1. 개요

워게임에서 대항군을 일컫는 레드팀은 적의 관점에서 약점을 식별하기 위한 방법론으로 군사영역에서 사용하기 시작했다. 그리고 보다 최근에는 국가안보, 정보분석, 사이버, 기업경영, 금융 분야에 광범위하게 적용되면서, 다양한 상대방의 관점에서의 비판적 사고에 중점을 두고 나의 약점을 독립적이고 객관적으로 보기 위해 사용한다.

이번 호에는 사이버 영역에서 레드팀을 활용한 보안평가와 사이버 위협 정보분석에 대해 알아보자. 

2. 사이버 레드팀 평가

사이버 레드팀은 방어 수준을 강화하기 위해 실제 공격자의 관점에서 취약점을 평가한다. 다른 평가 방법과 비교했을 때 취약점 평가가 구성요소별로 세분화된 취약점을 가능한 많이 식별하고, 침투 테스트가 지정된 범위에서 구체적인 공격목표 달성이 가능한지 보안의 유효성을 검사한다면, 사이버 레드팀 평가는 현실적인 사이버 공격에 대한 탐지, 대응, 억제 역량을 검증하고 향상시킬 목적으로 고안하였다. 다만 이는 절대적인 기준은 아니며, 1996년부터 정부, 군대, 산업계를 대상으로 평가를 수행해 온 미 산디아국립연구소 정보설계보증 레드팀(IDART)의 경우 설계 및 개발 단계를 포함한 시스템 생애주기 전반에 걸쳐 레드팀을 적용하는 방법론을 사용하고 있다.

공격을 담당하는 레드팀은 발생 가능성이 높은 공격자의 전술, 기법, 절차를 모방한 공격 시나리오로 공격을 수행하며, 공격에 대한 모든 로그와 자료를 제공한다. 방어를 담당하는 블루팀은 공격에 대해 탐지와 대응을 수행하고, 공격에 대한 로그 기록, 경보 발생, 대응 절차의 적절성을 검토한다. 그리고 사후 합동 검토를 통해 공격과 방어에 대한 상호 이해를 증진하고 각자 영역에 반영함으로써 두 팀의 역량을 높인다.

그리고 레드팀이 정보 공유에 소극적이거나 블루팀이 비정상적인 방법으로 레드팀의 공격을 차단하는 등 평가 과정에서 발생하는 문제점을 통제하고 협업을 도모하기 위해 퍼플팀을 운영할 수 있다. 또한 퍼플팀은 레드팀이 공격에 지속적으로 실패할 때 공격 전술, 기법, 절차를 수정하고, 블루팀이 근본적인 문제에 접근하지 못하면 핵심 원인을 개선하도록 지원하는 역할을 수행한다.

3. 사이버 정보분석을 위한 구조화 분석기법

9∙11 테러 조사 위원회는 최종 보고서에서 테러를 방지하지 못한 원인 중 하나로 상상력의 실패를 지적하고, 상상력의 실행을 일상화, 더 나아가 조직화 해야 한다고 권고 했다. 이에 미국은 2004년 제정된 정보개혁법에서 정보기관들은 정보생산물 내 첩보와 결론에 대해 대안분석(Alternative Analysis)을 수행하도록 보장할 책임을 지도록 했는데, 이를 흔히 레드팀 분석이라고 부른다.

미 중앙정보국(CIA)의 한 관리자는 정보분석을 건물에서 배출하는 쓰레기를 보고 내부 상황에 대해 결론을 내는 과정에 비유했다. 따라서 정보분석은 불확실성으로 인한 잠재적 오류 가능성을 내포하며, 정보실패의 주된 원인은 비논리적인 추론에 따라 잘못된 판단을 내리는 인지 편향과 비판적 사고를 수용하지 않는 집단사고를 꼽는다. 대안분석은 정보분석의 위험성을 최소화하기 위해 선택 가능한 가정과 가설을 평가하고 타 문화를 이해하며 다른 국가의 관점에서 사건을 분석하는 방법으로 1980년대 중반부터 사용하기 시작했다. 그리고 여러 가지 분석기법을 조합하여 활용하는 방법으로 발전하면서, 대안분석이라는 명칭이 전통적 방법으로 진행하는 정보분석에 대해 필요할 때만 적용하는 대안적 분석이라고 제한적으로 해석되고 그 의미를 충분히 표현하지 못하여, 2005년부터 구조화 분석기법(Structured Analytic Techniques)이라는 용어를 사용하고 있다.

