블로그 목록으로 돌아가기

GOTROOT / 레드팀

레드팀 컨설팅이란? 모의해킹 차이와 도입 기준 | GOTROOT

레드팀 컨설팅과 모의해킹의 차이, 도입 기준, 범위 설정, ATT&CK 기반 공격 체이닝까지 GOTROOT가 실무 관점으로 정리했습니다.

GOTROOT 리서치 팀 2026. 5. 19.

레드팀 컨설팅이란? 모의해킹 차이, 도입 기준, 범위 설정, 서비스 소개 총정리

레드팀 컨설팅은 취약점 몇 개를 찾는 프로젝트가 아니라, 공격자의 시선으로 조직의 핵심 자산이 실제로 탈취될 수 있는지 검증하는 의사결정형 보안 프로젝트입니다. 단순 스캐닝이나 체크리스트 리뷰만으로는 보이지 않는 침투 가능 시간, 공격 체이닝, 블루팀의 탐지 미흡 등 까지 함께 드러낸다는 점에서 보안 담당 실무진과 경영진 모두에게 의미가 있습니다.

실제로 CrowdStrike Global Threat Report는 공격자의 초기 침투 이후 확산 속도가 매우 짧아지고 있음을 반복적으로 보여줍니다. 그래서 레드팀 컨설팅은 무엇이 취약한가보다 무엇이 실제로 뚫리고, 어디까지 이어지며, 우리 조직은 언제 탐지하고 어떻게 막는가를 확인하는 데 더 가깝습니다.

레드팀 서비스 보기

레드팀 컨설팅 공격 시나리오 조합도

레드팀 컨설팅은 ATT&CK 매트릭스의 수많은 TTP 후보를 그대로 나열하는 작업이 아닙니다. 실제 고객 환경에서 연결될 가능성이 높은 기법을 선별하고, 그 조합이 하나의 공격 체인으로 이어지는지 검증합니다.

ATT&CK 기반 매핑

실제 APT에 의해 많이 사용되는 TTP의 조합으로 시나리오가 구성 됩니다.아래 예시는 후보 기법들을 전술별로 펼쳐 놓고, 각 시나리오 별 구성을 하여 취약점 체이닝 구성을 하여 서비스를 제공합니다.
Recon12 techniques
T1595 Active ScanT1589 Identity InfoT1598 Phishing IntelT1592 Host InfoT1580 Cloud Accounts
Initial Access11 techniques
T1566 PhishingT1190 Public AppT1133 Remote ServicesT1078 Valid AccountsT1091 Removable Media
Execution20 techniques
T1059 CommandT1204 User ExecutionT1106 Native APIT1053 Scheduled TaskT1129 Shared Modules
Privilege13 techniques
T1068 Exploit PrivilegeT1548 Elevation ControlT1134 Access TokenT1574 Hijack FlowT1055 Process Injection
Defense / Stealth48 techniques
T1562 Impair DefensesT1027 ObfuscationT1070 Indicator RemovalT1036 MasqueradingT1112 Modify Registry
Credential / Discovery51 techniques
T1003 Credential DumpingT1087 Account DiscoveryT1046 Network DiscoveryT1018 Remote SystemT1069 Permission Groups
Lateral / Exfil44 techniques
T1021 Remote ServicesT1570 Tool TransferT1041 Exfil over C2T1486 Data EncryptedT1567 Web Service
공격 체이닝
01
공격 준비와 초기 진입T1598 + T1566
02
명령 실행과 권한 확장T1059 + T1068
03
방어 우회와 자격증명 확보T1562 + T1003
04
내부 이동과 외부 반출 가능성T1021 + T1041

레드팀 컨설팅은 무엇을 검증하나

레드팀 컨설팅의 핵심은 단일 취약점의 발견이 아니라 공격 시나리오의 현실성입니다. 즉, 공격자가 어떤 경로로 진입하고, 어떤 자산을 우선 표적으로 삼고, 어떤 방어 체계를 우회해, 어느 지점에서 권한 상승이나 정보 탈취로 이어질 수 있는지를 전체 흐름으로 검증합니다.

보통 다음과 같은 질문에 답을 내기 위해 수행합니다.

  • 우리 조직의 핵심 자산은 어디에 있고 어떤 경로로 닿을 수 있는가

  • 외부 공격자 관점에서 가장 현실적인 초기 진입 벡터는 무엇인가

  • 취약점 하나가 아니라 여러 약점이 연결될 때 실제 침투가 가능한가

  • 기존 보안 솔루션과 관제 체계는 어느 단계에서 탐지하는가

  • 탐지 이후 대응 절차와 커뮤니케이션은 실제로 작동하는가

이 때문에 레드팀 컨설팅은 보안팀만의 프로젝트가 아니라 IT 운영, 개발, 관제, 인프라, 심지어 경영진까지 연결되는 검증 프로젝트가 됩니다.

