들어가며

2025년, 드디어 국내에서도 레드팀(공격자 시뮬레이션)을 도입하는 대기업 및 보안 전문 업체들이 생겨나고 있다.

여전히 몇몇 의심스러운 "레드팀"(웹 모의해킹, "AI 레드팀") 채용 공고도 눈에 띄지만, 그래도 진짜 레드팀의 정의에 걸맞는 공고들도 보이기에 채용 기준에 대해서 한 번 글을 써봐야겠다고 생각했다.

레드팀이라는 개념 자체가 새롭기 때문에 많은 회사들이 어떤 인재들을 채용해야 할지에 대한 고민을 하고 있다. 꽤 많은 채용 공고는 예전부터 하던대로 CTF 대회 입상, 제로데이 취약점 및 CVE 소지자 등의 자격 요건들을 앞세워 인재들을 영입하고 있다. 국내에서 지난 20, 30년간 해커의 실력을 판단하는 기준과 잣대가 몇 없었으니 이해된다. 하지만 오펜시브 시큐리티 분야가 다양화 되고 심화됨에 따라, 실력 있는 레드티머를 선별하기 위한 채용 공고 및 자격 요건 또한 구체화될 필요가 있다.

따라서 이 글에서는 좋은 레드티머, 그중에서도 실제 오퍼레이션을 담당하는 오퍼레이터(Operator)를 뽑기 위한 몇가지 예시 채용 기준에 대해서 알아본다. 물론, 지극히 개인적인 의견이니 참고만 하시기 바란다.

기술, 소프트 스킬, 리더쉽, 그리고 Vibe

세부적인 기준을 논하기 전에 먼저 큰 개념들에 대해서 살펴본다.

보안 뿐만 아니라 IT에서 기술적인 직무와 관련된 채용 기준에서 공통적으로 보이는 핵심 역량들은 기술, 소프트 스킬, 리더쉽, 그리고 Vibe (바이브)다. 개발자부터 데브옵스, SRE, 시스템 관리자까지, 한국부터 미국까지, 전세계 모든 IT를 통틀어 가장 중요시 여기는 기준들이다. 레드팀 또한 예외가 아니다.

워낙 잘 알려진 역량들이라 간단하게 설명하고 넘어간다.

• 기술: 가장 중요하고도, 가장 기본적인 역량이다. 레드팀의 오퍼레이터부터 툴 개발자, 익스플로잇 개발자, 레드팀 리드까지, 레드팀과 관련된 모든 직무들은 기술베이스다. 깊은 기술적 경험(technical background)은 좋은 레드티머를 채용하는데 있어 가장 중요한 요소다.
• 소프트 스킬: 레드팀은 기본적으로 블루팀과 고객/대상을 위해 서비스를 제공하는 서비스 제공자다. 아무리 기술적인 직무이라고 해도, 보고서 작성, 브리핑, 디브리핑, 고객 응대, 취약점 사후 관리 등의 소프트 스킬은 필수적이다.
• 리더쉽: 수천, 수만명을 이끌어 나가는 그런 종류의 리더쉽 보다는, 능동적이고 자기 주도적인 성향을 갖고 팀을 이끌어나가는 리더쉽을 일컫는다. 그렇다고 해서 모든 레드티머들이 리더가 되야하는 것은 아니다. 팀에 잘 녹아들고, 팀을 생각하고, 팀 전체의 성장과 발전에 기여할 수 있는 그런 종류의 리더쉽 또한 필요하다.
• 바이브(Vibe): 일명 Culture Fit이다. 어쨌든 나와, 그리고 우리 팀과 하루에 8시간 이상, 잠재적으로 수천, 수만 시간을 같이 보낼 사람을 뽑는 것이다. 회사의 문화, 팀의 문화, 그리고 매니저의 성격과 잘 맞는 사람들을 뽑는 것이 중요하다.

소프트 스킬, 리더쉽, 바이브와 관련된 채용 기준 및 평가 방법은 굳이 이 블로그 글이 아니더라도 인터넷에 널려있다. 회사 인사과에는 신입 사원부터 은퇴할때까지 평생 저 셋에 대해 연구하고 경력/신입들을 채용하는 분들도 있다. 따라서 이 글에서는 어디서든지 쉽게 알아낼 수 있는 잘 소통하는 IT 경력직 뽑는 법이나 리더의 자질을 갖은 신입 뽑기 보다는, 레드팀과 관련된 기술적인 채용 기준에 대해서 알아본다.

