파이어아이, 맨디언트 레드팀 국내 투입

파이어아이가 기업 보안역량을 평가하기 위해 실제 주요 공격그룹이 악용했던 것과 거의 같은 수법을 동원해 모의해킹을 시도하는 맨디언트 레드팀을 국내에 투입한다.

파이어아이는 2014년 인수한 침해사고대응전문조직인 맨디언트가 제공하는 레드팀 서비스를 국내서도 출시할 계획이라고 31일 밝혔다.

이 서비스는 기업 내 시스템에 대한 포괄적인 공격을 통해 내부 시스템, 운영 상 취약점을 파악한 뒤 보안 탐지 및 대응 역량을 강화할 수 있도록 돕는 평가 서비스다.

맨디언트 레드팀 서비스는 파이어아이가 확보하고 있는 글로벌 인텔리전스 역량을 활용해 지능형 위협 그룹이 이용하는 공격 수단, 전략, 과정까지 모방해 평가 대상 시스템을 공격한다. 이 서비스들은 맨디언트의 독자적인 방법론을 활용해 정상적인 기업 비즈니스 운영 혹은 데이터에는 영향을 미치지 않는다고 회사측은 설명했다.

이 서비스는 두 가지 종류로 제공된다. 먼저 레드팀 평가 서비스는 기업 내 주요 자산을 목적으로 하는 포괄적인 공격을 수행한다. 이를 통해 민감한 커뮤니케이션 내용과 데이터를 탈취하고, 애플리케이션을 파괴하고 자동화된 기기를 조작할 수 있는 제어 권한을 획득하려는 목적으로 공격 진행한다. 공격 시간에 대한 사전 정보를 제공하거나 혹은 제공하지 않은 상태에서 기업의 보안 수준을 평가하겠다는 것이다.

또한 레드팀을 통한 침투테스트가 진행되는 동안 기존 기업 내 보안팀에 침해대응전문가가 투입돼 해당 기업의 보안 역량을 직접 평가하며, 탐지 및 대응 과정을 살펴보고, 추후 가이드라인을 제공한다. 실제 공격과 같은 상황을 모의훈련하는 방법으로 방어, 탐지, 대응 역량을 향상시킬 수 있다는 것이다.

파이어아이 침해대응 및 레드팀 서비스 담당 마셜 헤일먼 부사장은 "지난 12년 동안 공격자에 대해 조사해 본 결과, 공격자는 지식재산권 탈취, 시스템 파괴, 데이터 유출, 몸값 요구, 스파이행위, 시스템에 영속적인 접근 등 소기 목적을 이루기 위해서 대상 네트워크를 침입할 수 있는 수단을 반드시 찾아내고야 만다"고 밝혔다.

이어 그는 "인텔리전스를 기반으로 하는 맨디언트 레드팀 서비스는 기업 내 사이버 공격 탐지 및 대응 역량을 향상시키기 위해 전 세계에서 가장 위협적인 공격그룹의 기술을 활용해 공격을 시도하는 방법으로 해당 기업의 보안적인 한계를 테스트한다"며 "파이어아이는 심지어 기업이 특정 위협 그룹을 상대로 보안대응역량을 시험해 볼 수 있도록 특정 공격 그룹의 C&C 프로토콜을 모방할 수 있는 장치도 개발했다"고 설명했다.

이와 함께 파이어아이는 8가지 맞춤형 침입 평가를 제공하는 '맨디언트 침입 테스트 서비스(Mandiant Penetration Testing)'를 발표했다. 이 서비스는 산업제어시스템(ICS), 사물인터넷(IoT) 기기, 모바일 기기, 애플리케이션 대상 침입 테스트를 포함한다.

소프트웨어, 하드웨어, 네트워크에 존재하는 복잡한 보안 취약점을 파악하고, 해소하기 위한 방안을 제공한다. 맨디언트의 침입 테스트는 레드팀 서비스와 마찬가지로 인텔리전스 기반 접근을 이용하며 가장 위협적인 공격 그룹에 대한 정보를 기반으로 평가 대상이 되는 기술 및 시스템을 공격한다.

구체적으로 IoT 및 IoT에 활용되는 기기 평가, ICS 침입 평가, 모바일 기기 평가, 외부 침입 테스트, 내부 침입 테스트, 웹 애플리케이션 평가, 무선 기술 평가, 사회공학적 기법에 대한 평가가 진행된다.