Headline
BAS 기반 Attack Validation을 통한 탐지 체계 검증 전략
■ 개요
많은 기업들이 EDR, SIEM, IDS/IPS, NDR 등 다양한 보안 솔루션에 상당한 비용을 투자하고 있음에도 불구하고, 실제 공격 기법을 재현해보면 예상보다 많은 공격 행위가 탐지되지 않고 누락되는 사례가 발견된다.
이는 단순히 특정 솔루션의 성능 문제라기보다, "보안 솔루션이 설치되어 있다"는 것과 "실제 공격을 탐지할 수 있다"는 것을 동일하게 인식하는 운영상의 구조적 한계에서 비롯된다. 실제 진단 과정에서는 탐지 정책 미구성, 장비 간 연계 부족, 오탐 위주의 운영, 공격 흐름 기반 분석 부재 등 다양한 탐지 공백(Detection Gap)이 확인된다.
기존 모의해킹은 주로 공격 성공 여부와 침투 가능성, 권한 상승, 내부망 이동 등 공격자의 관점에서 취약성과 침해 가능성을 검증하는 데 집중되어 왔다. 반면 최근 보안 운영 환경에서는 단순 침투 성공 여부를 넘어, 해당 공격 행위가 실제 운영 중인 보안 체계에서 탐지·분석·대응 가능한지까지 검증하는 과정이 중요해지고 있다.
특히 기존 모의해킹은 특정 시점(Point-in-Time)의 침투 가능성을 검증하는 데 강점이 있지만, 탐지 체계의 지속적 검증과 운영 품질 관리에는 구조적 한계가 존재한다. 연 1~2회 수행되는 단발성 진단은 그 시점의 보안 상태만을 반영할 뿐, 이후 환경 변화·신규 위협·정책 변화에 따른 탐지 공백을 지속적으로 파악하기 어렵다.
이러한 배경 속에서 BAS(Breach and Attack Simulation) 기반 Attack Validation은 단순 공격 재현을 넘어, 특정 공격 기법에 대한 보안 통제 체계가 실제로 동작하는지를 구조적으로 검증하는 운영 모델로 주목받고 있다. 특히 MITRE ATT&CK 기반 시나리오를 활용하여 탐지 정책의 실효성, 탐지 우회 가능 여부, 로그 수집 및 Alert 생성 여부 등을 정량적으로 확인할 수 있다는 점에서 기존 취약점 진단과 차별화를 가질 수 있다. 또한, 컨설팅 관점에서 BAS는 단순 침투 성공 여부를 확인하는 도구가 아니라, 탐지 체계 성숙도와 운영 품질을 진단하고 개선 우선순위를 제시할 수 있는 핵심 방법론으로 활용될 수 있다.
본 보고서에서는 BAS 기반 Attack Validation의 개념과 필요성을 설명하고, 탐지 체계 검증을 위한 시나리오 설계 방법론, 운영 전략 및 실제 컨설팅 관점에서 고려해야 할 사항들을 중심으로 살펴보고자 한다.
■ BAS(Breach and Attack Simulation)란 무엇인가
BAS는 실제 사이버 공격자의 행동 패턴을 소프트웨어적으로 시뮬레이션 하여, 조직의 보안 통제 항목들이 해당 공격을 탐지·차단할 수 있는지를 반복적으로 검증하는 기술 및 방법론으로, 2019년 Gartner Hype Cycle에 독립 카테고리로 공식 등재된 이후, 지속적 검증(Continuous Validation)의 핵심 도구로 자리매김하고 있다. BAS 플랫폼은 일반적으로 다음과 같은 구성 요소로 이루어진다. (단, 구성요소는 솔루션/플랫폼 별 상이할 수 있음)
| 구성 요소 | 설명 |
|
공격 시나리오 (Attack Library) |
MITRE ATT&CK, OWASP, 실제 위협 인텔리전스 기반의 TTP 데이터베이스 |
|
에이전트 / 시뮬레이터 (Agent / Simulator) |
엔드포인트, 네트워크, 클라우드, on-Prem 등의 환경에서 공격을 안전하게 실행하는 경량 모듈 |
|
오케스트레이터 (Orchestrator) |
공격 시뮬레이션 캠페인을 설계·스케줄링·실행·관리하는 중앙 제어 플랫폼 |
|
결과 분석 엔진 (Analytics Engine) |
보안 솔루션의 탐지·차단·미탐지(Miss) 여부를 수집·분석하고 대시보드 형태로 시각화하는 분석 모듈 |
|
통합 연계 (Integration) |
SIEM, SOAR, EDR, 방화벽 등 기존 보안 도구와의 API 연동 |
|
리포팅 및 대시보드 (Reporting & Dashboard) |
공격 성공률, 탐지율, MITRE ATT&CK Coverage 등을 운영자 관점으로 시각화 |
표 1. BAS 주요 구성 요소
■ Attack Validation의 개념과 프로세스
Attack Validation은 보안 통제(Security Control)가 실제 공격 기법(TTP)에 대해 예방(Prevent), 탐지(Detect), 대응(Response) 기능을 효과적으로 수행하는지 검증하는 보안 평가 접근법이다.
