본문으로 이동

레드 팀

위키백과, 우리 모두의 백과사전.
(레드팀에서 넘어옴)

레드 팀(Red team)은 적을 시뮬레이션하고, 조직의 지시에 따라 물리적 또는 디지털 침입을 시도한 다음, 조직이 방어력을 개선할 수 있도록 보고하는 그룹이다. 레드 팀은 조직을 위해 일하거나 조직에 고용된다. 그들의 작업은 합법적이지만, 레드 팀 활동이 진행되고 있다는 사실을 모르거나 레드 팀에 속을 수 있는 일부 직원들을 놀라게 할 수 있다. 레드 팀에 대한 일부 정의는 더 광범위하며, 조직 내에서 고정관념에서 벗어나 덜 그럴듯하다고 간주되는 대체 시나리오를 검토하도록 지시받은 모든 그룹을 포함한다. 이러한 지시는 잘못된 가정과 집단사고에 대한 중요한 방어가 될 수 있다. 레드 팀이라는 용어는 1960년대 미국에서 유래했다.

기술적 레드 팀은 네트워크와 컴퓨터를 디지털 방식으로 침해하는 데 중점을 둔다. 조직의 네트워크와 컴퓨터를 공격으로부터 방어하는 책임을 맡은 블루 팀이라는 사이버 보안 직원 그룹도 있을 수 있다. 기술적 레드 팀에서는 공격 벡터를 사용하여 접근 권한을 얻은 다음, 더 많은 장치를 잠재적으로 침해할 수 있는지 탐색하기 위해 정찰이 수행된다. 크리덴셜 헌팅은 컴퓨터에서 암호 및 세션 쿠키와 같은 크리덴셜을 찾는 것을 포함하며, 일단 이러한 크리덴셜이 발견되면 추가 컴퓨터를 침해하는 데 사용될 수 있다. 제3자의 침입 중에 레드 팀은 조직 방어를 돕기 위해 블루 팀과 협력할 수 있다. 교전규칙표준 운영 절차는 레드 팀이 훈련 중에 손상을 일으키지 않도록 보장하기 위해 자주 활용된다.

물리적 레드 팀은 제한 구역에 진입하기 위해 팀을 파견하는 데 중점을 둔다. 이는 울타리, 카메라, 경보, 자물쇠, 직원 행동과 같은 물리적 보안을 테스트하고 최적화하기 위해 수행된다. 기술적 레드 팀과 마찬가지로 교전규칙은 레드 팀이 훈련 중에 과도한 손상을 일으키지 않도록 보장하는 데 사용된다. 물리적 레드 팀은 종종 정보가 수집되고 보안 약점이 식별되는 정찰 단계를 포함하며, 그 정보는 건물에 물리적으로 진입하기 위한 작전(일반적으로 야간에)을 수행하는 데 사용된다. 보안 장치는 도구와 기술을 사용하여 식별되고 무력화될 것이다. 물리적 레드 팀원들은 서버실에 접근하여 휴대용 하드 드라이브를 가져오거나, 임원 사무실에 접근하여 기밀 문서를 가져오는 것과 같은 특정 목표를 부여받을 것이다.

레드 팀은 사이버 보안, 공항의 보안, 법집행, 군대, 정보기관을 포함한 여러 분야에서 사용된다. 미국 정부에서 레드 팀은 미국 육군, 미국 해병대, 미국 국방부, 연방항공국, 미국 교통안전청에서 사용된다.

역사

[편집]

레드 팀과 블루 팀의 개념은 1960년대 초에 등장했다. 레드 팀의 초기 사례 중 하나는 냉전 기간 동안 미군을 위한 시뮬레이션을 수행한 싱크탱크인 랜드 연구소와 관련이 있었다. "레드 팀"과 빨간색은 소련을 나타내는 데 사용되었고, "블루 팀"과 파란색은 미국을 나타내는 데 사용되었다.[1] 또 다른 초기 사례는 미국의 국방부 장관로버트 맥나마라가 어떤 정부 계약자가 실험용 항공기 계약을 수주해야 하는지 탐색하기 위해 레드 팀과 블루 팀을 구성한 것과 관련이 있었다.[1] 또 다른 초기 사례는 군비 통제 조약 협상과 그 효과를 평가하는 것을 모델링한 것이었다.[1]

레드 팀은 때때로 "반대적 사고" 및 집단사고(그룹이 반대 증거에도 불구하고 가정을 만들고 유지하려는 경향)와 연관된다. 레드 팀이라고 불리지는 않았지만, 집단사고에 맞서 싸우기 위해 그룹을 구성한 가장 초기 사례 중 하나라고 주장할 수 있는 그룹은 1973년 욤키푸르 전쟁 중 이스라엘의 의사결정 실패 이후 형성된 이스라엘 이프차 미스트라바이다. 임박한 공격에 대한 충분한 증거에도 불구하고 이스라엘에 대한 공격은 거의 이스라엘을 기습했고, 거의 이스라엘의 패배로 이어질 뻔했다. 이프차 미스트라바는 전쟁 후 형성되었으며, 외교 정책 및 정보 보고서에 대해 항상 반대적이고, 예상치 못하며, 비정통적인 분석을 제시하여 앞으로 간과되는 일이 줄어들도록 하는 임무를 부여받았다.[2]

2000년대 초에는 테이블탑 훈련에 레드 팀이 사용된 사례가 있다. 테이블탑 훈련은 종종 응급 구조대에 의해 사용되며, 테이블탑 보드 게임을 하는 것과 유사하게 최악의 시나리오에 대해 연기하고 계획하는 것을 포함한다. 9·11 테러에 대한 대응으로, 테러 방지를 염두에 두고 중앙정보국은 새로운 레드 셀을 만들었고,[3] 레드 팀은 테러리즘과 같은 비대칭전에 대한 대응을 모델링하는 데 사용되었다.[4] 이라크 전쟁의 실패에 대한 대응으로 레드 팀 활동은 미국 육군에서 더욱 보편화되었다.[5]

