융합보안논문지 (Convergence Security Journal)

  • 제23권4호
  • /
  • Pages.33-41
  • /
  • 2023
  • /
  • 1598-7329(pISSN)
  • /
  • 2508-7460(eISSN)
한국융합보안학회 (Korea convergence Security Association)
권호 표지
DOI QR코드

DOI QR Code

산업기술 유출 방지를 위한 보안 프레임워크 연구

Security Frameworks for Industrial Technology Leakage Prevention

  • 임양규 (단국대학교 IT법학협동과정) ;
  • 박원형 (성신여자대학교 융합보안공학과) ;
  • 이환수 (단국대학교 산업보안학과)
  • 투고 : 2023.08.15
  • 심사 : 2023.09.26
  • 발행 : 2023.10.31
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

최근 지능형 지속위협(APT) 공격조직은 국가핵심기술을 보유한 기업이나 기관을 대상으로 다양한 취약점 및 공격기법을 악용해서 랜섬웨어를 유포한 후 금전을 요구하거나 국가적으로 중요한 산업기밀 자료를 절취해서 암시장(다크웹)에 유통시키거나 제3국에 판매 또는 기술격차를 줄이는데 활용하는 등 국가차원의 보안대비가 필요하다. 이 논문에서는 Kimsuky, Lazarus 등 한국을 대상으로 APT 공격으로 산업기밀유출 피해를 입혔던 공격조직의 공격수법을 MITRE ATT&CK 프레임워크로 분석하고, 기업의 보안시스템이 추가적으로 갖추어야 할 사이버 보안관련 관리적, 물리적 및 기술적 보안요구사항 26개를 도출하였다. 또한, 보안 요구사항을 실제 보안업무에 활용할 수 있도록 보안 프레임워크 및 시스템 구성방안도 제안하였다. 이 논문에서 제시한 보안요구 사항은 보안시스템 개발 및 운영자들이 기업의 산업기밀 유출 방지를 위한 보안업무에 활용할 수 있도록 실질적인 방법 및 프레임워크를 제시했으며 향후 이 논문을 기반으로 다양한 APT 공격그룹의 고도화·지능화된 공격을 분석하고 관련 보안대책 연구가 추가적으로 필요하다.

In recent years, advanced persistent threat (APT) attack organizations have exploited various vulnerabilities and attack techniques to target companies and institutions with national core technologies, distributing ransomware and demanding payment, stealing nationally important industrial secrets and distributing them on the black market (dark web), selling them to third countries, or using them to close the technology gap, requiring national-level security preparations. In this paper, we analyze the attack methods of attack organizations such as Kimsuky and Lazarus that caused industrial secrets leakage damage through APT attacks in Korea using the MITRE ATT&CK framework, and derive 26 cybersecurity-related administrative, physical, and technical security requirements that a company's security system should be equipped with. We also proposed a security framework and system configuration plan to utilize the security requirements in actual field. The security requirements presented in this paper provide practical methods and frameworks for security system developers and operators to utilize in security work to prevent leakage of corporate industrial secrets. In the future, it is necessary to analyze the advanced and intelligent attacks of various APT attack groups based on this paper and further research on related security measures.

키워드

1. 서론

최근 산업기밀을 노리는 사이버 공격의 가장 큰 특징은 공격 목표를 집요하게 공격해서 해킹 목표를 달성하는 지능형 지속 위협(APT:Advanced Persistent Threat) 공격이 주를 이루고 있으며 이들 APT 공격조직은 제로데이 또는 패치되지 않은 1-day 취약점을 이용하고, 다양한 기능을 수행하는 악성코드는 기업의 백신 등의 보안시스템에 발각되지 않도록 패킹 및 난독화 기술을 사용하거나 백신의 실시간 탐지를 중단시키는 방법으로 기업의 보안시스템을 우회하여 기업의 네트워크에 침투한다. 침투 이후, 기업의 서버 또는 PC에 랜섬웨어를 유포한 후 복호화 키를 주는 대가로 금전을 요구하거나 기업의 중요 문서 및 회원정보 등의 개인정보를 절취해서 다크웹 상에서 유통시키고 있다. 이러한 일반적인 수준의 자료 외에 방위산업체, 국가핵심기술 보유 기업의 네트워크를 해킹해서 산업기밀을 절취하는 해킹사고는 단순 해킹사고의 측면이 아니라 국가안보 측면에서 접근해야 하는 이유이다.

