문제는 조직의 보안이 침해를 당할지 여부가 아니라, 언제 침해당할 것인가입니다. 능숙하고 풍부한 리소스와 경험을 보유한 공격자는 최악의 사이버 위협이 될 수 있습니다. 그러나 레드팀과 협력하는 조직의 경우, 윤리적 해커는 위협에 대비할 수 있게 도와주는 최고의 조력자가 될 수 있습니다.
레드팀 테스트를 수행하는 것은 방어를 검증하고 취약점을 찾아내며 조직의 사이버 보안 태세를 개선할 수 있는 가장 현실적인 방법입니다. 레드팀의 개입을 통해 블루팀이 보안 프로그램의 효과를 보다 정확하게 평가하고 개선할 수 있습니다. 또한 더 많은 조직이 사이버 보안 태세에 복원력 우선 사고방식을 도입하는 방법이 되기도 합니다.
이전 블로그 게시물 '레드팀 구성 101: 레드팀 구성이란 무엇인가요?'에서 레드팀의 장점, 레드팀과 블루팀의 차이점, 퍼플팀이 무엇인지 알아보세요.
레드팀은 보안 테스트를 위해 '악당' 역할을 하는 보안 전문가로서, 방어자인 블루팀에 맞서 조직의 방어를 테스트합니다.
실제 위협 행위자만큼이나 숙련된 레드팀은 공격 표면을 조사하여 액세스 권한을 얻고, 거점을 확보하고, 수평적으로 이동하여 데이터를 유출할 방법을 찾습니다. 이 접근 방식은 민감한 정보나 악용 가능한 보안 취약점을 찾고 보안 통제에 액세스하기 위해 사이버 보안 방어를 테스트하는 데 중점을 두는 침투 테스트(또는 펜 테스트)의 기본 방법론과 대조됩니다.
사이버 범죄자와 달리 레드팀원들은 실제 피해를 입힐 의도가 없습니다. 대신 사이버 보안 방어의 허점을 노출하여 보안팀이 실제 공격이 발생하기 전에 프로그램을 학습하고 조정할 수 있도록 지원하는 것을 목표로 합니다.
"이론적으로는 이론과 현실이 동일하다. 현실에서는 그렇지 않다."라는 유명한 말이 있습니다. 사이버 공격을 예방하고 복구하는 방법을 배우는 가장 좋은 방법은 레드팀 활동을 수행하여 연습하는 것입니다. 그렇지 않으면 어떤 보안 전술이 효과가 있는지 증명하지 못해 비효율적인 기술과 프로그램에 리소스가 낭비될 수 있습니다.
실제로 효과가 있는 것과 없는 것이 무엇인지, 추가 투자가 필요한 곳이 어디인지, 가치가 없는 투자는 무엇인지와 같은 문제는 나를 공격하는 적에게 맞설 기회가 생기기 전까지는 파악하기 어렵습니다.
레드팀 훈련에서 조직은 공격 시뮬레이션을 실행하는 전담 공격자에게 보안 제어, 방어, 관행 및 내부 이해관계자를 노출하게 됩니다. 레드팀을 활용한 평가의 진정한 가치가 바로 여기에 있습니다. 이를 통해 보안 리더는 조직의 사이버 보안을 현실적으로 평가하고, 해커가 다양한 보안 취약점을 어떻게 악용할 수 있는지에 대한 인사이트를 얻을 수 있습니다. 국가 차원의 공격자에게 무엇을 놓쳤는지, 어떤 작업을 수행했는지를 물어볼 수는 없으므로, 실제로 프로그램을 평가하는 데 필요한 피드백을 얻기가 어렵습니다.
또한 모든 레드팀 운영은 측정과 개선의 기회를 가져다 줍니다. 보안 도구, 테스터 또는 인식 교육과 같은 투자가 다양한 보안 위협을 완화하는 데 도움이 되고 있는지를 개략적으로 파악할 수 있습니다.
또한 레드팀 구성원은 기업이 '찾아서 고치기' 사고방식을 버리고 철저한 방어 사고방식으로 진화할 수 있도록 지원합니다. 공격자가 네트워크 보안을 무력화시키는 것은 두려운 일이지만, 해커는 이미 보안 인프라의 모든 문을 두드려보고 있습니다. 잠겨 있지 않은 문을 공격자가 열기 전에 찾는 것이 가장 좋은 방법입니다.