시간이 지남에 따라 레드 팀 활동은 기업, 정부 기관, 비영리 조직을 포함한 다른 산업 및 조직으로 확장되었다. 이 접근 방식은 사이버 보안 세계에서 점점 더 인기를 얻고 있으며, 레드 팀은 조직의 디지털 인프라에 대한 실제 공격을 시뮬레이션하고 사이버 보안 조치의 효과를 테스트하는 데 사용되고 있으며,[6] LLM과 같은 생성형 AI 기술 분석으로 발전하고 있다.[7]

사이버 보안

[편집]

기술적 레드 팀은 조직의 컴퓨터 시스템을 디지털 방식으로 침투하려고 시도하여 조직의 디지털 보안을 테스트하는 것을 포함한다.

용어

[편집]

블루 팀은 침입에 대한 방어를 담당하는 그룹이다.

사이버 보안에서 모의 침투 테스트윤리적 해커("펜 테스터")가 컴퓨터 시스템에 침입하려고 시도하는 것을 포함하며, 놀라움의 요소는 없다. 조직은 모의 침투 테스트를 인지하고 방어할 준비가 되어 있다.[8]

레드 팀은 한 걸음 더 나아가 물리적 침투, 사회공학, 그리고 놀라움의 요소를 추가한다. 블루 팀은 레드 팀에 대한 사전 경고를 받지 않으며, 이를 실제 침입으로 취급한다.[8] 영구적인 내부 레드 팀의 역할 중 하나는 조직의 보안 문화를 개선하는 것이다.[9]

퍼플 팀은 두 팀의 임시적인 조합이며 테스트 중에 신속한 정보 대응을 제공할 수 있다.[10][11] 퍼플 팀의 한 가지 장점은 레드 팀이 특정 공격을 반복적으로 실행할 수 있고, 블루 팀은 이를 사용하여 탐지 소프트웨어를 설정하고, 보정하고, 탐지율을 꾸준히 높일 수 있다는 것이다.[12] 퍼플 팀은 "위협 헌팅" 세션에 참여할 수 있으며, 레드 팀과 블루 팀 모두 실제 침입자를 찾는다. 퍼플 팀에 다른 직원들을 참여시키는 것도 유익하며, 예를 들어 로깅 및 소프트웨어 경고를 도울 수 있는 소프트웨어 엔지니어와 가장 재정적으로 손실이 큰 시나리오를 식별하는 데 도움을 줄 수 있는 관리자가 있다.[13] 퍼플 팀의 한 가지 위험은 안일함과 집단사고의 발전이며, 이는 다른 기술 세트를 가진 사람들을 고용하거나 외부 공급업체를 고용함으로써 극복할 수 있다.[14]

화이트 팀은 레드 팀과 블루 팀 간의 작업을 감독하고 관리하는 그룹이다. 예를 들어, 이는 레드 팀의 교전규칙을 결정하는 회사의 관리자일 수 있다.[15]

공격

[편집]

레드 팀 또는 적의 초기 진입 지점을 교두보라고 한다. 성숙한 블루 팀은 종종 교두보를 찾아 공격자를 제거하는 데 능숙하다. 레드 팀의 역할은 블루 팀의 기술을 향상시키는 것이다.[16]

침투 시, 블루 팀의 레이더망을 벗어나 명확한 목표를 요구하는 은밀한 "수술적" 접근 방식과 무차별 대입 공격에 가까운 시끄러운 "카펫 폭격" 접근 방식이 있다. 카펫 폭격은 종종 레드 팀에게 더 유용한 접근 방식인데, 예상치 못한 취약점을 발견할 수 있기 때문이다.[17]

다양한 사이버 보안 위협이 존재한다. 위협은 네트워크의 도메인 컨트롤러를 해킹하는 것과 같은 전통적인 것부터 암호화폐 채굴을 설정하거나 직원에게 개인 식별 정보 (PII)에 대한 너무 많은 접근 권한을 제공하여 회사에 일반 데이터 보호 규칙 (GDPR) 벌금을 초래하는 것과 같은 덜 정통적인 것까지 다양할 수 있다.[18] 이러한 위협 중 어떤 것도 레드 팀이 되어 문제의 심각성을 탐색할 수 있다. 테이블탑 게임을 하는 것처럼 침입을 연기하고 계획하는 테이블탑 훈련은 너무 비용이 많이 들거나, 너무 복잡하거나, 실제 실행하기에 불법적인 침입을 시뮬레이션하는 데 사용될 수 있다.[19] 전통적인 목표 외에도 레드 팀과 블루 팀에 대한 침입을 시도하는 것이 유용할 수 있다.[20]

그래프 데이터베이스 다이어그램. 내부에 텍스트가 있는 세 개의 원과 그 사이에 화살표가 있는 선으로 구성되어 있다.
그래프 데이터베이스의 예. 레드 팀의 경우, 이 소프트웨어는 침투된 네트워크의 지도를 만드는 데 사용될 수 있다. 노드(원)는 일반적으로 컴퓨터, 사용자 또는 권한 그룹이다.