방위산업체 및 국가핵심기술 보유 연구기관의 해킹 피해사례를 살펴보면, 2021년 6월 발생한 한국항공우주(KAI), 대우조선해양(DSME), 한국원자력연구원은 각각 K-21 설계도면, 원자력추진 잠수함 연구내용 및 소형원자로 개발기술 등의 자료가 탈취된 것으로 추정되는 해킹 피해를 입었다.[13][14]

한편, 이러한 산업기밀유출 사고에 공동으로 대응하기 위한 민·관·학의 공동대응체 중 하나인 민·관·학 신종기술유출 대응 협의회’(의장 강석균, 이하 ‘TRAT’)가 국가정보원과 공동으로 개최한 세미나(2022.12.15.)에서, 국가정보원 산업기밀보호센터 관계자는 “최근 LockBit 3.0 등 랜섬웨어는 기업의 첨단기술 및 영업비밀 데이터를 탈취 후 공개 협박 또는 다크웹 등에서 암거래하는 ‘산업기밀 탈취 해킹’ 형태로 진화했다”고 말했다. 이어, “국내 기업을 노린 귀신(GWISIN) 랜섬웨어의 등장과 글로벌 해킹그룹 랩서스에 의한 국내 제조업 대상 기밀자료 탈취 발생 등 우리 기업도 더는 산업기밀 탈취 해킹에 안전지대가 아니”라며 “산업기밀 탈취 해킹을 차단하기 위해서 기업은 전산보안 강화뿐만 아니라 기술·영업비밀자료의 보호체계 수립, 인력관리 등 산업보안과 융합해 입체적인 대응이 필요하다”고 산업기밀 유출 보안대책의 필요성을 강조 했다.[15]

앞서 살펴본 바와 같이, 다양한 국적 및 목적을 가진 APT 공격조직은 산업기밀자료를 절취하기 위해 지속적으로 공격을 시도하고 있다. 이러한 공격을 분석하는 모델링 기법도 발전하고 있는데, 대표적으로 록히드 마틴社에서 제안한 사이버 킬체인(Cyber Kill Chains)[1][2]과 비영리기업인 마이터(MITRE)에서 제안한 ATT&CK(Adversarial Tactics, Techniques, Common Knowledge) 프레임워크 등이 있다. 본 논문에서는 APT 공격 분석에 적합한 ATT&CK를 활용해서 한국을 대상으로 APT 공격으로 피해를 입혔던 Kimsuky, Lazarus, LAPSUS$ APT 해킹조직의 공격수법을 분석하고, 그에 따른 보안시스템 운영자 또는 보안조직이 추가적으로 수행해야 하는 보안 요구사항을 도출하고 프레임워크를 제안 한다. 대표적인 보안요구사항에는 소속 기업에서 사용중인 시스템의 계정정보 및 탈취당한 문서가 다크웹에서 거래되고 있는지 여부와 쇼단(shodan.io) 등의 시스템 검색엔진에서 소속기업의 시스템이 공격대상 목표로 노출되어 있는지를 주기적으로 모니터링하고 APT 조직이 보안시스템을 우회하기 위해 사용한 공격기법 중 패턴을 갖는 문자열을 주기적으로 탐지패턴에 추가 후 모니터링하는 방법등이 있다.

