작가의 글을 더 이상 구독하지 않고,
새 글 알림도 받아볼 수 없습니다.
화이트해커, 보이지 않는 방패를 든 사람들
취준생 K의 직무스터디 | 4편. 모의해킹 및 취약점 분석 담당자
by
Mar 13. 2025
Intro
'어떻게 취업해야 하지?' 고민하는 취준생들에게 많은 이들이 직무부터 정하기를 조언합니다. 하지만 세상에는 다양한 직무가 있고, 그중 어떤 것이 나와 꼭 맞을지 알아내기란 쉽지 않죠. 인터넷 속 짤막한 정보들에 의지해 직무 탐색을 이어가던 취준생 K, 이제는 카카오뱅크 곳곳을 누비며 직접 직무를 탐색해 보기로 합니다. 나와 꼭 맞는 하나의 직무를 찾아가는 여정, <취준생 K의 직무스터디>에서 카카오뱅크 현직자와의 대화를 통해 보다 상세하고 현실적인 직무 이야기를 들어보세요.
이번에 알아볼 직무는 화이트해커(모의해킹 및 취약점 분석 담당자)입니다.
AI 기술이 발전하면서 해킹 방식이 점점 정교해지고, 그만큼 사이버 보안 위협도 커지고 있습니다. 외부 침입을 막고 기업의 보안 체계를 더욱 견고하게 만드는 일이 그 어느 때보다 중요해졌는데요. 그 중심에 있는 존재가 바로 화이트해커입니다. 보이지 않는 곳에서 기업을 단단히 지탱하며 보안의 최전선에서 끊임없이 싸우는 이들.
네 번째 스터디노트에서는 화이트해커의 세계를 담아보았습니다.
Study Note
Section 1. 커리어의 시작
◼ 화이트해커로 커리어를 쌓게 된 계기와 과정
Section 2. 화이트해커는 어떤 일을 하나요?
◼ 화이트해커 업무의 내용과 특성
◼ 타 정보보안 엔지니어들과는 다른, 화이트해커만의 차별점
Section 3. 카카오뱅크 화이트해커, 어떻게 일하나요?
◼ 카카오뱅크에 오게 된 계기
◼ 금융권에서의 화이트해커
◼ 카카오뱅크 화이트해커의 프로젝트
Section 4. 화이트해커를 꿈꾸는 이들을 위한 질문집
◼ 화이트해커가 되기 위해 공부하면 좋은 것들
◼ 대회, 교육프로그램, 자격증, 대학원에 대한 생각
◼ 화이트해커로서 중요한 마음가짐
◼ 화이트해커를 뽑는다면 어떤 질문을 하고 싶으세요?
Section 1. 커리어의 시작
취준생 K (이하 'K'): 인터뷰에 참여해 주셔서 감사합니다. 간단히 자기소개 부탁드려요!
Woogie. 안녕하세요! 카카오뱅크 어플리케이션 보안팀 우기입니다. 저는 신규 서비스 출시 전 모의해킹과 침투 테스트, 그리고 앱 보안 업무를 담당하고 있습니다.
Mungsul. 안녕하세요! 어플리케이션 보안팀의 뭉술입니다. 보안성 심의를 위한 모의해킹과 침투 테스트 등의 업무를 맡고 있으며 Woogie와 함께 레드팀*으로 일하고 있습니다.
*보안 업계에서 통용되는 레드팀/블루팀이란?
사이버보안 분야에서는 '레드팀/블루팀 시뮬레이션 공격 훈련'이 있는데요. 각각의 역할을 설명드리면 다음과 같습니다.
- 레드팀: 공격자의 역할로, 시스템에 침투하여 보안 프로토콜을 넘어서려는 시도를 한다. 흔히 말하는 '화이트 햇'에 해당한다.
- 블루팀: 방어자의 역할로, 공격을 탐지하고 복구하는 역할을 담당한다. 또한 잠재적인 위험으로부터 시스템을 보호하는 업무를 수행한다.
- 출처: VulShot으로 시작하는 DevSecOps & 보안 점검 자동화 - 카카오뱅크 기술블로그
왼쪽부터 Mungsul, Woogie입니다.K: 먼저 정보보안 분야에 관심을 갖게 된 계기가 궁금해요.
