방법론 설명 + 경험 연결
위협 헌팅 수업에서 가설 기반 접근법(hypothesis-driven hunting)을 실습했습니다. 알려진 공격 패턴(ATT&CK 프레임워크)을 참고해 우리 환경에서 발생 가능한 기법을 가설로 세운 뒤, 로그에서 흔적을 찾는 방식입니다. 실습에서는 Splunk로 비정상 프로세스 실행 시간대와 네트워크 아웃바운드 패턴을 교차 조회해 의심 행동을 찾는 과정을 진행했습니다. 헌팅에서 가장 어려운 점은 정상 행동과 비정상 행동의 기준선을 잡는 것이라고 느꼈습니다. 기준선 없이는 이상 징후를 이상이라고 부를 수 없기 때문입니다. 앞으로도 위협 헌팅에서 환경별 기준선 파악과 가설 수립을 병행하는 방식을 유지하겠습니다. 앞으로도 위협 헌팅에서 환경별 기준선을 먼저 파악하고 가설 기반으로 로그를 탐색하는 방식을 유지하겠습니다.
ATT&CK 프레임워크는 어디를 볼지 방향을 잡아주지만, 기준선 없이는 이상을 이상이라 부를 수 없습니다. 도구는 방법론이 있을 때 의미를 가집니다.