네트워크에 대한 접근 권한이 확보되면 정찰을 수행할 수 있다. 수집된 데이터는 시각적으로 노드, 관계 및 속성을 그리는 소프트웨어인 그래프 데이터베이스에 저장될 수 있다. 일반적인 노드는 컴퓨터, 사용자 또는 권한 그룹일 수 있다.[21] 레드 팀은 일반적으로 자신의 조직에 대한 매우 좋은 그래프 데이터베이스를 가지고 있는데, 이는 블루 팀과 협력하여 네트워크의 상세한 지도와 사용자 및 관리자의 상세한 목록을 만드는 등 홈 필드 이점을 활용할 수 있기 때문이다.[22] 사이퍼와 같은 질의 언어를 사용하여 그래프 데이터베이스를 만들고 수정할 수 있다.[23] 아마존 웹 서비스 (AWS)와 같은 타사 도구의 관리자를 포함한 모든 유형의 관리자 계정은 그래프 데이터베이스에 배치하는 데 중요하다.[24] 데이터는 때때로 도구에서 내보낸 다음 그래프 데이터베이스에 삽입될 수 있다.[25]

레드 팀이 컴퓨터, 웹사이트 또는 시스템을 침해하면 강력한 기술은 크리덴셜 헌팅이다. 이는 일반 텍스트 비밀번호, 암호문, 해시 또는 액세스 토큰의 형태일 수 있다. 레드 팀은 컴퓨터에 접근하고, 다른 컴퓨터에 접근하는 데 사용될 수 있는 크리덴셜을 찾은 다음, 많은 컴퓨터에 접근하는 것을 목표로 이를 반복한다.[26] 크리덴셜은 파일, Git과 같은 소스 코드 저장소, 주기억장치, 추적 및 로깅 소프트웨어를 포함한 여러 위치에서 훔칠 수 있다. 패스 더 쿠키 및 패스 더 해시와 같은 기술을 사용하여 비밀번호를 입력하지 않고도 웹사이트 및 기계에 접근할 수 있다. 광학 문자 인식 (OCR), 기본 암호 악용, 크리덴셜 프롬프트 스푸핑, 피싱과 같은 기술도 사용할 수 있다.[27]

레드 팀은 컴퓨터 프로그래밍명령줄 인터페이스 (CLI) 스크립트를 활용하여 일부 작업을 자동화할 수 있다. 예를 들어, CLI 스크립트는 마이크로소프트 윈도우 기기에서 컴포넌트 오브젝트 모델 (COM)을 활용하여 마이크로소프트 오피스 애플리케이션의 작업을 자동화할 수 있다. 유용한 작업에는 이메일 전송, 문서 검색, 암호화 또는 데이터 검색이 포함될 수 있다. 레드 팀은 인터넷 익스플로러의 COM, 구글 크롬의 원격 디버깅 기능 또는 테스트 프레임워크인 셀레늄을 사용하여 브라우저를 제어할 수 있다.[28]

방어

[편집]

실제 침입 중에는 레드 팀을 재편성하여 블루 팀과 협력하여 방어를 도울 수 있다. 특히, 침입자들이 다음에 무엇을 시도할 가능성이 있는지에 대한 분석을 제공할 수 있다. 침입 중에 레드 팀과 블루 팀 모두 침입자보다 조직의 네트워크와 시스템에 더 익숙하기 때문에 홈 필드 이점을 갖는다.[12]

네트워크 방화벽 다이어그램. 왼쪽과 오른쪽에 컴퓨터가 있고, 중간에 벽 아이콘이 있고, 컴퓨터를 연결하는 선이 네트워크 연결을 상징하며, 각 측면의 모든 선이 방화벽을 통과하기 전에 합쳐진다.
네트워크 방화벽 (그림)은 더 넓은 인터넷에서 사설 네트워크로의 접근을 제한하는 데 사용될 수 있다. 컴퓨터의 운영체제에 내장된 방화벽과 같은 소프트웨어 방화벽은 해당 컴퓨터에 대한 원격 접근을 제한하는 데 사용될 수 있다.

조직의 레드 팀은 실제 공격자에게 매력적인 목표가 될 수 있다. 레드 팀 구성원의 컴퓨터에는 조직에 대한 민감한 정보가 포함될 수 있다. 이에 대응하여 레드 팀 구성원의 컴퓨터는 종종 보안이 강화된다.[29] 컴퓨터를 보호하는 기술에는 운영 체제의 방화벽 구성, 시큐어 셸 (SSH) 및 블루투스 접근 제한, 로깅 및 경고 개선, 파일 안전 삭제, 하드 드라이브 암호화 등이 있다.[30]

한 가지 전술은 "능동 방어"에 참여하는 것으로, 이는 침입자의 위치를 추적하는 데 도움이 되는 미끼 및 허니팟을 설정하는 것을 포함한다.[31] 이러한 허니팟은 그렇지 않으면 감지되지 않았을 수 있는 네트워크 침입에 대해 블루 팀에게 경고하는 데 도움이 될 수 있다. 운영 체제에 따라 허니팟 파일을 설정하는 데 다양한 소프트웨어를 사용할 수 있다. macOS 도구에는 OpenBMS가, Linux 도구에는 auditd 플러그인이, Windows 도구에는 시스템 액세스 제어 목록 (SACL)이 포함된다. 알림에는 팝업, 이메일, 로그 파일 작성 등이 포함될 수 있다.[32] 중요한 로그 파일을 다른 컴퓨터의 로깅 소프트웨어로 신속하게 전송하는 중앙 집중식 모니터링은 유용한 네트워크 방어 기술이다.[33]

레드 팀 관리

[편집]

교전규칙 사용은 접근 금지 시스템을 명확히 하고, 보안 사고를 방지하며, 직원 프라이버시가 존중되도록 보장하는 데 도움이 될 수 있다.[34] 표준 운영 절차 (SOP) 사용은 적절한 사람들이 통보되고 계획에 참여하도록 보장하고, 레드 팀 프로세스를 개선하여 성숙하고 반복 가능하게 만들 수 있다.[35] 레드 팀 활동은 일반적으로 규칙적인 리듬을 갖는다.[36]