Woogie. 저는 컴퓨터공학과를 전공하면서 처음엔 알고리즘 공부를 많이 했어요. 그러다 암호학에 흥미를 느끼면서 보안에 관심을 갖게 됐죠. 이후 자연스럽게 프로그램 분석과 시스템 해킹으로 영역을 넓혔고, 해킹 대회를 준비하며 본격적으로 깊이 파고들었습니다. 특히 3학년 이후로는 시험 기간 때만 전공 공부를 하고 그 외에는 해킹 대회에 참가하며 주로 시스템 해킹을 공부했던 기억이 많네요.
Mungsul. 어릴 때부터 IT에 관심이 많아서 자연스럽게 이 분야에서 일하고 싶다는 생각을 했어요. 그러다 해킹·보안을 접하게 되었고, 고등학생 때 청소년 해킹대회 등에 참가하면서 더 깊이 빠져들었죠. 자연스레 대학도 정보보안 관련 학과로 진학하게 됐습니다.
보안은 생각보다 직무가 굉장히 다양해요. 기술적인 역할만 해도 악성코드 분석, 침해사고 대응, 모의해킹, 보안 관제 등 여러 직무가 있고, 정책·기획 쪽으로는 개인정보 보호, 보안 관리체계 구축 같은 직무가 있어요. 저는 그중에서도 기술적인 부분에 흥미를 느낀 케이스죠!
K: 정보보안에도 다양한 직무가 있네요! 이 중에서 화이트해커로 커리어를 시작하게 된 과정이 궁금해요.
Woogie. 대학생 때는 보안을 실무적으로 접할 기회가 많지 않았어요. 주로 해킹대회를 중심으로 활동하다 보니 자연스레 화이트해커의 길을 걷게 된 것 같습니다.
졸업을 앞둔 시점에 국내 유명 해킹보안대회 개인전 본선에 진출하게 됐어요. 그리고 본선장에서 입사 제의를 받아 신입 공채를 통해 이 일을 시작하게 되었습니다. 입사 후에는 스마트폰, IoT 생활가전, 각종 IoT 장비 등의 취약점을 분석하는 업무를 맡으며 본격적인 커리어를 쌓았어요.
Mungsul. 저는 해킹 관련 커뮤니티에서 활동하며 화이트해커의 길을 걷게 되었습니다. 오프라인 행사에서 같은 꿈을 가진 사람들을 만나면서 해킹팀에 합류하게 되었고, 팀원들과 함께 해킹 방어 대회에 꾸준히 출전하며 실력을 키웠죠. 이후 보안 전문 기업에서 화이트해커로 첫 커리어를 시작했고 이후에는 인하우스 보안팀으로 이직해 현재 카카오뱅크까지 오게 되었습니다.
Section 2. 화이트해커는 어떤 일을 하나요?
K: 화이트해커의 역할과 업무가 무엇인지 설명 부탁드립니다.
Woogie. 카카오뱅크를 기준으로 말씀드리면 화이트해커의 업무는 크게 모의해킹과 침투 테스트로 나눌 수 있어요.
먼저, 서비스 출시 전 모의해킹을 통해 보안 취약점을 점검합니다. 이 과정에서 대부분의 취약점이 발견되고 수정돼요. 또한 수시로 타깃을 정해서 침투 테스트를 수행합니다. 실제 공격자의 시각에서 카카오뱅크의 자산과 서비스들을 점검하는 과정으로, 카카오뱅크 앱과 임직원 업무 환경, 데이터 유출 가능성, 서버 환경 등 다양한 영역을 대상으로 진행해요.
추가적으로 앱 보안을 강화하기 위한 보호 로직 개발도 진행합니다. 이 로직을 통해 고객이 안전하지 않은 환경에서 앱을 실행하지 못하도록 사전에 방지할 수 있어요.
업무 비중을 보면 모의해킹과 침투 테스트가 약 60~70%를 차지하고 나머지는 개인 과제나 리서치 작업을 수행하는 것 같아요.
K: 모의해킹과 침투 테스트에 대해 좀 더 자세히 알려주실 수 있을까요?
Woogie. 금융회사의 관점에서 설명해 보자면, 모의해킹은 고객 정보 등에 비정상적 접근이 가능한지 여부와 보안 취약점 등을 점검하는 과정이에요. 이러한 취약점이 발견되면 고객 정보가 위험에 처할 수 있기 때문에 사전에 차단하는 것이 핵심입니다.
