다
이 개념은
Primitive와 Framework로 나누어 보면 더 명확해집니다.
Primitive는 원시 요소다
Primitive는
더 이상 쪼개기 어려운 가장 작은 행위 단위입니다.
보안에서는 다음과 같은 것들이 여기에 가깝습니다.
whoami실행powershell.exe호출rundll32.exe실행- 특정 레지스트리 변경
- 서비스 생성
- 드라이버 로드
- 외부 URL 접속
- 프로세스 인젝션을 위한 API 호출
이런 행위 하나하나는
그 자체만으로는 악성인지 정상인지
구분하기 어려운 경우가 많습니다.
실제로 많은 공격은
바로 이런 정상 기능의 조합으로 이루어집니다.
Framework는 구조와 맥락이다
프레임워크는
이런 작은 원시 행위들을
목적과 흐름에 따라 구조화해 놓은 체계입니다.
MITRE ATT&CK은
공격자가 어떤 원시 행위들을 어떤 순서와 목적 아래 조합하는지
공통된 언어로 정리한 프레임워크입니다.
즉,
- 개별 명령어와 기능은 Primitive
- 그것들이 어떤 공격 단계에 해당하는지를 설명하는 체계는 Framework
라고 이해하면 됩니다.
이 차이를 이해하지 못하면
보안은 늘 단편적이 됩니다.
powershell.exe가 보이면 막고,
mshta.exe가 보이면 의심하고,
rundll32.exe가 보이면 경고하는 수준에 머물게 됩니다.
하지만 실제 방어는
그보다 한 단계 위에서 이루어져야 합니다.
중요한 것은 도구 이름이 아니라,
그 도구가 어떤 공격 전술 안에서 어떤 역할로 사용되고 있는가입니다.
Primitive와 Framework를 비교하면 더 분명해진다
| 구분 | Primitive | Framework |
|---|---|---|
| 의미 | 가장 작은 행위 단위 | 행위들을 구조화한 체계 |
| 예시 | 프로세스 실행, 명령어 호출, 파일 생성, 드라이버 로드 | 전술, 기술, 공격 흐름, 대응 맵 |
| 특징 | 단편적이고 맥락이 약함 | 목적과 연결관계를 보여 줌 |
| 한계 | 정상/악성 구분이 어려움 | 기록과 분석 체계가 없으면 형식화되기 쉬움 |
| 보안적 의미 | 이벤트 그 자체 | 이벤트를 해석하는 지도 |
MITRE ATT&CK은 무엇을 제공하는가
MITRE ATT&CK이 강력한 이유는
단지 기술 목록이 많아서가 아닙니다.
핵심 가치는 크게 세 가지입니다.
1. 공격을 단계별로 볼 수 있게 한다
공격은 무작위로 일어나지 않습니다.
초기 침투, 실행, 지속성 확보, 권한 상승, 방어 회피, 자격 증명 탈취, 내부 이동, 정보 수집, 데이터 유출처럼
공격자는 일정한 목적을 따라 움직입니다.
ATT&CK은 이 목적을
전술(Tactics)로 나누고,
그 목적을 달성하는 구체적인 방법을
기술(Techniques)로 정리합니다.
이 덕분에 방어자는
개별 이벤트가 아니라
공격 캠페인 전체를 볼 수 있게 됩니다.
2. 전 세계 공통 언어를 제공한다
“이상한 프로세스가 떴다”는 말은
사람마다 다르게 해석할 수 있습니다.
하지만
실행, 방어 회피, 자격 증명 접근, 내부 이동 같은 ATT&CK 용어로 정리하면
분석, 보고, 대응의 기준이 훨씬 분명해집니다.
즉, ATT&CK은
보안 제품과 분석가, 조직과 조직 사이의
공통 언어 역할을 합니다.
3. 방어의 빈 곳을 찾게 한다
ATT&CK은 단지 공격자 이해용 도감이 아닙니다.
오히려 방어자가 자기 조직을 점검하는 데 더 유용합니다.
우리는 실행을 탐지할 수 있는가,
우리는 방어 회피를 볼 수 있는가,
우리는 자격 증명 탈취를 식별할 수 있는가,
우리는 내부 이동과 데이터 유출을 증거 기반으로 재구성할 수 있는가.
결국 ATT&CK은
“공격자가 무엇을 할 수 있는가”만 보여 주는 것이 아니라,
“우리가 아직 못 보고 있는 것은 무엇인가”를 드러내는 기준입니다.
ATT&CK 전술은 공격 흐름을 읽는 기본 축이다
공격자는 보통 다음과 같은 흐름 중 일부를 따라 움직입니다.