보안 관제 센터 사진. 테이블에 컴퓨터 5대, 벽에 텔레비전 10대, 사이버 보안 요원 2명이 있다.
메릴랜드 대학교의 보안 관제 센터 (SOC)

특정 지표 또는 핵심 성과 지표 (KPI)를 추적하는 것은 레드 팀이 원하는 결과물을 달성하고 있는지 확인하는 데 도움이 될 수 있다. 레드 팀 KPI의 예로는 연간 특정 횟수의 모의 침투 테스트를 수행하거나 특정 기간 내에 특정 수의 펜 테스터로 팀을 확장하는 것이 포함된다. 침해된 기계, 침해 가능한 기계 및 침투와 관련된 기타 지표의 수를 추적하는 것도 유용할 수 있다. 이러한 통계는 일별로 그래프로 표시하고 보안 관제 센터 (SOC)에 표시되는 대시보드에 배치하여 블루 팀에게 침해를 감지하고 차단하도록 동기를 부여할 수 있다.[37]

최악의 위반자를 식별하기 위해 침해는 소프트웨어에서 발견된 위치, 회사 사무실 위치, 직책 또는 부서별로 그래프로 표시되고 그룹화될 수 있다.[38] 몬테카를로 시뮬레이션은 어떤 침입 시나리오가 가장 가능성이 높고, 가장 큰 피해를 주거나, 둘 다인지 식별하는 데 사용될 수 있다.[39] 능력 성숙도 모델 유형인 테스트 성숙도 모델은 레드 팀이 얼마나 성숙했는지, 그리고 성장하기 위한 다음 단계가 무엇인지 평가하는 데 사용될 수 있다.[40] 지능형 지속 공격 (APT)을 포함한 전술, 기술 및 절차 (TTP) 목록인 MITRE ATT&CK Navigator는 레드 팀이 얼마나 많은 TTP를 악용하고 있는지 확인하고, 미래에 활용할 TTP에 대한 추가 아이디어를 제공하는 데 참고할 수 있다.[41]

물리적 침입

[편집]

물리적 레드 팀 활동 또는 물리적 모의 침투 테스트[42]는 시설의 물리적 보안, 직원 및 보안 장비의 보안 관행을 테스트하는 것을 포함한다. 보안 장비의 예로는 보안 카메라, 자물쇠, 울타리 등이 있다. 물리적 레드 팀 활동에서는 컴퓨터 네트워크가 일반적으로 목표가 아니다.[43] 일반적으로 여러 보안 계층을 갖는 사이버 보안과 달리 물리적 보안은 한두 계층만 존재할 수 있다.[44]

고객과 공유되는 "교전규칙" 문서는 어떤 TTP가 사용될지, 어떤 위치를 목표로 할 수 있는지, 어떤 위치를 목표로 할 수 없는지, 자물쇠나 문과 같은 장비에 허용되는 손상 정도, 계획, 이정표, 연락처 정보 공유 등을 명시하는 데 도움이 된다.[45][46] 교전규칙은 정찰 단계 후에 레드 팀과 고객 간의 추가적인 의견 교환과 함께 업데이트될 수 있다.[47] 정찰 단계에서 수집된 데이터는 내부 사용과 고객 승인을 위해 작전 계획을 수립하는 데 사용될 수 있다.[48]

정찰

[편집]
검은색 휴대용 무전기 사진. 긴 검은색 안테나가 있는 검은색이다.
무전기와 이어폰은 야간 작전을 수행하는 물리적 레드 팀이 때때로 사용한다. 낮에는 블루투스 이어폰과 같이 덜 눈에 띄는 것이 선호될 수 있다.

물리적 레드 팀 활동의 일부는 정찰을 수행하는 것이다.[49] 수집되는 정찰 정보의 유형은 일반적으로 사람, 장소, 보안 장치, 날씨에 대한 정보를 포함한다.[50] 정찰은 군사적 기원을 가지며, 군사 정찰 기술은 물리적 레드 팀 활동에 적용 가능하다. 레드 팀 정찰 장비에는 쉽게 찢어지지 않는 군복, 야간 시야를 보존하고 덜 감지되도록 하는 빨간색 조명, 무전기 및 이어폰, 카메라 및 삼각대, 쌍안경, 야간 투시 장비, 전천후 노트북이 포함될 수 있다.[51] 현장 통신 방법 중 일부는 낮에는 휴대폰 화상 회의에 연결된 블루투스 이어폰, 밤에는 이어폰이 있는 무전기를 사용하는 것이다.[52] 침해 시, 레드 팀 구성원은 종종 레드 팀 활동의 합법성과 정당성을 보증할 수 있는 여러 시간 외 연락처가 있는 신분증과 승인 서한을 휴대한다.[53]

물리적 정찰이 발생하기 전에, 회사의 웹사이트, 소셜 미디어 계정, 검색 엔진, 지도 웹사이트, 구인 게시물(회사가 사용하는 기술 및 소프트웨어에 대한 힌트를 제공)을 포함한 인터넷을 통해 위치 및 직원을 조사하여 공개출처정보 (OSINT) 수집이 발생할 수 있다.[54] 여러 날 동안 정찰을 수행하고, 낮과 밤 모두 정찰하며, 최소 3명의 운영자를 데려오고, 목표물에서 보이지 않는 가까운 대기 구역을 활용하고, 정찰과 침투를 결합하는 대신 두 번의 별도 여행으로 수행하는 것이 좋은 관행이다.[55]

