최근 보안 현업에서 자주 들리는 말입니다. 사이버 침해 사고가 연쇄적으로 일어나면서, 일일이 사건을 따라가며 대응하는 방식은 한계에 다다랐다고 전문가들은 판단합니다. 그래서 ‘사이버 보안 프레임워크’를 키워드로, 사고 예방과 대응 전략을 어떻게 체계적으로 설계할 수 있을지를 살펴볼 필요성이 중요해지고 있는데요. 다온기술 고성종 이사와 함께 보안 프레임워크 3종—NIST, MITRE ATT&CK, 사이버 킬체인—에 대해 살펴보았습니다.
1. NIST 프레임워크
보안 거버넌스를 위한 리스크 기반 전략입니다. 미국 국립표준기술연구소(NIST)에서 만든 프레임워크로 최근 2.0 버전으로 업데이트되기도 했습니다. 이 프레임워크의 핵심은 유연성과 범용성이라고 볼 수 있습니다. 특정 산업이나 시스템에 종속되지 않고, 전반적인 보안 거버넌스를 설계할 때 리스크 기반으로 활용할 수 있는 장점이 있는 프레임워크입니다.
“NIST는 기술적인 테크닉보다 리스크 기반으로 무엇을 식별하고, 어떻게 평가하고 대응할지를 구조화하는 접근 방식입니다."
다만 기술적 세부 사항은 부족하다는 단점도 있습니다. 그래서 기획 단계, 보안 정책 수립, 인증 체계 준비 등 전략적 기획 단계에 적용하기 적합한 프레임워크라고 보시면 됩니다.
2. MITRE ATT&CK
공격자 관점의 정밀한 탐지와 대응이 가능한 프레임워크 입니다. 비영리 기관 MITRE에서 운영하는 ATT&CK 프레임워크는 공격자의 행동 기반으로 방어 전략을 수립하도록 설계돼 있습니다. 실제로 공격자가 사용하는 전술과 테크닉들을 체계적으로 정리해, 각 기업이 자사 환경에 맞게 분석하고 대응할 수 있게 합니다.
“MITRE ATT&CK은 계속해서 업데이트되고 있고요. 예를 들어 북한의 공격 그룹이 어떤 전술을 쓰는지까지 맵핑되어 있습니다.”
SOC를 운영하거나, 침해 탐지 및 대응 역량을 강화하려는 기업에게 특히 유용한 프레임워크 입니다. 다만 기술적 전문성을 많이 필요로하기 때문에, 이를 제대로 활용하려면 보안팀의 수준이 일정 이상 되어야 한다는 점도 고려해야 합니다.
3. 사이버 킬체인
직관적이고 선형적인 구조의 대응 체계의 프레임워크 입니다. 미국 방산업체인 록히드 마틴이 만든 ‘사이버 킬체인’ 프레임워크는 공격 단계를 7단계로 분류해, 특정 고리를 끊는 방식으로 대응하는 킬체인 방식을 보안 분야에 적용했다고 볼 수 있습니다. 특히 정찰→무기화→전달 같은 사전 단계에서 위협을 막는 방식이 매우 구조적이고 직관적인 방식입니다.
“사이버 킬체인은 보안팀이 테크닉을 잘 몰라도 의사소통을 쉽게 할 수 있습니다.하지만 구조가 선형적이다 보니 유연성은 부족한 단점도 있습니다.”
탐지와 대응 중심이기 때문에, 사전 예방에는 좋지만 리스크 기반의 전반적인 보안 전략 설계에는 한계가 있는 방식이라고 보여집니다.
그렇다면 어떤 프레임워크가 우리 회사에 적합할까요? 각 프레임워크의 강점과 효과가 다르기 때문에 보안 전략의 구성과 방향에 따라 효과적인 프레임워크를 선정하는 게 필요합니다. 간단히 각 프레임워크 적용에 대한 내용을 아래와 같이 정리할 수 있겠습니다.
NIST: 보안 정책 수립, 거버넌스, 인증 대응에 적합
MITRE ATT&CK: 실시간 탐지·분석 역량 강화에 유리 (특히 SOC 운영)
사이버 킬체인: 공격 흐름에 따른 직관적 대응, 선제적 예방에 적합
그리고 중요한 것은 하나의 프레임워크만 선택해서 적용하는 것으로 끝나는 게 아니라는 점입니다. 각 기업과 조직에 맞게 여러 프레임워크를 혼합해서 촘촘한 전략을 짜는 것이 필요합니다.
“사고 하나하나에 대응하기엔 너무 늦고 효과적이지도 않습니다. 구조화된 보안 프레임워크를 통해 사고를 분석하고, 조직에 맞게 전략을 구성해야 합니다.”
모든 프레임워크를 다 적용할 수는 없겠죠. 하지만 우리 조직의 환경, 보안팀 규모, 보유 자산에 맞춰서 적절한 조합을 고민해야 할 때입니다. ‘프레임워크’는 복잡한 사고들을 단순화시키는 도구이자, 조직 보안을 체계화하는 나침반입니다. 기본 틀이 있어야 자신의 부족함을 확인하고 효과적인 보안 전략을 세울 수 있습니다.