본 논문의 구성은 다음과 같다. 제2장에서는 Lockheed Martin사의 사이버 킬 체인과 MITRE사의ATT&CK 관련 기본 개념을 살펴보고 제3장에서는 대표적인 APT 공격조직의 공격을 ATT&CK 프레임워크에 맞춰 분석해서 각 조직별 공격전술 및 기술을 비교해 보았으며, 제4장에서는 제3장에서 분석한 결과와 실제 사이버 보안 영역에서 이뤄지고 있는 해킹기법을 조합해서 기업에서 현재 운용중인 보안시스템 또는 보안조직에서 갖추어야 할 추가적인 보안요구사항을 도출하고 산업기밀 유출 방지를 위한 보안 프레임워크를 제안하였다. 마지막으로 제5장에서는 향후 연구의 발전방향을 서술 한다.

2. 관련 연구

2.1 사이버 킬 체인(Cyber Kill Chain)

사이버 공격을 체계적으로 분석하는 분석 툴은 다양하게 존재하는데, 다양한 분석 툴 중에서 록히드마틴 社가 개발한 사이버 킬체인(Cyber Kill Chain)과 MITRE에서 개발한 ATT&CK가 많이 활용되고 있다.

먼저, 사이버 킬체인은 미국의 방산기업인 록히드마틴社가 국방 분야에서 사용되는 개념인 킬 체인(타격순환체계)을 사이버 분야에 접목시켜 개발하였다.[1][2]

킬 체인 전략은 1991년 걸프전에 처음 등장했던 용어로, 이라크 군의 스커드 미사일을 방어하기 위한 선제 공격형 방어 전략으로 미사일 발사를 준비하는 정황이 포착되면 선제 공격을 통해 미사일 발사 자체를 저지하겠다는 개념[3]이다. 이후, 2009년에 록히드마틴 社는 자사에 유입되는 다양한 해킹 공격을 분석하고 대응전략을 발표한 백서[2]에서 침입 타격순환체계(Intrusion Kill Chain)이라는 용어로 소개하였고, 이후 사이버 킬 체인이라는 용어로 변경해서 사용하였다. 사이버 킬 체인은 정찰(Reconnaissance), 무기화(Weaponization), 유포(Delivery), 취약점 악용(Exploitation), 설치(Installation), 명령 및 제어(Command&Control), 목적 수행(Actions on Objectives) 등 총 7단계로 구성되어 있다.[4] 사이버 킬 체인을 활용하면 각 단계에서 최대한 신속하게 발견하고 연결고리를 사전에 차단한다면 다음 단계의 진행이 어려워지므로 보안을 유지할 수 있다는 개념이다. 그러나, 사이버 킬 체인은 각 단계에 따른 공격자의 행위를 시간의 흐름에 따라 분석한 것으로 각 단계별로 어떤 기술들이 활용되고 관련된 공격 도구나 해킹그룹 등에 대한 정보와의 연결고리를 파악하기 힘들다는 한계가 존재한다.[5][6]

또한, 외부 침입자만을 공격자로 간주하고 마련한 전략으로 내부자에 의한 침투나 공격자가 이미 내부망에 침투한 경우에는 분석에 한계가 있다. 이는, 사이버 킬체인에 새로운 전략 혹은 단계의 추가 적용이 필요함을 의미한다.[3]

이에 대한 보완책으로 활용할 수 있는 분석 툴이 MITRE ATT&CK이다.