정찰 팀은 자신과 장비를 숨기기 위한 기술을 사용할 수 있다. 예를 들어, 승합차를 빌려 창문을 검게 가려 목표물에 대한 사진 및 비디오 촬영을 숨길 수 있다.[56] 건물 주변을 걸어 다니면서 건물의 자물쇠를 검사하고 촬영하는 것은 정찰병이 전화 통화를 하는 척하여 숨길 수 있다.[57] 직원이 의심하는 것과 같은 침해 상황이 발생하면, 자신감 있게 암송할 수 있을 때까지 이야기를 미리 연습할 수 있다. 팀이 분리된 경우, 한 운영자의 침해로 인해 팀 리더가 다른 운영자를 철수시킬 수 있다.[58] 숨겨진 비디오 카메라는 나중에 검토할 영상을 촬영하는 데 사용될 수 있으며, 지역을 떠난 후 신선한 정보가 신속하게 문서화될 수 있도록 빠르게 브리핑을 수행할 수 있다.[59]

침투

[편집]

대부분의 물리적 레드 팀 작전은 시설의 보안이 약하고 어둠이 활동을 은폐할 수 있기 때문에 밤에 발생한다.[60] 이상적인 침투는 일반적으로 시설 외부(접근이 구경꾼이나 보안 장치에 감지되지 않음)와 시설 내부(손상이 없고 아무것도 부딪히거나 제자리를 벗어나지 않음) 모두에서 보이지 않으며, 레드 팀이 그곳에 있었다는 것을 아무도 알리지 않는다.[61]

준비

[편집]

장비 목록을 사용하면 중요한 레드 팀 장비를 잊어버리지 않도록 할 수 있다.[62] MOLLE 조끼 및 소형 전술 가방과 같은 군용 장비를 사용하면 도구를 보관할 유용한 장소를 제공할 수 있지만, 눈에 띄고 부담을 증가시키는 단점이 있다.[63] 검은색 옷이나 어두운 위장복은 시골 지역에서 유용할 수 있는 반면, 회색과 검은색 톤의 평상복은 도시 지역에서 선호될 수 있다.[64] 다른 도시 위장 품목에는 노트북 가방 또는 목에 걸린 헤드폰이 포함된다. 다양한 유형의 신발 덮개를 사용하여 야외와 실내 모두에서 발자국을 최소화할 수 있다.[65]

접근

[편집]

빛 규율(차량, 손전등 및 기타 도구의 조명을 최소화하는 것)은 침해 가능성을 줄인다.[60] 빛 규율의 일부 전술에는 빨간색 손전등 사용, 차량 한 대만 사용, 차량 헤드라이트 끄기 등이 포함된다.[60]

정찰과 침투 사이에 보안 변경 사항이 있을 수 있으므로, 목표에 접근하는 팀은 "평가 및 적응"을 통해 새로운 보안 조치가 있는지 확인하는 것이 좋은 관행이다.[66] 침투 중 침해는 시설에 접근하는 동안 가장 발생할 가능성이 높다.[67] 직원, 보안 요원, 경찰 및 구경꾼은 물리적 레드 팀을 가장 많이 침해할 가능성이 있는 사람들이다.[68] 구경꾼은 시골 지역에서는 더 드물지만, 훨씬 더 의심스럽다.[69]

적절한 이동은 레드 팀이 목표에 접근하는 동안 발견되는 것을 피하는 데 도움이 될 수 있으며, 질주, 기어가기, 언덕에서 실루엣이 나타나는 것을 피하기, 일렬과 같은 대형으로 걷기, 짧게 이동한 다음 멈추기 등이 포함될 수 있다.[70] 소음을 줄이기 위해 수신호를 사용할 수 있다.[71]

시설 진입

[편집]
해정술 작동 방식 다이어그램. 자물쇠 단면도에 자물쇠 따개가 삽입되어 있다. 자물쇠에는 상단에 스프링이 달린 작은 실린더 4개가 들어 있다. 따개는 실린더를 조작한다. 장력 렌치도 자물쇠에 삽입되어 있다.
해정술은 일부 물리적 레드 팀이 과 같은 낮은 기술 공격에 비해 소음과 시간이 오래 걸리기 때문에 자물쇠를 우회하는 열등한 방법으로 간주한다.

일반적인 보안 장치에는 문, 자물쇠, 울타리, 경보, 움직임 감지기, 지면 감지기가 포함된다. 문과 자물쇠는 해정술보다 도구와 을 사용하여 우회하는 것이 더 빠르고 조용하다.[72] RFID 잠금장치는 기업에서 흔하며, 정찰 중에 사회공학을 결합한 은밀한 RFID 리더를 사용하여 권한이 있는 직원의 배지를 복제할 수 있다.[73] 울타리의 철조망은 두꺼운 담요를 덮어서 우회할 수 있다.[74] 오르기 방지 울타리는 사다리로 우회할 수 있다.[75]

경보는 때때로 내부 및 외부 통신에 사용하는 주파수를 목표로 하는 전파 방해기로 무력화될 수 있다.[76] 움직임 감지기는 사람의 열 신호를 차단하는 특수 몸 크기 방패로 무력화될 수 있다.[77] 지면 감지기는 오탐지에 취약하여 보안 요원이 이를 신뢰하지 않거나 무시하게 될 수 있다.[78]

시설 내부

[편집]

일단 내부에 들어서서, 건물이 점유되어 있다는 의심이 있다면, 적절한 옷을 사용하여 청소부나 직원으로 변장하는 것이 좋은 전술이다.[79] 건물 내부에서는 주변 소음이 레드 팀의 소음을 가릴 수 있는 것이 적기 때문에 소음 규율이 종종 중요하다.[80]

컴퓨터 서버 사진. 각각 약 10개의 블레이드 서버가 들어 있는 랙 3개가 있다.
서버실은 레드 팀에게 매력적인 목표가 될 수 있다. 서버에 대한 물리적 접근은 디지털 위협으로부터 잘 보호되는 보안 네트워크에 침입하는 데 도움이 될 수 있다.