이외 일반적인 채용 기준 - 이전 레드팀 경험, 커리어, 자격증, 등 - 은 너무 당연한 것이기 때문에 생략한다. 레드팀 자체가 신입이 할 수 있는 일은 아니고, 적어도 3년, 5년차 이상의 현업자들이 들어가는 분야기 때문에 커리어 관리, 회사의 명성, 투입된 프로젝트의 퀄리티 등은 당연히 좋아야한다.

분야 전문가

레드팀은 그 특성상 특정 분야에 강점을 가진 전문가들이 모여 구성되는 경우가 많다. 레드팀이 성숙하고 체계가 잡힐수록, 일반적인 제너럴리스트보다는 특정 분야에 특화된 스페셜리스트들이 모여 하나의 팀을 이루게 된다. 따라서 레드팀 채용에서는 다양한 기술 분야 - 웹, 모바일, 물리 침투, OSINT, 내부/외부망, AD, 툴 개발, 리버싱 및 익스플로잇 개발, VR, 클라우드, IAM/IdP 등 - 에서 최소 한두 가지 이상의 강점을 가진 인재를 선발하는 것이 일반적이다.

물론, 국내 레드팀은 아직 이 정도로 세분화되지 않았으며, 일반적인 레드팀 오퍼레이터를 채용할 때 요구되는 기술 분야는 비교적 정해져 있다. 예를 들어, 풀체인 레드팀을 수행하려면 공격자 인프라 구축, 페이로드 개발 및 난독화, 피싱, C2 프레임워크 활용 및 커스터마이징, AD 해킹, 클라우드 해킹 등의 기술이 필수적이다.

그러나 업계가 점차 성숙해질 것은 분명하기에 이 글에서는 장기적인 관점에서 우수한 레드티머를 선발하기 위한 기준과 분야별 전문가를 효과적으로 선별하는 방법을 다룬다.

하지만 "웹 잘하시는 분" 과 같이 추상적인 채용 공고를 낼 수도 없는 노릇이다. "잘하는" 해커, "실력있는" 레드티머의 기준은 어떻게 되는 것일까?

실력있는 레드티머

레드팀에서 말하는 전문성 있는 레드티머란 해당 기술 분야 및 보안 업계의 발전에 얼마나 기여했는가 - 를 일컫는다.

그 (개인적인) 기준은 다음과 같다:

1. 독창적인 연구를 통한 새로운(Novel)한 발견
2. 알려진 지식의 구현
3. 고도화 - 자동화, 최적화, 효율화, 문서화

이제 이 기준들에 대해서 본격적으로 알아본다. 해당 기준들에서 많은 예시를 들텐데, 나 자신이 AD, 윈도우 Internals 등에 관심이 많기 때문에 예시들이 좀 편향되어있다. 따라서 예시는 예시로 보고, 위에서 언급한 다양한 기술 분야 (웹, 모바일, 물리 침투, OSINT, 내/외부망, AD, 툴 개발, 리버싱 + 익스플로잇 개발 + VR, 클라우드, IAM/IdP)에 맞는 예시들이 또 있을테니 그 점에 유의한다.

1. 독창적인 연구를 통한 새로운 발견

특정 기술 분야에서 기존에 존재하지 않았던 새로운 기법, 툴, 익스플로잇, 프레임워크 등을 연구/개발하고, 이를 컨퍼런스, 블로그, 영상 등을 통해 공개한 경험이 있는가?

물론 태양 아래 새로운 것은 없다고, 완전히 Novel 한 발견은 없다. 이 글에서 지칭하는 새로운 발견은 학계의 논문처럼 문제를 인식하고, 이전에 존재하던 연구(Previous Research)를 바탕으로 본인만의 연구를 진행해 새로운 발견을 하는 것을 일컫는다. 대부분 이런 새로운 발견들은 보안 컨퍼런스에서 발표되는 경우가 많다(CTF 대회 여는 자리가 아니다...).

