hhkb
레드팀

레드팀기본_02_종류와 동향

작성자 : Heehyeon Yoo|2025-12-21
# RedTeaming# Types# Trends# Career# AssumedBreach

1. 업무적 종류

레드팀 수행 방식은 범위와 가정에 따라 크게 두 가지로 분류된다.

1.1. 풀체인 레드팀(Full Chain Red Teaming)

  • 정의: 외부 공격자 관점에서 정찰부터 초기 침투, 내부 이동, 목표 달성까지의 모든 공격 단계(Kill Chain)를 처음부터 끝까지 수행하는 방식.
  • 특징:
    • 주로 블랙박스(Blackbox) 형태로 진행됨.
    • 탐지 우회(Evasion)에 높은 비중을 둠.
    • 조직의 전반적인 탐지 및 대응 역량을 검증하는 데 적합.
  • 장점: 실제 침해 사고와 가장 유사한 시나리오를 경험할 수 있음.

1.2. 침해 가정 레드팀(Assumed Breach Red Teaming)

  • 정의: 이미 내부망이 침해되었거나 특정 자산이 탈취되었다고 가정하고, 초기 침투 단계를 생략한 채 내부 확산부터 진행하는 방식.
  • 배경:
    • 초기 침투(피싱, 제로데이 등)는 시간과 비용이 많이 소요되며, 실패 시 후속 단계 검증이 불가능한 위험이 있음.
    • "경계 보안은 언젠가 뚫린다"는 전제하에, 내부 침입 이후의 탐지 및 대응 능력(Defense in Depth) 검증에 집중.
  • 프로세스: 내부망 PC에 C2 에이전트를 실행한 상태에서 시작하여 권한 상승(Privilege Escalation), 횡적 이동(Lateral Movement), 정보 수집 등을 수행.
  • 트렌드: 해외에서는 효율성을 위해 침해 가정 방식을 선호하는 추세이나, 국내는 아직 초기 도입 단계로 풀체인 방식이 주를 이룸.

2. 커리어 종류

2.1. 인하우스(In-house)

  • 정의: 조직 내부의 정규직 보안팀으로 소속되어 자사의 보안을 지속적으로 평가.
  • 특징:
    • 조직의 비즈니스와 인프라에 대한 깊은 이해 필요.
    • 경영진 및 유관 부서와의 협력 관계가 중요.
    • 예: 월트 디즈니(Walt Disney), 프랑스 중앙은행 등.

2.2. 컨설팅(Consulting)

  • 정의: 전문 보안 업체나 회계법인 소속으로, 다양한 고객사를 대상으로 레드팀 서비스를 제공.
  • 특징:
    • 다양한 산업군과 환경을 경험할 수 있음.
    • 회사의 서비스 품질과 리더의 역량에 따라 경험의 폭이 결정됨("Case by Case").
    • 유명 C2(Command & Control) 프레임워크나 도구가 컨설턴트 출신에 의해 개발되는 경우가 많음.

2.3. 프리랜싱(Freelancing)

  • 완전한 독립 프리랜서보다는 전문 업체와 계약(Contractor)하여 특정 프로젝트에 참여하는 형태.
  • 소셜 엔지니어링(Social Engineering), 악성코드 개발(Malware Development) 등 고도의 특수 역량(Niche Skill)을 보유한 경우 활동 가능.

3. 국내외 동향

3.1. 해외

  • 성숙도: 2010년대 중반부터 시작되어 약 10년 이상의 역사를 가짐.
  • 제도화: TIBER-EU, DORA(Digital Operational Resilience Act) 등 공공 및 금융권 중심의 프레임워크와 법적 요구사항 정립.
  • 채용: Red Team Operation과 R&D(Tooling, Exploit Dev) 직무가 세분화되어 있음.
  • 기술:
    • 상용 C2 도구 활성화(Cobalt Strike, Brute Ratel, Nighthawk 등).
    • EDR(Endpoint Detection and Response) 우회, AD(Active Directory) 공격 등 심화 기술 요구.

3.2. 국내

  • 성숙도: 2023년경부터 본격적으로 도입되기 시작한 태동기/초기 성장기 단계.
  • 현황:
    • 주로 대기업 인하우스 팀이나 대형 회계법인/컨설팅 펌 위주로 서비스 시작.
    • 아직 관련 법규나 컴플라이언스(Compliance)는 부재.
    • 글로벌 트렌드와 다소 차이가 있는 국내 특유의 환경("갈라파고스화")이 존재할 수 있음.

3.3. 요구 역량 변화

단순 웹/모바일 모의해킹 능력을 넘어 다음과 같은 심층적인 역량이 요구됨:

  • 로우 레벨(Low-level) 지식: C/C++, Assembly, OS Internals(Windows PE, API 등).
  • 개발 능력: 커스텀 임플란트(Implant), 로더(Loader) 제작을 위한 악성코드 개발(Malware Development) 능력.
  • 인프라: 클라우드(Cloud), AD, 컨테이너 환경에 대한 공격 및 이해.