레드 팀 구성이란 무엇인가요?

오늘날 사이버 공격은 그 어느 때보다 빠르게 진행되고 있습니다. IBM X-Force Threat Intelligence Index에 따르면 랜섬웨어 공격을 실행하는 데 걸리는 시간은 2019년 68일에서 2023년 4일 미만으로 지난 몇 년 동안 94% 단축되었습니다.

레드 팀 운영을 통해 조직은 위협 행위자가 보안 위험을 악용하기 전에 선제적으로 보안 위험을 발견하고 이해하며 수정할 수 있습니다. 레드 팀은 적대적 관점을 채택하여 실제 공격자가 악용할 가능성이 가장 높은 보안 취약점을 식별하는 데 도움을 줄 수 있습니다.

레드 팀 구성의 선제적이고 적대적인 접근 방식을 통해 보안 팀은 사이버 위협이 심화되는 상황에서도 보안 시스템을 강화하고 민감한 데이터를 보호할 수 있습니다.

레드 팀 구성 작업은 보안 전문가가 실제 공격자의 전술, 기법 및 절차(TTP)를 모방하는 일종의 윤리적 해킹입니다.

윤리적 해커는 악의적인 해커와 동일한 기술을 보유하고 동일한 툴을 사용하지만, 네트워크 보안을 개선하는 것이 목표입니다. 레드 팀 구성원과 기타 윤리적 해커는 엄격한 행동 강령을 따릅니다. 이들은 해킹하기 전에 조직의 허가를 받고 네트워크나 사용자에게 실질적인 해를 끼치지 않습니다.

대신 레드 팀은 공격 시뮬레이션을 통해 악의적인 해커가 시스템에 실제 피해를 줄 수 있는 방법을 파악합니다. 읽기 팀 구성 훈련 중에 레드 팀 구성원은 실제 공격자인 것처럼 행동합니다. 이들은 다양한 해킹 방법론, 위협 에뮬레이션 툴 및 기타 전술을 활용하여 정교한 공격자 및 지능형 지속 위협을 모방합니다.

이러한 모의 공격은 조직의 위험 관리 시스템(인력, 프로세스 및 기술)이 다양한 유형의 사이버 공격에 얼마나 잘 견디고 대응할 수 있는지를 파악하는 데 도움이 됩니다.

레드 팀 훈련은 보통 시간이 정해져 있습니다. 테스트는 짧게는 몇 주에서 길게는 한 달 이상 지속될 수 있습니다. 각 테스트는 일반적으로 공개 정보, 오픈 소스 정보 및 적극적인 정찰 등 대상 시스템에 대한 조사로 시작됩니다.

다음으로 레드 팀은 시스템 공격 표면의 다양한 지점에 대한 모의 공격을 실행하여 다양한 공격 경로를 탐색합니다. 위협 행위자가 원하는 것은 주로 다음과 같습니다.

• AI 시스템 및 머신 러닝 모델
• AI 및 ML 애플리케이션을 지원하는 데이터 세트
• 워크스테이션 및 모바일 디바이스
• 암호화 시스템
• 엔드포인트 탐지 및 대응(EDR) 시스템
• 확장 탐지 및 대응(XDR) 시스템
• 방화벽
• 침입 탐지 시스템(IDS)
• 보안 오케스트레이션, 자동화 및 대응(SOAR) 시스템
• 웹 애플리케이션 및 웹 서버

이러한 모의 공격에서 레드 팀은 종종 시스템의 방어자 역할을 하는 블루 팀과 대결합니다. 레드 팀은 블루 팀의 방어를 우회하는 방법을 알아내려고 노력합니다. 또한 발견한 취약점과 이를 통해 수행할 수 있는 작업을 기록합니다. 

레드 팀 구성 훈련은 레드 팀이 IT 및 보안 팀과 만나 결과를 공유하고 취약점 개선에 대한 권장 사항을 제시하는 최종 판독으로 마무리됩니다.

레드 팀 활동은 실제 공격자가 조직의 보안 조치를 조사하는 데 사용하는 것과 동일한 툴과 기법을 사용합니다.

몇 가지 일반적인 레드 팀 구성 툴 및 기법은 다음과 같습니다.

• 소셜 엔지니어링:  피싱, 스미싱 , 비싱, 스피어 피싱 및 웨일 피싱과 같은 전술을 사용하여 의심하지 않는 직원으로부터 민감한 정보를 얻거나 기업 시스템에 액세스합니다.
  
  
• Physical Security 테스트: 감시 시스템 및 알람 등 조직의 Physical Security 제어를 테스트합니다.
  
  
• 애플리케이션 침투 테스트: 웹 앱을 테스트하여 SQL 삽입 취약점과 같은 코딩 오류로 인해 발생하는 보안 문제를 찾습니다.
  
  
• 네트워크 스니핑: 네트워크 트래픽을 모니터링하여 구성 세부 정보 및 사용자 자격 증명과 같은 IT 시스템에 대한 정보를 확인합니다.
  