독창적인 연구를 통한 새로운 발견은 해커 마인드셋의 가장 근본이 되는 개념이다. 대상(개념, 운영체제, 프로토콜, 솔루션, 하드웨어, 생각할 수 있는 모든 것들)에 대한 깊은 연구를 진행하고, 문제점을 찾은 뒤, 이 문제를 해결할 수 있는 개념, 툴, 기법, 프레임워크를 개발한 뒤 발표하는 것이야말로 실력있는 레드티머를 판별하는데 큰 도움이 된다.

다음은 몇 가지 예시다:

• Mimikatz: 윈도우 LSA 서브시스템의 유저랜드 프로세스인 LSASS의 메모리안에 취약하게 보관되어 있던 계정 정보에 관련된 개념 및 툴을 Benjamin Delpy가 러시아의 한 컨퍼런스에서 2012년에 발표. 그 이후 윈도우 보안 뿐만 아니라 계정 정보, 후속 공격에 대한 정보보안 업계의 판도가 뒤바뀌었다.
• Cobaltstrike: Raphael Mudge가 2012년도에 공격자 시뮬레이션을 위해 개발하고 발표한 C2 프레임워크. 이 이후 정보보안 업계가 모의해킹, 공격자 시뮬레이션을 바라보는 시선이 완전히 바뀌었다.
• EvilGinx2: AitM 툴. 새로운 발견까지는 아니지만, 툴 자체가 워낙 잘 만들어졌고, AitM과 관련된 다양한 공격을 진행할 수 있었기 때문에 툴 공개 이후 AitM 피싱 공격과 관련된 업계의 관심이 폭발적으로 늘어났다. SaaS와 IdP 회사들은 피싱 공격에 대응할 수 있는 Phishing-Resistant 로그인 패널, 프로세스, MFA와 같은 다양한 방어 매커니즘들을 개발했다.

위 예시들은 너무 대단한 예시들이다. 우리 모두가 Benjamin Delpy, Raphael Mudge, Kuba Gretzky가 될 수는 없다. 따라서 아래는 몇 가지 현실적인 예시들이다:

• Kerberoasting: (개념은 생략한다) 현실적인 공격자의 입장에서 커버로스 프로토콜의 기본적으로 안전하지 않은 디자인을 악용한 공격 방법. Tim Medin은 2014년 AD 커버로스 프로토콜을 분석하고, 커버로스팅 기법을 만든 뒤, 공격에 사용될 수 있는 간단한 유틸리티 툴을 공개했다.
• Certified Pre-Owned: AD의 공개키 기반구조 서비스(ADCS)를 공격자들이 다양하게 악용할 수 있음을 세상에 알린 백서(Whitepaper)이자 블로그, 그리고 툴(Certify). 이 발표 이후 내부망 모의해킹 및 레드팀 업계는 ADCS라는 새로운 공격 경로 및 기법을 발견해 추가 연구를 진행한다.
• Cloudflare - BYTOB: 클라우드플레어사에서 터널링용으로 배포하는 무료 툴인 WARP의 오픈소스 코드를 뒤져본 뒤, 테스트 용도로 개발해놨던 "edge" 기능을 찾아 더블 터널링을 통해 원래 사용되는 포트 7844말고, 포트 443으로 아웃바운드 연결을 맺을 수 있다는 것을 찾아낸 것을 발표한 블로그 글.

가장 어려운 기준이다. 세상에 없던, 혹은 거의 알려지지 않았던 것을 발견하는 것은 엄청난 노력이 필요한 경우가 많다.

그렇다고 해서 너무 풀이 죽을 필요는 없는게, 모든 새로운 발견들이 엄청난 노력을 필요로 하는 것도 아니다. 예를 들어 마지막 예시(WARP)의 경우는 깃허브에서 소스코드를 한두시간 뒤져보면 찾아낼 수 있는 발견이다. 때로는 운이 좋을 수도 있고, 다양한 분야에 관심이 많은 사람일수록 새로운 발견을 더 자주 할 수 있다.

2. 알려진 지식의 구현

이미 존재하는 개념이나 지식등을 툴, 스크립트, 프레임워크 등의 형태로 구현 해본적이 있는가?

