hhkb
레드팀

레드팀기본_01_개념과 프로세스

작성자 : Heehyeon Yoo|2025-12-21
# RedTeaming# Concept# Process# TIBER-EU# ThreatModeling

1. 레드팀(Red Team)의 정의

레드팀(Red Team)은 조직의 관리적(Administrative), 기술적(Technical) 보안 수준을 종합적으로 평가하기 위해 실제 공격자의 전술, 기법, 절차(TTPs)에뮬레이트(Emulate)하거나 시뮬레이트(Simulate)하는 목표 기반(Objective-based)의 침투 테스트를 의미한다.

단순히 기술적 취약점(Vulnerability)을 찾아내는 것을 넘어, 인력(People), 절차(Process), 기술(Technology)이라는 보안의 3요소를 종합적으로 검증하는 데 목적이 있다.

1.1. 주요 특징

  • 목표 기반(Objective-based): 단순히 많은 취약점을 찾는 것이 아니라, 랜섬웨어 유포, 자금 이체(SWIFT), 중요 데이터 유출 등 실제 공격자가 노리는 구체적인 목표를 설정하여 수행한다.
  • 포괄적 평가: 기술적 방어 체계뿐만 아니라 보안 조직의 탐지 및 대응 역량, 프로세스의 유효성을 함께 평가한다.
  • Offensive Security 내 위치:
    • Operation: 취약점 진단, 모의해킹(Penetration Testing), 레드팀(Red Teaming)
    • R&D: 취약점 연구(Vulnerability Research), 익스플로잇 개발, 악성코드 개발(Malware Development)

2. 필요성 및 배경

2.1. IT 환경의 복잡성 증대

과거(80~90년대) 단순했던 IT 환경과 달리, 클라우드(Cloud), 컨테이너(Container), IoT, OT 등 기술 스택이 폭발적으로 증가하고 복잡해짐에 따라 방어해야 할 공격 표면(Attack Surface)이 급증했다.

2.2. 공격 체계의 고도화

과거의 단편적인 공격과 달리, 현대의 공격자는 다음과 같이 유기적인 공격 체인(Kill Chain)을 형성한다.

  • 초기 침투(Initial Access): 피싱, VPN 취약점 등을 이용.
  • 내부 확산: 클라우드(Cloud) 장악 후 온프레미스(On-Premise)로 이동(Pivoting)하거나, AD(Active Directory)를 장악하여 전체 시스템을 통제.
  • 최종 목표: 데이터 유출, 시스템 파괴 등.

2.3. 체크리스트 보안의 한계

규제 준수(Compliance)를 위한 체크리스트 기반 보안은 특정 베이스라인(Baseline)을 수립하는 데는 유용하나, 사각지대(Blind Spot)가 발생하기 쉽다. 실제 공격자는 고립된 보안 영역이 아닌, 영역 간의 연결 고리를 공략하기 때문에 관리적(Administrative) 프로세스의 부재나 인적 실수를 포함한 실전과 같은 검증(Live Fire Exercise)이 필수적이다.

3. 레드팀 프로세스(TIBER-EU 기반)

유럽 중앙은행(ECB)의 TIBER-EU(Threat Intelligence-based Ethical Red Teaming) 프레임워크를 기반으로 한 표준적인 레드팀 수행 절차는 다음과 같다.

3.1. 준비 단계(Preparation Phase)

  • 목표 및 목적 설정: 조직에 가장 치명적인 피해를 줄 수 있는 시나리오(예: OT망 제어권 탈취, 금융 전산망 침투)를 식별한다.
  • 위협 모델링(Threat Modeling):
    • CTI(Cyber Threat Intelligence) 활용: 동종 업계를 공격하는 공격 그룹의 TTPs 식별.
    • 예: "IT 기업을 타겟으로 하는 APT-XXXX 그룹은 오픈소스 C2를 사용하고 소스코드 탈취를 목표로 한다"는 정보를 바탕으로 시나리오 설계.
  • 이해관계자 선정: 레드팀 리더, 블루팀 리더(필요 시), 화이트팀(통제 조직), CISO 등 핵심 인력 구성.
  • 교전 수칙(Rules of Engagement, ROE) 수립:
    • 법적/윤리적 한계 설정.
    • 크리티컬 취약점 발견 시 중단 여부, 데이터 유출 범위 등 구체적인 수행 규칙 합의.

3.2. 테스트 단계(Testing Phase)

공격자 라이프사이클(Attack Lifecycle)을 따라 실제 공격을 수행한다.

  1. 공격 인프라 구축(Infrastructure Setup): C2 서버, 리다이렉터(Redirector), 피싱 도메인 등 준비.
  2. 무기화(Weaponization): 악성코드 및 페이로드 제작.
  3. 정찰(Reconnaissance): OSINT 등을 통한 타겟 정보 수집.
  4. 초기 침투(Initial Access): 피싱, 취약점 공략 등을 통해 내부망 진입.
  5. 거점 확보 및 실행(Execution & Persistence): C2 에이전트 실행 및 지속성 유지.
  6. 내부 정찰 및 권한 상승(Discovery & Privilege Escalation): AD 정보 수집, 로컬/도메인 권한 탈취.
  7. 횡적 이동(Lateral Movement): 주요 서버 및망간 이동.
  8. 목표 달성(Action on Objectives): 데이터 유출 등 최종 목표 수행.

3.3. 마무리 단계(Closing Phase)

  • 보고서 작성: 단순 취약점 나열이 아닌, 공격 경로(Attack Path)와 사용된 TTPs 위주로 기술한다.
    • 발견점(Findings): 기술적 취약점뿐만 아니라 프로세스 부재(예: 패스워드를 텍스트 파일로 저장하는 관행) 등 관리적 문제도 포함.
  • 디브리핑(Debriefing): 레드팀과 블루팀이 함께 수행 결과를 리뷰한다.
  • 탐지 및 대응 평가:
    • MTTD(Mean Time To Detect): 공격을 탐지하는 데 걸린 평균 시간.
    • MTTR(Mean Time To Respond): 탐지 후 대응 및 복구에 걸린 평균 시간.
    • 블루팀이 공격의 어떤 단계를 탐지했고 놓쳤는지를 분석하여 방어 체계를 개선한다.