레드 팀은 일반적으로 목표 위치를 선택하고 각 팀 또는 팀원에게 서버실이나 임원 사무실에 들어가는 것과 같은 작업을 미리 계획해 둔다. 그러나 방의 위치를 미리 파악하기 어려울 수 있으므로, 이는 종종 즉석에서 해결된다. 비상구 표지판을 읽고 나침반이 있는 시계를 사용하면 건물 내부를 탐색하는 데 도움이 될 수 있다.[81]

상업용 건물은 종종 일부 조명이 켜져 있다. 조명을 켜거나 끄지 않는 것이 좋은 관행인데, 이는 누군가에게 경고할 수 있기 때문이다. 대신, 이미 조명이 꺼진 구역을 레드 팀 작전에 사용하는 것이 선호되며, 조명이 켜진 구역을 빠르게 통과하기 위해 돌진 및 정지 기술을 사용한다.[82] 창문 앞에 완전히 서 있거나 로비를 통해 건물에 들어가는 것은 보이는 위험 때문에 종종 피한다.[83]

내시경을 사용하여 모퉁이 주변과 문 아래를 들여다볼 수 있으며, 사람, 카메라 또는 움직임 감지기를 찾는 데 도움이 된다.[84]

목표 방에 도달하면 특정 문서나 장비와 같이 찾아야 할 것이 있는 경우, 방을 구역으로 나누고 각 레드 팀원이 한 구역에 집중할 수 있다.[85]

비밀번호는 종종 키보드 아래에 있다. 키보드와 의자 같은 사무실 물건의 배치를 방해하지 않는 기술을 사용할 수 있는데, 이는 이러한 것들을 조절하면 종종 눈에 띄기 때문이다.[86] 조명과 자물쇠는 원래 상태(켜짐 또는 꺼짐, 잠김 또는 잠금 해제)로 둘 수 있다.[87] 모든 장비 목록을 가지고 와서 모든 품목이 있는지 확인하는 등 장비를 남기지 않도록 조치를 취할 수 있다.[88]

특이한 일이 발생하면 팀 리더에게 상황 보고 (SITREP)를 무전으로 보고하는 것이 좋은 관행이다. 그러면 팀 리더는 작전을 계속할지, 중단할지, 아니면 팀원이 승인 서한과 신분증을 보여주며 항복할지 결정할 수 있다.[89] 직원과 같은 민간인과 마주쳤을 때, 레드 팀 운영자는 사회공학을 시도할 수 있다. 법 집행 기관과 마주쳤을 때, 잠재적인 법적 및 안전상의 결과 때문에 즉시 항복하는 것이 좋은 관행이다.[90]

시설 탈출

[편집]

시설을 탈출하는 이상적인 방법은 진입과 마찬가지로 천천히 그리고 조심스럽게이다. 임무 목표를 달성한 후 서둘러 나가고 싶은 충동이 들 때도 있지만, 이는 좋은 관행이 아니다. 천천히 조심스럽게 탈출하면 이전에 비어 있던 지역에 누군가 있거나 접근하는 경우에 대비하여 상황 인식을 유지할 수 있다.[91] 일반적으로 진입 경로가 탈출 경로로 사용되지만, 더 가깝거나 대체 가능한 출구를 사용할 수도 있다.[92]

모든 팀원의 목표는 집결 지점 또는 두 번째 비상 집결 지점에 도달하는 것이다. 집결 지점은 일반적으로 하차 지점과 다른 위치에 있다.[93]

사용자

[편집]

기업 및 조직

[편집]

사기업은 때때로 레드 팀을 사용하여 일반적인 보안 절차 및 인력을 보완한다. 예를 들어, 마이크로소프트구글은 레드 팀을 활용하여 시스템을 보호하는 데 도움을 준다.[94][95] 유럽의 일부 금융 기관은 TIBER-EU 프레임워크를 사용한다.[96]

정보기관

[편집]
테러리스트 오사마 빈라덴의 은신처 다이어그램. 하나의 큰 3층 건물과 여러 개의 작은 별채가 있다. 오른쪽과 왼쪽에 큰 마당이 있다. 모든 것은 높은 콘크리트 벽으로 둘러싸여 있다. 방어를 목적으로 일부 안뜰을 분리하는 내부 벽이 있다.
테러리스트 지도자 오사마 빈라덴의 파키스탄 은신처. 2011년 오사마 빈라덴의 죽음으로 이어진 정보를 검토하기 위해 세 개의 레드 팀이 사용되었다.

정보 작업에 적용될 때, 레드 팀 활동은 때때로 대체 분석이라고 불린다.[97] 대체 분석은 새로운 분석가들을 투입하여 다른 팀의 결론을 재확인하고, 가정을 검토하고, 아무것도 간과되지 않았는지 확인하는 것을 포함한다. 2011년 오사마 빈라덴의 죽음으로 이어진 정보를 검토하기 위해 중앙정보국 외부의 레드 팀을 포함한 세 개의 레드 팀이 사용되었는데, 파키스탄에 대한 군사 작전을 개시하는 데에는 주요 외교적 및 대중 관계적 결과가 있었기 때문에, 원래 팀의 정보와 결론을 재확인하는 것이 중요했다.[98]

욤키푸르 전쟁을 예상하지 못한 실패 이후, 이스라엘 방위군 정보국은 폐기된 가정을 재검토하고 안일함을 피하기 위해 이프차 미스트라바("정반대로")라는 레드 팀을 구성했다.[2] 북대서양 조약 기구 (NATO)는 대체 분석을 활용한다.[99]

군대

[편집]

군대는 일반적으로 대체 분석, 시뮬레이션 및 취약점 조사에 레드 팀 활동을 사용한다.[100] 군사 워게임에서 시뮬레이션된 분쟁의 대항군 (OPFOR)은 레드 셀이라고 불릴 수 있다.[101] 핵심 주제는 적(레드 팀)이 원하는 행위자를 모방하기 위해 적절한 전술, 기술 및 장비를 활용한다는 것이다. 레드 팀은 신중한 적의 역할을 수행하여 작전 계획에 도전한다.