기존 취약점 진단이 시스템 내 취약점의 존재 여부를 식별하는 데 중점을 둔다면, Attack Validation은 실제 공격 시나리오를 안전하게 시뮬레이션 하여 보안 솔루션과 운영 체계가 해당 행위를 탐지하고 적절히 대응하는지를 종단 간(End-to-End) 관점에서 검증한다.
이 접근법의 핵심은 '방어 체계의 실효성 검증'과 '탐지 공백(Detection Gap)의 가시화'에 있다. 조직이 이미 구축한 EDR, NDR, SIEM, SOAR, 방화벽 등의 보안 통제에 대해 구성(Configuration), 정책(Policy), 탐지 룰(Detection Rule), 대응 프로세스까지 종합적으로 점검함으로써 실제 운영 환경에서의 보안과 방어 역량을 객관적으로 측정할 수 있다.
따라서 Attack Validation은 단순히 취약점을 식별하는 활동을 넘어, 조직의 보안 통제가 실제 위협에 대해 얼마나 효과적으로 동작하는지를 검증하고 지속적으로 개선하기 위한 보안 운영 검증 체계로 활용할 수 있다.
그림 1. Attack Validation 5단계
■ MITRE ATT&CK 프레임워크와의 연계
MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)는 실제 사이버 공격에서 관찰된 공격자의 행동 패턴을 체계화한 전 세계적으로 공인된 프레임워크이다. BAS 플랫폼은 이 ATT&CK 매트릭스를 기반으로 시뮬레이션 커버리지 1를 시각화함으로써, 조직이 어떤 공격 기법에 대해 탐지 역량을 갖추고 있는지, 어느 영역에 취약점이 있는지를 한눈에 파악할 수 있게 한다.
모든 ATT&CK 기법을 동일한 우선순위로 검증하는 것은 비효율적이며, 위협 인텔리전스(CTI, Cyber Threat Intelligence)를 활용하여 조직 업종·규모·지역에 특화된 위협 행위자(Threat Actor)가 자주 사용하는 TTP를 식별하고, 이를 검증의 우선순위로 설정하는 것이 효과적이다. 구체적인 예시는 아래와 같다.
|
■ 금융권: Lazarus Group, FIN7 등 금융 특화 APT 그룹의 TTP 우선 검증 ■ 제조업: OT/ICS 환경 타깃 공격 기법 포함 (ATT&CK for ICS) ■ 공공기관: 국내 APT 그룹 및 공급망 공격(Supply Chain Attack) 중심 검증 ■ 공통: 랜섬웨어 선행 기법(Pre-Ransomware TTP) 집중 검증 권고 |
그림 2. BAS / MITRE ATT&CK 프레임워크 관계 예시
■ 탐지 체계 검증 전략
1) 진단 범위 설계: 탐지 레이어별 접근
Attack Validation 기반 진단을 설계할 때는 보안 아키텍처를 레이어별로 분해하고, 각 레이어에서 공격 행위에 대한 예방(Prevent), 탐지(Detect), 대응(Response)이 효과적으로 수행되는지를 검증 포인트로 정의해야 한다. 또 공격자는 개별 보안 솔루션의 탐지 기능보다 레이어 간 가시성 부족 구간(Visibility Gap)을 우선적으로 활용하는 경우가 많으므로, 단일 보안 통제의 동작 여부뿐만 아니라 공격 체인 전체에 대한 연계 탐지 및 대응 가능성을 함께 검증해야 한다.
