레드 티밍 방법론 리서치 — 침투 테스트와 무엇이 다른가
레드 티밍과 일반 침투 테스트의 차이부터 TIBER-EU, CBEST 같은 위협 인텔리전스 기반 레드팀 프레임워크, 실전 단계별 방법론까지 정리합니다.
레드 티밍이란?
레드 티밍(Red Teaming)은 실제 위협 행위자(APT 그룹 등)의 TTP(전술·기법·절차)를 모방하여 조직의 탐지·대응 능력을 종합적으로 평가하는 보안 활동입니다.
흔히 침투 테스트(Penetration Test)와 혼용되는데, 목적과 범위가 다릅니다.
| 구분 | 침투 테스트 | 레드 티밍 |
|---|---|---|
| 목적 | 취약점 발굴 | 탐지·대응 능력 평가 |
| 기간 | 1~4주 | 2~6개월 |
| 범위 | 특정 시스템·애플리케이션 | 전체 조직 (물리 포함) |
| 알림 | 보통 담당자 인지 | 보안팀 대부분 비인지 (블라인드) |
| 성공 기준 | 취약점 건수 | 목표 달성 여부 (크라운 쥬얼) |
레드팀 프레임워크
TIBER-EU
유럽중앙은행(ECB)이 금융 인프라 대상으로 설계한 위협 인텔리전스 기반 레드팀 프레임워크입니다.
[1단계] Preparation
- 범위 정의, 크라운 쥬얼 식별
- 레드팀·위협 인텔리전스 공급사 선정
[2단계] Testing
- Generic Threat Intelligence Report (GTI)
- Targeted Threat Intelligence Report (TTI)
- Red Team Test 실행
[3단계] Closure
- 결과 공유, 보라팀(Purple Team) 개선 활동
- Replay Session
국내에서는 금융보안원이 TIBER-EU를 참고한 K-TIBER 프레임워크를 2022년부터 운영하고 있습니다.
CBEST (영국)
영국 금융감독청(FCA) 주도 프레임워크. TIBER-EU의 전신으로 봐도 무방하며, 구조는 유사합니다.
PTES (Penetration Testing Execution Standard)
레드팀보다는 일반 침투 테스트에 가깝지만, 방법론 기준으로 자주 인용됩니다.
레드팀 단계별 방법론
1단계 — 정찰 (Reconnaissance)
[OSINT 수집]
├── 도메인·IP 정보: Shodan, Censys, SecurityTrails
├── 조직원 정보: LinkedIn, GitHub, Hunter.io
├── 기술 스택: BuiltWith, Wappalyzer, job postings
└── 소셜 엔지니어링 사전 정보: 조직도, 이메일 패턴
GitHub에 커밋된 API 키나 내부 도메인 정보가 생각보다 자주 발견됩니다. 사전 정찰 단계에서 이를 확인하는 것만으로도 유의미한 인텔리전스가 됩니다.
2단계 — 초기 접근 (Initial Access)
MITRE ATT&CK에서 Initial Access에 해당하는 주요 기법:
| 기법 | ID | 설명 |
|---|---|---|
| 스피어 피싱 첨부파일 | T1566.001 | 악성 문서(매크로, OLE 임베드) |
| 스피어 피싱 링크 | T1566.002 | 자격증명 피싱 페이지 |
| 공급망 침해 | T1195 | 신뢰 소프트웨어 오염 |
| 외부 노출 서비스 취약점 | T1190 | VPN, 웹앱, RDP 취약점 |
| 드라이브바이 침해 | T1189 | 워터링홀 공격 |
3단계 — 실행·지속 (Execution & Persistence)
# Living off the Land 예시 — PowerShell 기반 지속성
# (교육 목적 예시)
# 레지스트리 Run 키 활용 (T1547.001)
# HKCU\Software\Microsoft\Windows\CurrentVersion\Run
# 예약 작업 (T1053.005)
# schtasks /create /tn "SystemUpdate" /tr "powershell -enc BASE64" /sc onlogon
# WMI 구독 (T1546.003)
# wmic /namespace:\\root\subscription ...
레드팀 작전에서 중요한 것은 탐지 회피보다 탐지 유발이기도 합니다. SOC가 얼마나 빨리 이상 행위를 잡아내는지가 평가 지표이기 때문입니다.
4단계 — 내부 이동 (Lateral Movement)
[초기 거점]
↓ 자격증명 수집 (Mimikatz, LSASS dump)
[내부 호스트 A]
↓ Pass-the-Hash / Pass-the-Ticket
[내부 호스트 B]
↓ Kerberoasting, DCSync
[도메인 컨트롤러 (크라운 쥬얼)]
5단계 — 목표 달성 (Actions on Objectives)
크라운 쥬얼에 따라 다릅니다:
- 금융사: 핵심 원장 DB 접근, SWIFT 시스템 도달
- 제조사: 산업제어시스템(ICS/OT) 네트워크 도달
- 공공기관: 기밀 문서 추출, 이메일 서버 접근
C2 프레임워크
레드팀 작전에서 일반적으로 사용되는 C2(Command & Control) 프레임워크입니다.
| 프레임워크 | 특징 | 주요 활용 |
|---|---|---|
| Cobalt Strike | 상용, 가장 널리 사용 | APT 모방, 비컨 통신 |
| Sliver | 오픈소스, Go 기반 | CS 대안, mTLS/WireGuard |
| Havoc | 오픈소스, 현대적 UI | 신규 레드팀 도입 증가 |
| Brute Ratel | 상용, EDR 우회 특화 | 고급 레드팀 |
EDR 탐지 수준이 높아지면서 실제 APT 그룹들도 정상 클라우드 서비스(OneDrive, Dropbox)를 C2로 활용하는 추세입니다.
퍼플팀 연계
레드팀의 최종 가치는 공격에서 발견한 탐지 공백을 방어팀(블루팀)이 개선하는 데 있습니다.
[레드팀 TTP 실행]
↓
[블루팀 탐지 여부 확인]
↓
[탐지 못한 항목 → SIEM/EDR 룰 추가]
↓
[재실행 → 탐지 확인]
이 반복을 퍼플팀 운영이라고 합니다. MITRE ATT&CK 프레임워크의 기법 단위로 커버리지를 측정하면 정량적 개선 지표를 만들 수 있습니다.
보고서 구성 예시
레드팀 최종 보고서는 일반 침투 테스트 보고서와 구성이 다릅니다.
| 섹션 | 내용 |
|---|---|
| Executive Summary | 목표 달성 여부, 경영진용 핵심 요약 |
| Attack Narrative | 타임라인 기반 공격 스토리 (언제, 어디서, 어떻게) |
| MITRE ATT&CK 매핑 | 사용된 기법 목록 + 탐지 여부 |
| 탐지 공백 분석 | SOC가 놓친 이벤트 원인 분석 |
| 개선 권고 | 탐지 룰, 프로세스, 아키텍처 개선안 |
| 재현 시나리오 | 방어팀 훈련용 시나리오 |