I. 서론
표적 공격(targeted attack) 또는 APT(advanced persistent threat) 공격과 같은 사이버 공격은 국가 또는 조직의 후원 아래 기밀 탈취, 데이터 및 시스템의 무결성 또는 가용성 파괴 등과 같은 궁극적인 공격 목표를 달성하기 위해 수행된다. 이 과정에서 공격자들은 다양한 공격 방법들을 이용하여 여러 공격 단계들로 구성된 작전(operations) 형태로 수개월 또는 수년의 시간 동안 사이버 공격을 수행하는 것으로 추측되고 있다.
사이버 공격을 효과적으로 탐지하고 대응하기 위한 노력의 하나로, MITRE 社에서 발표한 ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) 프레임워크[6, 7]는 사이버 공격의 전술, 기술 및 절차(TTPs, tactics, techniques, and procedure)를 설명할 수 있는 사실상 표준 모델로 자리 잡고 있다. ATT&CK 프레임워크를 이용하여 APT 공격을 효과적으로 탐지하고 대응하기 위한 여러 연구[1, 2, 4]가 있으며, 특히 이들은 APT 공격을 스코어링(scoring)하는 방법을 제안하였다. 그러나 연구마다 공격의 수준을 스코어링하는 목적과 방법이 모두 다르며, 스코어링 과정에서 주관적인 요소에 의존하기도 한다.
본 연구에서는 APT 공격을 스코어링하는 방법을 제안한다. 다른 연구들과는 달리 주관적인 요소를 포함하지 않고 ATT&CK 프레임워크가 포함하는 정보를 전적으로 활용하는 스코어링 방법을 제안한다. 먼저 ATT&CK의 각 공격기술을 스코어링하고, 이를 이용하여 여러 공격기술로 구성된 전체 APT 공격을 스코어링한다.
2장에서는 관련 연구를 살펴보면서 공격 스코어링 접근방법 및 그 한계를 지적한다. 3장에서는 MITRE ATT&CK 프레임워크를 살펴보고, 공격기술의 구성요소 중 정량화할 수 있는 요소를 식별하고 이를 이용하여 공격을 스코어링하는 방법을 제안한다. 4장에서는 3장에서 제안한 스코어링 방법을 이용하여 주요 APT 공격을 분석한 위협 인텔리전스(threat intelligence) 보고서를 이용하여 APT 공격을 스코어링한 결과를 제시한다. 5장에서는 결론과 개선 방안을 포함한 향후 연구 방향을 제시한다.
II. 관련 연구
HOLMES[1]에서는 APT 공격을 탐지하기 위하여 공격기술을 스코어링한다. 이를 위해 APT 공격을 설명하는 대표적 모델인 록히드 마틴 社의 사이버 킬체인[3]의 7단계, 즉 정찰(reconnaissance), 무기화(weaponization), 유포 및 침투(delivery), 익스플로잇(exploitation), 설치(installation), 명령 및 제어(command and control), 목적 달성(actions on objectives)의 단계별 공격기술의 심각도 수준 중 가장 큰 값을 부여한다. 각 공격기술은 MITRE ATT&CK[7]에 정의된 공격기술을 이용하며, 각 공격기술의 심각도는 연관된 CAPEC(Common Attack Pattern Enumeration and Classification)[8]의 공격패턴에 정의된 일반적 심각도(typical severity)를 이용한다. 단, 상황에 따라 분석가의 목적에 맞게 수정(tailor)한 심각도 수준을 사용할 수도 있으며, 각 단계에 대한 상대적 중요도를 반영하여 분석가에게 맞춘 가중치를 산정할 수 있다. 각 공격기술의 심각도 수준은 Table 1.과 같이 정성적 수준(qualitative level)에서 정량적 범위(quantitative range)로 환산하고, 그 값을 이용하여 다음의 식 (1)에 따라 APT 공격의 스코어를 계산하여, 그 값이 임계치(τ) 이상일 때 APT 공격을 탐지한다. 여기서 n은 APT 공격을 구성하는 전체 단계(7단계), wi와 Si는 각 공격 단계에서의 가중치 및 최대 심각도를 나타낸다.
Table 1. Conversion table from qualitative level to quantitative value[1]
\(\begin{aligned}\prod_{i=1}^{n}\left(S_{i}\right)^{w_{i}} \geqq \tau\end{aligned}\) (1)
Hassan 등의 연구[2]에서는 상용 EDR(endpoint detection and response) 제품에서 발생하는 경보(alert)를 이용하여 Provenance Graph를 도출하고 이를 Tactical Provenance Graph(TPG)로 명명한다. 그 과정에서 각 경보는 MITRE ATT&CK의 공격기술에 매핑되며, 해당 ATT&CK의 공격기술과 연관된 CAPEC 공격패턴의 일반적 심각도 및 공격 가능성(likelihood of attack) 정보를 이용하여 해당 경보를 스코어링한다. 일반적 심각도와 공격 가능성은 5가지의 값(very low, low, medium, high, very high)을 가질 수 있으며, 이를 각각 [1, 5]점 범위의 점수로 환산한다. ATT&CK 공격기술 중 연관된 CAPEC 공격패턴이 존재하지 않거나, CAPEC 공격패턴 중 일반적 심각도 또는 공격 가능성의 값이 없는 경우 EDR 제조사가 부여한 심각도 점수를 이용하여 15단계 범위에서 정규화한다.
CAPEC 공격패턴을 이용한 각 공격기술의 심각도는 다음의 식 (2)에 따라 계산한다.
TS(technique) = 2 × scoreseverity + scorelikelihood (2)
EDR에서 탐지하여 발생한 경보를 이용하여 TPG를 생성하면, TPG를 구성하는 여러 경로 중 가장 긴 경로(Y)에 대해 다음의 식 (3)에 따라 TPG, 즉 전체 위협의 스코어를 계산한다. 최종 스코어는 TPG 중 가장 긴 경로상에 있는 모든 경보에 해당하는 공격기술의 심각도를 모두 곱한 값이다.