| 탐지 레이어 | 주요 진단 대상 | 핵심 검증 포인트 |
| 엔드포인트 | EDR, AV, DLP | 프로세스 인젝션, 파일리스 공격, 권한 상승 등 엔드포인트 공격 행위에 대한 탐지 및 차단 실효성 |
| 네트워크 | IDS/IPS, NDR, 방화벽 | C2 통신, 횡적 이동(Lateral Movement), 데이터 유출 행위에 대한 탐지 및 차단 여부 |
| 이메일/웹 | SEG, SWG, Proxy | 피싱 메일, 악성 URL, 드라이브-바이 다운로드 등 초기 침투 공격 차단 실효성 |
| ID/인증 | IAM, PAM, MFA | 계정 탈취, 비정상 인증, Kerberoasting, Pass-the-Hash 등 인증 기반 공격 탐지 여부 |
| 클라우드 | CSPM, CWPP, CNAPP | IAM 권한 오남용, 스토리지 공개 설정, API 악용 및 워크로드 공격에 대한 탐지 가시성 |
| 로그 수집 | SIEM, 로그 수집 파이프라인 | 이벤트 로그가 정상적으로 수집·전달되는지 및 탐지 룰 적용에 필요한 데이터가 확보되는지 여부 |
표 2. 탐지 레이어별 주요 검증 포인트
2) 공격 체인 기반 시나리오 설계
Attack Validation에서는 개별 공격 기법(Technique) 단위의 검증뿐만 아니라 실제 공격 캠페인을 모사한 시나리오(Scenario) 기반 검증이 중요하다. 단일 TTP에 대한 탐지 여부만으로는 보안 통제의 실질적인 효과를 판단하기 어렵기 때문에, 공격자의 실제 행위를 반영한 공격 체인(Attack Chain) 관점에서 검증 범위를 설계해야 한다.
이를 통해 특정 기술에 대한 탐지 성공 여부보다 초기 침투(Initial Access)부터 데이터 유출(Exfiltration) 또는 목표 달성(Objective) 단계까지 공격 흐름 전반에서 어느 단계가 탐지·차단되었고, 어느 구간에서 탐지 공백(Detection Gap)이 발생하는지를 확인할 수 있다. 이러한 접근 방식은 개별 보안 솔루션의 성능을 넘어 조직 전체의 탐지 및 대응 체계에 대한 실효성을 평가하는 데 효과적이다.
| Phase | 공격 단계 | 검증 시나리오 | ATT&CK |
| Phase 1 | Initial Access | 피싱 이메일 첨부파일 실행 시뮬레이션 | T1566.001 |
| Phase 2 | Execution | PowerShell 기반 악성 스크립트 실행 | T1059.001 |
| Phase 3 | Persistence | Registry Run Key 등록 | T1547.001 |
| Phase 4 | Privilege Escalation | UAC 우회 기법 적용 | T1548.002 |
| Phase 5 | Credential Access | LSASS 메모리 덤프 수행 | T1003.001 |
| Phase 6 | Lateral Movement | SMB/PsExec 기반 횡적 이동 | T1021.002 |
| Phase 7 | Exfiltration | HTTPS 기반 중요 정보 유출 시뮬레이션 | T1048.002 |
표 3. 랜섬웨어 공격 체인 기반 Attack Validation 시나리오 예시
■ BAS 기반 탐지 품질 관리 전략
1) Purple Team 관점에서의 BAS 활용
Purple Team은 공격 관점의 Red Team과 방어 관점의 Blue Team이 협력하여 조직의 탐지·대응 역량을 지속적으로 개선하는 운영 모델로, BAS(Breach and Attack Simulation)는 Purple Team 운영을 지원하는 기술로 활용할 수도 있다. BAS는 다양한 공격 기법(TTP)을 자동화된 방식으로 시뮬레이션하고 그 결과를 정량적으로 측정함으로써, 조직이 보유한 보안 통제의 실효성을 지속적으로 검증할 수 있도록 돕는다. 이를 통해 Red Team은 공격 시나리오를 반복적으로 검증할 수 있으며, Blue Team은 탐지 룰과 대응 정책의 효율성을 객관적으로 평가하고 개선할 수 있다.
궁극적으로 BAS는 공격과 방어 조직 간의 협업을 촉진하고, 조직이 실제 위협에 대응할 수 있도록 지속적으로 검증·개선하는 Purple Team 운영 도구로 활용될 수 있다.
2) 탐지 룰 생명주기(Detection Rule Lifecycle) 관리
탐지 룰을 지속적으로 추가하는 것만으로는 효과적인 탐지 체계를 구축하기 어렵다. 탐지 체계의 품질을 유지하기 위해서는 룰의 생성부터 운영, 개선, 폐기에 이르는 전 과정에 대한 생명주기 관리가 함께 이루어져야 한다.
신규 탐지 룰을 개발할 때는 운영 환경에 배포하기 앞서 BAS 시뮬레이션을 활용하여 실제 공격 행위에 대한 탐지 여부를 사전에 검증할 필요가 있으며, 운영 중인 탐지 룰에 대해서도 정기적인 재검증이 필요하다. 시스템 환경, 보안 정책, 공격 기법은 지속적으로 변화하기 때문에, 과거에 효과적이었던 탐지 룰이 현재에도 동일한 수준의 탐지 성능을 보장한다고 단정할 수 없다. 따라서 주기적인 BAS 검증을 통해 탐지 유효성을 지속적으로 점검하고 최신 위협 환경에 맞게 관리해야 한다.
