red-team
작성자 alirezarezvanired-team은 승인된 red team engagement를 위한 adversary-simulation planning skill입니다. attack path analysis, MITRE ATT&CK sequencing, choke point scoring, OPSEC risk notes, crown jewel targeting을 지원합니다. 더 안전하게 범위가 정해진 exercise를 진행할 수 있도록 planner script와 방법론 reference를 포함합니다.
이 skill은 82/100점으로, 범용 offensive-security prompt가 아니라 구조화된 red team engagement planning이 필요한 디렉터리 사용자에게 적합한 후보입니다. repository 근거를 보면 agent가 과도한 추측 없이 skill을 트리거하고 실행할 수 있을 만큼 방법론, workflow 안내, 사용 가능한 planner script가 갖춰져 있습니다. 다만 설치 안내가 없고 technique 범위가 다소 제한적일 가능성이 있어 도입 폭은 일부 제한될 수 있습니다.
- 트리거 범위가 명확합니다. 승인된 red team engagement, attack path analysis, offensive simulation을 대상으로 하며, vulnerability scanning이나 incident response와 분명히 구분합니다.
- SKILL.md에 kill-chain 방법론, technique scoring, choke point analysis, OPSEC risk assessment, crown jewel targeting, workflow, anti-pattern, cross-reference 등 실무 내용이 충분히 담겨 있습니다.
- 실행 가능한 지원 도구인 `scripts/engagement_planner.py`를 포함하며, 사용 예시, authorization gating, JSON output, exit code, technique/access-level validation을 제공합니다.
- skill 경로에 설치 명령이나 README가 없어, 사용자가 상위 repository 구조를 보고 설치 방법을 추정해야 합니다.
- 제공된 발췌본 기준으로 planner는 제한적인 내장 technique catalog를 사용하는 것으로 보이므로, 더 넓은 MITRE ATT&CK 범위를 다루려면 팀에서 확장이 필요할 수 있습니다.
red-team skill 개요
red-team skill의 용도
red-team skill은 승인된 적대자 시뮬레이션을 계획하기 위한 skill입니다. 구조화된 red team 수행 계획, 공격 경로, MITRE ATT&CK 기법 시퀀스, 초크 포인트 분석, OPSEC 위험 메모, 핵심 자산(crown jewel) 타기팅을 만드는 데 사용합니다. 즉흥적인 공격 보안 프롬프트가 아니라 반복 가능한 계획 프레임워크가 필요한 보안팀, 컨설턴트, purple-team 리드, AI 에이전트에 특히 적합합니다.
이 skill은 취약점 스캐너, 익스플로잇 생성기, 사고 대응 플레이북이 아닙니다. 실제 역할은 승인된 모의 공격자가 정의된 접근 수준에서 고가치 자산까지 어떻게 이동할 수 있는지, 어떤 기법이 가장 큰 운영 리스크를 만드는지, 방어자가 어느 지점에서 통제를 검증할 수 있는지를 체계적으로 판단하도록 돕는 것입니다.
가장 잘 맞는 사용자와 수행 유형
이미 서면 승인이 있고, 범위가 정의된 환경이 있으며, 알려졌거나 후보로 삼은 MITRE ATT&CK 기법이 있고, 계획 산출물이 필요한 경우 이 red-team skill을 사용하세요. 다음 상황에 잘 맞습니다.
- 서명된 Rules of Engagement가 있는 내부 red team 훈련
- AD, 데이터베이스, 클라우드 스토리지, 결제 시스템 같은 핵심 자산에 대한 공격 경로 분석
- 방어자가 예상 텔레메트리와 초크 포인트를 알아야 하는 purple-team 계획
- 공격 경로에 노력도와 탐지 위험 점수를 부여해야 하는 경영진 대상 리스크 논의
반대로 기본 체크리스트, 인증 없는 취약점 발견, 악성코드 개발, 긴급 트리아지만 필요하다면 이 skill의 효용은 낮습니다.
이 skill의 차별점
핵심 차별점은 계획 구조입니다. 저장소에는 SKILL.md, 지원 방법론 문서인 references/attack-path-methodology.md, 보조 스크립트인 scripts/engagement_planner.py가 포함되어 있습니다. 이 구성은 함께 다음에 초점을 맞춥니다.
