"레드팀이 진짜 공격을 하는 이유" BT의 심층방어 전략에서 레드팀의 역할

사실 프러시아의 장군이 처음 말한 것이지만, 마이크 타이슨이 가장 큰 반향을 불러일으킨 ‘명언’이 있다. “누구나 그럴듯한 계획을 갖고 있다, 한방 쳐 맞기 전까지는.”이라는 말이다. 사고 시뮬레이션, 워 게임, 도상 훈련은 기업과 보안 팀이 최악의 상황을 대비하는데 큰 도움을 주지만, ‘불의 시험(Trial by Fire, TBF)’에 비교할 수 있는 정도는 아니다.
 

영국 BT는 공격 방어 준비 활동의 일환으로, 소속 레드팀(Red Team)이 방어 역할을 맡은 블루팀(Blue team)과 나머지 사람들에게 통보하지 않은 상태에서 실제 가동되고 있는 시스템을 정말로 공격하도록 만들었다. 두 팀이 실제 보유한 역량을 테스트하고, 향후 방어 전략에 반영할 정보를 수집하는데 목적이 있었다.

BT의 시타델, 위험 정보에 바탕을 둔 심층 방어

BT는 1846년 일레트릭 텔레그래프 컴퍼니(Electric Telegraph Company)라는 이름의 회사로 처음 설립되었으며, 지금은 전세계 곳곳에 여러 사업 부문을 운영하고 있다. 유선 전화와 브로드밴드, 모바일 서비스, TV 등 소비자 대상 서비스는 물론, 커머셜 고객들을 대상으로 IT 컨설팅 등의 서비스를 제공하고 있다.

레스 앤더슨은 2014년 GCHQ를 그만두고 BT 그룹의 CISO로 합류했다. 앤더슨은 비즈니스를 이해시키고 협력해 비즈니스 목표에 방해 없이 보호 및 방어를 달성하는데 초점을 맞추고 있다. 앤더슨은 “비즈니스를 안전하게 성공시키는데 목표를 두고 있다. BT의 비즈니스는 소비자에게 서비스와 기능들을 제공한다. 그 이후에 이익이 창출된다. 애초 보안 조직을 만들어 운영하는 이유가 여기에 있다”라고 말했다.

BT는 심층 방어 전략을 ‘시타델(Cytadel)’로 부르고 있다. 방벽과 도랑(호), 고지대, 지상 감시 시설, 해자로 둘러싸인 전통적인 요새를 의미하는 ‘시타델’에서 따온 이름이다. 단 하나의 방어 요소에 문제가 생겨도 방어 체계가 작동하기 시작한다. 앤더슨은 “우리는 높은 방벽으로만 구성된 방어 체계가 아닌 심층 방어 체계를 사용한다. 방벽 하나가 무너지면 모든 것이 무너진다. 나쁜 일이 일어나는 것을 막고, 억지하고, 지연시키는 것이 중요하다”라고 말했다.

앤더슨은 전사적으로 물리적 자산, 논리적 IT 자산, 인적 자산 보호를 책임지고 있다. 그가 BT에 합류했을 때, BT는 컴플라이언스를 중시하는 전통적인 사이버보안 체계를 갖고 있었다. 앤더슨은 데이터에 근거를 두고, 위험에 기반을 둔 방법을 도입해 변화를 견인하는 과업을 부여받았다. 

그는 “위험 분류 활동을 하지 않는 기업이 아주 많다. 위험과 연결되지 않은 정책이 너무 많다. 이 경우, 누구도 이 정책에 관심을 갖지 않는다. 이렇게 무시될뿐더러, 이행 자체가 불가능한 경우가 많다. 위험에 근거를 두지 않는 정책은 없애야 한다. 우리는 서비스, 기능, 시스템에 초래될 수 있는 위험을 통합적으로 고려해야 한다”라고 설명했다. 