또한 인프라 구조 변경, 보안 솔루션 교체, 정책 수정 등 운영 환경에 변화가 발생한 경우에는 관련 탐지 룰에 대한 영향도를 확인하고 재검증을 수행하는 것이 바람직하다. 특히 오탐(False Positive) 감소를 목적으로 탐지 룰을 튜닝하는 과정에서는 탐지 범위 축소로 인해 실제 위협에 대한 탐지율이 저하될 수 있으므로, BAS를 활용한 재검증을 통해 탐지 성능이 유지되는지 확인해야 한다.
마지막으로 장기간 사용되지 않거나 중복된 탐지 룰, 현재 환경에서 더 이상 의미가 없는 탐지 룰은 주기적으로 정비할 필요가 있다. 이러한 관리 활동을 통해 탐지 체계의 복잡도를 낮추고 운영 효율성을 향상시킬 수 있다.
3) 지속 개선 체계 권고
Attack Validation은 일회성 점검이 아니라 지속적인 검증과 개선 활동으로 운영되어야 한다. 공격 기법과 IT 환경은 지속적으로 변화하기 때문에, 보안 통제의 실효성을 유지하기 위해서는 정기적인 검증 체계가 필요하다.
이를 위해 주요 공격 기법(TTP)을 대상으로 BAS 시뮬레이션을 정기적으로 수행하고, 식별된 탐지 공백은 중요도에 따라 관리하는 체계를 마련해야 한다. 또한 신규 위협 정보와 주요 취약점 정보를 검증 시나리오에 지속적으로 반영하고, 신규 시스템 도입이나 클라우드 전환과 같은 환경 변화가 발생할 경우 BAS 기반 재검증을 수행하는 것이 바람직하다. 더불어 ATT&CK 기반 탐지 커버리지와 검증 결과를 주기적으로 분석·관리함으로써 조직의 보안을 고도화 시킬 수 있다.
■ 주요 BAS 및 Attack Validation 솔루션 현황
최근 BAS 시장은 단순 공격 시뮬레이션 기능을 넘어 Exposure Validation, Attack Path Analysis, Continuous Security Validation(CSV) 영역까지 확장되는 추세를 보이고 있다. 또한 상용 솔루션뿐만 아니라 오픈소스 기반 플랫폼도 Purple Team 운영, 탐지 룰 검증, 보안 통제 실효성 평가 등 다양한 목적으로 활용되고 있다.
| 솔루션 | 구분 | 주요 특징 |
| SafeBreach | 상용 BAS | MITRE ATT&CK 기반 공격 시뮬레이션 및 Validation |
| AttackIQ | 상용 BAS | Purple Team 기반 Validation 및 ATT&CK 매핑 |
| Cymulate | 상용 BAS | SaaS 기반 BAS 및 보안 통제 검증 |
| Picus Security | 상용 BAS | 탐지 품질 및 탐지 공백 분석 중심 BAS |
| XM Cyber | Exposure Validation | 공격 경로(Attack Path) 기반 Exposure Validation |
| Mandiant Security Validation | Validation Platform | Verodin 기반 보안 통제 Validation, Google Cloud 통합 운영 |
| MITRE Caldera | 오픈소스 | ATT&CK 기반 자동화 Adversary Emulation 플랫폼 |
| Atomic Red Team | 오픈소스 | ATT&CK 기반 경량 테스트 시나리오 제공 |
| Infection Monkey | 오픈소스 | 자동 확산 기반 네트워크 공격 시뮬레이션 |
| Prelude (구 Prelude Operator) |
오픈소스 | 보안 통제 지속 모니터링 및 Continuous Validation 자동화 |
표 4. 주요 BAS 솔루션 비교 현황
■ BAS의 한계와 올바른 활용 관점
BAS는 강력한 검증 도구이지만, 그 한계를 명확히 인지하고 활용해야 한다. BAS의 주요 한계와 보완 방안은 아래와 같다.