- 선택한 기법을 기반으로 한 kill-chain 단계 구성
- 탐지 위험과 선행 조건을 활용한 노력도 점수화
- 공격 경로 전반의 초크 포인트 식별
- OPSEC 위험 평가
- 핵심 자산 경로 계획
덕분에 red-team skill은 단순히 “red team 계획을 만들어줘”라고 요청하는 일반 프롬프트보다 운영 관점의 형태가 훨씬 분명합니다.
red-team skill 사용 방법
red-team 설치와 저장소 읽기 순서
Claude skills 환경에서 다음 명령으로 skill을 설치합니다.
npx skills add alirezarezvani/claude-skills --skill red-team
설치 후에는 다음 순서로 파일을 읽으세요.
SKILL.md— 주요 워크플로, 경계, 안티패턴, 수행 로직scripts/engagement_planner.py— 기대 입력값과 출력 모델 확인references/attack-path-methodology.md— 공격 경로 그래프, 노력도 점수화, 초크 포인트 분석 설명
프롬프트를 작성하기 전에 특히 스크립트를 살펴보는 것이 유용합니다. 실제 입력 스키마인 --techniques, --access-level, --crown-jewels, --authorized, --json을 확인할 수 있기 때문입니다.
red-team skill에 필요한 입력값
red-team을 안정적으로 사용하려면 모호한 대상 설명만으로는 부족합니다. 좋은 입력에는 다음이 포함됩니다.
- 승인 상태와 RoE 요약
- 탐지 검증 또는 핵심 자산 접근 시뮬레이션 같은 수행 목표
- 시작 접근 수준:
external,internal,credentialed - 범위에 포함되는 시스템, 사업부, 클라우드 계정, 네트워크 세그먼트
- 범위에서 제외되는 시스템과 금지된 행위
- 후보 MITRE ATT&CK 기법, 예:
T1078,T1059,T1003 - “Domain Controller,” “S3 Data Lake,” “PCI database” 같은 핵심 자산
- 탐지, 로깅, EDR에 대한 가정
- 필요한 출력 형식: 계획서, 공격 경로 표, OPSEC 위험 등록부, JSON
약한 프롬프트는 “red team 계획을 만들어줘”라고 요청합니다. 더 좋은 프롬프트는 skill이 점수화하고 순서를 구성할 수 있는 제약 조건을 제공합니다.
더 나은 red-team 활용을 위한 프롬프트 패턴
이 skill을 사용할 때는 저장소 방법론을 단순히 요약해 달라고 하지 말고, 실제로 적용해 달라고 요청하세요. 예시는 다음과 같습니다.
Use the
red-teamskill to create an authorized engagement plan. We have signed RoE for a production-safe simulation against the corporate Windows domain. Starting access level iscredentialed. In scope: AD, endpoint fleet, internal file shares. Out of scope: destructive actions, persistence beyond test window, password spraying, and production data exfiltration. Candidate techniques:T1078,T1059.001,T1003.001,T1550.002. Crown jewels: Domain Controller and HR file share. Prioritize attack paths by effort score and detection risk, identify choke points, list OPSEC risks, and suggest defender validation points.
이 프롬프트가 효과적인 이유는 승인, 범위, 접근 수준, 기법, 핵심 자산, 출력 기대치를 모두 제공하기 때문입니다.
engagement planner 스크립트 사용
서술형 계획을 작성하기 전에 구조화된 출력을 먼저 보고 싶다면 skill 디렉터리에서 보조 스크립트를 로컬로 실행할 수 있습니다.
python3 scripts/engagement_planner.py --techniques T1059,T1078,T1003 --access-level external --authorized --json
지원되는 technique ID를 확인하려면 --list-techniques를 사용하세요. 이 스크립트는 계획 보조 도구이지, 완전한 수행 승인 체계가 아닙니다. 내장된 기법 목록은 제한적이므로, 필요한 경우 실제 ATT&CK 카탈로그와 환경 제약을 skill 프롬프트에 다시 반영해야 합니다.
red-team skill FAQ
red-team은 Penetration Testing용인가요?
red-team은 Penetration Testing 업무의 red-team 활동을 지원할 수 있지만, 일반적인 pentest 체크리스트보다 범위가 좁고 전략적입니다. Penetration testing은 대개 취약점을 찾고 검증하는 데 중점을 둡니다. 이 skill은 적대자 시뮬레이션, 즉 기법의 순서화, 공격 경로 모델링, 초크 포인트 식별, 탐지 및 대응 통제 테스트에 더 중점을 둡니다.
