Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

레드팀

블루팀 운영을 성공으로 이끄는 6가지 베스트 프랙티스

사이버보안팀에 관한 오늘날의 대화에서는 무지개가 연상된다. 레드, 블루팀에 이어 이제는 퍼플팀까지 등장한다. 각 팀마다 관점과 해야 할 일이 따로 있지만, 가장 중요한 임무를 맡는 팀은 사이버보안 위협과 취약점에서 조직을 보호하는 블루팀일 것이다.   블루팀은 조직의 비즈니스/목표 요구사항과 유의미한 위협, 디지털 발자국 및 관련 취약점을 인식해야 한다. 이 인식을 시작으로 보안 컨트롤과 완화 대책을 구현해서 가장 시급한 위협과 취약점을 해결함으로써 조직의 보안 태세를 강화한다. 어콰이어(Aquia)의 선임 보안 엔지니어이자 퍼플팀 책임자인 매릴 버논은 블루팀의 역할에 대해 다음과 같이 말했다.   “블루팀은 SOC 분석가 및 IT 운영자 외에도 비즈니스 정보 보안 책임자(Business Information Security Officer, BISO)부터 사이버 위협 인텔리전스(Cyber Threat Intelligence, CTI)팀, 엔터프라이즈 위험 및 비즈니스 연속성 계획(Business Continuity Plan, BCP) 전문가에 이르기까지 매우 다양한 인력으로 구성된다. 결국은 레드팀도 블루팀의 편에서 일을 한다. 블루팀의 목적은 보안을 선제적으로 검증하고 개선하는 데 있다. 퍼플팀 업무에서 가장 중요하고 핵심적인 부분은 여러 블루팀의 적절한 구성원을 파악하고 편입시켜서 이들에게 적대적인 목표와 사고방식, 기술을 제대로 교육하는 것이다. 핵심은 블루팀이 다양한 수준에서 1차, 2차, 3차 방어선을 구축한다는 점과 이런 방어선의 역량을 도박에 맡기지 않는 것이다. 보안 사고의 한복판에서 프로세스와 컨트롤의 공백을 찾아 수정할 수는 없다. 적과 정정당당하게 싸우는 것이 아니라 우위를 점해야 하는데, 블루팀의 적절한 성숙함이 우리에게 그런 우위를 제공한다.” 블루팀이 핵심 업무를 수행할 때 따를 수 있는 베스트 프랙티스 6가지를 정리했다.  1. 사이버보안 프레임워크 사용 사이버보안 프레임워크라고 하면...

레드팀 블루팀 퍼플팀 2022.08.24

성공적인 레드팀 운영을 위해 필요한 11가지 정책

레드팀(Red Team)은 요즘 같은 사이버 위협 환경에서 필요악 같은 존재다. 외부 해커 역할을 맡아 모의 해킹에서 공격을 주도하는 레드팀은 규제 검증, 인증 획득 등 여러 목적을 위해 공격을 시도한다. 보안 예방 조치를 강력히 취하거나 남들보다 앞선 보안 기술을 구축하려는 곳일수록 레드팀을 보안 정책 수립 초기부터 활용한다.  레드팀은 취약성을 먼저 파악하고 침투 테스트(펜테스팅, Pentesting)를 진행한다. 즉 취약성을 추측하는 것에서 한 걸음 더 나아가 취약성을 구체적으로 파악해 공격이 정확히 어떻게 발생할 수 있을지 입증한다. 레드팀의 활동은 간혹 침투 테스트라고 불리기도 하는데, 엄밀히 말하면 잘못된 표현이다.   침투 테스트는 명확한 목표를 염두에 두지 않고 가능한 많은 문제를 찾는다. 취약점 공격 또는 공격 이후 벌어지는 활동의 성공과 실패를 확인하기 위해 광범위하게 공격을 해보는 식이다. 또한 침투 테스트는 일반적으로 초기 액세스 벡터를 수행하지 않는다. 모의 해킹에서는 레드팀 말고 공격과 방어를 종합적으로 활용해 보안성을 높이는 퍼플팀이 존재하는데, 퍼플팀은 침투 테스트와 레드팀 활동 결과를 함께 살펴본다. 여러 단계에서 보안 문제를 찾아 해결 능력을 검증하는 것이다.  레드팀은 초기 액세스부터 데이터 유출에 이르기까지 해킹 구조 전체를 파악하고 고도로 표적화된 작전을 실행한다. 기업은 레드팀으로 마치 APT 공격처럼 특정 직원이나 프로세스, 기술을 은밀하게 공격하면서 궁극적으로 보안 수준을 단계 더 높인다. 다시 말해 레드팀은 모의 해킹 작전 중 위협이 커지기 전에, 퍼플팀 작전에 이어서 선제적으로 위협을 방어하는 일을 맡는다. 어콰이어(Aquia)의 CISO인 크리스 휴이는 “CISO의 관점에서 보면 레드팀을 사이버 보안 프로그램에 통합하면 체크리스트와 일반적인 보안 평가를 넘어 우선순위가 가장 높은 리스크를 파악하고, 실제 취약성이나 허점을 파악하면서 정교한 방어 기술을 만들 수 있다. 외부에 알...