해킹을 당한 기업과 앞으로 해킹을 당할 기업, 두 종류의 기업만 있다고 합니다. 유감스럽게도 이는 사실과 크게 다르지 않을 수 있습니다. 규모에 관계없이 모든 회사는 레드팀 평가를 실시함으로써 이점을 얻을 수 있습니다. 그러나 레드팀 참여를 통해 최대의 이점을 얻으려면 조직이 다음 두 가지를 갖추고 있어야 합니다.
조직에서 레드팀 서비스를 활용하기 가장 좋은 시기는 프로그램 수준의 질문을 이해하고 싶을 때입니다. 예를 들어, 중요한 데이터를 유출하려는 공격자가 회사의 네트워크에 얼마나 깊이 침투했을 때 경고가 트리거될까요?
또한 보안팀이 인시던트 대응 계획을 테스트하거나 팀 구성원을 교육하려는 경우에도 레드팀이 좋은 옵션입니다.
레드팀 구성은 조직의 보안과 잠재적인 공격을 견딜 수 있는 능력을 테스트하는 가장 좋은 방법 중 하나입니다. 그렇다면 왜 더 많은 기업이 이를 선택하지 않을까요?
레드팀 구성이 도움이 되기는 하지만, 오늘날과 같이 빠르게 변화하는 환경에서는 레드팀이 참여하는 동안 중단 변경이 발생했을 때 이를 감지하지 못할 수 있습니다. 보안 프로그램은 마지막으로 검증한 시점까지만 효과적이므로 가시성에 공백이 생기고 위험 대응 태세가 약화될 수 있습니다.
내부 레드팀 역량을 구축하는 데는 비용이 많이 들며, 여기에 필요한 리소스를 감당할 수 있는 조직은 거의 없습니다. 레드팀이 진정한 영향력을 발휘하려면 현대 사이버 범죄 조직과 국가적 위협의 지속적이고 자원이 풍부한 위협 수준을 모방할 수 있는 충분한 인력이 필요합니다. 레드팀에는 타겟팅, 연구 및 공격 연습을 위한 전담 보안 운영팀(또는 윤리적 해킹팀)이 포함되어야 합니다.
여러 타사 공급업체가 레드팀 서비스를 계약할 수 있는 옵션을 제공하고 있습니다. 대기업부터 특정 산업 또는 IT 환경을 전문으로 하는 소규모 사업자까지 다양한 업체 중에서 선택할 수 있습니다. 정규 직원을 고용하는 것보다 레드팀 서비스를 계약하는 것이 더 쉽지만, 정기적으로 서비스를 이용하면 오히려 비용이 더 많이 들 수 있습니다. 이로 인해 실제 인사이트 얻을 만큼 레드팀을 자주 활용하는 기업은 소수에 불과합니다.
지속적이고 자동화된 레드팀(CART)은 자동화를 활용하여 자산을 검색하고, 발견의 우선 순위를 지정하고, 인증을 받으면 업계 전문가가 개발하고 유지 관리하는 도구와 익스플로잇을 활용하여 실제 공격을 수행합니다.
자동화에 중점을 둔 CART를 사용하면 흥미롭고 새로운 테스트에 집중할 수 있으므로, 팀이 불만스럽고 결국 번아웃으로 이어지는 반복적이고 오류가 발생하기 쉬운 작업에서 벗어날 수 있습니다.
CART를 사용하면 적은 비용으로 전체 보안 상태를 사전에 지속적으로 평가할 수 있습니다. 이를 통해 레드팀을 더 쉽게 이용하고, 방어 성과에 대한 최신 가시성을 확보할 수 있습니다.
IBM Security Randori는 IBM Security Randori Attack Targeted라는 CART 솔루션을 제공하여 전체 보안 프로그램을 사전에 지속적으로 테스트하고 검증하여 사이버 위험을 명확히 할 수 있도록 지원합니다.
IBM이 2023년에 Forrester Consulting에 의뢰해 실시한 IBM Security Randori 연구의 전체적 경제 효과에 따르면, 레드팀 활동을 강화하면 인건비를 75% 절감할 수 있는 것으로 나타났습니다.
이 솔루션의 기능은 기존 내부 레드팀과 원활하게 통합됩니다. 또한 Randori Attack Targeted는 방어 효과에 대한 인사이트를 제공하여 중간 규모 조직도 고급 보안을 이용할 수 있도록 지원합니다.
이 블로그 게시물은 IBM Security Randori 팀에서 제공하는 '레드팀 구성에 대해 알아야 할 모든 것' 시리즈의 일부입니다.