반면 침투 테스트는 실제 공격자의 시각에서 시스템을 침투하여 영향도를 평가하는 과정입니다. 내부 임직원 업무환경에서 어떤 공격이 가능한지, 서버 권한을 탈취한 뒤 내부 네트워크에 얼마나 깊숙이 접근할 수 있는지를 확인하곤 해요. 이 과정에서 보안 취약점을 찾아내고 이를 효과적으로 차단할 방법을 도출한답니다.
Mungsul. 모의해킹은 서비스가 출시되거나 새로운 기능이 추가될 때 상시적으로 수행하여 서비스가 안전하게 운영될 수 있도록 합니다. 침투 테스트는 연간 여러 차례 진행되며 사용 중인 인프라에 취약점이 없는지, 외부에서 침투할 수 있는 경로가 존재하는지를 전반적으로 점검해요. 두 업무 모두 보안의 빈틈을 미리 찾아내고 문제를 예방하는 것이 가장 중요합니다.
K: 화이트해커는 개발자로서의 능력도 갖추고 있어야 하는 것 같아요. 코딩 → 취약점 점검 → 다시 코딩을 하는 과정에서 화이트해커에게 개발 역량이 있으면 더 유리해 보이거든요!
Woogie. 예전에는 취약점을 잘 찾는 것만으로 충분했지만 지금은 화이트해커에게 그 이상이 요구됩니다. 예를 들어 오픈소스를 활용해 우리 환경에 맞게 수정해서 사용해야 하는 경우가 있어요. 이때 개발 역량이 있으면 매우 유리하죠. 물론 개발 역량이 필수는 아니지만 경력이 쌓일수록 개발을 할 줄 아는 능력이 큰 장점이 됩니다.
Mungsul. 맞아요. 웹 해킹을 하기 위해선 웹 서비스의 동작 원리를 알아야 하듯 개발 지식이 있으면 역량을 키우는 데 큰 도움이 됩니다.
K: 그렇다면 타 정보보안 엔지니어들과는 다른, 화이트해커만의 차별점이 있을까요?
Mungsul. 다른 정보보안 엔지니어분들이 '어떻게 하면 공격을 잘 막을까?'에 대해 고민하신다면, 저희 화이트해커는 방어를 위해서 '어떻게 하면 공격을 더 잘할까?'에 대해 고민합니다. 보안을 향상시키는 핵심은 공격 가능성의 빈틈을 없애는 것이기 때문에 이를 위해서는 시스템을 새로운 관점에서 지속적으로 점검해야 합니다.
K: 오, 화이트해커는 '공격을 통한 방어'라는 독특한 방식을 가지고 있군요!
Woogie. 맞아요. 클라우드 환경이 늘어나고 다양한 기술 스택이 사용되면서 점검 과정이 쉽지 않아요. 카카오뱅크만 해도 팀마다 사용하는 기술이 다르기 때문에 이를 정확히 파악해야 점검이 가능합니다. 예를 들어 새로운 대출 서비스가 출시되면 작동 방식뿐만 아니라 상품의 특성, 사용자 이용 방식 그리고 그 과정에서 발생할 수 있는 보안 취약점들을 전반적으로 분석해야 하죠.
또한, 계속해서 새로운 취약점과 보안 동향이 등장하기 때문에 이를 놓치지 않고 따라가는 것도 중요합니다. '카뱅은 안전한가?'라는 질문에 확신을 갖고 답할 수 있도록 트렌드나 동향을 습관적으로 체크해야 해요. 지속적인 관심을 가지고 자산을 점검하는 것이 화이트해커의 핵심 역할이라고 생각합니다.
K: Woogie 말씀처럼 최신 해킹 기술 트렌드를 분석하고 대응하는 작업도 중요할 것 같은데요! 이런 부분들은 어떻게 캐치업하시는지 궁금합니다.
Mungsul. 주로 트위터와 뉴스에서 동향을 파악해요. 새로운 취약점이 발견됐다는 소식이 있으면 그와 관련된 테스트 코드가 있는지 찾아보고 분석하면서 카카오뱅크에 영향도가 있는지 확인하는 작업을 진행합니다.
Woogie. 저는 해킹 대회나 보안 컨퍼런스에 참여해서 최신 트렌드를 직접적으로 파악하기도 해요. 그리고 레드팀 주간 회의를 따로 진행하여 흥미로운 취약점이나 주의해야 할 보안 이슈들을 팀원들과 공유하고 어떻게 대응할지 함께 논의하는 시간을 갖습니다.