레드팀 기업보안 윤리적해킹 2022.08.09

‘레드 vs. 블루’ 혹은 ‘퍼플팀’ : 효과적인 사이버 위기대응 훈련법 구축하기

사이버보안 방어 분야에는 레드팀/블루팀 시뮬레이션 공격이라는 훈련이 있다. 레드팀/블루팀 시뮬레이션은 실제 환경에 가깝게 고안된다. 예컨대 레드팀의 한 팀원이 네트워크에 악성코드를 퍼뜨리는 피싱 링크를 클릭하는 직원 역할을 맡고, 블루팀은 해당 악성코드가 확산해 웹 서버와 기타 애플리케이션을 감염시키기 전에 찾아야 한다. 현실적인 시뮬레이션을 위해 실제 네트워크 트래픽을 재현해 공격 발견을 어렵게 설정하기도 한다.    레드 및 블루팀의 역할에 대해 이야기해보자. 레드팀 팀원은 일반적으로 공격자 역할로, 보안 프로토콜을 넘어서려고 시도한다. 레드팀은 공격자가 사용하는 것과 같은 도구와 기법을 사용한다. 침투 테스터의 방식과 유사하지만 사용 범위가 더욱 광범위하다.  보안 컨설턴트 다니엘 미슬러는 자신의 블로그에서 “레드팀은 단순히 취약점을 테스트하는 것이 아니라 장기간 지속하는 공격 캠페인에서 위협 행위자가 사용할 가능성이 있는 도구, 요령, 기법을 활용한다. 훌륭한 레드팀은 보편적인 공격 출처를 찾고 적의 기법을 추적하는 사전 경고 시스템의 역할을 한다”라고 말했다. 은퇴한 IBM 아키텍트 존은 “언젠가는 레드팀이 절대로 테스트하지 않은 위협이 등장할 것이다. 블루팀을 압도할 수 있고 기업이 비즈니스를 중단시킬 수 있는 위협이 아직도 있다”라고 설명했다. IBM 엑스폭스 레드(X-Force Red)의 글로벌 전략 책임자 크리스 토마스에 따르면, 일부 기업은 레드팀의 역할을 단순히 물리적인 보안 침입 측면에서만 생각한다. 블루팀은 IT 업체의 내부 보안팀을 모방하여 모델링했다. 미슬러는 “훌륭한 블루팀은 팀원들의 정신적인 상태에 달렸다. 블루팀은 선제적인 사고방식과 끝없는 호기심을 가지고 감지 및 대응 전략을 지속해서 개선해야 한다”라고 덧붙였다. 다만 레드팀과 블루팀 2가지로만 양분하는 것은 오해의 소지가 있다. 이런 시뮬레이션을 실제로 수행하기 위해서는 2개의 팀이 추가로 참여해야 한다.    화이...

