[KOR] 정보보안에서 레드팀이란

들어가며


최근 취득한 ZeroPointSecurity 사의 Red Team Operator (RTO) 자격증 리뷰를 적으려다 우리나라에서는 아직 레드팀이라는 개념이 생소하다는 것을 알았다. 그래서 자격증 리뷰는 나중에 적고 (영어버전은 여기 - https://blog.sunggwanchoi.com/red-team-ops-course-review/), 이 글에서는 레드팀에 대해서 설명한다.

이 글에서는 레드팀에 대한 개념, 역할, 그리고 목표에 대해 설명한다. 원래 개념 설명을 할 때는 먼저 정의를 내린 뒤, 간단하게 설명을 하는 것을 좋아하지만 이 글에서는 좀 다르게 접근해보려고 한다. 워낙 레드팀이라는 개념이 모의해킹과 밀접한 관계를 맺고 있기 때문에 모의해킹과 레드팀의 차이점을 알아본 뒤, 본격적인 개념설명에 들어간다.

모의해킹 vs 레드팀

레드팀 (Red Team/Red Team-ing)은 같은 조직안에서 모의 적군의 입장을 갖고 현 조직내의 보안적 문제점이 무엇인지 살펴보는 팀을 일컫는다. 현대 레드팀의 기원은 냉전 시대때의 정보기관 및 정보공동체 (Intelligence Community) 에서 시작됐다고 한다. 정보보안 관점에서의 레드팀은 정보기관에서 먼저 시작된 것으로 알고 있지만, 2010년대 초중반서부터는 일반 보안 업계에서도 보이는 서비스의 한 종류가 됐다.

이미 모의침투테스트, 그리고 모의해킹을 진행하고 있는데 왜 레드팀이라는 또 다른 개념이 필요한 걸까? 보안에 관심이 높아지면서 다양한 법과 컴플라이언스를 통해 모의해킹에 대한 수요가 높아졌다. 하지만 현재 국내외에서 이뤄지고 있는 모의해킹은 단편적이고 파편화되어있다. 예를 들어 미국내의 모의해킹 종류는 다음과 같다:

  • 웹 어플리케이션
  • 모바일 어플리케이션
  • 클라우드
  • 외부 모의해킹 (파라미터, 다크웹)
  • 내부 모의해킹 (액티브 디렉토리, AAD, 하이브리드 클라우드)
  • 하드웨어 + 펌웨어
  • 스카다 (SCADA) 시스템 및 오퍼레이셔널 테크놀로지 (OT - Operational Technology) - PLC, 댐, 발전소, 공장 등
  • 소셜 엔지니어링 - Vishing, 피싱
  • 물리적 모의해킹 - (락픽으로 문따고 건물 진입 후 와이파이 해킹 + 백도어 설치 등)
  • 메인 프레임 모의해킹
  • 소스 코드 리뷰

다 실제로 회사에서 테스터들이 계약을 맺고 진행하는 모의해킹 종류들이다. 이 중 국내에서는 웹과 모바일이 특히 더 활성화되어 있다고 들었다. 위 리스트들을 살펴보면 모의해킹 서비스는 상당히 세분화 되어있다. 보안이라는 큰 문제를 해결하기 위해 분할 정복 (Divide and Conquer) 전략을 사용하는 것은 어찌보면 당연해보인다.

모의해킹의 한계, 문제, 그리고 질문


공격자들은 실제로 공격을 할 때 분할 정복 전략을 사용하지 않는다. APT 공격자들은 모바일 먼저 공격하고, 모바일 끝나면 웹앱 공격하고, 웹앱 끝나면 피싱 공격하고, 이렇게 세분화되고 순차적인 공격을 하지 않는다. 공격자들은 동시 다발적으로 공격 표면(Attack Surface)들을 공격한다. 1개의 공격 표면을 장악한 뒤, 다른 공격 표면으로 횡적이동을 한다. 피싱과 외부 경계 보안을 통해 내부망으로 진입한 뒤, 내부망 해킹을 통해 도메인을 장악하고, 클라우드 데이터베이스 서비스를 통해 데이터를 훔친 뒤, 모바일 어플리케이션을 통해 데이터를 빼내올 수 있다.

기술의 발전을 통해 더 많은 공격 표면이 생겨나고 네트워크의 경계가 없어지면서 모든 보안인들은 한번쯤 이 질문을 떠올렸을 것이다:

“실제로 우리가 공격을 받았을 때, 우리는 그 공격에 대한 대처를 할 수 있을까?”