K: 화이트해커라는 직업, 긴장되는 순간들이 많을 것 같아요. 혹시 일을 하면서 '이건 진짜 아찔했다!' 싶은 경험이 있었나요?
Mungsul. 처음 모의해킹 업무를 접했을 때 시스템이 잘 작동하지 않는다는 제보를 받은 적이 있었어요. 그런데 알고 보니 그 원인이 침투 테스트 때문에 발생한 일이었죠.
또, 이전 회사에서 신규 취약점 테스트를 하다가 VPN이 연속적으로 재기동되면서 재택근무 중이던 분들이 잠시 업무를 못 보게 된 일도 있었어요. 그 후에는 이런 실수를 반복하지 않기 위해 더 꼼꼼히 점검하게 되었습니다.
K: 화이트해커라는 직업은 매력적으로 보이지만 그 이면에는 수많은 도전과 고민이 숨겨져 있을 것 같습니다. 화이트해커로서 느끼는 현실적인 어려움이나 고민거리가 궁금합니다.
Woogie. 화이트해커로서 느끼는 큰 어려움 중 하나는 같은 시스템을 점검하더라도 누가, 어떤 방식으로 점검하느냐에 따라 점검 결과가 달라질 수 있다는 것입니다. 그래서 한 번 점검을 통과한 시스템도 나중에 다시 점검하면 새로운 취약점이 발견되는 경우가 많죠.
또한 모의해킹은 사람이 직접 수행해야 하는 작업이 많아 피로도가 상당히 큽니다. 최근 IT 분야에서 AI와 자동화가 활발하게 도입되고 있지만, 모의해킹과 침투 테스트는 여전히 사람이 해야 하는 부분이 많아요. 이를 극복하고 점검 범위를 넓히기 위해 카카오뱅크에서는 자체적인 모의해킹 자동화 도구 개발도 진행하고 있습니다.
Mungsul. 장시간 앉아서 화면을 바라보는 일이 많다 보니 건강 관리도 중요한 고민거리입니다. 예전에는 오래 앉아 있어도 별문제가 없었는데 요즘은 조금만 무리해도 쉽게 피로해지더라고요. (웃음)
K: 그럼에도 불구하고 꾸준히 이 일을 하게 만드는 원동력은 무엇인가요?
Woogie. 다양한 서비스나 바이너리를 분석하다가 생각지도 못했던 취약점을 발견했을 때 아주 재미있어요. 그 취약점이 해결되어 보안이 향상된 걸 보면 뿌듯함을 느끼죠. 누군가의 데이터를 안전하게 지킬 수 있다는 점에서 큰 보람을 느낍니다.
Mungsul. 정해진 규칙을 분석하다 보면 때때로 그 규칙을 만든 사람보다 더 깊이 이해하고 있다는 느낌이 들 때가 있습니다. 프로그램에서도 마찬가지죠. 개발자보다 프로그램을 더 잘 이해하고 있어야 취약점을 찾을 수 있어요. 결국 취약점은 개발자가 미처 고려하지 못한 부분에서 발생하는 버그의 일종이거든요. 그래서 열심히 분석하다 보면 취약점을 발견하게 되고, 그 깨달음에서 오는 즐거움이 이 일을 계속해 나가는 원동력이 되는 것 같네요.
사실 저는 커리어 중간에 악성코드 분석가*로 틀었다가 다시 모의해킹 쪽으로 돌아왔습니다. 처음에는 몰랐지만 다양한 경험을 쌓아가면서 모의해킹이 더 재밌다는 걸 깨달았거든요.
*악성코드 분석가란? 악성코드를 탐지하고 분석하여 대응책을 마련하는 전문가이다. 감염을 막는 예방책을 제시하는 것은 물론, 침투 시 해결 방법까지 고민하며 보안을 강화한다.
Section 3. 카카오뱅크 화이트해커, 어떻게 일하나요?
K: 두 분이 보안 분야에서 재능을 펼치며 카카오뱅크에 합류하기까지, 어떤 계기와 과정을 거치셨는지 궁금합니다.