- Initial Access
- Execution
- Persistence
- Privilege Escalation
- Defense Evasion
- Credential Access
- Discovery
- Lateral Movement
- Collection
- Exfiltration
- Impact
물론 실제 공격은
항상 이 순서대로 깔끔하게 진행되지는 않습니다.
하지만 중요한 것은
이 전술 축이 있어야
개별 행위를 공격의 맥락 안에 넣어 볼 수 있다는 점입니다.
예를 들어 powershell.exe 실행 하나만 보면
정상일 수도 있습니다.
하지만 그것이
외부 스크립트 실행과 연결되고,
자격 증명 수집과 이어지고,
이후 원격 시스템 접근으로 확장되면
그 순간부터 그것은 단순 실행이 아니라
공격 흐름의 일부가 됩니다.
LOLBAS와 LOLDrivers는 왜 ATT&CK 관점에서 봐야 하는가
여기서 LOLBAS와 LOLDrivers가 연결됩니다.
많은 조직이
LOLBAS를 단순히
“위험한 윈도우 기본 도구 목록” 정도로 이해합니다.
LOLDrivers도
“주의해야 할 드라이버 리스트” 정도로 보는 경우가 많습니다.
물론 출발점으로는 맞습니다.
하지만 거기서 멈추면
실전 대응으로 이어지기 어렵습니다.
왜냐하면 LOLBAS와 LOLDrivers의 본질은
도구 목록이 아니라
정상 도구를 악용한 공격 행위이기 때문입니다.
LOLBAS는 도구 문제가 아니라 행위 문제다
powershell.exe, mshta.exe, certutil.exe, bitsadmin.exe, regsvr32.exe, rundll32.exe 같은 도구는
원래 운영체제에 들어 있는 정상 파일입니다.
그래서 이름만으로는
악성 여부를 단정할 수 없습니다.
중요한 것은
그 도구가 어떤 문맥에서 쓰였는가입니다.
- 외부에서 스크립트를 받아 실행하는가
- 인코딩된 명령을 수행하는가
- 정상 업무와 무관한 다운로드를 수행하는가
- 우회 실행이나 파일리스 실행에 쓰였는가
- 다른 공격 단계와 연계되어 있는가
즉, LOLBAS는
“이 파일이 위험하다”의 문제가 아니라
이 파일이 ATT&CK 상 어떤 공격 기술로 악용되고 있는가의 문제입니다.
LOLDrivers도 마찬가지다
취약하거나 악용 가능한 드라이버를 통해
커널 레벨 권한을 얻거나,
보안 제품을 비활성화하거나,
탐지를 우회하려는 시도 역시
개별 드라이버 이름만 외워서는 대응하기 어렵습니다.
중요한 것은
드라이버 악용이 어떤 목적 아래 사용되는가입니다.
- 권한 상승인가
- 방어 회피인가
- 보안 제어 우회인가
- 커널 수준 조작인가
이 역시 ATT&CK의 전술과 기술 안에서 봐야
실제 의미가 드러납니다.
결국 LOLBAS와 LOLDrivers는
별도의 특수 분야가 아니라,
ATT&CK 프레임워크 안에서 해석되어야 하는 대표적인 현대 공격 수단입니다.
LOLBAS 예시는 ATT&CK 매핑으로 봐야 한다
아래처럼 보면 훨씬 실무적입니다.
| 도구 예시 | 대표 악용 방식 | 연결되는 ATT&CK 관점 |
|---|---|---|
powershell.exe |
스크립트 실행, 인코딩 명령 실행, 메모리 기반 실행 | Execution, Defense Evasion |
mshta.exe |
원격 스크립트/HTA 실행, 파일리스 실행 보조 | Execution, Defense Evasion |
certutil.exe |
외부 파일 다운로드, 인코딩/디코딩 악용 | Command and Control 보조, Defense Evasion, Execution 보조 |
bitsadmin.exe |
백그라운드 다운로드, 지연 실행 | Defense Evasion, Persistence 보조 |
rundll32.exe |
DLL 로드 및 우회 실행 | Execution, Defense Evasion |
regsvr32.exe |
스크립트 기반 실행 우회, COM 등록 악용 | Execution, Defense Evasion |
여기서 중요한 점은
이 도구들 각각이 하나의 “악성코드”라는 뜻이 아니라,
공격자가 ATT&CK 상 여러 전술을 수행하기 위해 정상 도구를 빌려 쓰고 있다는 것입니다.
즉, LOLBAS 대응은
도구 차단 목록 관리가 아니라
ATT&CK 매핑 기반의 행위 해석과 연결 분석으로 가야 합니다.