  • 공격을 받고 있다는 사실을 알아차릴 수 있을까?
  • 어떤 자산이 공격받고 있는가? 이를 모니터링 하고 있나? 인력은?
  • 누가, 누구에게, 어떻게 보고를 해야할까?
  • 법 집행기관 (Law Enforcement) 한테 신고해야할까? 계약을 맺고 있는 MSSP 회사한테 전화해야하나? 이메일? 채팅? 경찰서에 뛰어가야되나?
  • 데이터 백업은 어떻게 진행해야할까?
  • 언론사가 들이닥치면 어쩌지?
  • 누가 어떤 일을 해야할까?
  • 나는 어떤 일을 해야할까?

수십, 수백가지의 질문들이 떠오른다. 여기서 가장 중요한 점은 “우리” 다. 실제로 공격이 일어날 때, 회사 내 IT팀, 보안팀, 비-기술적 팀, 즉, 직원들이 뭘 어떻게 할지 알고 있는지, 모르는지, 이것조차 모르는 경우가 많다. 공격 대처 프로세스나 메뉴얼을 가지고 있는 회사라도 한번도 실제 상황을 경험해보지 못해 해당 프로세스나 메뉴얼이 실용적인지 모르는 경우도 있을 것이다.

축구를 잘하려면 슈팅, 패스, 드리블과 같은 기술적인 훈련을 하는 것이 중요하다. 하지만 그보다 더 중요한 것은 실제로 축구 경기를 뛰어보는 것이다. 어쨌든 축구를 잘하게 되려면, 축구를 해봐야할 것이 아닌가. 배운 훈련을 실제 상황에 적용하는 것, 팀워크, 그리고 경험은 축구 경기를 뛰어보지 않는 이상 절대로 훈련만을 통해 쌓을 수 없는 것들이다. 월드컵이 오기전 4년 내내 슈팅, 패스, 드리블만 훈련하는 축구팀은 없을 것이다.

IT 보안의 블루팀 또한 마찬가지다. 매일 방화벽 설정, 솔루션 설정, 개인정보보호법, 망분리 등에 대한 기술적인 일을 진행하면 그와 관련된 지식을 쌓을 수 있다. 하지만 실제로 공격이 일어날 때, 그리고 일어난 후, 수십, 수백명이 어떻게 대처를 해야하는가는 축구처럼 “연습 경기”를 통해서만 알아낼 수 있다. 요즘에는 “사이버 모의 훈련” 이라고 해서 “사이버 레인지 (CyberRange)” 라는 가상 인프라에서 이런 훈련을 진행한다. 하지만 30~50대 호스트를 방어하는 레인지와 실제 우리 회사의 인프라 속 수천, 수만대의 호스트와 수백개의 네트워크를 방어하는 경험은 비교가 불가능하다. 그리고 이 경험을 도와주는 것이 바로 레드팀이다.

중간 정리

레드팀 서비스의 구성요소

목표 - 이 연습경기를 도와주는 것이 바로 레드팀이다. 보안업계에서 레드팀의 정의를 제각각이지만, 개인적으로 “사이버 공격 시뮬레이션” 이라는 정의가 가장 간단하고 잘 맞는 것 같다. 실제 공격자들이 실제 공격을 진행하는 것과 최대한 비슷하게 공격 시뮬레이션을 실행한 뒤, 고객사의 “사람”들과 “프로세스”가 이에 어떻게 대처하는지, 부족한 점은 뭔지, 어떻게 더 발전할 수 있는지에 대해 평가를 도와주는 것이 레드팀이다.

스코프와 규칙 - 레드팀의 시뮬레이션은 실제 공격자들처럼 똑같이 이뤄진다. 피싱, 외부 침투, 내부 침투, 모바일 어플리케이션 리버싱, EDR 우회, 내부망 횡적이동, 소셜 엔지니어링, 물리적 침투 등, 정해진 스코프 없이 공격을 진행한다. 스코프 및 규칙 (Scope / Rules of Engagement)은 최소한으로 적용된다. 소셜 엔지니어링, 피싱, 리버싱, 제로데이, 커스텀 툴, 다크 웹 등, 모두 사용 가능하다. 공격의 처음부터 끝까지, 정해진 스코프와 규칙 없이 진행되는 레드팀의 시뮬레이션은 실제 공격과 매우 흡사하게 이뤄진다 (당연히 상식적인 규칙은 존재한다).

