실행 코드 없는 JSONL 기반의 다단계 침입 시뮬레이션 프레임워크 구현

Running a Full Multi-Stage Intrusion Simulation. Every Detection Fired.

GnomeMan42012026년 5월 22일8분advanced

AI 요약

Context

실제 공격 코드를 실행하는 방식의 침입 테스트는 시스템 파괴 위험과 보안 정책 위반 가능성을 내포함. 기존의 탐지 시스템 검증 과정에서 실제 페이로드를 실행하지 않고도 탐지 엔진의 유효성을 정밀하게 테스트할 수 있는 안전한 방법론이 필요함.

실행 가능한 코드를 완전히 배제하고 행동 시그니처와 Telemetry 패턴만을 생성하는 Inert Simulation 아키텍처 설계
각 공격 단계를 독립적인 Behavioral Simulation Module로 구성하여 MITRE ATT&CK 매핑 및 탐지 기대치(Expectation) 관리
JSONL 형식의 합성 아티팩트를 생성하여 SIEM 및 Sigma rule 엔진이 처리 가능한 데이터 포맷으로 표준화
simulation_only: true 및 executable: false 등 엄격한 Safety Contract 필드를 통해 데이터 레벨에서 실행 가능성을 차단
공격 단계별 Stealth Score를 부여하여 탐지 난이도에 따른 행동 패턴의 가시성 차이를 모델링
C2 Beacon의 Jitter 적용 및 프로세스 Masquerade의 행동 불일치(Behavioral Variance) 모사로 정교한 탐지 시나리오 구성

실천 포인트

1. 탐지 룰 검증을 위해 실제 공격 도구 대신 합성 Telemetry 생성기를 통한 Regression Test 도입 검토

2. MITRE ATT&CK 프레임워크 기반의 단계별 탐지 기대치 정의 및 Coverage Gap 분석 수행

3. Sigma rule 등 표준화된 탐지 언어를 활용하여 시뮬레이션 데이터와 탐지 로직 간의 매핑 최적화

태그