\(\begin{aligned}T S(\mathrm{TPG})=\max _{\mathrm{T}^{\mathbf{i}} \in Y} \prod_{T_{j}^{i} \in \mathrm{T}^{\mathbf{i}}} T S\left(T_{j}^{i}\right)\end{aligned}\) (3)
다른 연구[4]에서는 공격의 우선순위를 산정하기 위해서 공격을 탐지 또는 식별하기 위한 규칙[9]에 사용자 정의된 위험 수준(risk level), 연관된 ATT&CK 공격기술이 있는 경우 해당 공격기술과 연관된 CAPEC의 공격패턴에 정의된 일반적 심각도와 공격 가능성을 이용하여 규칙의 위험도를 다음의 식 (4)에 따라 계산한다. 여기서 α와 β는 [0, 1] 사이의 값으로 조정할 수 있다.
tRISK = β × (α × scorelikelihood + (1 - α) × scoreseverity) + (1 - β) × scorecustom (4)
기존 연구들이 제안한 스코어링 방법은 Table 2.와 같이 요약할 수 있다. 한편 이들의 문제점은 다음과 같다. 첫째, 공통으로 참조하는 CAPEC의 모든 공격패턴이 일반적 심각도와 공격 가능성에 대한 값을 가지고 있지는 않다. 전체 601개의 CAPEC의 공격패턴 중 일반적 심각도와 공격 가능성에 대한 값을 가진 공격패턴은 각각 475개와 330개에 불과하다.
Table 2. Comparison of related work
둘째, Hassan 등[2]도 언급하고 있듯이, ATT&CK과 연관된 CAPEC이 있는 경우는 527개의 공격기술 중 108개에 불과하다. 게다가, CAPEC 중 일반적 심각도 또는 공격 가능성을 모두 가지고 있지는 않기 때문에 기존 연구[1, 2, 4]에서 일반적 심각도 또는 공격 가능성에 비어 있는 값(null 값)에 대해서 사용자(분석가)가 수치를 부여한다.
셋째, 분석가가 수치를 부여할 때 분석가의 개인적인 편향에 따라 주관적으로 스코어가 산정되므로[5], 서로 다른 분석가에 의해 부여된 스코어는 상호 비교할 수 없다는 문제가 있다.
III. 공격 스코어링
3.1 MITRE ATT&CK
MITRE ATT&CK[6, 7]은 전세계에서 발생한 사이버 공격의 사례를 분석하여 정리한 위협 인텔리전스(threat intelligence)로, 공격자가 수행하였거나 수행할 수 있는 공격 TTPs 및 이들을 사용한 공격 그룹(group)들과 소프트웨어(악성코드 및 정상 도구들), 각 공격기술을 탐지(detection)하고 완화(mitigation)하는 방법, 각 공격기술을 탐지하기 위해 사용할 수 있는 데이터 소스(data source)와 데이터 컴포넌트(data component)로 구성되어 있다.
ATT&CK의 TTPs는 공격자가 달성하고자 하는 단기적인 목적에 해당하는 전술(tactics), 해당 전술을 위해 사용할 수 있는 (세부) 공격기술((sub-)technique, 각 전술에 속한 공격기술들의 분포는 Table 3.과 같다), 식별된 공격 그룹 또는 소프트웨어가 구체적으로 각 공격기술을 사용한 방법(또는 절차, procedures)들로 구성되어 있다.
Table 3. Tactics in MITRE ATT&CK[6], and number of (sub-)techniques in each tactic
3.2 공격기술 스코어링 요소
ATT&CK의 공격기술에는 각각을 설명하고 분류할 수 있도록 Table 4.[6]와 같은 구성요소들을 포함하며, 이 중 주관적인 판단이 개입될 여지가 있는 요소(예. 탐지 방법, 완화 방법)와 객관적으로 비교할 수 없는 유형값을 갖는 요소(예. 영향 유형(impact type))를 제외하고 객관적인 스코어링이 가능한 요소들을 Table 5.와 같이 식별하였다.
Table 4. Properties of ATT&CK techniques[6]
Table 5. Quantifiable factors applicable to each tactic
또한, 전술별로 특정 구성요소가 각 공격기술을 스코어링 하는 데 영향을 미치지 않는 요소는 전술별로 제외하였다. 예를 들어, 정찰(reconnaissance)과 자원 개발(resource development)에 속한 공격 기술의 플랫폼(platforms) 개수가 모두 같으며, 플랫폼의 값이 모두 ‘PRE’로서, 초기 접근(initial access) 전술 이후의 공격기술의 플랫폼 값이Windows, Linux, macOS 등과 같은 실질적인 공격대상 플랫폼인 점과 비교하면 실질적으로 플랫폼의 값이 없는 것과 마찬가지이므로, 정찰과 자원 개발 전술에서 플랫폼 요소를 스코어링 요소에서 배제하였다.
3.2.1 전술 (tactic)
정찰, 자원 개발, 유출(exfiltration), 영향(impact) 전술을 제외한 나머지 전술에 속한 공격 기술 중 두 가지 전술 이상에 속한 것들은 한 가지의 전술에 속한 것보다 더 많은 목적에 사용될 수 있어 활용도가 높으므로 (공격 활용성) 더 큰 점수를 부여할 수 있다. 이때 점수는 다음의 식 (5)를 이용하여 계산할 수 있으며, [1, 5]점 범위 내에서 부여된다.
scoretactic = 1 + (numtactic - 1) (5)
여기서 numtactic은 해당 공격기술이 속한 전술의 개수이다. 정찰, 자원 개발, 유출, 영향 전술의 공격 기술에 대해서는 0점이 부여된다.