앤더슨은 “예를 들어 설명하면, BT 스포츠는 아주 좋은 소비자 대상 서비스이다. 누군가 ‘명성’을 얻고 싶어 프리미어 리그 경기를 방해하려 시도한다고 가정하자. 우리는 이런 상황에 대비해 DDoS가 초래할 위험을 고려했다. 이런 일이 일어나지 않도록 DDoS 방지 역량에 많은 투자를 했다”라고 덧붙였다.

위험 정보에 바탕을 둔 보안을 구현하기 위해 BT 스마트 허브를 봇넷이 BT 파이프를 통해 안전하지 못한 가정용 IoT 장치에 침입해 DDoS 공격을 시작하지 못하도록 만드는 통합 게이트웨이로 탈바꿈 시켰다. 

앤더슨은 “장치에 ‘보안 내재화(secure by design)’에 입각한 보안이 구현되는 것이 이상적이겠지만, 공격적이면서 파괴적인 기술 시장에서 이를 기대하기는 어렵다. 이의 해결책 중 하나는 네트워크에 연결되지 못하도록 만드는 것이다. 또 다른 방법은 스마트 허브가 가정용 장치들을 적절히 인증할 수 있도록 만들고, 장치 설계가 미흡한 경우를 대비해 장치 주변에 보호 체계를 구축하는 것이다”라고 설명했다.

시타델은 새로운 발전 상황에 대해 지속적으로 학습을 하고, 최대한 신속하게 적응을 해 조정이 된다. 앤더슨은 “개인적으로 단계적인 기능 혁신을 좋아하지 않는다. 내게 3~5년이 걸리는 프로그램은 아무런 결과가 없는 그런 프로그램이다. 현재 팀이 직면한 상황은 18개월 후에 팀이 직면할 상황과 다를 수 있다. 나는 2년 후의 환경, 악의적 행위자, 기법을 예측하려 노력한다. 이때 발생할 수 있는 공격을 저지할 수 있도록 팀과 어플라이언스, 방법론, 심층 방어 전략을 조정하는 계획을 세운다”라고 말했다.

BT는 이런 노력의 일환으로 수 많은 봇넷을 배포해 운영하고 있다. 악당들이 무기를 준비하기 위해 조사하고 있는 내용, BT를 비롯한 기업들을 공격하기 위해 배포할 것들이 무엇인지 파악하기 위해 악당들을 유인하는 봇넷이다.

최악을 대비하고 테스트

BT는 진짜이든 테스트이든 사고가 발생했을 때 보안 위협 분석 그룹을 조직해 동원한다. 이는 보안 팀과 다른 팀이 서로 협력, 근본 원인을 분석하고, 사후 평가를 실시하고, 반영한 교훈을 파악하는 역할을 하는 그룹이다. 또 앤더슨의 팀은 ‘블랙 스완’ 이벤트에 많은 시간을 투자하고 있다. 거의 상상도 할 수 없지만, 발생할 경우 재앙적인 이벤트가 ‘블랙 스완’ 이벤트이다. 여기에 필립 젠슨 CEO 등 주요 비즈니스 이해관계자가 참여하고 있다. 

모의 회의, 모의 기자 회견, 모의 보도 자료 배포 등이 포함된 시뮬레이션 활동이다. 이런 거의 상상도 할 수 없는 사건들을 대비해 연습을 하면, 향후 발생할 수도 있는 중대 사건들에 대해 대비를 할 수 있고, 이로 인한 영향이나 피해에 대한 이해도 높일 수 있다. 또 레드 팀 및 블루 팀의 공격, 방어 방법 파악, 플레이북, 앞으로의 대응에 필요한 정보를 얻을 수 있다.

앤더슨은 “가만히 서서 머리만 긁적거리고 있을 수 없다. 플레이북을 준비해야 한다. 방어를 연습해야 한다. 사고 발생시 신속하게 대응할 수 있는 거버넌스를 마련해야 한다. 우리는 과거 실제 경험해 터득한 교훈을 통해서만 발전할 수 있다”라고 강조했다.

