hhkb
레드팀

레드팀풀체인_07_내부 자료 수집

작성자 : Heehyeon Yoo|2025-12-26
# RedTeam# InternalCollection# BusinessLogic# Process# Mindset

내부 자료 수집(Internal Collection)

1. 내부 자료 수집의 목적 및 정의

내부 자료 수집(Internal Collection)은 기술적인 정찰(Reconnaissance)의 한계를 보완하기 위해 수행되는 비기술적 정보 수집 활동이다.

  • 기술적 정찰의 한계: 대규모 네트워크 환경(수만 대의 호스트, 수천 개의 부서)에서는 Nmap 스캔이나 취약점 분석만으로 조직의 업무 흐름(Workflow)이나 의사결정 구조를 파악하기 어렵다.
  • 수집 목적: 조직의 인력(People), 절차(Process), 기술(Technology)을 이해하여 공격 시나리오의 맥락(Context)을 확보한다. 이는 단순한 시스템 침투를 넘어, 실제 비즈니스 프로세스를 악용(Abuse)하거나 조작하기 위한 필수 선행 단계이다.

2. 주요 수집 대상 및 정보

조직 내부의 업무 효율성을 위해 구축된 협업 플랫폼과 저장소가 주요 수집 대상이다.

2.1. 기술 문서 및 저장소

  • 코드 저장소(Code Repository): GitHub Enterprise, GitLab, Bitbucket 등.
    • 수집 정보: 소스코드 내 하드코딩된 자격 증명(Credential), API 키(API Key), 데이터베이스 접속 정보.
    • 분석 포인트: 배포 스크립트(Deployment Script)를 분석하여 CI/CD 파이프라인의 구조 및 접근 권한 확인.
  • ITSM(IT Service Management): Jira, ServiceNow 등.
    • 수집 정보: 공개된 티켓(Public Ticket) 내 시스템 설정 값, 기본 비밀번호 규칙(Default Password Policy), 장애 처리 절차.
    • 분석 포인트: "접속 불가" 또는 "비밀번호 초기화" 관련 요청을 분석하여 계정 관리의 허점 식별.

2.2. 비기술 문서 및 협업 도구

  • 사내 위키 및 포털(Wiki & Portal): Confluence, Notion, SharePoint 등.
    • 수집 정보: 신규 입사자를 위한 온보딩(Onboarding) 및 인수인계(Handover) 문서.
    • 분석 포인트:
      • 폐쇄망 접근 가이드: 폐쇄망 접속에 사용되는 VDI(Virtual Desktop Infrastructure), VPN, Bastion Host의 IP 주소 및 필수 설치 소프트웨어 목록.
      • 업무 매뉴얼: 특정 업무 수행을 위한 단계별 절차 및 담당자 정보.
  • 개인 및 공유 저장소: NAS, SMB Share, Box 등.
    • 수집 정보: 바탕화면의 포스트잇 사진, password.txt 등 평문으로 저장된 자격 증명.

3. 업무 프로세스(Business Process) 분석

수집된 자료를 바탕으로 조직의 운영 메커니즘을 파악하여 취약한 연결 고리를 식별한다.

3.1. 결재 프로세스(Approval Process) 무력화

  • 정상 절차: 자금 이체나 코드 배포 시 다단계 승인(예: 기안 -> 검토 -> 승인) 필요.
  • 취약점 식별: 업무 과중이나 편의성을 위해 "선조치 후보고" 또는 "1인 전결"로 간소화된 예외 프로세스 식별.
  • 공격 시나리오: 단일 실패 지점(Single Point of Failure, SPOF)이 되는 특정 결재권자의 계정 탈취 시 전체 프로세스 장악 가능성 확인.

3.2. 산업군별 핵심 분석 요소

  • 금융(Finance): SWIFT 망 접근 절차, 자금 이체 검증(Verification) 프로세스 및 담당자 식별.
  • 통신(Telecommunication): USIM 발급 및 관리 시스템, 가입자 정보(IMEI/IMSI) 데이터베이스 접근 제어 정책(ACL) 확인.
  • 제조(Manufacturing): OT(Operational Technology) 망 접근 경로, 해외 공장(Smart Factory) 원격 제어용 VDI 및 PAM(Privileged Access Management) 솔루션 식별.
  • IT 기업: 소프트웨어 공급망(Supply Chain) 구조, 소스코드 배포 승인 절차 확인.

4. 시사점

레드팀 작전(Red Teaming Operation)에서 내부 자료 수집은 단순한 정보 획득을 넘어, 방어자의 탐지를 회피하고 실제 위협을 시뮬레이션하기 위한 전략적 자산이다. 대규모 조직의 데이터를 분석하여 유의미한 공격 경로(Attack Vector)를 도출하는 능력은 기술적 해킹 능력만큼이나 중요하다.