“모의해킹 업무는 매번 새로운 도전...다양한 시나리오 수립이 관건”
[인터뷰] KT 보안기술팀 모의해킹담당 박 다 롱 매니저
[보안뉴스=임종민·민세아 객원기자] 현장에 직접 나가서 각종 취약점을 진단하고 연구하는 모의해킹 전문가는 실무에 투입되어 새롭게 변화하는 보안 트렌드 및 플랫폼을 직접 피부로 체감하는 직업이라 할 수 있습니다. 이번 보안직업군 프로젝트에서는 모의해킹 전문가-여성편 시간으로 에이쓰리시큐리티를 거쳐 현재는 KT의 보안기술팀에서 모의해킹을 담당하고 있는 박다롱 매니저를 인터뷰했습니다.
모의해킹 전문가로서 갖추어야 할 기본 능력은 무엇인가요?
기본이 가장 중요하다고 생각해요. 보안 분야로 오시는 분들 중에는 컴퓨터공학과나 정보보호학과 등 관련학과를 졸업한 분들이 많은데, 거기서 배우는 모든 것들, 이를테면 웹 언어, C언어, DB, 네트워크 분야가 이 일을 하는데 있어 베이스가 됩니다. 특히, 모의해킹을 하다 보면 웹 사이트, 모바일 앱, 서버 등 다양한 대상을 접하게 되는데, 어떤 대상을 만나더라도 기본이 제대로 쌓여 있다면 그 위에 응용기술을 접목하는 것은 어렵지 않으리라 생각합니다.
이러한 기술적인 능력 이외에도 취약점이 쉽게 발견되지 않는 상황에서도 포기하지 않고 파고들 수 있는 끈기, 일을 하면서 마주치게 되는 위험한 상황들에 대해 자기컨트롤을 할 수 있는 윤리의식, 그리고 점검결과에 대해 서비스 운용자·개발자·담당자에게 올바른 방향성을 제시하고, 적용할 수 있도록 도울 수 있는 소통능력이 필요합니다.
모의해킹 전문가가 되기 위해 취업 준비는 어떻게 해야 하나요?
앞에서 말한 기본 지식은 필수적으로 갖추되, 조금이나마 프로젝트 경험이 있는 사람들을 선호합니다. 여기서 말하는 프로젝트는 개인 혹은 소규모 그룹단위로 특정 주제에 대해 연구를 한다던가 해킹대회 출전을 해서 결과물을 만들어내는 활동을 의미합니다. 경력직이 아닌 이상에야 실무 프로젝트 경험을 쌓기는 힘들기 때문이죠. 이런 결과물을 포트폴리오로 정리해서 제출한다면 다른 취업 도전자들보다 훨씬 더 자신을 어필할 수 있을 겁니다.
덧붙여 자격증에 관해서는 학생이 대부분인 취업준비생의 경우 국가공인 자격증인 정보보안기사를 취득해 놓는다면 충분할 것 같습니다. CISSP이나 CISA과 같은 국제공인자격증의 경우 학생들에게는 금전적인 부담도 있고, 자격증을 따기 위해 투자해야 하는 시간도 꽤 오래 걸리기 때문에 취업한 후 업무경험을 쌓고, 회사의 지원을 받으면서 취득할 것을 추천해드립니다. 이런 자격증들이 실무능력을 입증해 주지는 못하니까요.
모의해킹 전문가라는 직업상의 장단점에 대해 말해주신다면?
모의해킹 대상에는 제한이 없습니다. 웹 사이트가 될 수도 있고, 모바일 애플리케이션, 때로는 서버/네트워크가 그 대상이 될 수 있습니다. 주로 모의해킹 대상이 되는 웹 사이트만 해도 사이트마다 특성이 다르기 때문에 매번 흥미롭게 일을 추진해 나갈 수 있다는 것이 가장 큰 장점이라고 생각합니다.
하지만 다양한 환경을 접하는 것에 비해 충분히 연구하고 준비할 시간을 갖지 못한 채 프로젝트에 투입되는 경우가 많은데, 그런 부분에 있어서 느껴지는 준비의 아쉬움과 늘 새로운 것에 대비해야 한다는 압박감이 단점이라고 생각합니다. 공부해야 할 게 많다는 것이 이 분야의 가장 큰 장점이자 단점이라고 할 수 있죠.