Woogie. 카카오뱅크에서 모의해킹 담당자를 모집한다는 공고를 봤을 때 처음에는 고민이 많았습니다. 당시 카카오뱅크 정보보안팀에 대한 정보가 전혀 없었기 때문에 제 전문 분야와 잘 맞을지 확신이 없었거든요. 하지만 채용공고에서 카카오뱅크는 단순히 해킹 업무뿐만 아니라 주도적으로 과제를 수행할 수 있는 환경이라는 점이 매력적으로 다가왔습니다. 결국 그 재미있는 도전이 저를 이곳으로 이끌었네요.
Mungsul. 제 첫 직장은 화이트햇 전문 기업이었고 그곳에서 카카오뱅크 침투 테스트 프로젝트를 수행했었어요. 처음으로 기업에 상주하며 수행한 금융권 프로젝트였는데, 금융과 IT가 조화롭게 융합된 카카오뱅크를 보며 흥미로운 조직이라는 인상을 받았습니다. 만약 이직을 고려하게 된다면 카카오뱅크에서 일해보고 싶다는 생각을 갖게 됐죠.
그 후로 제가 이직을 고민할 때는 TO가 없거나, 이직한 지 얼마 안 되어 TO가 생기는 등 타이밍이 잘 안 맞았어요. 이번에 TO가 생겼을 때도 완벽한 타이밍은 아니었지만 이 기회를 놓치면 너무 후회할 것 같다는 생각이 들어 지원했고, 다행히 좋은 기회를 얻어 카카오뱅크에 합류하게 되었습니다.
K: 두 분 모두 카카오뱅크에 오시기 전부터 화이트해커로 활동하셨는데, 금융회사의 화이트해커 업무는 또 다른 점이 있는지 궁금해요!
Mungsul. 금융권 화이트해커만 수행하는 업무가 존재합니다. 대표적으로 라이선스 유지를 위한 자체 점검 활동과 전자금융기반시설 취약점 분석·평가가 있어요. 이 과정에서 금융회사는 웹, 앱, 서버, DB 등을 정기적으로 점검하고 그 결과를 금융감독원에 보고해야 해요.
업권이 다르더라도 화이트해커가 사용하는 기술 자체는 크게 다르지 않아요. 하지만 금융권에서는 부정 이체나 금융 사기 같은 위협이 있거든요. 이런 취약점들은 단순한 보안 사고를 넘어 금융 소비자의 직접적인 피해로 이어질 수 있기 때문에 금융회사의 화이트해커들은 더욱 철저한 점검과 대응이 필요합니다.
Woogie. 일반적으로 금융권에서 가장 빈번한 보안위협은 인증 우회 유형이에요. 그리고 계좌를 이용한 공격의 경우에는 다양한 안전장치가 마련되어 있어 상대적으로 방어가 잘 되어 있지만, 개인정보 유출과 관련된 취약점은 문제가 발생한 후에야 식별될 수 있어 기업 입장에서 더욱 각별히 보안체계를 마련하고 관리해야 합니다.
K: 막중한 업무를 맡고 계신 것 같은데요. 이에 발맞춰 카카오뱅크엔 화이트해커가 효과적으로 일할 수 있는 환경을 잘 갖추고 있는지 궁금합니다. 보안 인식, 업무 분위기, 기술적 지원 등에서 어떤 점이 차별화되어 있을까요?
Woogie. 전체적으로 잘 갖춰져 있는 편이라고 생각해요. 필요한 보안 툴이나 솔루션에 대한 지원이 원활하게 이루어지고, 연구 활동이나 컨퍼런스 참석도 적극적으로 장려됩니다. 작년에는 해외 컨퍼런스에 다녀올 기회도 있었죠. 또한 보안 업무 특성상 여러 팀과의 협업이 필수적인데 관련 팀에서 적극적으로 조율을 해주기 때문에 업무를 원활하게 진행할 수 있는 점도 장점이에요. 화이트해커가 본연의 역할에 집중할 수 있는 환경이 갖춰져 있다고 생각합니다.
K: 그렇다면 개발하신 시스템이나 진행하신 프로젝트에 대해서도 여쭙고 싶어요. 카카오뱅크 화이트해커로 일하시면서 가장 도전적이었던 경험은 무엇인가요?
Woogie. 앱에 탑재되는 보호 로직을 처음부터 다시 설계하고 개발했던 경험을 말씀드리고 싶어요. 제가 직접 개발한 것을 앱에 적용해 본 경험이 없었던 데다, 탐지된 데이터를 기반으로 차단까지 고려해야 했기 때문에 장애 발생 가능성도 신경 써야 했거든요. 운영 적용 후에는 지속적으로 로그를 모니터링하며 안정성을 확인했던 기억이 납니다.