3.2.2 플랫폼 (platform)
정찰, 자원 개발 전술을 제외한 나머지 전술에 속한 공격기술 중 여러 공격대상 플랫폼에 대한 것들은 한 가지의 공격대상 플랫폼에 대한 것보다 활용도가 높으므로 (공격 표면) 더 큰 점수를 부여할 수 있다. 수치는 한 가지의 공격대상 플랫폼일 경우 1점, 두가지 이상의 공격대상 플랫폼일 경우 5점이 부여된다. 정찰, 자원 개발 전술의 공격기술에 대해서는 0점이 부여된다.
3.2.3 요구 권한 (required permissions)
정찰, 자원 개발 전술을 제외한 나머지 전술에 속한 공격기술 중 요구 권한 항목에 대한 값이 존재하는 경우, 목록에 나열된 것 중 가장 낮은 값이 부여된다. 요구 권한에는 Table 6.의 항목 중에 해당하며, (1) root와 Administrator는 각각 Linux, macOS, Windows 운영체제에서의 관리자 수준의 계정이나, (2) Windows에서는 SYSTEM이 시스템에서 최고 권한을 가진 계정이며, 로컬에서 관리자보다 상위 수준의 권한을 갖는다는 점, (3) Linux 및 macOS에서는 root가 SYSTEM 대신 시스템에서 최고 권한을 가지는 점 등을 반영하여 각 항목은 [1, 5]점 범위 내에서 부여된다. Remote Desktop User는 내부 확산(lateral movement) 전술의 T1021.001(Remote Services: Remote Desktop Protocol)에만 나타나는 값으로, 권한 여부와 무관하게 원격 시스템에 접속하는 행위이므로 일반 사용자와 같이 간주한다. 한편, 정찰, 자원 개발 전술의 공격기술에 대해서는 0점이 부여된다.
Table 6. Quantification of required permissions and permission effective
3.2.4 획득 권한 (effective permissions)
권한 상승(privilege escalation) 전술에 속한 공격기술만이 가지고 있는 요소로, 특정 공격기술을 수행함으로써 공격자가 얻을 수 있는 권한 수준을 의미한다. 획득 권한 수준이 높을수록 공격의 위험도가 높음을 의미한다. 획득 권한에는 Table 6.의 항목 중에 해당하며, 각 항목은 [1, 5]점 범위 내에서 부여되며, 목록에 나열된 것 중 가장 큰 값이 부여된다. 권한 상승 전술을 제외한 나머지 전술의 공격기술에 대해서는 0점이 부여된다.
3.2.5 데이터 소스 (data sources)
데이터 소스는 공격기술을 탐지하는 데 필요한 데이터의 종류(category) 및 유형(type)을 의미한다. 특정 공격기술에 대한 데이터 소스의 항목이 많을수록 이를 탐지할 가능성이 크며, 해당 공격기술에 대한 공격의 영향을 감소시킬 수 있다. 따라서 데이터 소스가 많을수록 데이터 소스 항목에 대한 수치를 감소시킴으로써 공격 수준에 대한 전반적인 수치를 감소시킬 수 있다고 판단하였다. 따라서 수치는 다음과 같이 부여된다.
⦁ 데이터 소스가 한 종류이며, 그 안의 데이터 컴포넌트가 한 개: 5점
⦁ 데이터 소스가 한 종류이며, 그 안의 데이터 컴포넌트가 두 개 이상: 3점
⦁ 데이터 소스가 두 종류 이상: 1점
3.2.6 원격 지원 (remote supports)
실행(execution) 전술에 속한 공격기술만 가지고 있는 요소로, 특정 공격기술을 원격 시스템에서 실행할 수 있는지를 나타낸다. 만약 해당 공격기술이 원격으로 실행될 수 있다면 그 공격기술은 다른 공격기술보다 위험도가 높음을 의미한다. 따라서 예(yes)에 해당하면 5점, 아니오(no)에 해당하면 1점이 부여된다. 실행 전술을 제외한 나머지 전술의 공격기술에 대해서는 0점이 부여된다.
3.2.7 방어 우회 (defense bypassed)
방어 회피(defense evasion) 및 내부 확산(lateral movement) 전술에 속한 공격기술만 가지고 있는 요소로, 공격자가 해당 공격기술을 사용함으로써 우회하고자 하는 여러 방어 기술을 열거한다. 여러 우회 방법들이 나열된 공격기술은 그만큼 은밀하게 수행될 가능성이 크므로 다른 공격기술보다 위험도가 높음을 의미한다. 먼저 방어 우회 항목에 나열된 대상 방어 기술을 Table 7.과 같이 호스트 기반 방어 기술과 네트워크 방어 기술로 구분하고 수치는 다음과 같이 부여된다.
Table 7. Defensive mechanisms enumerated in ‘Defense Bypassed’ field
⦁ 방어 우회 기법의 대상 종류가 한 종류: 1점
⦁ 방어 우회 기법의 대상 종류가 한 종류이며, 그 안의 방어 기법이 두 개 이상: 3점
⦁ 방어 우회 기법의 대상 종류가 두 종류 이상: 5점
방어 회피 및 내부 확산 전술을 제외한 나머지 전술에 속한 공격기술에 대해서는 0점이 부여된다.
3.2.8 CAPEC ID
CAPEC[8]은 공격자가 애플리케이션 및 기타 사이버 기반 기능의 취약점을 악용하는 방법(공격패턴)에 대한 프레임워크로, 미국 국토안보부(DHS, Department of Homeland and Security)의 소프트웨어 보증(software assurance) 전략의 일부로써 MITRE 社에서 2007년 최초로 발표하였다. ATT&CK은 APT 공격에 대한 공격기술을 다루지만, CAPEC은 애플리케이션에 대한 공격패턴을 다룬다는 점에서 차이가 있다. 그러나 ATT&CK의 공격기술과 CAPEC의 공격패턴 중 세부적으로 유사한 것들이 존재한다.
