🔗 https://blog.sunggwanchoi.com/kor-what-is-red-team-in-infosec/
모의해킹 vs 레드팀
- 모의침투테스트(Penetration Testing), 모의해킹(Hacking), 취약점 평가(Vulnerability Assessment)
- 보안은 다양한 법, 컴플라이언스에 의해 동작할 수 밖에 없음
- 국가의 법, 컴플라이언스에 따라 보안 업계의 기조가 달라지는 듯
- 종류
- 어플리케이션 (웹, 모바일) → 국내에서 활성화
- 클라우드
- 외부 모의해킹 (Perimeter, 다크웹)
- 내부 모의해킹 (Active Directory, AAD, Hybrid Cloud)
- 하드웨어 + 펌웨어
- 스카다 (SCADA) 시스템 및 OT(Operational Technology) - PLC, 댐, 발전소, 공장 등
- 소셜 엔지니어링 - Vishing, Phishing
- 물리적 모의해킹 - (락픽으로 문따고 건물 진입 후 와이파이 해킹 + 백도어 설치 등)
- 메인 프레임 모의해킹
- 소스 코드 리뷰
- 기업들은 보안이라는 큰 문제를 위해 분할 정복(Divide and Conquer) 전략을 사용함 (위 ‘종류’를 하나씩 각개격파)
- 그러나 실제 APT 공격자들은 모바일 → 웹 → 피싱 → … 이런식으로 세분화하여 순차적인 공격을 하지 않는다는 점이 문제임
- 실제로는 동시다발적으로 Attack Surface 들을 공격하여, 1개의 Surface를 장악한 뒤, 다른 Surface로 횡적 이동(Lateral Movement)를 함
- 예를 들어… Phishing과 외부 경계(Perimeter) 보안의 허점을 찾아 내부망으로 진입한 뒤, 내부망 해킹을 통해 도메인을 장학하고, 클라우드의 DB를 통해 데이터를 훔친 뒤, 모바일 앱을 통해 데이터를 빼내오는 식이다.
- 그럼 카카오뱅크 사업도 완전히 RED team 서비스는 아닌 게, 내부 모의해킹 / 외부 모의해킹 / APT 이렇게 나뉘어져있으니까… 이 분류도 사실 뭔지 모르겠긴 함
- 기술의 발전을 통해 더 많은 Attack Surface가 생겨나고, 네트워크의 경계가 없어지면서 (분할 정복을 하고 있던) 보안인들은 “실제로 우리가 공격을 받았을 때 그 공격에 대한 대처를 할 수 있을까?” 에 대한 고민을 하게 되었다.
- 공격을 받고 있다는 사실을 알아차릴 수 있을까?
- 어떤 자산이 공격받고 있는가? 이를 모니터링 하고 있나? 인력은?
- 누가, 누구에게, 어떻게 보고를 해야할까?
- 법 집행기관 (Law Enforcement) 한테 신고해야할까?
계약을 맺고 있는 MSSP 회사한테 전화해야하나? 이메일? 채팅?
경찰서에 뛰어가야되나?
- 데이터 백업은 어떻게 진행해야할까?
- 언론사가 들이닥치면 어쩌지?
- 누가 어떤 일을 해야할까?
- 나는 어떤 일을 해야할까?
- 이러한 수많은 질문들 사이에서 중요한 점은 “우리”다.
- 실제로 공격이 일어날 때, 팀, 직원들이 뭘 어떻게 할지 모름
- 공격 대처 프로세스나 매뉴얼을 갖고있더라도, 한 번도 실제 상황을 경험해보지 못한다면 이게 실용적인지 모름
- 축구에 비유)
- 슈팅, 패스, 드리블과 같은 기술적인 훈련도 중요함
- 그보다 중요한 것은 실제로 경기를 뛰어보면서 기술을 실제 상황에 적용하는 것
- 팀워크, 경험!!! 기술적인 훈련만으로는 쌓을 수 없다
- IT보안 Blue Team)
- 방화벽 설정, 솔루션 설정, 개인정보보호법, 망분리 등을 어떻게 잘 적용할지 고민하는 것 중요
- 더불어 실제로 공격이 일어날 때 & 일어난 후 어떻게 대처를 해야하는지를 연습해봐야 한다.
- 축구 연습 경기 = 사이버 모의 훈련
- 사이버레인지(CyberRange)라는 가상 인프라에서 진행할 수 있으나, 30~50대의 Host에 한정된다
- 따라서 우리 회사의 수천, 수만대의 호스트와 수백개의 네트워크로 구성된 실제 인프라에서 네트워크를 방어하는 경험이 반드시 필요하고, 이것을 도와주는 것이 RED Team이다.
|
모의해킹 |
레드팀 |
| Objective(목표) |
기술적 취약점 발견 |
직원 및 공격 대처 프로세스 평가 |
| Scope(범위) |
특정 대상(웹, 앱, 내부, 외부 등) |
|
| 대상 간 연계 X |
X |
|
| Rules(규칙) |
엄격 |
없거나 느슨 |
| 수행 기간 |
1~2 W |
4~8 W |
| Blue팀 인지 여부 |
O |
X |
RED팀 ‘서비스’ 구성요소
-
“사이버 공격 시뮬레이션”으로 정의하는 것이 간단하고 잘 맞는 것 같음
-
실제와 최대한 비슷하게 공격 시뮬레이션 → 고객사의 “사람”들과 “프로세스”가 이에 어떻게 대처하는지, 부족한 점은 뭔지, 어떻게 더 발전할 수 있는지 제시
- 이 정의는 컨설팅 업체에서의 RED Team 서비스에 해당
-
Scope(범위) & Rules of Engagement(규칙)
- 실제 공격자는 Scope를 고려하지 않는다. → 모의침투 시에도 동일하게 최소한으로 적용되어야 한다.
- 소셜 엔지니어링, 다크웹 탐색, 피싱, 외부 침투, 내부 침투, 어플리케이션 리버싱, 0-day, EDR 우회, 내부망 횡적이동, 소셜 엔지니어링, 물리적 침투 등 모든 방법을 활용
-
수행 기간