"카드 게임으로 보안 사건을 연습한다", 신나는 ‘백도어 앤 브리치’

책상 위에서 현실 같은 사건 대응 훈련을 하는 새롭고 재미난 방법이 생겼다. 이른바 ‘백도어 앤 브리치(Backdoors and Breaches)’라는 게임이다. 이 게임은 ‘던전 앤 드래곤’에서 착안했고, 한 팩의 커스텀 플레잉 카드와 하나의 20면 주사위로 구성된다. 5~6인이 15~20분 정도 게임을 할 수 있다.  

이 카드 게임은 침투 테스트 업체인 블랙 힐(Black Hill)이 만들었다. 블랙 힐은 본지에 참조용 카드를 보내주었고, 게임 방법을 설명해주었다. 개념이 단순하고, 실행하기 쉽고, 재미있는 테이블 훈련 이행 방법처럼 보인다.  
 

게임을 하는 법 

카드 덱은 여러 색상 카드로 구성된다. 한 사람이 자발적으로 사건 마스터(Incident Master, IM)가 되고(던전 마스터 같은 개념), 4종류의 공격 카드, 즉 최초 침투(Initial Compromise), C2 및 익스필(C2 and Exfil), 지속(Persistence), 피벗 및 2차 침투(격상)(Pivot and Escalate) 카드 각각에서 하나를 무작위로 선택한다. 

모두 합쳐 4개의 카드는 3,840가지의 잠재적 공격 사건 시나리오 가운데 하나다. 이들 카드는 소셜 엔지니어링, 웹 서버 해킹(Web Server Compromise), 크리덴셜 스터핑(Credential Stuffing) 같이 기업 조직에게 현실적인 위협을 나타낸다.
 
나머지 참여자는 방어자 역할을 하고, 4개의 절차 카드를 뽑고 앞면이 보이도록 테이블에 이를 펼쳐놓는다. 이는 서면으로 된 특수절차로서 방어 팀에게 주어지는 선택지이다. 

예컨대 ‘서버 분석’, ‘위기 관리’, ‘단말 장치 분석’ 같은 것들이다. 방어자는 현실에서 알고 있는 모든 것을 이용해 시나리오를 분석하고 게임을 수행할 수 있지만, 대응의 성공은 20면의 주사위를 굴리는 것에 달려 있다. 현실 세계와 마찬가지로 글로 쓰여진 절차가 사건 대응의 성공 확률을 더 높인다.
   
사건 마스터(IM)는 이들이 뽑은 카드에 부합하는 스토리를 잠시 생각한다. 핵심은 ‘사건 대응 팀이 무언가가 잘못되었음을 어떻게 파악했는가?’이다. 답은 애매할 수도, 심지어 엉뚱할 수도 있다. 또한 세밀할 수도, 간결할 수도 있다. 사건의 시작에 관해 창의적 발상을 장려한다면 방어자는 공격자 입장에서 생각할 수 있고, 이는 언제나 좋은 것이다. 
 

그 후 방어자는 다음 단계를 제안한다. 예를 들어 해킹 가능성 있는 엔드포인트를 조사한다든지, 웹 서버 로그를 검토한다든지 하는 것이다. 방어자는 주사위를 굴려 제안한 계획이 성공했는지 확인한다. 

1~10 사이라면 실패이고, 11~20 사이라면 성공이다. 서면 절차를 이용한다면 3점이 가산된다(여기서 중요한 메시지는 사건 대응을 위한 서면 절차가 기업에 있어야 한다는 점이다). 

또한 인젝트 카드(Inject cards)라는 와일드 카드가 있다. 1 또는 순수한 20이 나오거나(추가점 제외), 대응에 연속 3회 실패할 때 방어팀이 뽑아야 하는 카드이다. 인젝트 카드는 긍정적일 수도, 부정적일 수도 있다(모노폴리의 챈스 또는 커뮤니티 체스트 카드로 생각하면 된다). 

예를 들어 ‘데이터가 페이스트빈으로 업로드 되었다’, ‘인턴인 바비가 방어 팀이 검토 중인 시스템을 정지시킨다’ 같은 것이다. 그리고 ‘데우스 엑스 마키나(deus ex mashina)’ 카드는 ‘하하! 그냥 장난이야. 침투 테스트잖아’라는 의미다. 

규칙은 이 카드 게임이 실험 중이라서 아직 유동적이다. 사건 마스터(IM)는 재량에 따라 특정 기업을 위한 커스텀 룰을 생성할 수 있다. 블랙 힐의 컨텐츠 및 커뮤니티 디렉터인 제이슨 블랜차드는 SIEM 전문가인 한 게임자의 사례를 소개했다. 해당인이 SIEM 분석이 포함된 게임 플레이에 참여하면 무조건 5점의 가산점이 주어진다고 한다.    

게임 플레이는 20분 정도면 종료될 수 있고, 방어팀이 4가지 사건 카드를 10회 내에 모두 드러낼 때 끝난다. 현재 규칙은 여기를 참조하라.  

몇 분만에 끝내는 보안 사건 역할 수행 게임 

준비하는데 몇 달이 걸리고, 수일간 지속될 수 있는 일부 모의 훈련과 달리, 백도어 앤 브리치는 수천 가지 잠재적 보안 사건의 롤 플레이를 단순하게 만들어, 심지어 평일 훈련으로 이행할 수도 있다. 

블루 팀만으로 게임이 가능하지만, 법률 팀, 경영진, PR팀도 참여할 수 있다. 이상적으로, 6명 이하로 제한하는 것이 좋고, 이 때 모두가 몰입적으로 참여할 수 있을 것이다. 블랜차드는 CSO에게 “매주 목요일 점심 시간에 게임을 할 수 있다”라고 말했다. 

B&B 카드의 장점은 수천 가지 범용 공격 시나리오를 즉시 생성할 수 있다는 것이고, 단점은 특정 산업 내지 기업을 겨냥한 카드가 아니라는 점이다. 블랙 힐은 2020년 카드를 확장해, 예컨대 산업 제어 시스템(ICS) 보안, 웹 애플리케이션 보안 등을 추가할 계획이다.
 
B&B 카드는 더비콘(DerbyCon) 2019에서 처음 선을 보였고, 블랜차드는 2020년에 열리는 여러 정보보안 컨퍼런스에서 카드를 무료로 배포할 것이라고 말했다. 카드는 10달러 및 배송료와 함께 아마존에서도 구입할 수 있고, 이를 통해 제작 원가를 감당한다고 한다. 

B&B 카드는 이들의 침투 테스트 사업을 위한 마케팅 도구로 고안된 것이 분명하지만, 이는 기업, 학교, 대학에서도 유용할 것이다. 이 카드 게임이 기업을 더 안전하게 만들까? 블랜차드는 그렇게만 된다면 기쁠 것이라고 말했다. editor@itworld.co.kr