예를 들어 모두 "리눅스에서 윈도우 AD 관련된 공격을 할 수 있다면 참 좋을텐데" 라는 생각을 갖고 있다. 윈도우 AD와 관련된 공격을 원격으로 진행할 수 있도록 필요한 모든 프로토콜과 개념은 이미 마이크로소프트에서 인터넷에 공개해놨다. 이미 다 알려진 지식들이다. 하지만 이 지식들을 실체화해서 코드의 형태로 구현해본적이 있는가? Impacket 프로젝트는 실제로 구현했다. Impacket이 그 어려운 구현을 다 하고, 이를 라이브러리 (및 example 스크립트) 형태로 발표 했기에 이를 기반으로 수 많은 공격, 기법, PoC툴들이 개발 될 수 있었다.

이미 존재하는 개념이나 지식에 대해서 얘기하고 다니는 것은 너무나도 쉽다. 말은 진짜 너무 쉽다. "MFA를 뚫을 수 있는 방법이 있다", "LDAP 말고 ADWS 프로토콜로 AD 정보 수집이 가능하다", 등. 하지만 이 추상적인 지식을 실체화 해서 구현하는 것은 정말로 어렵다.

다음은 몇 가지 예시다:

• Soapy: X-Force Red 인턴이 만든, 파이썬을 기반으로 한 ADWS를 통한 AD 정보 수집 툴. 이미 ADWS에 관련된 지식과 공격자들이 이를 악용해 AD 정보수집을 할 수 있다는 것은 SOAPHound를 통해 잘 알려진 사실이였다(새로운 발견!). 하지만 이 지식을 파이썬으로 구현해 내부망 모의해커들이 더 사용하기 편하게 만든 것이 바로 이 Soapy다. 윈도우 네이티브가 아니라, 파이썬으로 ADWS 프로토콜을 다시 처음부터 구현을 했다는게 놀랍다.
• Ludus: Packer, Terraform, Ansible을 이용한 인프라 자동화는 이미 잘 알려진 개념이다. 아예 데브옵스 업계가 따로 존재할정도다. 하지만 이를 이용해 레드팀 테스트 환경을 손쉽게 구축할 수 있도록 구현한 사례다.
• ScreenshotBOF: "대상 컴퓨터에서 스크린샷을 찍을 수 있으면 좋겠다" 라는 생각은 누구나 가지고 있다. 윈도우에서 프로그래매틱하게 스크린샷을 찍는 방법 또한 마이크로소프트가 이미 WinAPI를 통해 구현해놨다. 하지만 이 지식을 BOF(Beacon Object File) 형태로 구현해 레드티머들이 손쉽게 스크린샷을 찍을 수 있도록 한 좋은 예시다.
• UUIDShellcodeExec: UUID와 콜백 함수를 이용한 쉘코드 실행 PoC 툴과 블로그 글. UUID를 이용해 쉘코드를 난독화 하고, 콜백함수를 이용해 쉘코드를 실행한다는 것은 잘 알려진 지식이다. 공격자들은 이 기법을 수년동안 악용했고, 이에 대한 분석 또한 많았다. 하지만 이를 처음부터 끝까지 알기 쉽게 정리한 글과 간단한 툴은 많은 레드티머들에게 도움이 되었다.

이처럼 알려진 지식을 구현하는 단계는 가장 기본적인 레드티머의 소양이라고 볼 수 있다. 오펜시브 시큐리티 일을 하면서 정말 많은 개념과 지식을 배우게 된다. 이 때 이 지식을 공격자의 입장에서 사용할 수 있도록 구현하는 것이 중요하다.

3. 고도화 - 자동화, 최적화, 효율화, 문서화

이미 존재하는 툴, 스크립트, 프레임워크, 개념등을 자동화, 최적화, 효율화, 문서화의 형태로 고도화 해본 적이 있는가?

레드팀 분야에서는 하루에도 수십개의 툴, 스크립트, 글이 쏟아지고 있다. 그리고 이 툴들을 그대로 사용하는 스크립트 키디가 되기 보단, 이를 고도화해 사용하는 것이야 말로 레드팀의 기본적인 역량이라고 할 수 있다.

가장 쉬운 일은 이미 사용하는 툴에 PR(Pull Request)를 넣는 것이다. 새로운 기능 추가, 버그 픽스, 효율화 등, 이미 사용하고 있던 오펜시브 시큐리티 툴을 더 좋게 만들고, 이를 다시 커뮤니티에 환원함으로서 기여하는 것이다.