현재는 카카오뱅크 앱에 안정적으로 적용되어 외부 화이트햇 평가에서 보안 수준이 크게 향상되었다는 평가를 받기도 했습니다. 다만 여전히 고도화가 필요한 부분이 있어 지속적으로 개선해 나가고 있어요.
Mungsul. 작년에 진행한 사내 LLM(Large Language Models) 서비스 활용을 위한 보안 점검이 가장 도전적인 경험이었습니다. 당시 LLM 관련 보안 수요가 증가하면서 이에 대응하기 위해 자료 조사부터 관련 기술 습득 그리고 실제 LLM 서비스 모의해킹까지 진행했어요. 단순한 명령 조작을 넘어 모델의 학습 방식과 보안 취약점이 맞물리는 지점을 분석하는 과정이 새로웠습니다. 기존 보안 점검과는 다른 접근 방식이 필요했기 때문에 쉽지 않은 작업이었지만 LLM과 보안의 관계를 깊이 이해할 수 있는 값진 경험이었습니다.
Section 4. 화이트해커를 꿈꾸는 이들을 위한 질문집
K: 이제부터는 화이트 해커를 꿈꾸는 지망생으로서 궁금한 점들을 여쭤볼게요.
Q. 화이트해커는 다양한 언어와 툴을 다룰 수 있어야 하는 것 같아요. 화이트해커가 되고 싶다면 어떤 것들을 중점적으로 공부하면 좋을까요?
Woogie. 실무에서 모의해킹을 하다 보면 여러 서비스를 접하게 되고 그만큼 다양한 아키텍처와 언어를 접하게 됩니다. 저는 C++과 Python을 주로 사용했는데, 알고리즘 문제를 풀거나 간단한 토이 프로젝트를 만들면서 자연스럽게 익숙해졌습니다.
화이트해커는 단순히 해킹 기술만 아는 것이 아니라 개발 능력이 필요할 때도 많습니다. 기본적인 SW 지식과 아키텍처에 대한 경험이 중요한 이유죠. 직접 코드를 작성해 보지 않더라도 유명한 오픈소스를 분석하거나 빅테크 기업들의 아키텍처를 살펴보는 것도 좋은 공부 방법입니다. 다만 무엇보다도 CS 기본기를 학부 시절에 탄탄하게 다지는 것이 가장 중요하다고 생각해요.
Mungsul. 리버싱이나 시스템 해킹을 배우고 싶다면 C언어부터 시작하는 것이 좋고, 웹 해킹을 배우고 싶다면 웹 개발 기초와 SQL부터 공부하는 것이 좋을 것 같네요!
Q. 두 분의 대학 시절 경험이 저희 취준생에게 좋은 팁이 될 것 같아요. 어떤 활동이나 경험이 화이트해커가 되는 데 도움이 되셨나요?
Woogie. 대학 시절에는 교육 프로그램에 참여하거나, 동아리 활동 등을 통해 해킹 대회에 꾸준히 나가는 것이 도움이 된다고 생각해요. 특정 시스템을 타깃으로 취약점을 분석하는 프로젝트를 진행해 보는 것도 좋은 경험이 되고요. 그리고 기술 발표 기회가 생긴다면 적극적으로 참여하는 것도 추천합니다.
저는 꾸준히 해킹 방어 대회에 나갔던 경험이 좋았던 것 같아요. 사실 대학생 때 만들 수 있는 가장 확실한 포트폴리오는 해킹 방어 대회나 보안 취약점 제보와 같은 활동들 외에는 크게 없는 것 같거든요. 카카오뱅크에서 인턴을 채용할 때도 지원서를 보니 대부분 비슷한 경력이었는데, 연구 활동이나 대회 경험이 있는 분들이 확실히 눈에 띄었어요. 기술 블로그를 운영하거나 대회에서 얻은 지식을 잘 정리해 두면 ‘이 친구는 정말 열심히 하는구나’ 하는 인상을 받는 것 같습니다.