레드팀 블루팀 퍼플팀 2022.01.27

'누구나 해킹당할 수 있다' 파이어아이 해킹 사고와 기업이 걱정해야 하는 것

러시아의 코지 베어(Cozy Bear) 그룹이 주장하는 레드 팀(Red team)의 해킹 도구 도난은 다른 기업에 있어서는 생각보다 큰 위협이 아닐 수 있다. 하지만 진정한 교훈은 바로 ‘누구나 해킹 당할 수 있다’는 것이다.    사이버보안 업체 파이어아이(FireEye)는 12월 8일 정부가 후원하는 정교한 공격자 그룹이 자사의 네트워크에 침입해 전문가들이 실제 공격자를 시뮬레이션하고 고객의 보안을 테스트하기 위해 개발한 도구를 훔쳤다고 발표했다. 이는 아주 걱정스러운 사건이지만, 과거에 공격 도구가 유출됐던 사례에 비춰봤을 때, 기업에 상당한 위험 증가를 초래할 가능성은 낮다.  파이어아이는 전 세계 주요 정부와 기업 고객을 보유한 세계 최고의 사이버보안 업체 가운데 하나다. 정부가 후원하는 공격자에 대한 최고 수준의 연구와 사고 대응 능력으로 유명한 이 업체는 지난 수년 동안 정부와 기업에서 가장 두드러진 침해 사고를 조사하고 있었다.  파이어아이, 누가 공격한 것인가?  파이어아이 CEO 케빈 맨디아는 공개 석상에서 “최근 파이어아이는 정부 후원의 고도로 정교한 위협 행위자로부터 공격을 받았다. 이 공격은 지금까지 대응해온 수만 건의 사고와는 다르다. 공격자는 특히 파이어아이를 표적으로 삼고 공격하기 위해 세계적 수준의 능력을 맞춤화했다. 이들은 운영 보안(operational security)에 대해 고도로 훈련되어 있으며, 규율과 집중력을 갖고 실행했다. 보안 도구와 포렌식 검사에 대응하는 방법을 사용해 비밀리에 운영했다. 이들은 지금껏 보지 못했던 새로운 기술 조합을 사용했다"라고 밝혔다.  공격자가 훔친 것은 무엇인가?  워싱턴 포스트가 보도한 바에 따르면, 공격자는 보안 업계에서 APT29 또는 코지 베어로 알려진 러시아 SVR 해외정보국의 해킹부서로 파이어아이의 정부 고객 관련 정보를 노렸다. 파이어아이 측은 현재 사건 대응과 컨설팅 관련 계약과 관련된 고객 정보가 도...

파이어아이 해킹 공격도구 2020.12.14

"레드팀이 진짜 공격을 하는 이유" BT의 심층방어 전략에서 레드팀의 역할

사실 프러시아의 장군이 처음 말한 것이지만, 마이크 타이슨이 가장 큰 반향을 불러일으킨 ‘명언’이 있다. “누구나 그럴듯한 계획을 갖고 있다, 한방 쳐 맞기 전까지는.”이라는 말이다. 사고 시뮬레이션, 워 게임, 도상 훈련은 기업과 보안 팀이 최악의 상황을 대비하는데 큰 도움을 주지만, ‘불의 시험(Trial by Fire, TBF)’에 비교할 수 있는 정도는 아니다.   영국 BT는 공격 방어 준비 활동의 일환으로, 소속 레드팀(Red Team)이 방어 역할을 맡은 블루팀(Blue team)과 나머지 사람들에게 통보하지 않은 상태에서 실제 가동되고 있는 시스템을 정말로 공격하도록 만들었다. 두 팀이 실제 보유한 역량을 테스트하고, 향후 방어 전략에 반영할 정보를 수집하는데 목적이 있었다. BT의 시타델, 위험 정보에 바탕을 둔 심층 방어 BT는 1846년 일레트릭 텔레그래프 컴퍼니(Electric Telegraph Company)라는 이름의 회사로 처음 설립되었으며, 지금은 전세계 곳곳에 여러 사업 부문을 운영하고 있다. 유선 전화와 브로드밴드, 모바일 서비스, TV 등 소비자 대상 서비스는 물론, 커머셜 고객들을 대상으로 IT 컨설팅 등의 서비스를 제공하고 있다. 레스 앤더슨은 2014년 GCHQ를 그만두고 BT 그룹의 CISO로 합류했다. 앤더슨은 비즈니스를 이해시키고 협력해 비즈니스 목표에 방해 없이 보호 및 방어를 달성하는데 초점을 맞추고 있다. 앤더슨은 “비즈니스를 안전하게 성공시키는데 목표를 두고 있다. BT의 비즈니스는 소비자에게 서비스와 기능들을 제공한다. 그 이후에 이익이 창출된다. 애초 보안 조직을 만들어 운영하는 이유가 여기에 있다”라고 말했다. BT는 심층 방어 전략을 ‘시타델(Cytadel)’로 부르고 있다. 방벽과 도랑(호), 고지대, 지상 감시 시설, 해자로 둘러싸인 전통적인 요새를 의미하는 ‘시타델’에서 따온 이름이다. 단 하나의 방어 요소에 문제가 생겨도 방어 체계가 작동하기 시작한다. 앤더슨은 “우리는 높은 ...