과정 - 레드팀의 공격 과정 또한 실제 공격과 흡사하다. 프로젝트는 대부분 1~2달동안 이뤄진다. 레드팀에게 주어지는 정보는 대부분 고객사의 이름 밖에 없다. 정보 수집을 진행하고, 경계 보안 취약점을 발견하거나 소셜 엔지니어링을 진행한다. 모바일 어플리케이션 리버스 엔지니어링 또한 가능하다. 피싱을 진행한다면 도메인, 이메일 서버, CDN, 피싱 서버 들을 만든 뒤 계정 탈취를 진행하거나, 커스텀 페이로드 제작을 한다. 만약 경계 보안이 너무 좋고 피싱에 전혀 안당하는 고객사가 있다면 assumed breach - “이미 침해 당했다고 치고” 시나리오로 넘어간다. 그 이후에는 C2 구축, 권한 상승, 탐지 우회, 횡적이동, 도메인 장악, 목표 달성 및 데이터 유출 과정을 밟는다.

프로젝트 목표 - 또한 최대한 현실적인 공격 “목표”를 지정한다. 예를 들어 은행이라면 백엔드 swift 인프라에 접근이 가능한가? SaaS 회사라면 코드베이스를 유출할 수 있는가? 핀테크라면 카드정보를 유출할 수 있는가? 등등. 물론 실제로 데이터를 유출하지는 않고, 고객사측에서 더미 파일/데이터를 만든 뒤 중요 서버에 심어놓고, 레드팀이 해당 데이터를 찾아 유출해내는 것을 목표로 삼는다.

현실성 - 고객사와 프로젝트마다 다르겠지만, 고객사의 CISO 및 최소한의 인원 외에는 레드팀 서비스 실행 여부를 얘기 안하는 경우도 있다. 사실상 고객사 IT/보안팀은 실제 공격 상황을 경험하는 것이다. 그리고 이 시뮬레이션을 통해 고객사의 IT팀, 보안팀, 기술팀, 비-기술팀들이 실제 상황과 매우 비슷한 시나리오에서 어떻게 반응하는지를 평가한다. 공격을 감지할 수 있는가, 대처는 되는가, 정해진 프로세스를 실행하는가, 보고 및 커뮤니케이션이 이뤄지는가, 공격 후 사후 평가가 이뤄지는가 등등.

물론 레드팀 서비스 실행 여부를 알려주거나, 오히려 블루와 레드가 같이 일하는 퍼플팀 서비스를 요구하는 고객사도 있을 것이다. 이는 고객사의 목표와 CISO의 결정에 따라 다르다.

최종 결과물 - 공격 시나리오가 끝난 뒤에는 당연히 레드팀의 존재를 알린 뒤 고객사 블루팀과의 미팅을 통해 디브리핑을 진행한다. 어떤 공격을 어떤 툴을 이용해 어떻게 진행했는지, 블루팀은 이를 탐지 했는지, 이 탐지를 어떻게 우회했는지, 대처를 잘했는지, 부족한 점은 뭐였는지 등등을 양 팀쪽에서 서로서로 도와가며 진행한다. 마지막으로 레드팀은 정보수집, 공격, 탐지 우회, 횡적이동, 데이터 유출, 목표 달성 등의 단계와 사용된 기법, 취약점들을 정리한 레드팀 보고서를 전달한다.

누가 레드팀 서비스를 받아야할까?


모든 고객사들이 레드팀 서비스를 받을 준비가 된 것 아니다. 10인 중소기업이 레드팀 서비스를 받는 것은 말이 안될 것이다. 다음과 같은 보안적 수준에 도달한 기업들은 레드팀 서비스를 고려해볼법하다:

  1. 회사내 지정된 IT팀과 보안팀이 존재한다
  2. 정기적인 웹, 모바일, 외부, 내부 모의해킹 서비스를 받고 있으며, 왠만큼 치명적인 취약점들이 더이상 발견되지 않는다
  3. 실제로 개발팀과 IT팀이 취약점들을 능동적으로 고치고 있다
  4. 취약점 스캐너를 정기적으로 사용하거나, 관련된 서비스를 받고 있다
  5. 회사 및 업계를 노리는 APT 그룹 및 공격이 존재한다
  6. 회사의 가장 중요한 자산이 뭔지 특정할 수 있으며, 이를 보호하거나 모니터링 하는 프로세스가 존재한다. 하지만 이를 시험하고 싶다

위 요소들을 어느정도 충족하는 고객사는 매우 찾기 어렵다. 따라서 레드팀은 아직까지 프리미엄/틈새 (niche) 서비스로 취급된다. 레드팀 서비스는 다른 오펜시브 시큐리티 서비스들을 보완해주는 프리미엄 서비스지, 절때로 모의해킹이나 취약점 점검을 대체하는 “더 우월한” 서비스는 아니다.