CAPEC 공격패턴의 구성요소는 Table 8.과 같다. 이 중 수치화할 수 있는 구성요소는 사전 조건(prerequisites), 결과(consequences), 공격 가능성, 요구 기술(skills required), 일반적 심각도가 있으며, 이 중 사전 조건을 제외한 나머지 구성요소는 5단계(very low, low, medium, high, very high)의 값으로 구성되어 있어 수치화하기 쉽다. 그러나 Table 9.에서 볼 수 있듯이, 일반적 심각도 외의 다른 요소들에 대해 null 값을 가진 CAPEC 공격패턴이 많으며, 사전 조건, 결과, 요구 기술은 그 값들의 우열을 가릴 수 없는 유형값들로 구성되어 있어 수치화가 어렵다. 예를 들어, 결과 항목에서는 기밀성(confidentiality), 무결성(integrity), 가용성(availability), 접근제어(access control) 등의 유형과 그 유형에 대한 세부 결과를 제시하는데, 기밀성, 무결성, 가용성 간의 우열을 비교하는 것은 매우 어렵다. 따라서 대부분의 CAPEC 공격패턴이 포함하고 있으면서 공격패턴의 수준을 확인할 수 있는 일반적 심각도만을 이용한다.
Table 8. Properties of CAPEC attack patterns[8]
Table 9. Number of (sub-)techniques mapped to CAPEC attack patterns, and number of (sub-)techniques containing CAPEC quantifiable factors by ATT&CK tactic
일반적 심각도에 대한 수치는 Table 10.을 이용하여 부여한다. 특정 공격기술에 매칭되는 CAPEC 공격패턴이 두 개 이상이면 가장 높은 일반적 심각도를 대푯값으로 부여하며, 매칭되는 CAPEC 공격패턴이 있으나 이의 일반적 심각도 값이 부여되지 않은 경우, 또는 매칭되는 CAPEC 공격패턴이 없는 공격기술에 대해서는 0점이 부여된다.
Table 10. Quantification of CAPEC typical severity
그러나 CAPEC 공격패턴과 연관된 ATT&CK 공격기술은 전체 566개 중 134개(23.67%)로, 전술 별로는 Table 9.와 같은 분포를 보인다. 정찰, 자원개발, 실행, 유출, 명령 제어 전술에 속한 공격기술 중 CAPEC 공격패턴과 연관된 공격기술의 비율이 10% 미만으로 나타난다. 따라서 매칭되는 CAPEC 공격패턴이 없으나 일반적으로 높은 수준의 심각도라고 판단되는 공격기술에 대해서 0점이 부여됨으로써, CAPEC 공격패턴이 존재하고 이의 일반적 심각도 값이 낮은(low) 공격기술보다 심각도가 낮게 평가되는 문제가 발생한다.
이러한 문제를 해결하기 위해, CAPEC 공격패턴 속성에 대해 0점이 부여되었을 때 CAPEC 공격패턴 속성을 해당 공격기술의 스코어링 요소에서 배제한다. 이는 CAPEC 공격패턴이 있고 일반적 심각도 값이 부여된 공격기술과의 형평성을 위한 조치이다.
3.2.9 절차 사례 (procedure example)
절차 사례는 모든 공격기술이 공격 그룹, 악성코드 및 정상적인 목적의 도구를 포함한 소프트웨어에 의해 사용된 사례들을 모아 놓은 것이며, ATT&CK에서는 위협 분석 보고서, 블로그 게시글 등 공개된 위협 인텔리전스를 분석하여 공격기술마다 정리하였다. ATT&CK에서 가장 많은 절차 사례들을 포함하고 있는 10개의 공격기술은 Table 11.과 같다.
Table 11. Top 10 most populated procedure examples of (sub-)techniques
ATT&CK 공격기술에 나열된 절차 사례를 분석하여 Table 12.와 같이 절차 사례 수에 따른 공격 기술 수의 분포를 도출하였다. 구체적으로는, 절차 사례 수가 10개 이하인 공격기술은 400개로 전체의 70.67%를 차지하며, 이 중 343개가 각각 0개(123개 공격기술), 1개(77개 공격기술), 2개(71개 공격기술), 3개(30개 공격기술), 4개(26개 공격기술), 5개(16개 공격기술)의 절차 사례를 포함하고 있다. 또한 대다수(522개, 전체의 92.33%) 공격기술은 최대 50개의 절차 사례를 포함하고 있어, 매우 소수의 공격기술이 절대적으로 많이 사용되고 있음을 볼 수 있다.
Table 12. Histogram of the number of (sub-)techniques according to the number of procedure examples
또한 ATT&CK 공격기술에 나열된 절차 사례 수에 대한 통계량은 Table 13.과 같다. 이를 이용하여 전체 ATT&CK 공격기술의 절차 사례 수에 대한 스코어는 [0, 5]점의 범위에서 다음의 식 (6)에 따라 부여된다.
Table 13. Statistics of the number of procedure examples
\(\begin{aligned}_{\text {pr ocedu res }}=\frac{\text { num }- \text { bound }_{\mathrm{upper}}}{\text { bound }_{\mathrm{upper}}-\text { bound }_{\text {lower }}} \times 5\end{aligned}\) (6)
여기서 ‘num’은 해당 공격기술의 절차 사례 수, boundupper과 boundlower은 각각 Table 13.의 Upper bound와 Lower bound이다. Upper bound를 넘는 절차 사례 수는 이상값(outlier)으로 간주하고 최대 점수인 5점을 부여한다.
3.2.10 요약
ATT&CK 공격기술의 구성요소 중 정량화할 수 있는 9가지의 요소들, 즉 전술, 플랫폼, 요구 권한, 획득 권한, 데이터 소스, 원격 지원, 방어 우회, 연관된 CAPEC 공격패턴의 일반적 심각도, 절차 사례 수를 식별하였다. 각 요소 및 스코어링 방법은 Table 14.와 같이 요약하였다.
