레드팀 / 블루팀

레드팀 / 블루팀

레드팀은 실제 공격자처럼 조직의 보안을 공격하는 팀이며, 블루팀은 이를 탐지하고 방어하는 팀으로, 양 팀의 훈련을 통해 보안 역량을 강화하는 실전적 보안 운영 모델

특징: 실전 훈련, 대응 능력 향상, MITRE ATT&CK 기반 시나리오

구성요소: 레드팀(Red Team): 공격 시뮬레이션/APT TTP 재현, 블루팀(Blue Team): 탐지/대응/SOC 운영, 퍼플팀(Purple Team): 양 팀 협력/즉시 피드백/역량 향상

기술요소: MITRE ATT&CK(공격 프레임워크), Cobalt Strike/C2(레드팀 도구), EDR/SIEM(블루팀 도구), BAS(자동 시뮬레이션)

레드팀 역할 상세

• •실제 APT TTP 재현(MITRE ATT&CK 기반 시나리오)
• •목표 지향 공격: 특정 자산 탈취/시스템 장악이 목표(단순 취약점 나열이 아님)
• •도구: Cobalt Strike(C2 프레임워크), Metasploit, 맞춤형 도구, 소셜 엔지니어링
• •기간: 수주~수개월(침투테스트보다 장기)
• •은밀 작전: 블루팀에 사전 알리지 않음(탐지 능력 검증)

블루팀 역할 상세

• •SOC(Security Operations Center) 운영: 24/7 모니터링/경보 분석
• •탐지: SIEM 규칙/EDR 경보/NDR 이상 탐지 분석
• •대응: 침해 사고 대응 절차 실행, 격리/차단/복구
• •개선: 탐지 규칙 튜닝, 플레이북 업데이트, 취약점 패치

퍼플팀(Purple Team) 시뮬레이션

• •레드팀 공격 기법을 블루팀과 실시간 공유하며 협력
• •공격 실행 → 탐지 여부 확인 → 미탐지 시 즉시 탐지 규칙 개발 → 재테스트
• •효과: 양 팀 역량 동시 향상, 탐지 갭(Detection Gap) 신속 해소

교훈 도출(After Action Review)

• •공격 타임라인 vs 탐지 타임라인 비교
• •탐지 성공/실패 분석: 어떤 TTP를 탐지했고 어떤 것을 놓쳤는가
• •평균 탐지 시간(MTTD)/평균 대응 시간(MTTR) 측정
• •개선 과제 도출: 탐지 규칙 추가, 프로세스 개선, 도구 보강, 교육 필요 영역

적용사례: 보안 성숙도 평가, SOC 훈련, 침해 대응 훈련, 금융권 사이버 훈련

비교: 레드팀(목표 지향 공격/장기/APT 시뮬) vs 침투테스트(취약점 발견/단기/기술 중심) vs 블루팀(방어/탐지/대응)

연관: 침투테스트, MITRE ATT&CK, SOC, Purple Team