hhkb
레드팀

레드팀인프라구축_01_레드팀 인프라 구축하기

작성자 : Heehyeon Yoo|2025-12-22
# RedTeam# Infrastructure# Architecture# Design# OpSec

1. 개요

레드팀 작전 수행 시 가장 먼저 선행되어야 하는 것은 안정적이고 은밀한 공격자 인프라(Attacker Infrastructure)를 구축하는 것이다.
본인의 집이나 회사 IP를 직접 사용하여 공격을 수행할 경우, 다음과 같은 치명적인 문제가 발생한다.

  1. 작전 보안(OpSec) 실패: 공격자의 신원이 즉시 노출되고 차단된다.
  2. 콜백(Callback) 불가: NAT 환경(공유기 등)이나 ISP의 방화벽으로 인해, 피해 시스템에서 보내는 연결 신호(Reverse Shell)를 제대로 수신할 수 없다.
  3. 가용성(Availability) 저하: 레드팀 작전은 24x7 무중단으로 수행되어야 하는데, 개인 PC는 전원이나 네트워크 문제로 꺼질 수 있다.

따라서 실제 공격자와 유사한 환경을 모사하기 위해 별도의 인프라를 구축해야 한다.

2. 인프라 공간의 3단계 구분

레드팀 인프라는 보안 등급과 접근 권한에 따라 세 가지 공간으로 구분된다.

2.1 레드팀 공간(Red Team Space)

  • 정의: 레드팀이 물리적/논리적으로 완전히 소유하고 통제하는 공간.(예: 오퍼레이터의 노트북, 사내 보안 룸)
  • 역할: 민감한 데이터(탈취한 정보) 보관, 핵심 공격 도구 실행, 작전 지휘.
  • 보안: 외부 인터넷에서 직접 접근이 불가능해야 하며, 가장 높은 수준의 보안이 유지되어야 한다.

2.2 그레이 공간(Grey Space)

  • 정의: 레드팀 공간과 타겟 공간 사이의 중립 지대. 인터넷 상에 존재하며 외부에서 접근 가능하다.
  • 역할: 공격 트래픽의 경유지(Proxy). 타겟이 역추적했을 때 도달하게 되는 종착점이다.
  • 구성 요소: 리다이렉터(Redirector), 페일로드 호스팅 서버, 피싱 사이트 등.
  • 특징: 언제든지 차단되거나 폐기될(Burn) 수 있다는 전제로 운영한다.

2.3 타겟 공간(Target Space)

  • 정의: 공격 대상(피해자)의 네트워크 및 시스템.
  • 역할: 악성코드(Agent/Beacon)가 실행되는 공간.

3. 주요 구성 요소(Components)

전통적인 레드팀 인프라에는 다음과 같은 핵심 서버들이 필요하다.

  1. C2 서버(Command & Control)

    • 역할: 감염된 에이전트(Agent)에게 명령을 내리고 결과를 수신하는 중앙 통제 서버.
    • 중요성: 작전의 심장부이므로 절대 노출되어서는 안 된다.

  2. 리다이렉터(Redirector)

    • 역할: 중간자(Middleman). 타겟과 C2 서버 사이에서 트래픽을 중계한다.
    • 원리: 타겟이 리다이렉터로 신호를 보내면, 리다이렉터는 이를 백그라운드에서 C2 서버로 토스(Toss)한다. C2 서버의 실제 IP를 숨기는 보호막 역할을 한다.

  3. 페일로드 서버(Payload Server)

    • 역할: 초기 침투를 위한 악성코드(EXE, 문서 파일 등)를 호스팅하여 피해자가 다운로드하게 한다.

  4. 오퍼레이터 서버(Operator Server)

    • 역할: 공격자(Operator)가 C2 서버나 타겟 네트워크에 접근할 때 사용하는 점프 호스트.
    • OpSec: 오퍼레이터의 실제 IP(집/회사)를 숨기기 위해, 항상 이 서버를 경유하여 작전을 수행한다.

4. 인프라 구축 트렌드

4.1 전통적 인프라(Traditional)

  • 방식: AWS EC2, Azure VM, VPS(Virtual Private Server) 등을 임대하여 직접 리눅스 서버를 구축.
  • 장점: 통제권이 확실하고 설정이 자유롭다.
  • 단점: 구축 및 관리가 번거롭고, IP 평판 관리가 필요하다.

4.2 인프라 없는 인프라(Infrastructure-less)

최근 공격자들은 서버를 직접 운용하지 않고, 신뢰받는 클라우드 서비스를 악용하여 탐지를 우회한다.(Living Off Trusted Sites)

  • 서버리스(Serverless) 활용: Cloudflare Workers, AWS Lambda 등을 리다이렉터로 사용. 타겟 입장에서는 트래픽이 workers.dev와 같은 정상 도메인으로 향하므로 차단하기 어렵다.
  • 스토리지(Storage) 활용: Azure Blob Storage, AWS S3 등을 C2 채널로 사용. 공격자가 스토리지에 "명령 파일"을 올리면, 감염된 PC가 이를 읽어 실행하고 "결과 파일"을 다시 스토리지에 업로드하는 방식.(비동기 통신)