  
• 공유 콘텐츠 오염:  멀웨어 또는 기타 위험한 코드가 포함된 콘텐츠를 네트워크 드라이브 또는 다른 공유 스토리지에 추가합니다. 의심하지 않는 사용자가 이 파일을 열면 악성 코드가 실행되어 공격자가 측면으로 이동할 수 있게 됩니다.
  
  
• 자격 증명에 대한 무차별 대입 공격: 이전 침해 사례에서 자격 증명 시도, 일반적으로 사용되는 비밀번호 목록 테스트, 또는 자동화된 스크립트 사용을 통해 체계적으로 비밀번호를 추측합니다.

레드 팀 구성은 조직의 보안 태세를 강화하고 복원력을 높이는 데 도움이 될 수 있지만 보안 팀에 심각한 문제를 야기할 수도 있습니다. 가장 큰 문제 두 가지는 레드 팀 훈련을 수행하는 데 드는 비용과 시간입니다.

일반적인 조직에서 레드 팀 참여는 그저 주기적으로 이루어지는 경향이 있으며, 이는 조직의 사이버 보안에 대한 인사이트를 한 시점에만 제공합니다. 문제는 테스트 당시에는 기업의 보안 태세가 강력할지 모르지만, 그 상태가 계속 유지되지 않을 수 있다는 점입니다.

지속적이고 자동화된 레드 팀 구성(CART) 솔루션을 통해 조직은 보안 상태를 실시간으로 지속적으로 평가할 수 있습니다. CART 솔루션은 자동화를 사용하여 업계 전문가가 개발하고 유지 관리하는 툴과 익스플로잇으로 자산을 발견하고 취약점의 우선순위를 지정하며 공격을 수행합니다.

CART는 프로세스의 상당 부분을 자동화함으로써 레드 팀 구성의 접근성을 높이고 보안 전문가가 흥미롭고 새로운 테스트에 집중할 수 있도록 지원합니다.

레드 팀 구성 훈련은 조직이 시스템에 대한 공격자의 관점을 얻는 데 도움이 됩니다. 이러한 관점을 통해 조직은 실제 사이버 공격에 대한 방어가 얼마나 잘 견딜 수 있는지 확인할 수 있습니다.

모의 공격은 보안 제어, 솔루션, 심지어 인력을 전담하지만 비파괴적인 공격자와 비교하여 무엇이 효과가 있는지 또는 효과가 없는지 판단합니다. 레드 팀 구성은 보안 리더에게 조직의 보안 수준을 실제와 같이 평가할 수 있는 기회를 제공합니다.

레드 팀 구성은 다음과 같이 조직에 도움이 될 수 있습니다.

• 공격 표면(시스템에 침투할 수 있는 지점)과 공격 경로(공격이 시작될 때 따를 수 있는 단계) 모두에서 취약점을 식별하고 평가합니다.
  
  
• 위협 탐지, 예방 및 대응 기능을 포함한 현재의 보안 투자가 실제 위협에 대해 어떤 성과를 거두고 있는지 평가하세요.
  
  
• 이전에 알려지지 않았거나 예상치 못한 보안 위험을 식별하고 이에 대비합니다.
  
  
•  보안 시스템 개선의 우선순위를 지정합니다.

레드 팀, 블루 팀, 퍼플 팀이 협력하여 IT 보안을 개선합니다. 레드 팀은 모의 공격을 실시하고 블루 팀은 방어 역할을 수행하며 퍼플 팀은 두 팀 간의 협력을 촉진합니다. 

레드 팀 구성과 침투 테스트 ('펜 테스트'라고도 함)는 시스템 보안을 평가하는 별개이지만 중복되는 방법입니다. 

레드 팀 구성과 마찬가지로 침투 테스트는 해킹 기법을 사용하여 시스템에서 악용 가능한 취약점을 식별합니다. 주요 차이점은 레드 팀 구성은 시나리오 기반이라는 것입니다.

레드 팀 훈련은 종종 특정 시간 내에 진행되며, 공격적인 레드 팀과 방어적인 블루 팀이 맞붙는 경우가 많습니다. 목표는 실제 공격자의 행동을 모방하는 것입니다.

침투 테스트는 기존의 보안 평가와 더 유사합니다. 침투 테스터는 시스템이나 자산에 대해 다양한 해킹 기법을 사용하여 어떤 기법이 작동하고 어떤 기법이 작동하지 않는지 확인합니다.

침투 테스트는 조직이 시스템에서 잠재적으로 악용될 수 있는 취약점을 파악하는 데 도움이 될 수 있습니다. 레드 팀은 조직이 실제 사이버 공격 상황에서 방어 조치 및 보안 제어를 포함한 시스템이 어떻게 작동하는지 파악하는 데 도움이 될 수 있습니다.

침투 테스트와 레드 팀 구성은 윤리적 해커가 조직의 보안 태세를 개선하는 데 도움이 되는 두 가지 방법일 뿐이라는 점을 주목할 필요가 있습니다. 윤리적 해커는 취약점 평가, 멀웨어 분석 및 기타 정보 보안 서비스도 수행할 수 있습니다.