Purple Team (퍼플팀)

Purple Team (퍼플팀)

레드팀(공격)과 블루팀(방어)이 협업하여 실시간으로 공격-방어 시나리오를 수행하고, 즉각적인 피드백을 통해 보안 역량을 향상시키는 협력적 보안 운영 모델

목적: 공격-방어 협업, 즉각적 피드백, 보안 갭 식별, 역량 향상, 실전적 훈련

특징: 실시간 협업, 양방향 학습, MITRE ATT&CK 매핑, 지속적 개선

구성요소

• •레드팀: 공격 시뮬레이션, TTP(Tactics, Techniques, Procedures) 실행
• •블루팀: 탐지·대응, SOC 운영, 로그 분석
• •퍼플팀: 조율·촉진, 결과 분석, 개선 도출, 지식 전달

운영 방식

• •시나리오 선정(MITRE ATT&CK 기반)
• •레드팀 공격 실행 → 블루팀 실시간 탐지 시도
• •결과 공유(탐지 성공/실패)
• •즉각 조정(탐지 룰, 로그 추가)
• •반복 테스트 및 검증

vs 전통적 접근: 전통(Red→보고서→Blue, 시간 지연) vs Purple(실시간 협업, 즉각 피드백)

장점: 빠른 피드백 루프, 실전적 학습, 탐지 역량 향상, 팀 간 이해 증진

단점: 조율 비용, 전문 인력 필요, 레드/블루 독립성 감소 우려

적용사례: 금융권 사이버 훈련, 대기업 보안 역량 강화, SOC 효과성 검증

비교: Red Team(공격 집중) vs Blue Team(방어 집중) vs Purple Team(협업)

연관: Red Team, Blue Team, MITRE ATT&CK, SOC, 사이버 훈련, BAS