LOLDrivers도 ATT&CK 관점에서 해석해야 한다
| 범주 | 악용 목적 | 연결되는 ATT&CK 관점 |
|---|---|---|
| 취약 드라이버 로드 | 커널 권한 확보 | Privilege Escalation |
| 보안 제품 기능 무력화 | 탐지 방해, 보호 해제 | Defense Evasion |
| 커널 메모리 접근 | 프로세스/보안 제어 우회 | Defense Evasion, Privilege Escalation |
| 드라이버 기반 은폐 | 행위 숨김, 탐지 회피 | Defense Evasion |
| 서명된 드라이버 악용 | 정상 신뢰 체계 악용 | Defense Evasion, Persistence 보조 |
즉, LOLDrivers의 핵심도
“이 드라이버가 유명한가”가 아니라
공격자가 왜 이 드라이버를 불러왔는가입니다.
지금의 공격은 LOTL이다
이제 공격자는
눈에 띄는 악성파일 하나를 떨어뜨리는 방식보다,
이미 시스템 안에 있는 것을 활용하는 방식에 더 익숙합니다.
이것이 바로
LOTL(Living Off The Land) 공격입니다.
LOTL의 핵심은 간단합니다.
새로운 악성코드를 많이 들여오지 않고,
이미 존재하는 정상 도구와 정상 기능을 악용해 공격을 완성하는 것입니다.
그래서 LOTL 공격은
전통적인 백신이나 단순 파일 기반 탐지에 잘 걸리지 않습니다.
공격자는 정상 파일을 사용하고,
정상 관리자 도구를 사용하고,
정상 계정을 사용하고,
정상 경로를 따라 움직입니다.
이 점 때문에
LOLBAS와 LOLDrivers 대응은
더더욱 ATT&CK 관점이 필요합니다.
개별 파일 차단만으로는 부족하고,
어떤 행위가 어떤 전술로 이어지는지를
흐름으로 봐야 하기 때문입니다.
예를 들어 보면 더 분명해진다
예를 들어 공격자가
certutil.exe로 외부에서 파일을 내려받고rundll32.exe로 특정 DLL을 실행하고- 이후 계정 정보를 수집하고
- 원격 시스템으로 확산했다고 가정해 보겠습니다.
이 상황을
개별 도구 중심으로 보면
- certutil 사용
- rundll32 사용
- 계정 정보 접근
- 원격 접속 시도
처럼 흩어진 이벤트만 보입니다.
하지만 ATT&CK 관점으로 보면
이것은 다음처럼 읽힙니다.
- Execution
- Defense Evasion
- Credential Access
- Lateral Movement
즉,
단편 로그가 아니라
공격 시나리오가 보이기 시작합니다.
바로 이 차이 때문에
ATT&CK은 단순 분류표가 아니라
실제 대응의 언어가 됩니다.
왜 “MITRE ATT&CK에 충실한 제품”이 중요한가
LOLBAS나 LOLDrivers를 이해한다고 하면서도
실제로는 특정 파일 이름 몇 개만 탐지하는 제품이 있습니다.
이런 방식은
일부 기법에는 반응할 수 있어도
공격 전체를 이해하지 못합니다.
반대로
MITRE ATT&CK에 충실한 제품은
개별 IOC를 넘어서
행위와 흐름을 중심으로 탐지와 분석을 시도합니다.
이 차이는 매우 큽니다.
왜냐하면 현대 공격은
이름보다 행위가 더 중요하기 때문입니다.
좋은 방어 체계라면
다음 질문에 답할 수 있어야 합니다.
- 이 실행은 어떤 ATT&CK 기술 범주에 해당하는가
- 이 행위는 앞선 어떤 이벤트와 연결되는가
- 이 공격은 지금 어느 전술 단계에 있는가
- 다음 단계로 어떤 위험이 이어질 수 있는가
- 우리는 이 흐름을 증거 기반으로 재구성할 수 있는가
이런 질문에 답하지 못한다면
LOLBAS 대응도, LOLDrivers 대응도
결국 표면적 대응에 머물 수밖에 없습니다.
그래서
MITRE ATT&CK에 충실하다는 것은
최신 유행 용어를 안다는 뜻이 아니라,
공격을 구조적으로 읽을 수 있다는 뜻입니다.
ATT&CK을 실제 방어에 적용하려면 무엇이 필요한가
ATT&CK을 이해하는 것과
실제 운영에 적용하는 것은 다릅니다.
실무에서는 최소한 다음 세 가지가 필요합니다.
1. 로그와 행위 데이터가 있어야 한다
프레임워크는
눈이 있어야 작동합니다.
프로세스 실행, 명령줄, 파일 생성, 네트워크 연결, 계정 변경, 서비스 등록, 드라이버 로드 같은
행위 데이터가 충분히 남지 않으면
ATT&CK 매핑은 형식에 그칠 수밖에 없습니다.
결국 기록이 먼저입니다.
2. 개별 이벤트가 아니라 연결 분석이 필요하다
하나의 이벤트만 보면
정상처럼 보일 수 있습니다.