2.2 MITRE ATT&CK

MITRE ATT&CK는 공격자의 실제 행위를 기반으로 공격 전술정보(Tactics)와 그 목적을 달성하기 위한 공격기술정보(Techniques) 및 그 공격방식을 달성하기 위한 상세 기법(Procedures)의 TTPs 모델을 이용한 프레임워크로, 기업의 전산망 침투 관련 14개의 공격 전술정보와 193개의공격기술정보및42개의공격완화정보(Mitigations)를 지원[7]한다. 또한, 모바일 및 ICS(산업제어시스템) 관련 공격 전술정보, 공격 기술정보 및 공격 완화 정보도 각각 제공[6]하고 있다. ATT&CK의 또 하나의 장점은 운영체제별(Windows, macOS, Linix), 운영환경별(Cloud, Network, Containers)로 다양한 공격기술을 분석할 수 있도록 맞춤형 분석 프레임워크를 제공한다. 따라서, 본 논문에서는 현실 세계에서 발생하는 다양한 APT 공격 분석을 분석함에 있어 사이버 킬 체인 보다 효율적이고 효과적인 ATT&CK 프레임워크를 활용한다. ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)는 실제 사이버 공격 사례를 관찰한 후 공격자가 사용한 악의적 행위(Adversary behaviors)에 대해서 공격전술(Tactics)과 기술(Techniques)의 관점으로 분석하여 다양한 공격그룹의 공격기법을 분류해서 목록화해 놓은 표준적인 데이터의 집합[7]으로 볼 수 있다. 초창기의 ATT&CK는 MITRE에서 MS의 윈도우 운영체제를 사용하는 기업의 해킹 공격에 대해서 전술(Tactics), 기술(Techniques), 절차(Procedures) 등 TTPs를 문서화하는 것으로 시작되었으며 이후 공격자로부터 발생한 일관된 공격 행동 패턴에 대한 분석을 기반으로 TTPs 정보를 매핑하여 공격자의 행위를 식별해 줄 수 있는 프레임워크로 발전하였다. 2016년 7월 처음으로 체계적으로 정리하기 시작하였으며 2018년 1월에 정식 버전1을 공개한 이후 2023년 5월 기준으로 버전 13.1까지 지속적으로 업데이트 되고 있다.[8]

ATT&CK에서 사용하는 공격전술 14개는 <표 1>과 같으며, 각각의 목적을 달성하기 위한 공격 기술이 존재한다. 이와 같이, ATT&CK는 실제 APT 그룹의 해킹전술 및 기법을 분석하고 도식화할 수 있으므로 공격의 흐름 및 프로세스 관점에서 개념단계로만 기술되었던 사이버 킬 체인 모델의 약점을 보완하였다.

<표 1> ATT&CK 공격 전술 및 설명

ATT&CK에서사용하는공격전술14개는<표1>과같으며, 각각의 목적을 달성하기 위한 공격 기술이 존재한다.

이와 같이, ATT&CK는 실제 APT 그룹의 해킹 전술 및 기법을 분석하고 도식화할 수 있으므로 공격의 흐름 및 프로세스 관점에서 개념단계로만 기술되었던 사이버킬 체인 모델의 약점을 보완하였다.

3. MITRE ATT&CK 기반 APT 공격 분석

3.1 Kimsuky 사례

Kimsuky APT 공격조직은 2010년경부터 우리나라의 국방부와 통일부 등 정부 부처 및 유관기관을 해킹해 사회기반 시설, 탈북자 등의 관련 자료를 빼낸 북한 해킹조직의 이름으로, 지난 2013년 러시아 정보보안업체 Kaspersky가 해커의 이메일 계정인 ‘김숙향(kimsukyang)’이라는 이름으로 보고서를 발표하면서 알려졌다. 이후 한국수력원자력(2014.12), 한국원자력연구원(2021.6), 서울대병원(2021.7), 한국항공우주산업, 한국핵융합연구원, 한국항공우주연구원(2021.7) 등 다양한 한국의 기관을 해킹하였다.[17]

3.2 Lazarus 사례

라자루스(Lazarus) APT 공격조직은 2009년 트로이 작전(Operation Troy)을 시작으로 지금까지 활발히 활동중이다. 2009년부터 2014년에는 한국과 미국을 집중적으로 공격하였다. 2013년 7월 8일, 미국 보안회사 맥아피(McAfee)는 2009년부터 한국에서 발생한 트로이 작전해킹이 한국군과 주한미군을 타깃으로 한 조직적이고 지속적인 사이버 공격 시도로 분석하였다. 트로이 작전이라고 명명된 악성 맬웨어(Malware)가 최소한 4년 이상 한국 정부와 군대의 컴퓨터들을 감염시킨 후 ‘미국 육군’, ‘비밀’, ‘키 리졸브 작전’, ‘합참 직원’ 등의 용어로 군사기밀을 검색, 수집하였다. 보고서를 작성한 맥아피 수석연구원 라이언 셔스토비토프는 “이것은 단순한 공격이아닌 군사 간첩 행위”라고 말하였다.[18] 2015년 이후에는 금전적 수익을 목적으로 공격 범위를 넓히고 있다. 일각에서는 ‘히든 코브라(Hidden Cobra)’라고 부르기도 한다. 또한, 2018년 미 FBI는 라자루스 그룹 일원인 북한인 ‘박진혁’을 컴퓨터 사기 혐의로 기소하였다.