BT가 보안에 있어 중요하게 활용하고 있는 방법 중 하나는 침입 테스트와 연결해 실시하고 있는 선행적인 ‘발견 및 교정’이라는 방법이다. BT의 레드팀은 4년 넘게 BT 시스템을 ‘공세적으로’ 공격했다. 전체 IT 자산, 물리적 자산, 인적 자산을 테스트 대상으로 삼았다. 

BT는 분명히 규모가 큰 회사이다. 그렇지만 이를 감안해도, 레드팀의 규모가 약 100명으로 아주 규모가 크다(여기에 더해, BT 보안 부문 인원은 2,500여 명, 앤더슨이 책임진 보안 부서 인원은 400명).

앤더슨은 “나는 전통적인 침입 테스트 전문가들을 물려받았다. 아마 업계에서 가장 규모가 클 것이다. BT는 이들 침입 테스트 전문가 훈련에 많은 돈을 투자, 이들을 국가적인 수준의 공격이 가능한 역량을 갖춘 팀으로 만들었다”라고 말했다.

앤더슨에 따르면, 레드팀은 매년 각기 규모와 범위가 다른 4~6차례의 공격을 실시한다. 또 흥미로운 경우, 발견한 문제점을 더 깊이 탐구할 수 있는 기회도 제공한다.

협소한 의미의 취약점 테스트 및 보고가 아니다. 앤더슨의 레드팀은 BT가 실제 가동해 사용하고 있는 시스템의 취약점을 공격하고, 블루팀의 대응을 테스트한다. 심지어 주요 스포츠 경기 방송 동안에도 공격을 한다. 또 레드팀과 블루팀 사이에 ‘만리 장성’을 쌓았다. 블루팀이 실제 위협 세력에 대응하듯 레드팀의 공격에 대응하도록 만들었다는 의미다.

앤더슨은 “레드팀은 연습을 하지 않는다. 시뮬레이션을 하지 않는다. 실제 공격을 한다. 레드팀이 문제점을 발견한 경우에도 공격을 중단시키지 않는다. 계속 공격을 해서 실제와 같은 사고를 발생시킨다. 블루팀은 레드팀이 무슨 일을 하고 있는지 모른다. 블루팀은 실제 사고 절차에 입각해 레드팀 공격을 저지한다”라고 설명했다.

앤더슨은 이런 방식이 프로세스를 강화하고, 두 팀의 역량을 강화한다고 강조했다. 레드팀 공격이 성공하면, 방어와 플레이북에 필요한 정보를 획득할 수 있다. 블루팀이 방어에 성공하는 경우, 레드팀은 공격 전술 기법, 절차를 새로운 것들로 바꿔야 한다.

앤더슨은 그렇지만 안전한 방법으로 이런 테스트를 실시한다고 덧붙였다. 실제 운영하는 서비스에 문제가 발생하지 않도록 만드는 프로토콜이 적용된다고 설명했다. 실제 가동되고 있는 시스템에 초래되는 공격 위험과 관련, 앤더슨은 위협 주체보다 BT가 직접 취약점을 찾는 것이 훨씬 더 낫다고 강조했다. 

앤더슨은 “해커가 특정 지점에 도달해 가동되는 서비스를 무력화시킬 수 있다면, 차라리 우리가 이렇게 해보는 것이 더 낫지 않겠는가? 이후에 누구인지, 어디에 있는지, 도달한 방법이 무엇인지 모르는 상태일 때보다 더 신속히 복구를 할 수 있기 때문이다”라고 말했다.

앤더슨은 다른 부서에 공격 시기를 알려주지 않는다. 다른 부서의 반발이 없었는지 질문을 묻자, CEO의 수용과 승인이 절대적으로 필요하다고 말했다. 그는 “BT의 누군가가 전사적인 보안 구현 활동에 방해를 주도록 만들 수 없었다. CEO가 이런 개념과 방법에 동의를 했고, 적극적으로 지원해 이 부분에 큰 도움을 줬다. 내게 필요한 공간을 줬다”라고 말했다. editor@itworld.co.kr