구조화 분석기법은 분석기법들을 목적에 따라 진단기법, 반박기법, 추론기법으로 나눈다. 진단기법은 핵심가정 점검, 지표, 경쟁가설분석 등으로 분석적 주장, 가정, 정보 격차를 투명하게 만들고, 반박기법은 악마의 변호인, 발생가정 분석 등으로 현재의 사고에 도전하며, 추론기법은 브레인스토밍, 대안 미래 분석 등으로 새로운 통찰력, 다른 관점, 대안 결과 개발을 목표로 한다. 이러한 구조화 분석기법은 불완전한 자료를 단계적으로 처리하고 내적 사고 절차를 분석기법을 통해 구조화하여 외부로 투명하게 표현하기 때문에 오류를 최소화하고 다른 사람과 쉽게 공유하여 검토할 수 있다.

공격보다 방어가 불리한 사이버 분야에서 공격자의 전술, 기술, 절차를 파악하는 정보분석은 보안의 승패를 결정하는 중요한 요인이다. 사이버 정보분석은 카네기 멜론대학교의 사이버 인텔리전스 트레이드크래프트 프로젝트(Cyber Intelligence Tradecraft Project)에서 정의한 프레임워크에 따르면 환경, 데이터 수집, 기능 분석, 전략 분석, 이해관계자 보고 및 피드백으로 구성하며, 기능 분석이 수집한 데이터를 기술적으로 분석하여 사이버 위협의 '무엇'과 '어떻게'에 대답한다면, 전략 분석은 기능 분석에 관점, 상황, 깊이를 더해 '누가'와 '왜'에 대해 대답하는 것을 목표로 한다. 따라서 효과적인 전략 분석을 위해 구조화 분석기법을 적용할 수 있으며, 일례로 미 금융서비스 정보공유분석센터(FS-ISAC)의 경우 사이버 인텔리전스 전문가 양성 과정에서 구조화 분석기법을 교육하고 있다.

예를 들어, 구조화 분석기법을 적용하여 6∙25 사이버공격 전에 북한의 공격을 예상하는 보고서를 작성한다고 가정해 보자. 단 사례로 들기 위해 국내 기관의 홈페이지를 대상으로 북한의 사전 공격을 탐지한 가상의 상황을 핵심증거로 추가했다.

먼저 정보를 구성 부분들로 분해하고 다양한 부분들의 상호작용에 대한 이해를 돕기 위해 시각화한다. 사건 발생 순서대로 타임라인을 작성하면 사건들 사이의 상호관련성과 추가 수집해야 할 부족한 정보를 파악하는 데 도움이 된다.

[그림 1] 타임라인

이제 수집한 증거를 통해 잠재적으로 제시할 수 있는 설명이나 결론으로 가설을 수립한다. 사례에서는 가설 수립을 위해 개발된 기법 중 단순 가설 방법을 사용했으며, 이 방법은 아이디어 수립, 구조화 브레인스토밍, 아이디어 평가 및 통합의 과정을 거처 최종 가설 리스트를 선정한다. 이 과정에서 상황 논리, 역사적 유추, 이론을 활용해 창의적인 사고를 촉진하고, 가설들이 상호배타적인지, 리스트가 포괄적인지 확인한다.  

다음은 핵심가정 점검으로 증거 해석과 추론을 이끌어 가는 모든 가정을 도출하고 각각의 가정을 비판적으로 검토한다. 검토 결과 엄밀하게 검증되지 않은 가정들을 삭제하지만, 목적은 핵심 가정을 포기하지 않고 오히려 가정을 분명하게 만들고 재검토가 필요한 정보를 식별하는 것이다.

[표 2] 핵심가정 점검

4. 결론

전쟁에서 승리하기 위해 실전과 같은 훈련과 적에 대한 정보분석이 필수적이듯, 육∙해∙공∙우주에 이어 제5의 전장으로 규정하고 있는 사이버 영역에서도 그 중요성을 인식하고 좀 더 중점을 둘 필요가 있다. 그리고 이 과정에서 레드팀은 현실적인 위협과 상황, 문제점, 잠재적 해결책을 바라볼 수 있도록 도와줌으로써 승리할 가능성을 높여 줄 것이다.

5. 참고자료

[1] 마이카 젠코 , 『레드팀(성공하기를 원한다면 적의 입장에서 생각해라)』, 강성실(역), 스핑크스(2018)

[2] 브라이스 호프먼, 『레드 팀을 만들어라(가장 뛰어난 답을 얻는 리더의 비밀)』, 한정훈(역), 토네이도(2018)

[3] 리차즈 휴어 , 『정보분석을 위한 구조화 분석기법』, 이길규(역), 박영사(2016)

[4] 사라 밀러 비비, 『정보분석 사례연구』, 이길규(역), 박영사(2017)

[5] The Rise of the Purple Team, https://www.rsaconference.com/writable/presentations/file_upload/air-w02-the-rise-of-the-purple-team.pdf

[6] The Difference Between Red, Blue, and Purple Teams, https://danielmiessler.com/study/red-blue-purple-teams/

[7] Sandia National Laboratories: IDART, https://idart.sandia.gov

[8] Cyber Intelligence Tradecraft Project, https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=40201