Table 14. Quantifiable factors to score individual ATT&CK (sub-)technique
3.3 단위 공격기술 스코어링
3.3.1 전술 가중치
3.2장에서 언급한 스코어링 요소는 공격기술이 속한 전술의 속성을 고려하지 않았다. 그러나 실제로 전술은 공격자의 공격 목표와 연계되어 다르게 평가되어야 한다. 예를 들어, 초기 접근 전술은 공격 초기에 수행되는 단계이며, 유출 및 영향 단계는 공격의 최종목표에 해당하는 단계이므로 두 단계에 대한 우선순위와 가중치는 다르게 부여되어야 한다. 따라서 각 전술은 목적의 시급성과 영향도에 따라서 다른 우선순위와 그에 따른 가중치가 부여된다.
전술 간의 우선순위는 미국 국가안보국(NSA, National Security Agency)에서 발표한 바 있는 Technical Cyber Threat Framework[10]의 주요 단계를 참고하여 산정하였다. ATT&CK 프레임워크를 기반으로 만들어진 Technical Cyber Threat Framework의 주요 공격 단계는 관리(administration, 자원 개발 전술에 해당), 준비(preparation, 정찰 및 자원 개발 전술에 해당), 교전(engagement, 초기 접근 전술에 해당), 출현(presence, 실행, 발견, 권한 상승, 자격증명 접근, 내부 확산, 지속 유지 전술에 해당), 효과(effect, 수집, 유출, 영향 전술에 해당), 진행 중 프로세스(ongoing processes, 명령 및 제어, 방어 회피 전술에 해당)로 구성되어 있다.
가장 높은 우선순위(1)를 갖는 전술은 APT 공격의 궁극적인 목표에 해당하는 유출(기밀성 훼손) 및 영향(무결성 또는 가용성 훼손)이다.
두 번째로 높은 우선순위(2)를 갖는 전술은 APT 공격의 궁극적인 목표는 아니지만, 공격자가 수행할 때 매우 큰 심각한 위협이 되는 전술로, 내부 확산(APT 공격의 궁극적 목표가 되는 자산으로 공격 목표를 이동한다), 자격증명 접근(시스템 또는 관리자 계정 획득 시 APT 공격의 궁극적 목표를 달성할 수 있다), 수집(유출 전술에 대한 공격기술 수행 이전에 수행한다)이다.
세 번째로 높은 우선순위(3)를 갖는 전술은 지속 유지(공격자가 APT 공격 과정에서 피해자 호스트 및 네트워크에서 장악력을 유지하기 위한 다양한 활동을 수행한다) 및 권한 상승(권한 상승을 통해 더 높은 권한을 획득한 행위 자체는 공격의 궁극적인 목표를 달성한 것은 아니지만 잠재적으로 공격 목표를 달성할 수 있는 다양한 행동을 수행할 수 있다)이다.
가장 낮은 우선순위(6)를 갖는 전술은 공격자가 피해자 호스트 또는 네트워크에 최초 침투하기 이전의 활동인 정찰 및 자원 개발 전술로, 지금은 폐기된 PRE-ATT&CK 프레임워크에 속한 전술 및 공격기술에 해당한다. 이와 대비하여 기본 우선순위(5)를 갖는 전술은 공격자가 피해자 호스트 또는 네트워크에 최초 침투하는 초기 접근 전술이다.
이를 제외한 실행, 방어 회피, 발견, 명령 제어 전술은 네 번째로 높은 우선순위(4)를 갖는다. 특히 방어 회피와 명령 제어 전술은 Technical Cyber Threat Framework의 진행 중 프로세스(ongoing process) 단계로 구분되어, 사이버 공격이 진행되는 단계 중간에 언제든지 수행될 수 있음을 나타낸다.
이를 바탕으로 전술에 대한 우선순위와 그에 따른 가중치는 Table 15.와 같이 부여하였다. 가장 높은 우선순위(1)부터 기본 우선순위(5)에 대해 각 가중치는 [1, 2] 범위 내에서 같은 간격으로 부여하고, 기본 우선순위 이하의 가장 낮은 우선순위(6)는 본격적인 침투 이전에 수행되는 행위이므로 1보다는 낮으나 동일한 간격(0.25)을 둔 0.75로 가중치를 부여하였다.
Table 15. Priority and corresponding weight of tactics
3.3.2 단위 공격기술 스코어링
3.2장의 9개의 요소와 전술 가중치를 이용하여 다음의 식 (7)에 따라 전술에 대한 가중치를 반영한 단위 공격기술의 스코어를 계산한다.
\(\begin{aligned}_{\text {technique }}=w_{\text {tactic }} \times \frac{\sum_{i} \text { score }_{i}}{n}\end{aligned}\) (7)
여기서 wtactic는 해당 공격기술이 속한 전술의 가중치, i는 3.2장의 각 요소, scorei는 요소별 점수를 의미한다. n은 Table 5.의 가장 마지막 열에 나열된 전술별 수치화에 고려되는 요소들의 개수 중 0점이 아닌 점수가 부여된 요소들(단, 절차 사례 요소는 0점을 포함)의 개수이다. 예를 들어, 다른 모든 고려 요소에 0점이 아닌 점수가 부여되었으나 CAPEC 공격패턴의 일반적 심각도에 대한 값이 부여되지 않은 공격기술에 대해서는 스코어링 요소에서 제외해야 하므로 분모가 n이 아닌 n - 1이 된다. 식 (7)에 따른 점수는 [0, 5]점 범위 내에 분포한다.
Table 16.은 식 (7)에 따라 단위 공격기술에 대한 스코어를 산출하였을 때 전술별 통계 분포를 나타낸다. 전술의 후반부로 갈수록 스코어의 평균, 중간 값을 포함한 전반적인 스코어 분포가 상승하는 경향이 있음을 확인할 수 있다.