시장 트렌드


보안 업계는 젊다. 보안 업계중에서도 오펜시브 시큐리티 서비스는 더 젊다. 1세대 모의침투테스터들과 사회초년생인 내가 같은 팀에서 일하고 있으니 말이다. 오펜시브 시큐리티 서비스들 중 레드팀은 정말로 시장에 나온지 얼마되지 않은 서비스다.

애당초 2010년대 초중반의 stuxnet 폭로, Snowden 사건, WannaCry/NotPetya 및 랜섬웨어 시대가 도달하기 전까지 정보보안은 크게 관심을 받지 못하는 업계였다. 왠만한 기업들은 보안팀은 커녕 회사 내 보안을 담당하는 정보보호담당자도 없었다 (심지어 2021년도 기준으로 지금도 그렇다!). 따라서 레드팀 서비스를 받을 만한 수준의 보안을 유지하는 회사는 적어도 2010년대 초중반 이전에는 거의 없지 않았을까 생각한다 (정보기관이나 국가기관이 아닌이상).

보안에 관련된 관심이 2010년대 중반부터 폭발적으로 늘어나면서 어느정도의 보안 수준을 갖춘 회사들이 생겨났고, 전통적인 모의해킹은 이런 회사들의 수요를 충족시키지 못하는 정도가 됐다. 따라서 레드팀 서비스가 시장에서 대중적으로 “팔리기” 시작한 것은 미국 기준으로 2010년대 중반 이후라고 추측된다.

유럽 연합의 중앙은행 (European Central Bank) 경우에는 2018년도 TIBER-EU 프레임워크를 도입해 기관들이 어떻게 레드팀 서비스를 받아야하는지에 대한 가이드라인을 제시하고 있다. 동시에 EU의 다른 은행들 또한 이 TIBER-EU 프레임워크를 따라가며 레드팀 서비스를 받고 있다.

미국의 경우 레드팀 서비스를 강제하는 법이나 컴플라이언스는 아직 개인적으로 못봤다. 하지만, 모의해킹을 추천/강제 하는 경우는 많다. 법, 규제, 컴플라이언스를 제외하고도 랜섬웨어와 코로나 시대 이후 IT와 보안에 관련된 관심이 급속도로 증가했다. 바이든 행정부가 들어선 뒤 나온 사이버보안 집행 명령(https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/) 은 좋은쪽으로 보안 업계를 뒤집어 놓았다 (동시에 매출을 늘려주었다.. 감사합니다)

전반적으로 보안을 갖추는 고객사들이 늘어나며 고객사들의 눈이 높아지게 됐고, 이는 레드팀 서비스의 수요 증가로 이어졌다. 적어도 내가 눈여겨 보고 있는 회사들의 레드팀들은 인력을 많이 충원하고 있음과 동시에 프로젝트가 밀릴 정도로 고객사들의 수요가 늘어나고 있다고 한다.

마치며

IT 업계는 끊임없이 변화하고, 보안 업계 또한 예외가 아니다. 오랜 시간 동안 등한시 되었던 보안 의 중요성이 드디어 조명받기 시작하며 이 변화는 더 극적으로 이뤄지고 있다. 이 변화에 발맞춰 새롭게 등장한 서비스가 바로 이 레드팀 서비스다. 앞으로 레드팀 서비스의 수요가 더 높아질지, 아니면 또 다른 마케팅 버즈워드 (buzzword)로 남을지는 모른다. 하지만 확실한 점은 보안에 관련된 관심이 늘어나고 있다는 점, 그리고 보안을 진지하게 고려하고 있는 기업들이 늘어나고 있다는 점이다. 그 관심속에서, 이 글이 조금이나마 도움이 되었으면 좋겠다.

Happy Hacking!

Show Comments