TTP(Tactic, Technique, Procedures)란 무엇인가? 사이버 보안에서의 중요성

현대 사회에서 사이버 공격은 기업, 정부 기관, 개인 등 모든 수준에서 큰 위협으로 작용하고 있다. 이에 따라 사이버 보안은 이러한 위협으로부터 조직과 개인을 보호하기 위해 점점 더 중요한 역할을 하고 있다. TTP(Tactic, Technique, Procedure)는 사이버 보안 분야에서 사용되는 개념으로, 공격자의 공격 전략과 방법을 이해하고 대응하는 데 도움을 준다.

---

🔑 TTP = Tactic, Technique, Procedure의 정의 

  👉 Tactic

          TTP의 첫번째 구성요소로서, 전반적인 공격 목표를 나타낸다.

          공격자가 달성하려는 목적이나 결과를 나타내며, 예를 들어 "기밀 정보 유출"이나 "시스템 마비" 등이 될 수 있다.

   

  👉 Technique

           Tactic의 하위 항목으로, 구체적인 공격 방법을 나타낸다.

           기술적인 측면에서 어떤 동작을 사용하는지를 나타내며, 예를 들어 "악성 코드 삽입", "피싱 메일 전송" 등이 될 수 있다.

 

  👉 Procedure

           TTP의 가장 구체적인 부분으로, 공격의 세부 실행 방법을 나타낸다.

           이 단계에서는 공격자가 어떤 순서로 어떤 기술을 사용하는지에 대한 정보가 포함된다.

 

 

🔑 TTP를 이해해야하는 이유 

TTP를 이해하는 것은 사이버 공격 대응 전략을 구축하고 보안을 강화하는 데 매우 중요하다.

 

한국인터넷진흥원에 "TTPs #8 : Operation GWISIN - 맞춤형 랜섬웨어 공격 전략 분석" 보고서에서는 사이버 보안에서 유형한 개념인 고통의 피라미드(The Pyramid of Pain)는 방어자가 TTP와 같은 공격자의 전략과 전술, 그리고 그 과정을 이해하고 방어 체계를 운영하는 것이 가장 효과적임을 잘 표현하고 있다고 말한다. 고통의 피라미드에서는 보안은 공격자를 Tough!한 단계로 끌고 가는 것이며, TTP가 그 단계를 나타낸다고 표현한다.

 

The Pyramid of Pain, David J Bianco (https://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html)

고통의 피라미드의 각 레벨은 상대방의 활동을 탐지하는 데 사용할 수 있는 다양한 유형의 공격 지표를 나타내며, 이러한 지표를 deny할 수 있을 때 공격자에게 얼마나 큰 고통을 주는지에 따라 세분화 되어 있다.  피라미드에서 가장 중요한 단계는 공격자의 TTP이다. 방어자가 파일 해시나 IP 주소와 같은 기본 Artifact에 비해 공격자의 행동을 탐지하거나 방해할 수 있다면 공격자는 공격 경로를 전환해야하므로 더 많은 비용과 고통이 따른다. 

 

👉 Hash Values

        의심스러운 특정 파일 또는 악성 파일에 대응하는 SHA1, MD5, 또는 다른 유사한 해시.

        해시 값은 종종 malware의 특정 샘플 또는 침입에 관여된 파일에 대한 고유한 참조를 제공하기 위해 사용된다.

 

👉 IP Addresses

       이름에서 알 수 있듯이 넷블록도 포함되어 있다.

 

👉 Domain names

       도메인 이름 또는 하위 도메인.

 

👉 Network Artifacts

       관찰 가능한 적대자의 네트워크 활동.

       대표적인 예로는 URI 패턴, 네트워크 프로토콜에 내장된 C2 정보, 고유의 HTTP User-Agent 또는 SMTP Mailer 값 등이 있다.

 

👉 Host Artifacts

        레지스트리 키 또는 특정 malware, 파일 또는 디렉토리에 의해 생성된 것으로 알려진 값과 같은 호스트 중 하나 이상의 사대 활동으로 인해 발생하는 관찰 가능성이다.

 

👉 Tools

       공격자가 자신의 임무를 완수하기 위해 사용하는 소프트웨어.

       여기에는 스피어피싱을 위한 악성 문서를 생성하도록 설계된 유틸리티, C2 또는 암호 크래커를 설정하는 데 사용되는 백도어 또는 기타 호스트 기반 유틸리티가 포함된다.

 

👉 TTPs

       정찰에서 데이터 유출까지, 그리고 그 사이의 모든 단계에서 상대방이 임무를 완수하는 방법.

 

한국인터넷진흥원 보고서에 따르면 공격자는 TTP를 쉽게 확보하거나 버릴 수 없다고 말한다. 공격자는 정해진 타깃의 방어 환경을 무력화시키기 위해 특정 TTP를 학습하고 연습하고, 확보한 TTP는 지속적으로 다른 타깃들에게 사용한다.

 

TTP 이해의 필요성에 대해 요약하자면 다음과 같다.

 

✔ 위험 인식

TTP를 분석함으로써 어떤 종류의 공격이 가능한지, 어떤 방법으로 진행될 수 있는지에 대한 인식을 갖게 된다. 이를 통해 조직은 더 다양한 위협 시나리오를 고려하고 대비할 수 있다.

 

✔ 대응 계획 수립

TTP를 이해하면 공격자의 행동을 예측하고 사전에 대응 계획을 수립할 수 있다. 특정 TTP가 탐지되었을 때 어떤 조치를 취할지 사전에 결정하여 대응 속도를 향상시킬 수 있다.

 

✔ 탐지 및 분석

TTP를 분석하여 이전에 관찰된 사례나 패턴과 비교하면 새로운 공격을 조기에 탐지할 수 있다. 이는 공격의 영향을 최호화하고 조직의 시스템을 보호하는 데 도움이 된다.

---

TTP(Tactic, Technique, Procedure)는 사이버 보안 분야에서 공격자의 공격 전략과 방법을 이해하고 대응하는 데 중요한 개념이다. 이를 통해 조직과 개인은 보다 효과적인 보안 전략을 구축하고 사이버 공격으로부터 안전을 유지할 수 있다. TTP 분석을 통해 새로운 위협에 대비하고 조기에 대응하는 능력을 향상시키는 것이 핵심이다.

 

 

 

Reference

 

---

https://www.dailysecu.com/news/articleView.html?idxno=118487https://thorcert.notion.site/TTPs-8-Operation-GWISIN-c3483353d20241b3a313fa4a8726302a

TTPs #8 : Operation GWISIN - 맞춤형 랜섬웨어 공격 전략 분석

https://www.attackiq.com/glossary/pyramid-of-pain/

Pyramid of Pain

https://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html

The Pyramid of Pain