“Red Team은 절대 그들의 목적 달성을 실패하지 않는다”
사이버 위협으로부터 기업을 보호할 때, 때때로 최고의 공격이 최고의 방어가 된다. 보안회사 파이어아이가 새롭게 런칭한 레드팀(Red Team)서비스는 공격자적 입장에서의 접근방법을 택하고 있다.파이어아이는 시장에서 보안 기술뿐만 아니라 2014년 맨디언트(Mandiant)사를 10억달러에 인수하는 등 침해 대응 능력으로도 잘 알려져 있다. 보안 취약점에 대한 연구 경험으로 그들은 공격자의 방법과 전략에 대한 시야를 얻을 수 있었다.
파이어아이 부사장이자 침해대응, Red Team의 실무책임자인 Marshall Heliman은 ”우리가 침투 테스트에 대해 말할 때, 우리는 어플리케이션의 취약점을 찾는 것을 이야기한다”라고 말했다.
이와 대조적으로 일반적인 침투테스트에서는 계약에서 정해진 특정 시스템, 특정시간, 환경 및 타깃에 대해 이루어진다. 일반적인 테스트는 그것대로 장점이 있지만 Red Team 서비스는 공격자가 공격에 제한이 없는 좀 더 현실에 가까운 접근을 시도한다.
침투테스트 서비스 시장은 경쟁이 증가하고 있고 그 중 리더는 메타스플로잇(Metasploit)을 후원하는 라피드7(Rapid7)이다. 이 산업의 누구나 그러하듯 파이어아이 역시 Metasploit이나 Cobalt Strike를 사용한다. 또한 Red Team은 이러한 툴들을 넘어서서 백도어나 악성코드 툴을 직접 만들어내 사용하기도 한다.
Heilman은 “Red Team은 절대 그들의 목적 달성을 실패하지 않는다”라며 “언뜻 보기에는 Red Team은 회사들이 좋지 못한 보안상태에 놓여있다고 생각하게 만드는 것 같지만, 그렇게 생각할 필요는 없다”고 전했다.
일반적으로 대부분의 회사는 보안에 관해 방어적 마인드로 접근한다. 즉, 그들은 보호를 위한 아이템을 고려한다. 예를 들어 데이터베이스의 경우 방어를 위해 앞쪽에 방화벽을 둘 것이다. 그러나 방화벽을 둔다는 것이 공격자가 공격을 하지 않는다는 것을 의미하지 않는다.
Heilman은 공격자는 대신에 방화벽에 인증받을 수 있는 사용자를 찾아 방화벽의 룰을 바꾸려 할 것이라고 말했다. 이러한 공격은 대부분의 회사들이 고려하지 않는 공격 사이클이지만 Red Team은 이러한 부분까지 고려한 현실적인 공격을 시행한다.
파이어아이의 Red Team 서비스는 평가 서비스 뿐만 아니라 회사의 침해 대응팀이 Red Team의 공격을 탐지할 수 있게 돕는 서비스를 제공한다. Heilman은 이에 대해 “만약 우리를 잡을 수 있다면, 그들은 거의 모든 공격자를 잡을 수 있을 것이다”라고 말했다.
★정보보안 대표 미디어 데일리시큐!★
데일리시큐 페소아(fesoa) 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지