국내 보안벤처가 MITRE ATT&CK 네트워크 공격 전술 및 기법(TTP)을 완벽하게 탐지하는 세계 최초·최고 수준의 TTP 전수 커버리지 엔진을 개발하는데 성공했다.

사이버 위협헌팅 보안기업 '씨큐비스타'(대표 전덕조)는 MITRE ATT&CK 네트워크 기반의 모든 TTP를 실시간으로 탐지·분석하는 세계 최초·최고 수준의 TTP 전수(全數) 커버리지 탐지 엔진 'Hunter TTP'를 개발해, 자사 차세대 NDR·FDR 보안 솔루션 '패킷사이버'에 새롭게 탑재한다고 23일 밝혔다.

MITRE ATT&CK는 미국 연방정부의 지원을 받는 비영리 연구기관 MITRE(마이터)가 실제 사이버 공격 사례를 바탕으로 만든 지식 기반 프레임워크로, ATT&CK는 'Adversarial Tactics, Techniques, and Common Knowledge'(공격자의 전술·기술·일반 지식)의 약자다.

이 프레임워크는 공격자의 목표와 전술·기법(TTP)을 체계적으로 정리해 기업과 기관이 잠재적 위협을 이해하고 효과적인 보안 전략을 수립하도록 지원하며, 다양한 지능형 사이버 위협을 폭넓게 포괄한다.

'Hunter TTP' 엔진은 씨큐비스타가 독자개발한 대규모언어모델(LLM) AI 플랫폼 '센티널 AI'(Sentinel AI)를 기반으로, 각종 APT(지능형 지속 위협) 보고서와 위협 인텔리전스 데이터를 자동 분석해 네트워크 기반 TTP를 추출하고 다계층 분석으로 오탐을 최소화하는 네트워크 위협탐지 엔진이다.

MITRE ATT&CK 매트릭스에서 네트워크 아티팩트로 탐지 가능한 모든 TTP를 자동 매핑해 결과를 제공함으로써, 탐지된 위협의 실체를 보다 명확히 파악하고 신속하게 대응할 수 있도록 지원한다.

전덕조 대표는 "자사의 거대언어모델(LLM) 센티널 AI 기반 '네트워크 TTP 자동생산 플랫폼'을 통해 MITRE ATT&CK의 네트워크 기반 TTP를 100% 목표로 자동 추출·정의했으며, 이를 바탕으로 패킷사이버 탐지 엔진이 네트워크 행위 관점에서 MITRE ATT&CK 매트릭스의 모든 관련 TID를 실시간으로 탐지·연계 분석할 수 있다"며 "Hunter TTP 엔진을 탑재한 단일 NDR 솔루션 '패킷사이버'가 MITRE 네트워크 TTP 전수 커버리지를 공식적으로 구현한 것은 세계 최초이자 최고 수준의 성과"라고 설명했다.

특히 기존 NDR 솔루션들은 단순한 머신러닝 기반 행위 분석에 치중해 의심스러운 행위는 탐지할 수 있지만, 이를 위협 관점에서 설명하거나 실제 위협으로 특정하지는 못하는 한계를 지니고 있으며, 내부 탐지 로직도 공개하지 않는다. 반면 '패킷사이버'(PacketCYBER)는 탑재된 TTP 목록과 알고리즘을 상세히 공개해 MITRE 커버리지·탐지 방식·투명성 측면에서 글로벌 NDR 대비 압도적인 차별성을 확보했다.

씨큐비스타는 이번 성과를 바탕으로 금융·의료·국방·통신 등 다양한 산업 환경에 특화된 탐지 엔진을 지속적으로 확장하고, 전 세계를 강타하고 있는 랜섬웨어와 BPFdoor 같은 스텔스 악성코드에 대응하는 특화 탐지 엔진을 제공해 기존 NDR과 XDR을 뛰어넘는 차세대 네트워크 보안 체계의 표준을 제시할 계획이다.

전덕조 대표는 "패킷사이버는 센티널 AI가 자동 생산한 MITRE ATT&CK 네트워크 TTP를 기반으로 세계 최초·최고 수준의 TTP 전수 커버리지와 완전한 탐지 투명성을 구현하는 데 성공했다"며 "이는 글로벌 NDR 솔루션들이 아직 도달하지 못한 수준으로, 앞으로 패킷사이버가 차세대 NDR의 표준으로 자리매김할 것"이라고 자신있게 말했다.

씨큐비스타(CQVista)는 지능형 위협 탐지·대응 기술을 중심으로 NDR·FDR 원천기술을 융합한 독자 기술을 보유한 사이버 보안 전문기업이다. 주력 보안솔루션인 '패킷사이버'는 한국과 아시아의 공공기관과 금융기관, 국가기관 등에 채택돼 최고 보안솔루션 기업으로 인정받고 있으며, NDR 유형으로는 국내 최초로 보안기능확인서 인증을 획득했다. IoT 보안 및 암호화 트래픽 기반 위협 탐지 기술로 사업 확대중이며, 정부 R&D 프로젝트에 참여해 비복호화 기반 암호화 트래픽에 대한 보안관제 및 위협헌팅기술을 개발하고 있다.