모의해킹의 업무 프로세스가 궁금합니다.
프로젝트가 시작되면 가장 먼저 대상을 파악한 다음 환경 분석을 하게 됩니다. 그 후 팀원들과 어떻게 침투할 것인지 침투 시나리오를 생각합니다. 서비스의 특성에 따라서 시나리오가 천차만별이기 때문에 최대한 다양한 시나리오를 만들어 내는 것이 관건이죠.
모의해킹 대상 중 가장 많은 비중을 차지하는 웹 사이트의 점검기준은 보통 많이 쓰이는 OWASP TOP 10이나 국정원 8대 취약점 등에서 몇 가지씩 참고하되, 그것만 따르는 것이 아니라 여러 가지 환경적인 부분을 감안해서 자체적인 점검항목을 최적화시켜서 만들어냅니다. 그렇기 때문에 회사마다 점검자마다 진단기준에는 조금씩 차이가 있을 수 있습니다.
침투 시나리오에 따라 점검을 수행한 뒤 발견된 취약점에 대해 문서로 정리해 보고하는 절차를 거칩니다. 발견된 취약점에 따라 적정한 보안대책을 권고해 주고, 얼마나 잘 보안조치가 적용됐는지 추후에 재확인을 하는 것까지가 개략적인 모의해킹 업무 프로세스라고 보시면 됩니다.
업무 중에 마주치는 어려움이나 제기되는 업무협조 문제 등은 무엇인가요?
이건 모의해킹뿐만 아니라 보안 분야에서 일하시는 분들에게 대부분 적용될 것 같은데, 서비스 운용부서, 개발부서를 비롯한 다른 부서 직원들에게 ‘공공의 적’이 되는 경우가 많다는 겁니다. 개발자의 주 업무는 프로그램을 잘 만드는 것이고, 서비스 운용자의 주된 업무는 서비스가 이상 없이 운영되도록 하는 것인데, 보안 사고를 직접 겪지 않은 다음에야 이건 이렇게, 저건 저렇게 고쳐야 한다는 조언이 그분들에게는 딴죽을 거는 것으로 느껴질 수 있기 때문이죠. 단점을 지적 받아서 좋아할 사람은 아무도 없겠죠. 그러다보니 보안팀은 다른 팀들에게 공공의 적과 같은 관계가 형성되기도 하는데, 저희를 적이라고 생각하는 분들을 상대하는 것이 업무상의 가장 힘든 점이라고 할 수 있습니다.
하지만 보안팀을 적이라고 생각하는 그분들이 협조를 해주셔야 저희 업무가 제대로 진행될 수 있기 때문에, 보안팀을 적이 아닌 동지라고 인식할 수 있도록 잘 설득하고, 공생관계로 발전시킬 수 있어야 합니다. 바로 이때 앞에서 언급한 ‘소통’ 능력이 진가를 발휘할 수 있겠죠?
여성으로서 관련 업무를 수행하는데 어려운 점이 있나요?
업무상 ‘여성으로서’ 힘든 점은 딱히 없었습니다. 오히려 ‘여자이기 때문에’ 배려를 많이 받는 편이었는데, 밤샘 근무나 지방출장 같은 프로젝트에서 제외될 때, 그만큼 새로운 경험을 할 수 있는 기회가 적어지는 것 같아 아쉬움도 있었습니다.
또 한번은, 여성 멤버로만 모의해킹 프로젝트팀이 구성됐다가 고객사 요청으로 팀원 구성이 변경된 적이 있었습니다. 보통 해커라고 하면 ‘남성적인’ 이미지를 많이들 떠올리시는데, 여자들로만 구성된 것에 대해 부담을 느끼셨던 걸까요. 이런 경우가 흔한 것은 아니었지만, 이럴 때 사회적 인식에 대한 섭섭함 같은걸 느꼈던 것 같아요.
평소에 쌓인 스트레스는 어떻게 해결하시나요?
