침투 테스트 완료하고 보안 솔루션 설치해도 ‘실제 대응 능력’ 의문 남아
공격자와 방어자 바꿔보는 훈련 거듭해 방어적 대응 시간 단축해야

[보안뉴스 문가용] 당신은 사이버 보안 기술을 비싼 값에 사들였을 지도 모른다. 어쩌면 레드팀을 외부에 두고 있거나 내부에 비슷한 기능을 하는 팀이 있을지도 모르겠다. 그래서 사이버 공격이 들어와도 괜찮을 거라는 여유가 있다. 애석하지만, 그런 여유를 갖기에는 조금 이른 감이 있다. 공격의 개념과 시나리오가 세워져 있다 한들 공격이 들어왔을 때 실제 대처할 능력을 우리 블루팀이 갖추고 있지 않을 공산이 크기 때문이다.

(레드팀과 블루팀은 가상의 전쟁에서 각각 공격과 수비를 맡는 역할을 한다. 레드팀은 공격자인 척 함으로써 다양한 공격 시나리오에 대한 방어력을 키우는 데 일조하고, 블루팀은 실제적은 방어를 수행해봄으로써 방어를 몸으로 익히는 훈련을 하게 된다_편집자 주)

레드팀 운영이야 침투 테스트 및 모의 해킹 등의 이름으로 그 효용성이 충분히 입증되었다. 하지만 블루팀이 실제 상황에서 잘 대처할 수 있을지는 언제나 미지수로 남는다. 그런데 이는 생각보다 간단하게 해결할 수 있다. 블루팀과 레드팀을 바꾸는 것이다. 레드팀의 기능을 수행할 수 있게 된다면, 블루팀의 일은 대부분 쉬워진다. 그러므로 완벽해지진 않을지언정 빨라진다.

네트워크에 공격이 실제로 들어갈 때 가장 아쉬운 자산은 시간이다. 공격이 들어오고 있다는 걸 파악하는 데에 걸리는 시간이 줄어들면 줄어들수록 무슨 일이 벌어지고 있는지 빠르게 이해할 수 있고, 그래야 공격자들이 누구인지 빠르게 알고 무슨 목적인지 추측해 가장 정확한 목표물을 보호할 수 있는 것이다. 공격에 대한 탐지와 분석 시간을 짧게 가져가려면 아직 많은 업체들이 도달하지 못한 보안의 수준에 이르러야 한다. 그리고 그것은 훈련이다.

가장 먼저 실행해야 할 건 ‘이론 훈련’이다. 최신 툴과 기술, 방어 절차에 대한 이론들을 숙지하는 것이다. 관련 도서를 읽는 것은 물론 블랙햇이나 데프콘, 비사이즈(BSides)와 같은 국제적인 컨퍼런스에 참여하는 것도 좋은 방법이다. 여러 보안 커뮤니티에서 ‘눈팅’이라도 꾸준히 해보는 것도 좋다. 이렇게 해서 인식 속에 ‘보안’이라는 걸 심어두었다면, 본격적으로 레드팀이 하는 일을 이해해볼 차례다.

레드팀은 가상의 공격 시나리오를 만들어 공격자인 척 침투를 감행하는 일을 주로 한다. 병 뚜껑이 꼭 잠겼는지 확인해보기 위해 병을 거꾸로 드는 것과 같다. 문제는 이런 팀과 계약을 했다는 것에서 많은 기업들이 섣부른 안심을 한다는 것이다. 모의 해킹을 해봤고 그 결과 아무런 취약점이 없으니 끝. 레드팀과 같은 전문가들과 협력관계를 맺고 있는데, 고작 검사 몇 번으로 끝낸다는 건 매우 비효율적이다. 이들의 전문성을 가지고 내부 보안 인식 제고 및 해커 심리에 대한 이해 증대와 같은 효과까지도 노려야 한다.

이때 사용할 수 있는 방법 중 하나가 해커들이 즐겨 사용하는 툴을 레드팀과 블루팀에게 제공하는 것이다. 두 가지를 추천하는데 하나는 메타스플로잇(Metasploit)이고 다른 하나는 코발트 스트라이크(Cobalt Strike)다.

메타스플로잇은 사이버 보안 커뮤니티에서는 ‘공격자의 교과서’라고 불릴 정도로 널리 알려진 툴이다. 다양한 서버에 적용이 가능한 익스플로잇 라이브러리가 풍부한 것이 특징이다. 물론 이걸 그냥 맨손에 쥐어줘서는 안 된다. 운전을 배울 때 브레이크 작동법을 제일 먼저 배우듯, 메타스플로잇에 대한 대처법부터 훈련을 시켜야 한다.

코발트 스트라이크는 실제 네트워크 위협을 실감나게 구현해주는 툴로서 침투 테스트 시 널리 사용되고 있다. 코발트 스트라이크의 기능으로는 1) 네트워크 정찰, 2) 자바 애플릿, MS 오피스, MS 윈도우, 웹 사이트 복제를 활용한 공격, 3) 스피어 피싱, 4) 파워쉘 스크립트 실행, 키스트로크 로깅, 화면 캡처, 파일 다운로드, 페이로드 스포닝 등 익스플로잇 후의 기능, 5) 보안 시스템 우회를 위한 비밀 통신 등이 있다. 현대 이뤄지고 있는 대부분의 사이버 공격을 구현할 수 있다는 뜻이다.

블루팀이 이 두 가지 툴을 손에 쥐고 사용할 수 있게 되었다면 무슨 일이 일어날까? 메타스플로잇을 통해 여러 익스플로잇에 대한 이해도를 높일 수 있고, 코발트 스트라이크를 통해 다양한 공격 방법을 실감나게 체험할 수 있다. 사이버 보안이 왜 중요한지, 공격자들이 어떤 식으로 일을 벌이는지 입체적이고 다각도로 접근할 수 있다는 것이다. 이를 침투 테스터들인 레드팀이 옆에서 봐주고 코치해주는 게 중요하다.

그래도 여전히 “우린 한 번도 공격 받은 적이 없는데, 굳이...”라고 말하는 사람들이 있다. 그렇다면 오히려 실제 공격이 일어났을 때 패닉에 빠져 우왕좌왕할 공산이 크다는 소리다. 어쩌면 방어 자체가 애초에 충실히 갖춰지지 않았을 가능성도 높다. 레드팀과 블루팀의 운영과 상호교환은 그런 사람들에게 더더욱 중요하다. 사내 워크샵 일환으로 서바이벌 게임을 해봤다면, 이를 사이버 공간으로 옮겨오는 시간을 가져보는 건 어떨까. 수비진과 방어진을 바꿔가면서 말이다.

글 : 오퍼 이스라엘리(Ofer Israeli)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>