기존 침해지표(IOC) 공격자 도구(해시, IP, 도메인 등)를 변조 하는 것만으로 무력화되는 한계 보안 하기 위해 등장
기존 무엇(What)이라는 단편적 증거 보다, 공격자 어떻게(How) 그리고 왜(Why) 행동하는지 집중하는 새로운 방어 체계
'일련의 행동과 패턴 절차'를 의미
[활용 방법]
MITRE ATT&CK 프레임워크 기반 공격전술, 기법 분류
시간의 흐름이나 상하위 프로세스 관계 등 탐지를 위한 복합적인 조건(Rule, Logic)을 서술하여 EDR이나 SIEM 장비 적용
[지표로 활용하기 위한 조건]
공격의 뚜렷한 목적
시간의 흐름이나 상하위 프로세스 관계의 단계적 흐름
공격자가 도구를 바꾸더라도 공통으로 나타나는 전술적 패턴
[특징]
어떻게(How), 왜(Why) 행동하는지 집중
백신의 감시망을 우회하여 잠복하는 은닉 기법 동향 파악 필수
예) 정상 도구 악용, 정상프로세스 위장, 권한 탈취 및 이상 접근
[장점]
공격자는 행위 패턴(TTPs)를 쉽게 바꿀 수 없어 절차 회피 매우 어려움
IOC가 없는 완전 새로우 악성코드 또는 정상 프로그램만 악용하는 공격도 행위 맥락을 분석하여 탐지할 수 있음
[한계점]
야간 작업 또는 정상적인 스크립트(Power Shell 등) 실행 작업이 해킹 공격으로 오인할 수 있음
EDR 등 고도화된 솔루션이 필요하며, 보안 담당자의 수준 높은 역량이 요구됨
[극복방안]
AI와 머신러닝을 활용하여 이상 행위만 필터링
알려진 위협은 IoC이용, 지능형 위협은 IoA로 상호보안하는 전략 구성
| 구분 | 침해지표(IoC) | 행위지표(IoA) |
| 관점 | 사후 증거 | 행위 패턴 |
| 주요 데이터 | 해시값, IP, 도메인, 파일명 | 프로세스 계층 구조, 비정상 API 호출, 시속적 등록 행위 |
| 탐지 난이도 | 상대적으로 쉬움(시그니처 매칭) | 어려움(상하 문맥 및 행위 분석) |
| 공격자 우회 난이도 | 매우 쉬움(단순 변조 가능) | 매우 어려움(공격 방법 자체 수정 필요) |
'보안 > 보안 개념' 카테고리의 다른 글
| 방화벽(Firewall) 정의 및 한계 (0) | 2026.04.20 |
|---|---|
| 경계 보안, 심층방어, 제로트러스트 (0) | 2026.04.20 |
| 공급망 공격(Supply Chain Attack) (0) | 2026.04.15 |
| 크리덴셜 스터핑(Credential Stuffing) (0) | 2026.04.15 |
| TTPs (0) | 2026.04.13 |