BT 블루팀 레드팀 2019.12.06

성공적인 레드 팀 운용을 위한 5가지 조언

필자는 레드 팀을 적극적으로 지지한다. 그러나 레드 팀은 뛰어난 실력에 대한 과시욕 탓에 본래의 임무, 즉 조직이 사이버보안 위험을 낮추도록 돕는 일을 망각하는 경우가 많다. 레드 팀은 조직의 컴퓨터 자산을 해킹해서 방어선에 존재하는 약점을 드러내는 역할을 하는 직원 또는 계약업체다. 필자가 30년 이상 일해오면서 가장 즐거웠던 때는 레드 팀원으로 다른 회사의 네트워크에 침입하면서 돈을 벌 때였다. 지금은 그 일을 하지 않지만 프레젠테이션을 위한 사실적인 해킹 데모를 만들면서 소소한 재미를 느끼곤 한다. 필자는 돈을 받고도 침입하지 못하면 어떻게 하나 늘 걱정했지만 항상 침입에 성공했다. 사용할 툴과 기법만 알면 해킹은 비교적 쉽다. 보통 해커를 대단한 천재라고 생각하지만 배관공, 전기 기술자와 마찬가지로 그 분야에 숙련된 사람들일 뿐이다. 모든 조직은 환경과 애플리케이션/서비스/사이트를 대상으로 정기적인 레드 팀 훈련을 실시해야 한다. 훈련 빈도는 조직이 결정할 일이지만 연 1~2회도 되지 않는다면 문제가 있다. 아예 하지 않는 조직이라면 미처 모르는 다수의 취약점이 존재할 가능성이 높다. 레드 팀은 윤리적이고 전문적이어야 하며 발견한 모든 취약점을 문서화해서 전달해야 한다. 성공적인 레드 팀 운용을 위한 필자의 조언은 다음과 같다. 1. 레드 팀은 발견한 모든 중요 사항을 최고 부서 책임자에게 보고해야 함 레드 팀은 최고 부서 책임자에게 직접 보고할 수 있어야 한다. IT 관리자, CSO, CISO, CIO에게 직접 보고하는 것도 괜찮지만 보고 결과에 따라 일자리가 좌우되는 사람들이 보고서에 영향을 미치도록 해서는 안 된다. 레드 팀이 발견한 모든 사항은 CEO 또는 이사회에도 전달되어야 하는데, 이 과정에서 CEO나 이사회의 직속 부하에 의해 보고서 내용이 변경되면 안 된다. 필자는 당황스러운 세부 사항이 상부에 보고되는 것을 원치 않는 레드 팀 책임자가 보고서에서 중요한 내용을 죄다 빼는 모습을 많이 봤다. 이렇게 해서 가짜 “정상 증명서”로 ...

침투테스트 해킹 레드팀 2019.11.14

사이버 위험 관리가 좀 더 쉬워지는 "CAPAT"의 의미와 효과

새로운 연속 자동 침투 및 공격 테스트(Continuous Automated Penetration and Attack Testing, CAPAT) 도구는 CISO가 조직에서 취약한 부분을 잘 파악하고 치료 조치의 우선 순위를 정하는 데 도움을 준다.    최근 ESG 설문조사에서 보안 전문가의 73%가 현재 사이버 위험 관리가 2년 전보다 더 어려워졌다고 응답했다. 설문 응답자들은 그 이유로 점점 더 증가하는 공격 표면과 소프트웨어 취약점의 수적 증가, 사이버 공격자들의 기술적 능력 향상 등을 꼽았다.  그렇다면 조직은 증가하는 사이버 위험을 어떻게 완화할 수 있는가? 일반적인 방법으로 침투 테스트나 레드팀과 같은 연습을 통해 기존 사이버 방어의 강도를 좀 더 잘 처리하는 것이다. 많은 조직에서 이미 침투 테스트나 레드팀을 구성하고 결과 데이터를 사용해 보안 팀의 성능을 측정하고 IT 책임자와 결과를 검토하며 보안 제어 및 프로세스를 재평가한다.   그러나 문제는 대부분의 조직은 1년에 한두 번 이런 침투 테스트를 운용한다는 것이다. ESG 보고서에 따르면, 조직의 75%는 침투 테스트 및 레드팀 활동이 2주 이하에 불과하다. 침투 테스트 및 레드팀 구성은 가치가 있지만 비용이 많이 들 수 있기 때문에 일부 조직은 직접 직원을 고용하거나 숙련된 스킬을 스스로 익혀 연습하기보다는 서드파티 서비스를 사용하는 빈도가 증가하고 있다.  급변하는 IT 환경에서 보안 방어에 대한 2주 간의 테스트만으로는 충분하지 않다.    지속적인 자동 침투 및 공격 테스트가 도움 다행히 ESG는 지속적으로 CAPAT라는 새롭고 유망한 사이버보안 기술 시장 분야를 주목해왔다. CAPAT는 숙련된 침투 테스트나 화이트 햇 해커를 사용하는 대신, 공격자의 행동을 모방한 시뮬레이션된 피싱 이메일, 소셜 엔지니어링, 애플리케이션 계층 공격과 같은 공격 기술을 통해 사이버보안 체인의 취약한 링크를 제거한다.   ...

ESG 침투테스트 CAPAT 2019.09.30

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.