PR뿐만 아니라 필요에 따라 커스텀 툴을 개발하거나, 유틸리티 스크립트를 제작하거나, 툴 난독화를 통해 탐지를 우회하는 등의 작업도 필수적인 역량이다.

문서화도 중요하다. 오펜시브 시큐리티 자체가 워낙 자잘한 개념들이 배워야하고, 끊임없이 변화하기 때문에 누군가는 이 모든걸 다 정리해서 기록해야한다.

다음은 몇 가지 예시다:

• Invoke-Mimikatz.ps1 Mimikatz가 계속 AV/EDR에 잡힌다면 Mimikatz를 난독화하거나, 아예 그 안의 소스코드를 변형시켜 더 효율적으로 방어 우회를 하도록 만들어야한다. 아니면 아예 쉘코드 형태로 만든다음에 파워쉘에 집어넣어 메모리상에서 실행하는 것은 어떨까? 여기에 AMSI/ETW 우회도 집어넣어보자.
• ObfuscatedSharpCollection: 레드팀 작전을 뛸때마다 수십개의 .NET 어셈블리들을 난독화 하는 작업이 너무 지겹다. Azure Devops Pipeline을 써서 CI/CD 파이프라인을 만든 뒤, 이미 존재하는 YAO 난독화 툴을 이용해 이 프로세스를 자동화 해보는 건 어떨까?
• Malleable-C2: 코발트 스트라이크의 Malleable C2 디자인과 레퍼런스를 한눈에 보기 쉽게 정리해서 문서화 해야겠다.
• OffensiveNim: Nim이라는 프로그래밍 언어가 악성코드를 만드는데 꽤 유용하다. 아예 퍼블릭 리포를 만들고, Nim을 이용한 페이로드 개발에 관련된걸 모두 문서화 해보자.
• 레드팀.com: 국내 오펜시브 시큐리티 위키가 없었기에 최초로 만들어 더 지식을 정리하고, 더 많은 사람들에게 레드팀 지식과 기법을 공유했다.
• Donut-DS (개인 비공개 툴): 쉘코드를 만드는 Donut은 너무 유명하다. 유명하기 때문에 IoC도 많고, 정적 분석이 너무 많이 이뤄졌다. 정적 분석이 이뤄지는 구간을 찾아내고, 모든 시그니쳐를 무력화하도록 소스 코드를 조금씩 변형한 뒤, 하드코딩된 loader 어셈블리를 binary encoder를 통해 난독화 해보자.

가장 현실적이고, 쉽고, 빠르지만, 레드팀 업무를 하는데 있어 가장 기본적인 역량이라고도 볼 수 있는 기준이다. 레드팀 업무를 하다보면 느끼는 것은 커스텀으로 해야한다 다. 오픈소스 툴을 다운로드 받아 생각없이 돌려도 되던 시대는 10년전에 끝났다. 그렇다고 해서 모든 툴을 커스텀하게 만들 수도 없는 노릇이다. 가장 현실적인 대안은 이미 존재하는 툴, 스크립트, 프레임워크등을 고도화 해서 사용하는 것이다.

레드팀 딜레마

레드팀들이 친절하게 툴과 기법을 공유하던 시절은 지나갔다. 레드팀의 존재 이유는 블루팀을 돕는 것이지만, 동시에 모든 걸 공개해버리면 레드팀 작전 자체를 진행할 수가 없다. 요새는 AV/EDR 업계가 특정 레드티머들을 거의 스토킹하듯이 감시하고 있는 수준까지 왔기에, 레드티머들은 점점 더 "새로운 발견", "알려진 지식의 구현", "고도화"를 인터넷에 공개하고 있지 않다. 오픈소스 툴을 만들거나, 블로그 글을 쓰거나, 컨퍼런스에서 본인만의 Secret Sauce (비밀 소스?)를 발표하는 사례는 점점 적어지고 있다. 나만 봐도, 이 블로그만 봐도 그렇다.

결국, 레드팀 채용은 네트워킹과 아는 사람으로 귀결된다. 본인들만의 지식과 툴을 이력서에 넣기 위해 공개할 수 없음을 다들 인지하고 있기 때문에, 같이 일한 사람들이 실력을 보증해주는 것이 일반적이다. 경력직 이직이 많은 이유고, 신입으로서 레드팀을 들어가기가 어려운 이유이기도 하다. 프라이빗한 레드팀 커뮤니티 형성이 중요한 까닭이기도 하다.

