“디지털 전환, 언텍트·비대면, 기술의 진화 등으로 인해 해커들의 공격도 증가하고 진화·변화하고 있다. 블랙해커들은 목적 달성을 위해 수단과 방법을 가리지 않는다. 그리고 새로운 기술 변화에 맞게 학습하고 공격도 맞춤형으로 진화시켜 나가고 있다. 이들의 진화하는 공격에 효과적으로 대응하기 위해 필요한 방안 중 하나가 레드팀 운영이다.”   

제11회 정보보호의 날 국제 정보보호 컨퍼런스 기조연설에서 비바리퍼블리카(토스) 이종호 시큐리티테크팀 리더는 ‘화이트해커와 레드팀’을 주제로 강연을 진행했다. 

이종호 리더는 “IoT 기기들이 네트워크와 연결되면서 해커들이 이를 해킹해 코인 채굴에 이용하기도 하고 코로나 이후 원격근무 솔루션 등을 타깃으로도 공격이 증가하고 있다. 또한 오픈소스 프레임워크와 클라우드 도입이 확대되면서 해커들의 공격도 진화하고 있다. 방어 체계를 우회하는 공격은 계속되고 있고 신기술에 맞는 특화된 맞춤형 공격으로 해커들은 무장하고 지속적으로 공격을 진행하고 있는 상황”이라고 전했다. 

공격자들은 스마트홈, 스마트시티와 연결된 IoT 기기들을 타깃으로 공격하고 아마존, MS, 구글 클라우드 플랫폼을 분석해 이들의 고유 기능을 악용한 공격으로 내부침투와 정보유출을 시도하고 있다. 해커들의 공격은 기술 발전과 함께 변화하고 있는 상황에 이를 효과적으로 방어하기 위해 어떤 보안대책이 필요할까. 

이종호 리더는 그 방법으로 레드팀 운영의 필요성을 강조했다. 

레드팀은 해커의 관점에서 조직의 취약점을 찾아내 공격하고 개선 방안을 도출해 선제적으로 공격을 막아낼 수 있도록 구성된 화이트해커팀을 말한다. 즉 조직의 취약한 부분을 해결하기 위해 가장 효율적인 방안을 제시해 줄 수 있는 역할을 하는 팀이다. 

토스도 이를 위해 현재 레드팀을 운영하고 있다. 16명의 화이트해커로 구성돼 있으며 토스 커뮤니티 전체를 대상으로 보안기술 내재화, 취약점 대응, 보안인식 재고 등 토스 보안성 향상을 목표로 하고 있는 팀이다. 

이종호 리더는 “토스 시큐리티 테크팀은 토스 보안성 향상을 위해 모의해킹, 진단, 하드닝, 인텔리전스 업무를 주로 하고 있으며 해커의 관점에서 취약점을 찾고 대응 방안을 제시하는 역할을 하고 있다”며 “주기적으로 레드팀(공격팀)과 블루팀(방어팀)으로 나눠 실전과 같은 공격과 방어 훈련을 진행하고 있으며 이를 통해 토스 전체의 보안성을 높이는데 기여하고 있다”고 전했다. 

이어 “화이트해커가 레드팀 활동을 잘하는 이유는 공격자 관점에서 창의적으로 생각하고 시스템을 바라 볼 수 있기 때문이다. 블랙해커와 화이트해커의 차이는 공격을 수행하는 목적만 다를 뿐 사용하는 기술과 공격방법은 동일하다. 하지만 화이트해커들이 공격기술에서는 앞서 있다고 생각한다. 그래서 화이트해커들이 가장 효율적인 대응방안을 제시할 수 있다고 생각한다”고 덧붙였다.  

그는 또 레드팀 운영을 잘 할 수 있는 키포인트를 전하며 “해커들은 비판적 사고와 논리적이고 분석적이면서도 개개인이 고유한 색깔을 갖고 있다. 레드팀 운영을 위해서 해커들이 창의적인 환경에서 자유롭게 책임감을 가지고 연구할 수 있는 분위기 조성이 우선되어야 한다. 또 단기적인 성과 위주가 아닌 장기적인 목표를 가지고 독립성을 확보해 줘야 성과를 볼 수 있다. 만약 레드팀 운영이 어렵다면 외부 화이트해커를 이용하는 버그바운티에 적극 참여하는 것도 방법이다”라고 조언했다. 

이종호 리더는 새로운 기술과 IT환경의 변화에 따른 새로운 보안 이슈는 계속 등장할 것이고 새로운 보안 기술이 나오지만 공격자들은 반드시 우회공격 방법을 찾아낸다. 이들의 공격에 맞춤형 대응이 필요하다. 공격자 관점에서 새로운 취약점을 찾아내고 기업 환경에 맞는 최적화된 대응책을 마련하는 방안을 찾는 것이 필요하다고 전했다. 

★정보보안 대표 미디어 데일리시큐!★