일종의 직업병이랄까요? 일상생활에서도 결점 혹은 단점을 먼저 보게 되는 경향이 있는데, 다양한 여가생활을 통해 이런 부정적인 습관에서 벗어나려고 노력하고 있습니다. 예를 들면, 연극이나 영화, 공연 등 IT와는 전혀 관계없는 감성적인 것들을 많이 찾아보려고 하고, 가벼운 산책이나 등산 등을 통해 기분전환을 하는 편입니다.
기업에서 바라는 보안인재상은 어떤 것일까요?
기업에서 인재가 없다고 말하는 걸 제가 면접관이 되어보니 이해가 되었습니다. 사실 기업에서 신입에게 바라는 것은 커다란 능력이 아닙니다. 지금 당장은 잘 못할지라도 앞으로 잘할 수 있다는 스스로에 대한 믿음, 이 일에 대한 관심과 열정, 그리고 우리 기업에 입사하고자 하는 열망이 얼마나 크냐는 것입니다. 한마디로 취업에 임하는 ‘자세’를 보는 것인데요. 생각보다 이런 ‘준비된 자세’를 가진 분이 흔치 않습니다. 면접에 오시는 분들이 경력자가 아닌 이상에는 기술적인 베이스가 대부분 비슷비슷하고 별반 차이는 없습니다. 그렇기 때문에 그 누구보다 자신감 있게, 열정적으로 임한다면 목표한 바를 충분히 이루어 낼 수 있을 거라고 생각합니다.
국가 차원에서 보안 분야에 지원해주었으면 하는 점은?
올해 3.20 및 6.25 사이버테러와 같은 국민적 관심을 불러일으킬만한 여러 보안이슈가 있었는데, 이런 사건들을 계기로 일반인들이 조금은 더 보안에 관심을 가지게 된 것 같습니다. 하지만 아직까지도 보안의 중요성을 그렇게 심각하게 받아들이지는 못하고 있는 것 같아요. 보안에 대한 경각심을 불러일으킬 수 있을만한 범국가 차원의 캠페인을 진행하거나 일반 대중들에게 보안의 중요성을 쉽게 각인시킬 수 있는 컨퍼런스를 개최하는 등 일반 대중들을 포커스로 하는 행사들이 많아졌으면 하는 바람이 있습니다.
향후 정보보안 분야의 트렌드는 어떻게 변화할 것이라고 보시나요?
향후 5년, 10년까지 기술적인 큰 변화는 없을 것 같습니다. 현재까지 많은 해킹 기술이 생겼지만 그러한 기술들의 기본은 크게 다르지 않습니다. 그렇기 때문에 앞으로도 기술의 획기적인 발전보다는 공격대상의 변화와 같은 일종의 패러다임의 변화가 일어날 것 같습니다. 지금까지 공격대상이 하나의 1차원적인 시스템에서, 특정 개인, 그리고 최근에는 하나의 조직 혹은 단체를 겨냥하는 식으로 변화해 왔습니다. 앞으로는 국가간의 실질적인 전쟁에 해킹기술이 사용된다거나 지금은 누구도 상상할 수 없는 무언가가 공격대상이 되지 않을까요?
모의해킹 분야 등 보안전문가를 꿈꾸는 취업준비생들에게 조언해주고 싶은 말이 있다면?
공부할 때는 열정적으로, 그리고 도전할 때는 그 누구보다 자신 있게 임해야 할 것 같습니다. ‘난 아직 부족해’라는 마음으로 도전하지 않고 계속 미루다보면 끝이 없을 것입니다. 사람이 처음부터 완벽할 수 없고, 본인 스스로 생각하는 완벽한 상태라는 건 배움을 통해서 계속 상향 조정될 수 있기 때문이죠. 과거에는 지금의 수준을 목표로 삼고 공부해 왔겠지만, 현재는 또 스스로의 상태를 한참 부족하다고 생각할 수 있습니다. 이렇듯 계속 자신의 목표를 쫓아갈 텐데, 도전을 미루다 보면 목표 달성 시기만 계속 미뤄지게 될 것입니다. 그러니 실패하더라도 우선 부딪혀 보는 게 어떨까요?
[임종민(ljm4078@gmail.com) / 민세아(msa0309@gmail.com) 객원기자]
출처 : 보안뉴스
댓글