Mungsul. BoB*, 화이트햇스쿨, K-Shield와 같은 교육 프로그램을 이수하면서 업계 분들과 네트워킹할 기회를 가지는 것이 중요해요. 또한, 워게임을 풀거나 보안 경진대회에 출전하면서 실력을 쌓는 것도 큰 도움이 됩니다. 저는 BoB 활동이 가장 큰 터닝포인트가 됐어요. 사실 고등학교 때 BoB를 시작했고, 그 시기가 대학 진학이 맞물려 있어서 더욱 의미가 있었던 것 같아요. 사람마다 다를 수 있지만 개인적으로는 BoB와 같은 교육 프로그램을 추천합니다.
*BoB: 한국정보기술연구원(KITRI)에서 시행하는 차세대 보안리더 양성 프로그램
Woogie. 교육 프로그램을 단순히 취업을 위한 정량적인 스펙으로 보기보다, 경험해 보기 어려운 다양한 프로젝트를 해볼 수 있는 기회로 접근하면 좋을 것 같아요. 실제 기업의 취약점 점검을 진행해 볼 수 있는 기회가 주어지기도 하거든요. 멘토분들도 기업에서 활동하는 보안 전문가들이기 때문에 실무적인 배움을 얻을 수 있는 점이 장점입니다.
Mungsul. 추가적으로 하나 더 말씀드리자면 저는 모의해킹을 국내 공공기관 홈페이지 점검 아르바이트로 처음 접했었어요. 이론 공부를 하는 것도 중요하지만 실제로 보안 점검을 해보는 경험이 많은 걸 깨닫게 해 줬어요. 기회가 된다면 모의해킹 진단 용역 같은 실무 경험도 추천드립니다.
Q. Woogie는 해킹 대회를 통해 입사 제의를 받은 후 공채로 입사하셨는데요. 해킹 대회를 통한 입사 제의가 빈번하게 이루어지는지 궁금합니다.
Woogie. 해킹 대회를 통한 입사 제의는 꽤 빈번한 편이라고 느껴요. 대회에서 입상한 참가자들에게 기업 담당자들이 직접 명함을 주거나, 대회 본선장이나 시상식에서 채용 관련 논의가 이루어지는 경우도 있습니다. 일부 해킹 대회에서는 본선 진출 시 입사 의향을 묻는 동의서를 받기도 해요. 그래서 해킹 대회를 통해 자신의 이름을 알리고 실력을 입증하는 것이 취업에 긍정적인 요소가 될 수 있을 것 같아요.
Q. 취업 후 어떤 환경에서 경험을 쌓을지 고민하는 분들도 많을 것 같아요! Mungsul은 보안 전문 기업과 인하우스 보안팀에서 모두 근무해 보셨는데 두 환경의 차이가 궁금해요.
Mungsul. 두 환경 모두 각자의 장점이 뚜렷해요. 보안 전문 기업에서는 제조업, 금융권, 병원 등 다양한 산업군의 보안 환경과 보안 프로젝트에 참여할 기회가 많아요. 또 공공기관 대상 강의나 국가 연구개발 과제처럼 기업 외적인 활동 기회가 주어지는 경우도 있습니다.
반면 인하우스 보안팀에서는 특정 산업군에 특화된 보안 업무 체계를 심화적으로 경험할 수 있다는 것이 장점이에요. 침투 테스트와 같은 단발성 프로젝트도 수행하지만, 장기적인 시각에서 보안 전략을 설계하고 지속적으로 개선해 나갈 수 있다는 점이 특징이죠. 자사 서비스의 보안을 책임지고 강화하는 과정에서 실질적인 운영 경험을 쌓을 수 있어요.
Q. 정보보안 관련 대학원에서의 연구 경험이 현업에 도움이 되나요?
Mungsul. 저는 회사에 재직하면서 파트타임으로 대학원을 다녔습니다. 일을 그만두기가 부담스러워 선택한 길이었지만 돌이켜보면 학생 때 풀타임으로 대학원까지 마치고 실무에 뛰어드는 게 더 나았을 것 같다는 생각도 들어요.
Woogie. 저는 대학원에 가지 않았지만 주변을 보면 연구하고 싶은 분야가 뚜렷한 사람들에게는 좋은 선택이 될 수 있을 것 같아요. 하지만 단순히 취업이 목적이라면 신중할 필요가 있어요. 예를 들어 '석사를 밟으면 대기업에서 2년 차 경력을 인정해 준다'는 이유로 대학원을 선택하는 경우, 오히려 비효율적인 시간이 될 수도 있습니다. 실제로 이런 이유로 대학원에 갔다가 후회하는 사례도 많이 봤어요. 정말 연구가 하고 싶고, 더 깊이 있는 공부를 하고 싶은 사람들에게는 의미 있는 경험이 될 거예요.