영국 국방부는 레드 팀 프로그램을 가지고 있다.[102]

레드 팀은 2003년 국방과학위원회가 9·11 테러로 이어진 단점을 방지하는 데 도움이 되도록 권고한 후 미군에서 훨씬 더 자주 사용되었다. 미 육군은 2004년에 육군 지시 연구실을 설립했다. 이것은 최초의 서비스 수준 레드 팀이었으며, 2011년까지 미국 국방부 (DoD)에서 가장 큰 팀이었다.[103] 외국군사문화학대학교는 레드 팀 구성원 및 리더를 위한 과정을 제공한다. 대부분의 상주 과정은 포트 레벤워스에서 진행되며 미국 육군지휘참모대학교 (CGSC) 또는 이에 상응하는 중급 및 고급 학교의 학생들을 대상으로 한다.[104] 과정에는 비판적 사고, 집단사고 완화, 문화적 공감, 자기 성찰과 같은 주제가 포함된다.[105]

해병대 레드 팀 개념은 2010년 해병대 사령관 제임스 F. 에이모스 장군이 이를 구현하려 시도하면서 시작되었다.[106] 에이모스 장군은 해병대 레드 팀 활동이라는 백서를 작성했다. 이 문서에서 에이모스 장군은 레드 팀 개념이 전술적 수준에서 전략적 수준까지 비판적 사고를 적용하여 계획 및 의사 결정 과정을 시험해야 한다고 논의했다. 2013년 6월, 해병대는 백서 초안에 명시된 레드 팀 보직에 인력을 배치했다. 해병대에서는 레드 팀 직책을 맡도록 지정된 모든 해병이 외국군사문화학대학교(UFMCS)에서 제공하는 6주 또는 9주 레드 팀 훈련 과정을 이수한다.[107]

미국 유럽 사령부 사이버 전쟁 훈련 중 레드 팀 요원

미 국방부는 사이버 레드 팀을 사용하여 네트워크에 대한 적대적 평가를 수행한다.[108] 이러한 레드 팀은 미국 국가안보국의 인증을 받았으며 미국 전략사령부의 인정을 받았다.[108]

공항의 보안

[편집]
공항 수하물 검색 장비 사진. 모니터 두 개가 보이고, 화면의 이미지는 기내 수하물의 컬러 엑스레이이다.
레드 팀은 미국 교통안전청과 같은 일부 공항의 보안 조직에서 공항 검색의 정확도를 테스트하는 데 사용된다.

미국 연방항공국 (FAA)은 1988년 스코틀랜드 로커비 상공에서 발생한 팬암 항공 103편 폭파 사건 이후 레드 팀을 운영해 왔다. 레드 팀은 매년 약 100개 미국 공항에서 테스트를 수행한다. 2001년 9·11 테러 이후 테스트는 중단되었다가, 9·11 테러 이후 FAA의 항공 보안 역할을 인수한 미국 교통안전청 아래 2003년에 재개되었다.[109] 9·11 테러 이전에 FAA의 레드 팀 활동은 보스턴 로건 국제공항의 보안에 심각한 약점을 드러냈으며, 9·11 테러의 피랍 항공기 4대 중 2대가 이곳에서 출발했다. 이 팀에 참여했던 일부 전 FAA 조사관들은 FAA가 테스트 결과를 의도적으로 무시했으며, 이것이 부분적으로 9·11 테러 공격으로 이어졌다고 생각한다.[110]

미국 교통안전청은 과거에 레드 팀 활동을 사용했다. 한 레드 팀 작전에서, 위장 요원들은 2015년에 70번 중 67번이나 교통안전요원들을 속여 무기와 가짜 폭발물을 보안 검색대를 통과시킬 수 있었다.[111]

같이 보기

[편집]