3.3 LAPSUS$ 사례

LAPSUS$ 해킹조직은 2021년 브라질 보건청 해킹을 시작으로 2022년에는 글로벌 기업인 Okta, Nvidia, 삼성, LG전자, T-Mobile, 마이크로소프트, 우버 등 다수의 기업을 해킹해서 수집한 다량의 정보를 판매했으며, 2022.3.24. 영국에서 7명의 조직원들이 체포되었다.

3.4 APT 그룹별 공격전술 및 기술 비교

APT 공격조직은 각 조직별로 공격전술에 활용한 방법들에 있어서 세부적으로는 다양한 차이가 있음을 확인할 수 있다. <표 2>는 ATT&CK의 14개 공격전술별로 Kimsuky, Lazarus, LAPSUS$의 특성을 분류하였다.

<표 2 APT 공격조직별 공격전술 및 기술 비교

SOBTCQ_2023_v23n4_33_5_t0001.png 이미지

4. 산업기술 유출방지를 위한 보안 프레임워크

4.1 APT 공격 대응을 위한 보안 요구사항

각 공격전술별 해킹조직의 공격 방법을 분석해서 <표 3>과 같이 보안 요구사항 26개를 도출하였다. 도출한 보안 요구사항은 시스템으로 구현 가능한 기술적(Technical, T로 표시) 방안 외에도 직원 인식 교육 등의 관리적(Administritive, A로 표시) 방안 및 물리적(Physical, P로 표시) 방안도 함께 고려하였다.

<표 3> 공격전술별 보안요구사항 분석

SOBTCQ_2023_v23n4_33_6_t0001.png 이미지

보안 요구사항을 도출할 때 효율적이고 효과적인 보안대책을 수립하기 위해서는 기술적, 관리적 보안방안 외에도 물리적인 보안방안을 동시에 고려하여야 한다. 물리적 보안대책을 고려해야 하는 이유는 다음과 같다. 공급망(Supply Chain) 보안 관련해서 APT 공격조직은 타깃 기업에 직접적인 침투가 어려운 경우에 타깃 기업에 소프트웨어를 공급하거나 유지보수를 담당하는 외부업체를 해킹 한 후 경유지로 악용해서 목표하고 있는 타킷 기업에 접근하는 경우이다. 주로, 유지보수에 활용하는 노트북이나 USB 메모리 장치에 악성코드를 은닉시킨 후 타깃 기업의 PC 또는 서버 등의 자산에 연결할 경우 악성코드에 감염시키는 기법을 악용한다. 이에 대한 대표적인 사례로는 2011년 농협 전산망 해킹사고가 있다. 2011년 4월 12일 농협 서버 587대 중 273대가 피해를 입은 초대형 금융사고로 APT 공격조직은 7개월 동안 유지보수 업체(IBM) 직원의 노트북을 감시하고 있다가 농협전산망에 연결되는 순간 서버 삭제 명령어를 전송하는 방법을 사용하였다.[12] 따라서, 이러한 유형의 APT 공격을 방어하기 위해서는 유지보수 목적으로 반입하는 내외부 직원의 USB나 노트북에 대한 반입통제 및 반입 전에 악성코드를 검사하고, 스마트폰 테더링, LTE 라우터 등의 인터넷 연결이 가능한 통신장비 반입여부 등을 점검하는 물리적인 절차도 추가 및 강화해야 한다. 본 논문에서는 관리적 방안 3개(SR-3, 19, 25), 물리적 방안 3개(SR-6, 8, 10) 및 기술적 방안 20개(SR-1, 2, 4, 5, 7, 9, 11, 12, 13, 14, 15, 16, 17, 18, 20, 21, 22, 23, 24, 26) 등 총 26개의 보안요구사항을 도출하였다.