레드팀 경력직 이직 기준으로 점점 Show, Don't Tell이 어려워지고 있는 시대에, 결국 본인의 실력과 결과물을 보여줄 수 있는(Show) 대상은 같이 일하는 팀원들과 검증 받은 레드팀 커뮤니티 내 믿을 만한 사람들 밖에 없다.

예시 채용 기준

위 실력 있는 레드티머의 (개인적인) 기준을 바탕으로 가상의 채용 기준을 적어보자면 다음과 같다. 개인적인 기준이니 레퍼런스처럼 참고만 하시면 감사하겠다.

앞서 언급한대로 소프트 스킬, 리더쉽, 바이브등은 생략한다.

기본

• 오펜시브 시큐리티 경력 3년 이상
• 풀-체인 레드팀, 침해가정 레드팀, 모의침투 경력 n년 이상
• 다음의 기술 분야 중 1개 이상의 분야에서 전문성을 나타내시는 분 - 웹, 모바일, 물리 침투, OSINT, 내/외부망, AD, 툴 개발, 리버싱 + 익스플로잇 개발 + VR, 클라우드, IAM/IdP
• 기술 분야와 관련된 공신력 있는 자격증 (예 - 내부망 모의해킹: OSCP, 웹: OSWE, 리버싱/익스플로잇개발/VR: SANS)
• 레드팀과 관련된 CREST 자격증, 혹은 CREST 인증 받은 자격증 (CRTO, CRTL, CCSAM, CRT, 등)
• 커스텀 스크립트 및 프로그램을 개발할 수 있는 기초적인 프로그래밍/스크립팅 능력 (C/C++, C#, Python, Bash/PowerShell, 등), 혹은 그 능력을 입증할 수 있는 깃허브 리포
• 기업 IT 환경을 대상으로 한 정보 수집, 초기 침투, Exploitation, 후속 공격, 횡적 이동, 정보 유출과 관련된 프로젝트 투입 경험 및 깊은 지식
• 상용 및 오픈소스 C2 프레임워크에 대한 경험 - 단순 사용 외 수정, custom, 난독화, Malleable C2/PE 프로필 제작, 방어 솔루션 우회, 등

우대 사항

• 특정 기술분야와 관련되어 본인만의 연구를 통해 새로운 발견을 한 뒤, 이를 글, 영상, 툴, 토크 형식으로 발표한 경험 및 결과물
• 알려진 레드팀 관련 지식을 구현한 결과물을 만들어내고, 이를 통해 레드팀 관련된 문제를 해결한 경험 및 결과물
• 특정 개념, 지식, 툴, 프레임워크 등에 대한 고도화 (자동화, 최적화, 효율화, 문서화) 등을 해본 경험 및 결과물

추가 우대사항, 선호 요건

• 윈도우 혹은 리눅스 운영체제 Internals와 관련된 지식
• 클라우드와 관련된 지식 및 클라우드 기반 공격 경험

마치며

국내에 저 채용 기준에 부합하는 사람이 몇이나 될까? 손에 꼽을 것 같다. 이 글은 애당초 저런 기준에 부합하는 사람들만 뽑으라고 쓰여진 글이 아니다. "잘하는 해커", "실력 있는 레드티머" 를 판별하는데 있어 CTF 대회 1등 이라는 기준 말고도 수 많은 기준이 있다는 것을 알리고 싶어서 쓴 글이다.

정량적인 평가와 줄 세우기를 좋아하는 국내 특성상 등수, 점수가 없으면 인재를 판별하는데 어려워 하는 회사들이 많다. 하지만 그와 동시에 레드팀이라는 분야 자체가 정량적인 평가가 굉장히 어렵기도 하다. 업계에 3년, 5년, 10년 몸을 담은 경력직들을 CTF 1등, 2등 횟수, CVE 발급 개수로 평가하는 것 또한 정상적인 평가 방법은 아니라고도 생각한다.

따라서, 이 글이 더 좋은 인재를 발굴하는데, 그리고 수 많은 학생, 취준생, 현업자들이 좋은 레드티머가 되는데 조금이라도 도움이 되었다면 좋겠다 - 라고 생각하며,

Happy Hacking!