각주

[편집]
  1. Zenko, p. 56
  2. Hoffman, p. 37
  3. Hoffman, p. 39
  4. Zenko, p. 57
  5. Hoffman, p. 32
  6. “What is red teaming?” (영어). 《WhatIs.com》. 2023년 5월 14일에 확인함. 
  7. Inie, Nanna (2025). 《Summon a Demon and Bind it: A Grounded Theory of LLM Red Teaming》. 《PLOS ONE》 20. arXiv:2311.06237. Bibcode:2025PLoSO..2014658I. doi:10.1371/journal.pone.0314658. PMC 11734899 |pmc= 값 확인 필요 (도움말). PMID 39813184. 
  8. “Penetration Testing Versus Red Teaming: Clearing the Confusion” (미국 영어). 《Security Intelligence》. 2020년 12월 23일에 확인함. 
  9. Rehberger, p. 3
  10. “The Difference Between Red, Blue, and Purple Teams” (미국 영어). 《Daniel Miessler》. 2022년 4월 3일에 확인함. 
  11. “What is Purple Teaming? How Can it Strengthen Your Security?” (영국 영어). 《Redscan》. 2021년 9월 14일. 2022년 4월 3일에 확인함. 
  12. Rehberger, p. 66
  13. Rehberger, p. 68
  14. Rehberger, p. 72
  15. “White Team – Glossary | CSRC” (미국 영어). 《미국 국립표준기술연구소, 미국 상무부. 2023년 5월 23일에 확인함. 
  16. Rehberger, pp. 40–41
  17. Rehberger, p. 44
  18. Rehberger, p. 117
  19. Rehberger, p. 132
  20. Rehberger, p. 127
  21. Rehberger, p. 140
  22. Rehberger, p. 138
  23. Rehberger, p. 165
  24. Rehberger, p. 178
  25. Rehberger, p. 180
  26. Rehberger, p. 203
  27. Rehberger, p. 245
  28. Rehberger, p. 348
  29. Rehberger, p. 70
  30. Rehberger, p. 349
  31. Rehberger, pp. 70–71
  32. Rehberger, p. 447
  33. Rehberger, p. 473
  34. Rehberger, p. 23
  35. Rehberger, p. 26
  36. Rehberger, p. 73
  37. Rehberger, pp. 93–94
  38. Rehberger, pp. 97–100
  39. Rehberger, p. 103
  40. Rehberger, p. 108
  41. Rehberger, p. 111
  42. Talamantes, pp. 24–25
  43. Talamantes, pp. 26–27
  44. Talamantes, p. 153
  45. Talamantes, p. 41
  46. Talamantes, p. 48
  47. Talamantes, p 110
  48. Talamantes, pp. 112–113
  49. Talamantes, p. 51
  50. Talamantes, p. 79
  51. Talamantes, pp. 58–63
  52. Talamantes, p. 142
  53. Talamantes, pp. 67–68
  54. Talamantes, p. 83
  55. Talamantes, pp. 72–73
  56. Talamantes, pp. 89–90
  57. Talamantes, p. 98
  58. Talamantes, pp. 100–101
  59. Talamantes, p. 102
  60. Talamantes, p. 126
  61. Talamantes, p. 136
  62. Talamantes, p. 137
  63. Talamantes, pp. 133–135
  64. Talamantes, p. 131
  65. Talamantes, p. 287
  66. Talamantes, p. 153
  67. Talamantes, p. 160
  68. Talamantes, p. 173
  69. Talamantes, p. 169
  70. Talamantes, pp. 183–185
  71. Talamantes, p. 186
  72. Talamantes, p. 215
  73. Talamantes, p. 231
  74. Talamantes, p. 202
  75. Talamantes, p. 201
  76. Talamantes, p. 213
  77. Talamantes, p. 208
  78. Talamantes, p. 199
  79. Talamantes, p. 238
  80. Talamantes, p. 182
  81. Talamantes, pp. 242–243
  82. Talamantes, p. 247
  83. Talamantes, p. 246
  84. Talamantes, p. 249
  85. Talamantes, p. 253
  86. Talamantes, p. 284
  87. Talamantes, p. 286
  88. Talamantes, p. 296
  89. Talamantes, p. 266
  90. Talamantes, p. 267
  91. Talamantes, p. 272
  92. Talamantes, p. 273
  93. Talamantes, p. 274
  94. “Microsoft Enterprise Cloud Red Teaming” (PDF). 《Microsoft.com》. 
  95. “Google's hackers: Inside the cybersecurity red team that keeps Google safe” (영어). 《ZDNET》. 2023년 6월 2일에 확인함. 
  96. European Central Bank (2023년 3월 23일). What is TIBER-EU? (영어) (보고서). 
  97. Mateski, Mark (June 2009). “Red Teaming: A Short Introduction (1.0)” (PDF). 《RedTeamJournal.com》. 2017년 12월 5일에 원본 문서 (PDF)에서 보존된 문서. 2011년 7월 19일에 확인함. 
  98. Zenko, pp. 127–128
  99. 《The NATO Alternative Analysis Handbook》 (PDF) 2판. 2017. ISBN 978-92-845-0208-0. 
  100. Zenko, p. 59
  101. United Kingdom Ministry of Defence, p. 67
  102. United Kingdom Ministry of Defence, p. 6
  103. Mulvaney, Brendan S. (July 2012). “Strengthened Through the Challenge” (PDF). 《해병대 가제트》. 해병대 협회. 2013년 9월 28일에 원본 문서 (PDF)에서 보존된 문서. 2017년 10월 23일에 확인함 – HQMC.Marines.mil 경유. 
  104. “UFMCS Course Enrollment”. 2015년 9월 5일에 원본 문서에서 보존된 문서. 
  105. “University of Foreign Military and Cultural Studies Courses”. 《army.mil》. 2015년 7월 6일에 원본 문서에서 보존된 문서. 2017년 10월 23일에 확인함. 
  106. “Red Team: To Know Your Enemy and Yourself” (영어). 《Council on Foreign Relations》. 2023년 5월 24일에 확인함. 
  107. Amos, James F. (March 2011). “Red Teaming in the Marine Corps”. 
  108. “Chairman of the Joint Chiefs of Staff Manual 5610.03” (PDF). 2016년 12월 1일에 원본 문서 (PDF)에서 보존된 문서. 2017년 2월 25일에 확인함. 
  109. Sherman, Deborah (2007년 3월 30일). “Test devices make it by DIA security”. 《덴버 포스트》. 
  110. “National Commission on Terrorist Attacks Upon the United States”. 《govinfo.library.unt.edu》. 노스 텍사스 대학교. 2015년 10월 13일에 확인함. 
  111. Bennett, Brian (2015년 6월 2일). “Red Team agents use disguises, ingenuity to expose TSA vulnerabilities”. 《Los Angeles Times》. 2023년 6월 3일에 확인함. 

참고 자료

[편집]

추가 자료

[편집]
원본 주소 "https://ko.wikipedia.org/w/index.php?title=레드_팀&oldid=40822459"