Table 16. Statistics of score for individual (sub-)technique by tactics
Table 17.은 식 (7)에 따른 공격 스코어를 산출하였을 때 가장 높은 공격 스코어를 갖는 상위 20개의 공격기술을 나열한 것이다. 전술별로는 유출(6개), 영향(4개), 내부 확산(4개), 수집(3개), 자격증명 접근(2개), 권한 상승(1개)의 분포를 보이며, APT 공격의 후반 단계에서 수행되는 공격기술에 대해 높은 스코어가 부여됨을 확인할 수 있다.
Table 17. Top 20 ATT&CK (sub-)techniques with high threat score
Table 18.은 식 (7)에 따른 공격 스코어를 산출하였을 때 0점을 제외한 가장 낮은 공격 스코어를 갖는 하위 20개의 공격기술을 나열한 것이다. 0점에 해당하는 공격기술들은 전술별로 정찰(19개), 자원 개발(5개)의 분포를 보였다. Table 18.에 나타난 공격기술에 대해 전술별로는 정찰(13개), 자원 개발(7개)의 분포를 보이며, APT 공격의 전반 단계에서 수행되는 공격기술에 대해 낮은 스코어가 부여됨을 확인할 수 있다.
Table 18. Top 20 ATT&CK (sub-)techniques with low threat score
3.4 전체 공격 스코어링
기존 연구[1, 2]에서는 전체 공격에 대한 스코어를 계산하기 위하여 전체 공격을 구성하는 각 단계의 공격 스코어를 곱하였다. HOLMES[1]의 경우 최대 \(\begin{aligned}\prod_{i=1}^{7} 10^{\frac{10+i}{10}}\end{aligned}\)(여기서 i는 록히드 마틴 社의 사이버 킬체인 모델[3]의 각 공격 단계), Hassan 등의 연구[2]에서는 \(\begin{aligned}\prod_{i=1}^{n} 15\end{aligned}\)(n은 공격을 구성하는 공격 체인의 최대 길이)로, 공격을 구성하는 공격기술의 수가 많아질수록 전체 공격에 대한 스코어의 변화 폭이 매우 커지게 된다.
이와는 달리, 본 연구에서는 다음의 식 (8)과 같이 전체 공격을 구성하는 단위 공격기술의 공격 스코어를 더하여 전체 공격에 대한 스코어를 계산한다. 그 이유로 첫째, Table 16. 및 Table 18.에서 확인할 수 있듯이, 1보다 낮은 스코어를 가지는 공격 기술이 존재하므로, 전체 공격에 대한 스코어를 산출할 때 단위 공격기술의 스코어를 곱하게 되면 해당 공격기술이 추가될 때 공격기술이 더 사용되었음에도 전체 스코어가 낮아지게 된다. 둘째, 전체 공격에 대한 스코어를 산출할 때 단위 공격기술의 스코어를 곱하게 되면 중간 정도의 스코어(2점 내외)를 가지는 공격기술을 다수 사용한 전체 공격의 스코어가, 매우 높은 스코어(4점 이상)를 가지는 공격기술을 소수 사용했을 때보다 스코어보다 높게 나오는 현상이 발생한다.
\(\begin{aligned}score_{\mathrm{APT}}=\sum_{k}score_{k}\end{aligned}\) (8)
여기서 k는 APT 공격을 구성하는 단위 공격기술이며, scorek는 각 공격기술의 스코어를 의미한다. 전체 APT 공격 관점에서 각 공격기술이 추가될 때 마다 해당 공격기술의 스코어가 더해지면서 전체 공격에 대한 스코어가 증가하며, 따라서 HOLMES[1]와는 달리 Hassan 등의 연구[2]와 마찬가지로 스코어의 상한선이 존재하지 않는다.
IV. APT 공격 사례 스코어링
4장에서는 전 세계에서 발생하였던 APT 공격 사례를 분석하여 발표한 보고서에 ATT&CK 공격기술을 태깅하고, APT 공격 사례에 대한 공격 스코어링을 수행한 결과를 제시한다.
4.1 데이터
여러 정부 기관, 기업, 연구소 등에서는 지금까지 전 세계에서 발생하였던 다양한 APT 공격을 분석하고 보고서의 형태로 공개하고 있다. APT & Cybercriminals Campaign Collection(CCC)[11]은 이들 보고서를 모아 연도별, 일자별로 분류해 놓은 저장소(repository)이다.
한편, rcATT(Reports Classification by Adversarial Tactics and Techniques)[12, 13]는 사이버 공격에 대한 분석 보고서에 ATT&CK의 전술과 공격기술을 태깅하는 도구로, 공격자가 APT 공격에서 수행한 공격기법에 대해 보고서에서 텍스트 형태로 서술한 내용을 가장 적합한 전술 및 공격기술을 찾아 이를 태깅한다. 본 연구에서는 CCC에서 수집한 APT 분석 보고서에 대해 rcATT를 이용하여 ATT&CK 전술 및 공격기술을 태깅하였고, 그 결과 CCC에 있는 1,086개의 보고서 중 957개에 공격기술이 태깅되었다.
4.2 분석 결과
rcATT를 이용하여 ATT&CK 공격기술을 태깅한 CCC의 APT 공격 보고서에 대해 3장의 공격 스코어링을 적용하였을 때, Table 19.와 같은 통계량을 나타내었다. Table 20.은 APT 공격 보고서에 대한 공격 스코어의 분포(왼쪽) 및 태깅된 ATT&CK 공격 기술 개수의 분포(오른쪽)를 나타낸다. 특히 APT 공격 보고서에 태깅된 ATT&CK 공격기술은 10개 이하인 경우가 전체의 40.44%(387개 보고서)로 나타나, APT 공격 사례를 분석한 보고서는 전체 APT 공격 중 극히 일부에 대해 분석한 것으로 파악된다.