Q. 정보보안기사, CISSP, CISA 등 다양한 정보보안 관련 자격증이 있더라고요. 이런 자격증 취득이 실제로 도움이 될까요? 아니면 경험과 프로젝트가 더 중요할까요?
Woogie. 실무에서는 실제 경험과 프로젝트가 매우 중요하다고 생각합니다. 면접을 진행할 때 자격증 유무도 참고하지만 그보다 지원자가 실제로 어떤 경험을 했는지 더 중점적으로 보고 질문을 준비했던 기억이 나거든요.
Mungsul. 저도 자격증은 없는데요. 제 의견으로는 실무에서 다루는 개념들이 자격증 시험에도 반영되어 있기 때문에 이론과 개념을 정리하는 용도로 활용하면 괜찮을 것 같습니다.
Q. 화이트해커로서 가장 중요한 역량이나 마음가짐이 무엇인지 궁금합니다.
Woogie. 신입 기준으로 말씀드리자면 웹, 앱, 시스템, 개발 등 본인이 잘하는 무기를 하나 갖추고 있으면서 구글링이나 LLM을 잘 활용하면 기본적인 역량은 갖춘 게 아닐까 싶습니다.
제가 여러 사람과 일을 해보니 역량도 역량이지만 협업할 때 잘 도와주고, 잘 피드백해 주고, 잘 받아들이는 이러한 태도들이 매우 중요하다고 생각합니다.
또, 윤리 의식이 없다면 취약점을 악용하려는 유혹에 빠질 수 있습니다. 실제로 보안 업계에서는 취약점을 외부에 유출하거나 거래하려는 시도도 존재해요. 보안 전문가로서 외부의 유혹에 흔들리지 않고 윤리적인 기준을 확고히 하는 것이 무엇보다 중요하다고 생각합니다.
Mungsul. 화이트해커로서 중요한 역량 중 하나는 계속 배우려는 자세입니다. 보안은 계속해서 변화하는 분야이기 때문에 새로운 기술과 트렌드에 대한 지속적인 학습이 필수적입니다. 또한 주체적인 사고를 기르는 것이 중요해요. 무조건적으로 수용하기보다는 문제의 작동 원리를 이해하고 깊이 파고드는 습관을 들이는 것이 큰 도움이 됩니다.
Q. 카카오뱅크 화이트해커를 영입하게 된다면 면접에서 어떤 질문을 하고 싶으신지 궁금합니다!
Mungsul. 주로 기술적인 질문을 할 것 같아요. 앱 분석을 해본 경험이 있는지, 웹 취약점에 대해 알고 있는지 그리고 그 취약점을 어떻게 해결할 수 있을지 등이 대표적이죠. 앱 관련 질문으로는 안드로이드나 iOS 보안 또는 안티디버깅 방법에 대해서도 물어볼 수 있습니다. 이렇게 질문과 답변을 이어가다 보면 지원자의 역량과 성격도 파악하게 되더라고요.
Woogie. 저는 면접관으로 들어갈 때 지원자가 작성한 기술 블로그나 연구 자료를 보고 그에 맞는 구체적인 질문을 준비했던 거 같아요. 예를 들어, 지원자가 다뤘던 취약점에 대해 어떻게 트리거가 되었는지 등을 묻는 식이죠. 이런 질문은 지원자가 실제로 경험했는지 확인할 수 있고 일단 본인이 열심히 했으면 그런 질문을 받았을 때 굉장히 대답도 잘하시고 좋아하시더라고요! (웃음)
Q. 두 분과의 대화를 통해 많은 궁금증이 해결되었어요. 마지막으로 화이트해커를 꿈꾸는 분들께 전하는 한 마디 부탁드립니다.
Woogie. 저도 하는데 다들 할 수 있을 거라 생각합니다! '궁금한 건 dm 주세요'라고 할 수도 없으니 아쉽네요.
Mungsul. 쉽지는 않은 길이지만 적성이랑 흥미에 맞다면 매력적인 분야이니 공부 열심히 해보시길 바랍니다! 파이팅입니다!
TMI. 취준생 K는 누구인가?
카카오뱅크에서 체험형 인턴으로 일하고 있는 대학생으로, K는 Kakaobank에서 따왔다.