| 한계 항목 | 설명 | 보완 방안 |
| 알려진 TTP 중심 검증 |
BAS는 사전에 정의된 공격 기법(TTP)을 기반으로 시뮬레이션을 수행하므로, 신규 또는 미공개 공격 기법에 대한 검증에는 한계가 있음 |
위협 인텔리전스 기반 시나리오 및 라이브러리 지속 업데이트 |
| Zero-day 검증 한계 | 공개되지 않은 취약점을 활용한 공격은 시뮬레이션하기 어려움 |
레드팀 활동, 버그바운티, |
| 창의적 공격 기법 재현 한계 | 실제 공격자의 상황별 판단이나 우회 기법을 완전하게 재현하기 어려움 |
BAS와 수동 모의해킹을 상호 보완적으로 운영 |
| 운영 환경 영향 가능성 | 시뮬레이션 과정에서 운영 시스템에 의도치 않은 영향을 줄 수 있음 |
사전 검증, 점검 시간대(Time Window) 지정 및 영향도 분석 수행 |
|
과도한 자동화 의존 위험 |
자동화된 검증 결과만으로 보안 수준을 판단할 경우 일부 위협을 간과할 수 있음 |
BAS 결과와 보안 담당자/컨설턴트의 판단을 함께 활용 |
| 탐지 중심 검증의 한계 |
탐지 여부는 확인할 수 있으나 실제 대응 프로세스와 의사결정 과정까지 완전히 검증하기는 어려움 |
Purple Team, Table-top Exercise, 침해사고 대응 훈련과 연계 |
| 환경별 결과 편차 |
동일한 시나리오라도 보안 솔루션 구성 및 정책에 따라 결과가 달라질 수 있음 |
환경별 기준선(Baseline) 수립 및 정기 재검증 수행 |
표 5. BAS의 주요 한계와 보완 방안
■ 결론
사이버 위협 환경은 점점 더 정교해지고 있으며, 공격자는 탐지를 우회하기 위한 방법을 끊임없이 발전시키고 있다. 이에 대응하여, 보안 업계 전반에서도 '보안 솔루션을 도입했다'는 사실보다 '실제로 탐지하고 대응할 수 있는가'를 중심으로 보안 역량을 평가하는 방향으로 패러다임이 전환되고 있다.
BAS 기반 Attack Validation은 이러한 흐름 속에서 등장한 구조적 검증 방법론이다. 이는 특정 시점의 취약점 식별에 머물렀던 기존 진단 방식에서 벗어나, 공격 기법이 실제 방어 체계에서 탐지되는지를 지속적·정량적으로 확인하고 개선하는 체계를 지향한다. 또 MITRE ATT&CK 프레임워크와의 연계를 통해 탐지 커버리지를 가시화하고, 탐지 공백의 원인을 구조적으로 분류하며, 조직이 스스로 보안 품질을 관리할 수 있는 기반을 마련한다는 점에서 의미가 있다.
다만 BAS는 만능 도구가 아니므로, 알려진 TTP 중심의 검증이라는 구조적 한계가 존재하며, Zero-day 공격이나 숙련된 공격자의 창의적 우회 기법을 완전히 재현하기는 어렵다는 한계가 있다. 따라서 BAS는 기존 모의해킹, 위협 인텔리전스, 레드팀 운영 등 다양한 보안 검증 방식과 상호 보완적으로 활용될 때 가장 높은 효과를 발휘한다.
결국 중요한 것은 도구의 선택이 아니라, 조직의 탐지 역량이 실제로 동작하는지를 지속적으로 확인하고 개선하려는 의지와 체계다. BAS 기반 Attack Validation은 그 과정을 보다 구조적이고 정량적으로 만드는 수단으로서, 보안 수준을 한 단계 높이고자 하는 조직과 실무자 모두에게 유효한 접근법이다.
■ 참고 자료
[1] MITRE ATT&CK Framework. (attack.mitre.org)
[2] NIST SP 800-115. (https://csrc.nist.gov/publications/detail/sp/800-115/final)
[3] CISA TTPs Guidance. (https://www.cisa.gov)
[4] Atomic Red Team. (https://github.com/redcanaryco/atomic-red-team)
[5] MITRE Engenuity ATT&CK Evaluations. (https://attackevals.mitre-engenuity.org)
[6] SafeBreach. (https://www.safebreach.com)
[7] AttackIQ. (https://www.attackiq.com)
[8] Cymulate. (https://cymulate.com)
[9] Picus Security. (https://www.picussecurity.com)
[10] XM Cyber. (https://xmcyber.com)
[11] Mandiant Security Validation. (https://cloud.google.com/security/products/mandiant-security-validation)
[12] MITRE Caldera. (https://caldera.mitre.org)
[13] Infection Monkey. (https://www.akamai.com/products/akamai-guardicore-segmentation/infection-monkey)
[14] Prelude (구 Prelude Operator). (https://www.preludesecurity.com)
1 커버리지(Coverage): 전체 ATT&CK 기법 중 조직의 탐지 체계가 실제로 탐지 가능한 기법의 비율