Table 19. Statistics of threat score and number of techniques for APT threat reports
Table 20. Histogram of (left) the entire threat score and (right) the number of (sub-)techniques tagged by rcATT[13] for APT reports in CCC[11]
Table 21.1)은 높은 공격 스코어를 갖는 20개의 APT 공격 사례들을 나열한 것이다. 가장 높은 공격 스코어를 갖는 APT 공격은 ‘Icefog’라는 공격 그룹(threat group)에 의해 수행된 ‘Icefog’라고 명명된 APT 공격 작전(operation)으로, 전술별로는 수집(8개), 명령 제어(7개), 자격증명 접근(1개), 방어 회피(10개), 발견(8개), 권한 상승(6개), 실행(7개), 지속 유지(3개), 내부 확산(2개)의 분포를 보인다. 또한 전반적으로 APT 보고서에서 공격기술이 많이 태깅될수록 높은 공격 스코어가 산출되는 것을 확인할 수 있었다.
Table 21. Top 20 ATP operations with high threat score
공격 그룹[14]이 추정된(attributed) APT 공격 보고서에 대해, 주요 국가와 연관된 공격 그룹별 APT 공격 스코어를 Table 22.와 같이 분석할 수 있었다. 북한으로 추정되는 공격 그룹과 관련한 APT 공격 사례(총 46건의 보고서)에 대해 평균 66.756점의 스코어가, 중국으로 추정되는 공격 그룹과 관련한 APT 공격 사례(총 22건의 보고서)에 대해 평균 99.473점의 스코어가, 러시아로 추정되는 공격 그룹과 관련한 APT 공격 사례(총 100건의 보고서)에 대해 평균 71.293점의 스코어가 산출되었다. 주의해야 할 점은 단순히 점수만을 비교하는 것이 아니라, APT 공격이 진행된 정도가 반영된 공격 기술의 수를 고려해야 한다. 이 때 APT 공격 사례에 대한 평균 스코어(공격 사례에 대한 전체 스코어를 태깅된 공격기술 수로 나눈 값에 대해, 해당 공격 그룹으로 특정된 국가에 대한 전체 평균)를 기준으로 북한(3.567), 중국(3.468), 러시아(3.457) 순으로 나타났다.
Table 22. Average threat score of some threat groups associated with countries
4.3 논의
먼저, APT 공격 사례 보고서는 작성자인 조직 또는 개인의 관심 성향에 따라 (1) APT 공격 과정 전체를 포함하거나, (2) APT 공격 과정에서 사용된 악성코드를 분석한 결과를 제시하거나, 또는 (3) 특정 APT 공격 사례가 아닌 특정 공격 그룹이 수행한 것으로 추정된 여러 APT 공격 사례를 종합하여 분석한 결과를 제시한다. 따라서 내용에 따라 포함될 수 있는 ATT&CK 공격기술의 범위와 항목이 달라질 수 있으며, 이에 따른 스코어 산출 결과가 APT 공격 사례 보고서에서 다루는 APT 공격을 숫자 그대로 받아들이기엔 어려움이 있다. 만약 APT 공격 사례 보고서에 대한 스코어를 비교하기 위해서는 보고서가 다루는 공격의 범위에 따라 분류하고 그들끼리 비교하는 것이 더 적절할 것으로 판단된다.
다음으로, APT 공격 사례 보고서는 인간이 읽을 수 있는(human-readable) 텍스트 형태로 작성되어 있으므로 특정 공격 방법을 암시하는 문구에 대한 ATT&CK 공격기술로의 태깅은 rcATT에서 자연어 처리와 머신러닝을 이용한 학습 및 분류를 통해 이루어진다[13]. 따라서, 동일한 ATT&CK 공격기술에 대해 보고서 작성자마다 다른 표현 방법을 사용하는 점, 아무리 좋은 머신러닝 알고리즘을 적용하여도 100% 완벽한 분류가 어려운 점 등은 부정확한 ATT&CK 공격기술 태깅이라는 한계를 가질 수밖에 없다.
V. 결론 및 향후 연구
본 연구에서는 APT 공격을 탐지하고 대응하기 위한 과정으로 APT 공격을 스코어링하는 방법을 제안하였다. 이를 위하여 공격기술에 대한 사실상 표준 모델인 MITRE ATT&CK 프레임워크를 이용하였다. 먼저 ATT&CK에 정의된 공격기술을 구성하고 있는 여러 요소 중 정량화 가능한 요소를 식별하고, 해당 요소들을 분석하여 요소별 스코어링 방안을 도출하였다. 정량화 요소들과 공격기술이 속한 전술에 대한 가중치를 이용하여 각 공격기술의 스코어를 산출하였다. 나아가, 여러 공격기술로 구성된 전체 APT 공격의 스코어를 산출하는 방안을 제안하였다. 제안한 스코어링 방법을 APT 공격 사례들을 분석한 APT 공격 보고서에 적용함으로써, APT 공격을 포함한 다양한 사이버 공격의 위협 수준 및 시급성을 판단하기 위한 정량화 가능성을 제시하였다.
본 연구에서 제안한 공격 스코어링 방법의 개선 방향은 다음과 같다. 첫째, 스코어링을 위해 사용하는 요소가 가질 수 있는 정성적인 값으로부터 정량적인 값으로의 변환은 여전히 논쟁의 여지가 있다. 예를 들어, 공격기술이 속한 전술의 개수를 스코어링에 반영하였을 때 최대 5점까지 부여될 수 있음을 전제로 설계하였으나, ATT&CK 프레임워크를 분석한 결과 특정 공격기술(T1078, Valid Accounts 및 이의 세부 공격기술)은 최대 4개 전술에 속하는 것을 확인하였다. 이에 따라 전술 요소에 대한 점수는 최대 4점까지 부여된다. 또 다른 예는 데이터 소스 및 방어 우회와 같은 요소에서 종류와 종류별 방법들의 개수를 기준으로 스코어를 부여하는 방법에서, 종류의 개수와 세부 방법들의 개수와 같은 양적인 차이가 아닌 그 종류와 세부 방법의 경중을 고려하여 가중치를 반영할 여지가 있다고 판단된다.