4.2 산업기밀 유출 방지를 위한 보안 프레임워크

APT 공격조직의 공격 행태 분석을 통해 보안 요구사항 26개를 도출하였으며, 이를 기반으로 보안 프레임워크를 제안하고자 한다. 보안 프레임워크를 구현함에 있어, 기술적인 방안 외에도 직원 보안 교육 등의 관리적 방안 및 물리적 방안도 함께 고려하여야한다. 관리적, 물리적, 기술적 강화방안을 적용한 보안 프레임워크는 (그림 1)과 같다.

SOBTCQ_2023_v23n4_33_7_f0001.png 이미지

(그림 1) 보안 프레임워크

4.3 보안 아키텍처 구현 방안

앞에서 살펴본 보안 요구사항을 충족시키기 위한 시스템이나 솔루션은 기존에 기업에서 보유하고 있는 경우도 있다. 따라서, 신규 시스템을 도입 또는 구축시 회사 보유 시스템과 연동 가능하도록 구현하여야 한다.

(그림 2)와 같이 TO-BE 아키텍처 구현에 사용되는 관련 시스템을 살펴보면 다음과 같다. 첫 번째로, 보안에 취약한 원격접속(Telnet, RDP, VNC, Teamviewer 등)을 대체할 원격접속 서버(Remote Access Server)를 도입한다. RAS는 내외부에서의 모든 원격 접속은 RAS를 통해서만 접속하도록 접속지점을 단일화하여, 사용자의 행위를 실시간 모니터링하고 이상징후 발견시 세션을 차단하는 등의 Active한 보안정책을 적용해야 한다.

SOBTCQ_2023_v23n4_33_7_f0002.png 이미지

(그림 2) TO-BE 아키텍처 구성도

두 번째로, 피싱메일에 효과적으로 대응하기 위해 이메일의 모든 내용을 텍스트로 변환해서 사용자에게 전송해 줌으로써 피싱 URL을 클릭할 수 없도록 원천봉쇄하는 시스템을 구축 또는 적용하여야 한다.

세 번째로, 다크웹 및 인터넷에서 유통되는 기업의 정보를 실시간으로 모니터링할 수 있는 OSINT(Open Source Intelligence) 관리시스템을 구축하는 것이다. OSINT 관리시스템에서는 주기적(매일 또는 시간 단위)으로 OSINT 사이트에 접속해서 회사의 중요 정보(시스템접속 정보, 사용자 계정 정보 등)가 유통되고 있는지를 집중 모니터링한다. 네 번째로, 회사의 모든 시스템의 소스코드는 Secure Coding 진단 S/W를 활용해서 취약점을 진단하고, 비밀번호를 주기적으로 점검해서 유추하기 쉬운PW는 변경하도록 하는 등의 적극적인 보안활동을 전개하는 것이다. 또한, DMZ 서버 및 내부망PC 등에 악성코드를 탐지하고 차단하는 EDR(Endpoint Detection & Response)을 설치하는 것이다.

5. 결론

지능형 지속위협(APT) 공격조직들은 산업기밀을 보유한 기업이나 기관을 해킹, 국가적으로 중요한 산업기밀을 탈취해서 제3국에 판매하거나 기술격차를 줄이는데 활용하므로, APT 공격조직에 대한 방어체계 구축은 국가안보차원에서 접근이 필요하다. 그러나, 방어자 입장에서 고도화된 공격을 모두 방어하기에는 분명한 한계점이 존재한다. 이러한 한계점을 극복하기 위해 본 논문에서는 우리나라를 대상으로 APT 공격을 감행한 3가지 조직의 공격 수법을 ATT&CK 툴로 분석하였다.

조직별로 공격 유형 및 공격방법을 교차 분석하였으며, 그에 따른 방어자 입장에서의 보안 요구사항(SR, Security Requirements) 26개를 도출하였다. 도출된 보안요구사항은 관리적, 물리적, 기술적 방안으로 구분해서 보안대책을 수립할 수 있다.