하지만 앞뒤 문맥까지 연결하면
공격으로 드러나는 경우가 많습니다.
LOLBAS가 대표적입니다.
정상 관리자 도구 하나만 보면 정상 같지만,
다운로드, 실행, 우회, 확산으로 이어지는 흐름을 보면
공격이 됩니다.
3. 차단보다 이해가 먼저다
무조건 차단만 앞세우면
운영 충돌이 생길 수 있습니다.
특히 LOLBAS처럼 정상 관리 도구를 포함한 영역은
환경에 따라 실제 업무 사용도 존재합니다.
그래서 더더욱
행위의 문맥, 빈도, 사용자, 부모 프로세스, 명령줄, 네트워크 목적지 같은 요소를 함께 봐야 합니다.
즉, ATT&CK 기반 대응은
무작정 막는 방식이 아니라
의미를 해석하고 우선순위를 정하는 방식입니다.
우리 조직은 이렇게 적용하면 된다
실무적으로는 거창하게 시작할 필요가 없습니다.
다음 네 가지부터 점검하면 됩니다.
1. 주요 탐지 규칙을 ATT&CK 전술 기준으로 다시 본다
탐지 규칙이
악성파일 이름 중심인지,
행위 중심인지 점검해야 합니다.
특히 Execution, Defense Evasion, Credential Access, Lateral Movement, Exfiltration에 대한 가시성이 있는지부터 확인하는 편이 좋습니다.
2. LOLBAS와 LOLDrivers를 “도구 목록”이 아니라 “행위 목록”으로 바꿔 본다
예를 들어
powershell.exe 자체가 아니라
- 누가 실행했는가
- 어떤 부모 프로세스가 불렀는가
- 어떤 명령줄 옵션이 있었는가
- 외부 네트워크와 연결됐는가
- 이후 어떤 행위가 이어졌는가
를 보아야 합니다.
3. ATT&CK Navigator 같은 도구로 빈 구간을 시각화한다
무엇을 잘 보는지보다
무엇을 못 보는지 확인하는 것이 더 중요합니다.
실행은 보이는데 자격 증명 접근은 안 보인다거나,
내부 이동은 보이는데 데이터 유출은 증거가 부족하다면
그 지점이 바로 개선 우선순위입니다.
4. EDR/XDR 규칙과 포렌식 체계를 함께 점검한다
실시간 탐지도 중요하지만
사후 재구성과 증거 확보도 중요합니다.
ATT&CK 기반 운영은
탐지와 포렌식이 함께 가야
비로소 실제 대응이 됩니다.
한 번 더 정리하면
MITRE ATT&CK은
해커의 마법 주문 목록이 아닙니다.
그들이 어떻게 공격을 설계하고 완성하는지를
방어자 시점에서 구조화한 프레임워크입니다.
그리고 LOLBAS, LOLDrivers, LOTL 같은 현대 공격 방식은
바로 이 프레임워크 관점에서 봐야
의미가 드러납니다.
- 도구 이름만 보면 단편적입니다
- 행위로 보면 조금 더 보입니다
- ATT&CK으로 보면 전체 흐름이 보입니다
이 차이가
현대 보안의 핵심입니다.
결론
오늘의 해킹을 이해하려면
악성코드 이름만 알아서는 부족합니다.
오히려 더 중요한 것은
정상 도구가 어떻게 악용되는지,
그리고 그 악용이 공격 전체에서 어떤 위치를 차지하는지를 읽는 일입니다.
MITRE ATT&CK은
바로 그 일을 가능하게 해 주는 프레임워크입니다.
LOLBAS와 LOLDrivers도 마찬가지입니다.
이들을 단순한 위험 도구 목록으로만 보면
방어는 늘 뒤쫓게 됩니다.
하지만 이를 ATT&CK 관점에서 보면
실행, 방어 회피, 권한 상승, 자격 증명 접근, 내부 이동, 데이터 유출로 이어지는
공격의 구조가 보이기 시작합니다.
즉, 핵심은 이것입니다.
LOLBAS를 이해한다는 것은
도구 이름을 외우는 것이 아니라,
MITRE ATT&CK 프레임워크 안에서 그 역할을 읽어내는 것입니다.
그리고 바로 그 지점에서
보안은 제품 나열이 아니라
실제 대응 능력이 됩니다.
이제 우리 조직이 해야 할 일도 분명합니다.
ATT&CK을
보고서용 표로 두는 것이 아니라,
탐지 규칙과 로그 설계, 포렌식, 운영 기준의 중심으로 옮겨야 합니다.
그래야
LOLBAS도, LOLDrivers도, LOTL도
비로소 “이름”이 아니라 “행위”로 보입니다.