둘째, 공격기술에서 스코어링을 산출하는 요소 중 값이 존재하지 않아 0점이 부여된 요소는 이를 제외하고 공격기술에 대한 스코어를 산정함으로써 0점이 부여되지 않는 요소를 가진 다른 공격기술과의 형평성을 맞추고자 하였다. 특히 요구 권한, CAPEC 심각도와 같은 요소에서 많이 발견되었는데, 이는 실제로 0점이 아닌 데이터 누락으로 인한 null 값(또는 missing value)이며, 이에 대해 데이터 사이언스, 머신러닝, 딥러닝 등 다양한 데이터 활용 분야에서 사용되는 null 값 처리 방법을 적용하여 보완할 여지가 있다고 판단된다.
셋째, 두 공격기술이 속한 전술의 우선순위에 따른 가중치의 산정 또한 심층적인 연구가 필요하다. HOLMES[1]의 경우 록히드 마틴 사의 사이버 킬체인[3] 모델을 기준으로 순차적으로 진행된다고 판단하여 공격 단계의 진행 순서에 따라 가중치를 부여한다. 그러나, 실제 APT 공격을 수행하는 과정에서 공격자들은 공격 단계를 순차적으로 수행하지 않고 공격자들의 목표 달성을 위해 일부 공격 단계를 건너 뛰거나 상대적으로 후반 단계의 공격 단계를 먼저 수행할 수 있다. 그렇지만 여전히 각 공격 단계별로 경중의 차이가 있으며, 이를 세부적으로 고려한 전술의 우선순위 산정 및 이에 따른 가중치의 산정 과정이 보완될 여지가 있다.
현재 본 연구에서 제안한 스코어링 방법과 연계하여, APT 공격탐지 시스템[15]에서 탐지한 시점에 현재까지 진행된 공격 과정이 실제 공격인지 여부를 판단하기 위한 임계치(threshold)의 설정에 관한 연구를 진행하고 있다. 이를 통하여 탐지 시스템에서 (1) 탐지 시점에서 현재까지 진행된 것으로 간주되는 APT 공격에 대한 스코어를 산출하여 실제 APT 공격 여부를 판단하고, (2) 실제 APT 공격인 것으로 판단되는 경우 스코어를 기반으로 공격의 우선순위를 산정할 수 있다. 향후 APT 공격탐지 시스템과 연계된 호스트 및 네트워크 기반 공격 대응 시스템을 이용하여 시급하고 중요한 사이버 공격에 우선하여 대응할 수 있을 것이다.
References
- S. M. Milajerdi, R. Gjomemo, B. Eshete, R. Sekar and V. N. Venkatakrishnan, "HOLMES: Real-time APT detection through correlation of suspicious information flows," 2019 IEEE Symposium on Security and Privacy, pp. 1137-1152, May 2019
- Wajih Ul Hassan, Adam Bates and Daniel Marino, "Tactical provenance analysis of endpoint detection and response systems," 2020 IEEE Symposium on Security and Privacy, pp.1172-1189, May 2020
- Eric M. Hutchins, Michael J. Cloppert and Rohan M. Amin, "Intelligence-driven computer network defense informed by analysis of adversary campaigns and intrusion kill chains," Leading Issues in Information Warfare & Security Research, vol. 1, no. 1, pp. 80, 2011
- Sangsoo Kim, Shinwoo Shim, Seonyeong Lim and Seongmo Koo, "A Threat Prioritization Method Using User Behavior Data for Cyber Threat Hunting," The Journal of Korean Institute of Information Sciences, vol. 46, no. 11, pp.1853-1861, Nov. 2021 https://doi.org/10.7840/kics.2021.46.11.1853
- Seokho Kim, Incheol Shin and Jaeki Jeong, "Personality Traits and Response Styles," The Journal of Survey Research, vol. 12, no. 5, pp.51-76, Jul. 2011
- Blake E. Strom et al., "MITRE ATT& CK: Design and Philosophy," Technical Report, Mar. 2020 (available at https://attack.mitre.org/docs/ATTACK_Design_and_Philosophy_March_2020.pdf)
- MITRE ATT&CK, https://attack.mitre.org/, accessed on Apr. 2022
- MITRE CAPEC, https://capec.mitre.org/, accessed on Apr. 2022
- SigmaHQ, Sigma, https://github.com/SigmaHQ/ sigma, accessed on April 2022
- NSA/CSS Technical Cyber Threat Framework v2, https://nsa.gov/portal/75/documents/what-we-do/cybersecurity/professional-resources/ctr-nsa-css-technical-cyber-threat-framework.pdf, accessed on Apr. 2022
- APT & CyberCriminal Campaign Collections, https://github.com/CyberMonitor/APT_CyberCriminal_Campagin_Collections, accessed on Apr. 2022
- vlegoy, rcATT, https://github.com/vlegoy/rcATT, accessed on Apr. 2022
- Valentine Solange Marin Legoy, "Retrieving ATT&CK tactics and techniques in cyber threat reports," MS thesis, University of Twente, 2019
- MITRE ATT&CK, Groups, https://attack.mitre.org/groups/, accessed on Apr. 2022
- Sungyoung Cho, Yongwoo Park and Kyeongsik Lee, "Implementation of an APT attack detection system through ATT&CK-based attack chain reconstruction," Journal of The Korea Institute of Information Security and Cryptology, vol. 32, no. 3, pp. 527-545, Jun. 2022 https://doi.org/10.13089/JKIISC.2022.32.3.527