MITRE ATT&CK 기반 BAS는 무엇이 다를까? (4/4)
공격을 기준으로 보안을 바라본다는 것
보안의 관점은 '관리'에서 '검증'으로 이동하고 있습니다. 이제 중요한 질문은 보안 장비를 얼마나 많이 갖추었는지가 아니라, 현재의 보안 상태를 실제 공격 기준으로 설명할 수 있는가입니다.
이 지점에서 주목받는 접근이 바로 BAS(Breach & Attack Simulation)입니다.
BAS는 실제 공격자의 전술과 기술을 기반으로 한 시나리오를 실행하여
보안 체계가 실전 상황에서도 기대한 역할을 수행할 수 있는지를 사전에 검증하는 방식입니다.
설정이나 정책이 아니라, 공격 그 자체를 기준으로 보안을 점검합니다.
MITRE ATT&CK이 기준이 되는 이유
실제 공격을 기준으로 검증하기 위해서는, 공격을 어떻게 정의할 것인지가 중요합니다. 이때 활용되는 것이 MITRE ATT&CK 프레임워크입니다. MITRE ATT&CK은 실제 침해 사례를 기반으로 공격자의 전술과 기술(TTPs)을 체계화한 프레임워크로, 공격이 어떤 단계와 흐름으로 진행되는지를 구조적으로 보여줍니다.
MITRE ATT&CK 기반 BAS는 추상적인 위협 가정이 아니라, 현실에서 발생 가능한 공격 체인을 기준으로 검증이 이루어집니다. 그 결과 보안 상태에 대한 판단 역시, “탐지되었는가”를 넘어 어디까지 방어가 가능하고 어디에서 한계가 드러나는지로 확장됩니다.
PurpleHound가 구현하는 공격 시뮬레이션 방식
PurpleHound는 이러한 MITRE ATT&CK 기반 BAS 접근을 실제 환경에서 구현한 보안 공격 시뮬레이션 솔루션입니다. 실제 공격자의 전술과 기술을 반영한 시나리오를 가상화 기반 환경에서 안전하게 실행함으로써, 조직의 보안 인프라를 실전 공격 관점에서 자동 검증할 수 있도록 합니다.
PurpleHound는 운영 환경과 분리된 VM 환경에서 공격 체인을 테스트하고, 시나리오 실행 이후에는 스냅샷 자동 복원을 통해 반복적인 검증을 가능하게 합니다. 이를 통해 탐지와 차단, 대응 능력을 정량적으로 확인할 수 있으며, 보안 구성 오류나 취약 지점 역시 사전에 식별할 수 있습니다.
국내 환경을 고려한 공격 시나리오
실제 공격 환경은 지역과 산업 특성에 따라 다르게 나타납니다. PurpleHound는 APT 공격그룹의 실제 전술을 기반으로 한 시나리오뿐 아니라, HWP, 알집 등 국내 환경에서 빈번히 활용되는 소프트웨어 취약점을 고려한 공격 콘텐츠를 지속적으로 제공합니다.
이를 통해 글로벌 공격 트렌드뿐 아니라, 국내 조직을 겨냥한 현실적인 위협 시나리오까지 함께 검증할 수 있으며, 변화하는 위협 환경에 선제적으로 대응할 수 있는 보안 체계 구축을 지원합니다.
탐지 여부를 넘어, 공격 흐름을 검증하다
PurpleHound 기반 BAS에서는 개별 보안 장비의 탐지 여부만을 보지 않습니다. 공격의 시작부터 내부 확산, 권한 상승, 데이터 탈취에 이르기까지의 공격 흐름 전체를 기준으로 검증합니다. 이 과정에서 다음과 같은 지점이 자연스럽게 드러납니다.
☑️ 공격 단계별로 탐지가 이루어지는 지점
☑️ 탐지는 되었으나 실제 대응으로 이어지지 않은 구간
☑️ 방어가 가능한 영역과 현재 보안 체계의 한계
이는 단순한 테스트 결과가 아니라, 현재 보안 상태를 설명할 수 있는 근거에 가깝습니다.
검증이 기준이 될 때 보안은 달라진다
MITRE ATT&CK 기반 BAS의 가치는 특정 기능이나 기술에만 있지 않습니다. 보안을 바라보는 기준을 바꾼다는 데에 있습니다. 실제 공격을 기준으로 검증이 이루어질 때, 보안 상태에 대한 판단도 훨씬 명확해집니다.
결국 중요한 것은, 공격을 막았는지 여부가 아닙니다.
동일한 공격이 실제로 발생했을 때, '시작부터 결과까지의 흐름을 어디까지 설명할 수 있느냐'입니다.
보안은 막연히 믿는 대상이 아니라, 실제 공격을 기준으로 확인할 수 있는 상태로 유지되어야 합니다.
 |
PurpleHound | 보안 공격 시뮬레이션(BAS) 솔루션 MITRE ATT&CK 기반 공격 시나리오로 보안 인프라를 실전 관점에서 자동 검증합니다. 더보기 > |