또한, 각 보안 요구사항 별로 보안대책을 매핑하는 보안프레임워크를 제안하였고, 이를 기반으로APT 공격에 효과적으로 대응하기 위한 신규 시스템 도입 또는 구축방안도 제안하였다. 본 논문은 보안시스템 개발 및 운영자들이 기업의 산업기밀 유출 방지를 위한 보안업무에 실질적으로 활용할 수 있도록 현재의 기술로 구현 가능한 시스템으로 구성하였다. 한편, 본 논문에서 도출한 보안요구사항, 보안프레임워크 및 시스템 구축 방안이 APT 공격을 방어하는 절대적인 방법이 될 수는 없으나, APT 공격조직의 공격 행태는 유사한 방법으로 진행된다는 점에 착안해서 주기적으로 공격 방법 등을 분석해서 모듈 형태로 본 프레임워크에 추가 한다면 각종 해킹 공격에 효과적으로 대응할 수 있다고 생각한다.

향후, 이 논문을 기반으로 각종 사고사례를 통해 실체가 파악된 다양한 APT 공격조직의 고도화·지능화된 공격을 ATT&CK 툴로 분석해서 보안 요구사항을 도출 한 후 보안대책을 마련하는 추가적인 연구가 필요하다.

참고문헌

  1. LockheedMartin, "Seven Ways to Apply the Cyber Kill Chain with a Threat Intelligence Platform", lockheedmartin.com, 2015.
  2. Eric M. Hutchins, "Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains", www.lockheedmartin.com, 2011.
  3. 윤영인, 김종화, 이재연, 유석대, 이상진, "APT 공격 사례 분석을 통한 사이버 킬체인과 TTP에 대한 연구", 융합보안논문지, 제20권, 제4호, pp92-99, 2020. https://doi.org/10.33778/kcsa.2020.20.4.091
  4. Jung-Sik Lee, Sung-Young Cho, Haeng-Rok Oh, Myung-Mook Han, "A Study on Defense and Attack Model for Cyber Command Control System based Cyber Kill Chain", Journal of Internet Computing and Services(JICS), pp.41-50, 2021.
  5. 안명길, 이정륜, "사이버전투실험분석을위한MITREAT T&CK기반의시스템구성및방법론연구", 한국컴퓨터정보학회논문지, vol.25, no.7, 통권197호, pp.31-37, 2020.
  6. 안광현, 오재헌, 여서래, 박원형, "MITRE ATT&CK 기반 산업기술유출 방지 프레임워크 기술", 정보보호학회지, Vol. 21, Issue 3, pp.29-38, 2021.
  7. MITRE, https://attack.mitre.org/.
  8. https://github.com/mitre/cti/releases/.
  9. Kimsuky, https://attack.mitre.org/groups/G0094/.
  10. Lazarus, https://attack.mitre.org/groups/G0032/.
  11. LAPSUS$, https://attack.mitre.org/groups/G1004/.
  12. 전성철, "검찰 농협 해킹, 北정찰총국이 7개월간 준비", 동아일보, 2011년 5월 4일.
  13. 서지민, "KAI, 해킹 수사 의뢰...'K-2' 설계도면 유출 가능성", 시사저널, 2021년 6월 30일.
  14. 오수진, "북해커조직'김수키' 블랙리스트올랐다... 위성.군사기밀 해킹", 연합뉴스, 2023년 6월 2일.
  15. 김영명, "민.관.학, '산업기밀 탈취 해킹' 공동대응방안 마련한다", 보안뉴스, 2022년 12월 15일.
  16. 장용석, "원자력硏12일간 해킹 노출...대우조선해양 '암호화폐' 협박까지", 뉴스1, 2021년 7월8일.
  17. 박형주, "한국방산기관'북한해커'에잇따라뚫려... "한국군사.기술력파악시도"", VOA, 2021년7월9일.
  18. 정의식, 美보안회사 '맥아피',"2009년부터 한국 해킹한 세력 포착", CNBNews, 2013년 7월 9일.