초보자도 이 red-team skill을 사용할 수 있나요?
초보자도 구조화된 수행 계획을 배우는 데 사용할 수는 있지만, 이를 승인이나 운영 권한으로 받아들여서는 안 됩니다. 이 skill은 사용자가 RoE, 범위 경계, MITRE ATT&CK 용어, 접근 수준, 합법적인 보안 훈련에서 OPSEC이 중요한 이유를 이해하고 있다고 가정합니다. 이러한 개념이 익숙하지 않다면 선임 보안 검토자와 함께 사용하세요.
도입을 가로막는 주요 요인은 무엇인가요?
가장 큰 장애물은 승인 누락, 모호한 범위, 불완전한 환경 맥락입니다. 접근 수준, 허용 기법, 금지 행위, 핵심 자산, 탐지 가정 없이 “회사 네트워크”만 놓고 책임 있게 계획을 세울 수는 없습니다. 또 다른 장애물은 포함된 스크립트가 모든 ATT&CK 기법을 다룰 것이라고 기대하는 것입니다. 이 스크립트는 실용적인 플래너이지 전체 ATT&CK 데이터베이스가 아닙니다.
언제 사용하지 말아야 하나요?
무단 타기팅, 익스플로잇 개발, 악성코드 지침, 자격 증명 탈취, 승인된 테스트 범위를 벗어난 지속성 확보, 서명된 RoE 없는 실전식 활동에는 이 skill을 사용하지 마세요. 또한 작업이 사고 대응, 컴플라이언스 증적 수집, 단순 취약점 스캐닝이라면 다른 워크플로가 필요하므로 이 skill을 피하는 것이 좋습니다.
red-team skill 개선 방법
더 강한 제약 조건으로 red-team 출력 개선하기
red-team 결과를 가장 빠르게 개선하는 방법은 제약 조건을 명확히 쓰는 것입니다. 시간대, 비즈니스 영향 제한, 허용 도구, 차단된 기법, 로깅 커버리지, “성공”의 의미를 포함하세요. 예를 들어 “HR 데이터에 도달”보다 “데이터 유출 없이 HR file share 접근을 시뮬레이션”이라고 쓰면 더 안전하고 실행 가능한 계획을 얻을 수 있습니다.
자주 발생하는 실패 패턴
계획이 지나치게 일반적이거나, RoE 가정을 건너뛰거나, 눈에 띄는 기법을 과도하게 우선시하거나, 탐지 위험을 무시하지 않는지 확인하세요. 또 다른 흔한 문제는 대안 없이 선형 kill chain 하나만 제시되는 경우입니다. 여러 경로, 노력도 점수, 예상 탐지 지점, 방어자가 통제 효과를 측정할 수 있는 초크 포인트를 요청하세요.
첫 번째 계획 이후 반복 개선하기
첫 번째 출력 이후에는 다음처럼 구체적인 후속 질문을 하세요.
- “Re-rank paths assuming EDR detects PowerShell heavily.”
- “Remove techniques outside credentialed-access scope.”
- “Convert this into a purple-team exercise table.”
- “Add expected telemetry for each phase.”
- “Identify the minimum safe simulation steps for executives.”
이런 반복 과정을 거치면 red-team 가이드는 정적인 템플릿이 아니라 해당 환경에 맞춘 계획으로 바뀝니다.
내 환경에 맞게 skill 확장하기
성숙한 팀이라면 자체 ATT&CK 매핑, 자산 중요도 모델, EDR 가시성 가정, 클라우드 ID 경로, 승인된 기법 라이브러리를 skill 입력에 반영하세요. engagement_planner.py를 조정해 내부 기법 제약, 탐지 점수, 핵심 자산 정의를 포함할 수도 있습니다. skill이 실제 통제와 RoE를 더 잘 반영할수록 공격 경로 분석의 활용도도 높아집니다.