모의해킹과는 무엇이 다른가

레드팀 컨설팅을 검토할 때 가장 많이 나오는 질문은 기존 모의해킹과 뭐가 다른가입니다. 결론부터 말하면, 모의해킹은 단위 자산별 기술적 취약점 검증 중심이고 레드팀 컨설팅은 공격 목표 달성 가능성과 방어 운영 검증 중심입니다.

구분

모의해킹

레드팀 컨설팅

핵심 목적

취약점 식별

실제 공격 시나리오 검증

범위

자산별 점검 중심

목표 기반 체인 검증

결과물

취약점 목록, 재현, 조치 권고

침투 경로, 블루팀 탐지 공백, 대응 개선안

운영 관점

기술팀 중심

보안팀, 관제, 운영, 사내 체계 포함

질문

무엇이 취약한가

무엇이 실제로 이어지고 어디서 막히는가

예를 들어 웹 애플리케이션 취약점 진단이 필요하다면 먼저 모의해킹 서비스가 더 적합할 수 있습니다. 반면 이미 기본 진단은 해왔고, 실제 공격자가 어떤 체인으로 들어와 주요 시스템에 도달할 수 있는지 확인하려면 레드팀 컨설팅이 맞습니다.

즉, 모의해킹이 문을 열 수 있는가를 보는 작업이라면, 레드팀 컨설팅은 문을 열고 들어온 뒤 우리 조직은 어느 시점에 알아차리고 어디까지 허용하는가를 보는 작업입니다.

레드팀 컨설팅이 필요한 조직과 아직 이른 조직

모든 조직이 처음부터 레드팀 컨설팅을 해야 하는 것은 아닙니다. 하지만 다음과 같은 신호가 보이면 도입 시점이 온 것입니다.

  • 인터넷 노출 자산이 빠르게 늘고 있다

  • SaaS, 클라우드, VPN, 외부 협력사 연결이 복잡해졌다

  • 정기 모의해킹은 하지만 운영 관점의 연결 검증은 부족하다

  • 탐지는 되지만 실제 블루팀 의사결정과 체계가 불명확하다

  • 우리 자산이 실제로 얼마나 위험한가를 숫자와 시나리오로 알고 싶어 한다

반대로 아직 기본 자산 목록, 계정 정책, 로그 수집, 취약점 관리 체계가 거의 없는 상태라면 레드팀 컨설팅보다 먼저 기초 보안 운영을 정리하는 편이 낫습니다. 레드팀은 기초 진단을 대신하는 서비스가 아니라, 어느 정도 운영 체계가 있는 조직이 실제 공격 가능성을 입체적으로 검증하는 단계이기 때문입니다.

또한 IBM Cost of a Data Breach가 보여주듯 사고 침해사고 발생 시 손실과 이어지는 비용은 단순 복구만이 아니라 운영 중단, 법무, 평판, 커뮤니케이션 비용까지 연결됩니다. 그래서 레드팀 컨설팅은 단순 기술 점검 예산이 아니라 핵심 자산 보호를 위한 경영 의사결정 도구로 봐야 합니다.

범위 설정에서 반드시 합의할 것

레드팀 컨설팅 품질은 실행 기술보다 범위 설정에서 갈리는 경우가 많습니다. 가장 중요한 것은 Rules of Engagement를 실무적으로 정의하는 것입니다.

최소한 아래 항목은 사전에 문서로 합의해야 합니다.

  1. 목표 자산과 최우선 보호 대상

  2. 허용되는 초기 진입 벡터와 금지 구간

  3. 사회공학 포함 여부

  4. 운영 중단 가능 행위의 제한선

  5. 탐지 시 커뮤니케이션 체계와 중단 기준

  6. 재검증과 후속 개선 범위

특히 많이 해봐 달라는 식의 넓은 요청은 결과를 오히려 흐리게 만듭니다. 경영진 보고용인지, 관제 성숙도 점검용인지, 클라우드 공격 표면 검증용인지, 내부 권한 상승 시나리오 확인용인지 목적이 명확해야 결과가 조직 의사결정으로 이어집니다.

좋은 레드팀 컨설팅은 화려한 침투 성공보다도 무엇을 왜 검증했고, 어디서 멈췄으며, 왜 그 결과가 비즈니스 리스크와 연결되는지를 설명할 수 있어야 합니다.

산출물은 무엇이 나와야 하나

레드팀 컨설팅 결과물은 단순 취약점 리스트로 끝나면 부족합니다. 최소한 아래 네 가지 축이 있어야 합니다.

1. 공격 흐름 요약

경영진과 비기술 조직도 이해할 수 있도록 진입, 확장, 권한 상승, 목표 달성 흐름을 한 장으로 정리해야 합니다.

2. 기술 상세와 증적

재현 가능한 수준의 로그, 스크린샷, 체인 단계, ATT&CK 매핑, 탐지 여부, 관련 설정값이 포함되어야 합니다.

3. 운영 공백 분석

어느 시점에서 탐지가 누락되었고, 탐지했더라도 왜 실제 대응으로 이어지지 않았는지까지 정리되어야 합니다.

ATT&CK 매핑과 퍼플 협업이 중요한 이유

레드팀 컨설팅이 끝난 뒤 가장 자주 놓치는 부분은 결과를 블루팀과 연결하지 않는 것입니다. 침투 시나리오가 있었다면, 그 시나리오를 MITRE ATT&CK 관점으로 다시 정리하고 탐지 룰과 플레이북으로 넘겨야 합니다.

이 단계에서 중요한 질문은 다음과 같습니다.

  • 어떤 전술과 기법이 실제로 성공했는가

  • 어떤 로그는 있었지만 탐지 규칙이 없었는가

  • 탐지는 되었지만 triage와 escalation이 늦었던 이유는 무엇인가

  • 어떤 자산은 로그조차 남지 않았는가

그래서 레드팀 컨설팅 이후에는 퍼플 형태의 후속 검증이 필요합니다. 레드팀이 공격 경로를 증명했다면, 이후 단계는 그 경로가 다시는 같은 방식으로 통하지 않도록 탐지와 대응 체계를 고도화하는 것입니다.

AI 레드팀이 필요한 이유

최근에는 AI 기능이 서비스 안으로 들어오면서 전통적인 레드팀 범위만으로는 충분하지 않은 경우가 늘고 있습니다. 프롬프트 인젝션, 시스템 프롬프트 누출, 도구 호출 오남용, 권한 위임 실수, 모델 출력 기반 업무 오판 같은 리스크는 기존 웹 취약점 진단만으로 잘 드러나지 않습니다.

이 때문에 AI를 사용하는 조직은 일반 레드팀 컨설팅과 별도로 AI 레드팀 관점을 분리해서 보는 편이 좋습니다.

  • 모델이 어떤 입력에 취약한가

  • 외부 데이터와 툴 호출이 어떤 권한 경계를 넘는가

  • 잘못된 출력이 실제 비즈니스 프로세스에 어떤 영향을 주는가

  • 프롬프트 보호, 데이터 분리, 승인 절차가 충분한가

이 영역은 NIST AI RMF 같은 프레임워크와 함께 보는 것이 좋습니다. AI 기능이 보안 통제보다 빠르게 붙는 조직일수록, AI 레드팀은 선택이 아니라 운영 안정성을 위한 사전 점검이 됩니다.

자주 묻는 질문

레드팀 컨설팅은 모의해킹보다 항상 더 좋은가요?

아닙니다. 자산별 취약점 진단이 우선이라면 모의해킹이 더 적합합니다. 레드팀 컨설팅은 기본 진단 이후, 실제 공격 시나리오와 운영 공백까지 보고 싶을 때 더 효과적입니다.

레드팀 컨설팅은 얼마나 자주 해야 하나요?

조직 변화 속도에 따라 다르지만, 인프라 구조 변화, 대형 릴리스, 인수합병, SaaS 확장, 클라우드 재구성 같은 이벤트가 있었다면 재수행을 검토하는 것이 좋습니다.

외부 컨설팅과 인하우스 레드팀 중 무엇이 맞나요?

초기에는 외부 레드팀 컨설팅으로 객관적 시야를 확보하고, 이후 일부 시나리오를 내부 팀이 반복 검증하는 구조가 가장 현실적입니다.

결론

레드팀 컨설팅은 단순히 공격을 흉내 내는 프로젝트가 아닙니다. 핵심 자산 기준으로 어떤 공격 경로가 현실적인지, 현재 탐지와 대응 체계가 실제로 작동하는지, 그리고 이후 90일 동안 무엇을 우선 개선해야 하는지를 정리하는 운영형 보안 의사결정 프로젝트입니다.

이미 기본 취약점 진단은 하고 있지만 실제로 어디까지 이어질 수 있는가가 궁금하다면, 레드팀 컨설팅을 검토할 시점입니다.

레드팀 범위 설계 상담 시작하기