모의해킹 신입 요구사항 조사

지난번에는 SK 인포섹의 모의해킹 직무에 관해 비슷한 글을 썼는데 이번에는 다른 기업 몇개를 더 조사해보았다.

2020/09/27 - [기타] - SK 인포섹 모의해킹 신입 요구사항 조사

SK 인포섹 모의해킹 신입 요구사항 조사

아무래도 취준생 입장에서 기업 하나만 바라보고 살 수는 없으니 여러 기업에서 어떤 능력을 요구하는지 알아두고 준비해두면 나중에 어떤 식으로든 기회가 더 많아질 것이라 생각한다.

 

이번에 조사해본 기업은 2020년 12월 23일 기준 사람인에서 보안컨설팅 직무와 정보보호 컨설팅 직무 그리고 모의해킹 및 취약점 진단 업무를 모집하고 있는 (주)에스에스알, 주식회사 이지시큐, (주)잉카인터넷 기업이다. 먼저 (주)에스에스알에서 모집하고 있는 보안컨설팅 직무에 어떤 요구사항이 있는지 살펴보자.

해당 기업에서는 현재 모의해킹 및 기술취약점진단 인력을 모집하고 있다. 이 중에서 내가 희망하는 분야는 '모의해킹'이기 때문에 해당 자격요건을 좀 더 살펴보겠다.

일단 기본적으로 대졸을 요구하고 있으며 담당업무는 모의해킹, 소스분석, 모바일진단등이다. 이는 지난번 SK 인포섹 모의해킹 직무의 요구사항과 거의 동일한데 그때는 웹, 모바일, 앱(Android, iOS) 취약점 진단, 모의해킹(유, 무선 등 내부침투 및 중요정보 탈취), 소스코드 취약점 진단 업무 중 선택하여 부여한다는 점에서 차이가 있다. 이번에는 세 가지 업무를 모두 담당하는 것 같은데 일단 중요한 것은 모의해킹 직무에 요구되는 사항은 역시 모의해킹, 소스코드 분석, 모바일 애플리케이션 진단 이 세 가지라는 것을 다시금 확인할 수 있었다는 점이다. 각 업무에 대한 세부사항은 나와있지 않지만 아마 SK 인포섹 때와 비슷하리라 생각한다.

 

근무형태는 비슷하게 정규직에 수습기간 3개월을 거친다. 주 5일 9시부터 6시까지 근무하며 급여는 면접 후 결정이라 공고되어 있다. 면접 절차는 서류전형, 1차면접, 임원면접 후 최종합격으로 이어진다. 특이한 것은 신입이든 경력이든 모두 반드시 포트폴리오를 제출하라고 되어 있다. 지원자의 역량을 파악할 수 있는 수단으로 이를 요구하는듯 하며 나도 요즘은 워게임만 푸느라 이런 프로젝트나 포트폴리오를 준비하고자 하는 다짐을 잊고 좀 게을러진 것 같다. 연말이 가기 전까지 개인 포트폴리오를 어떻게 만들어볼지 좀 고민해봐야 할 것이다.

 

관련해서 유튜브에 '보안프로젝트'라는 채널이 있는데 이 채널에서 업로드하는 영상을 보고 좀 참고해도 될 것 같다. 모의해킹 시나리오를 어떻게 만들어가야 할까 - YouTube, 진로QA - 시나리오 모의해킹 프로젝트를 해야 하나요? 워게임 풀이를 하는 것이 좋은가요? - YouTube 같은 영상들을 보면 나와 비슷한 고민을 하고 있는 사람들이 질문한 내용에 대해서 답변하는 내용이 있는데 이를 좀 참고해도 좋을 것 같다.

 

우대사항은 관련 학과와 정보처리기사, 해당직무 근무경험, 프로그래밍 가능자 등을 우대하고 있는데 얼마전에 정보처리기사 자격증을 취득하고 현재 컴퓨터공학부 졸업 예정이기 때문에, 그리고 프로그래밍 역시 프로덕션 레벨까지는 아니더라도 가능하기 때문에 우대사항에 해당된다고 볼 수 있다.

 

 

그 다음으로 주식회사 이지시큐의 공고를 살펴보자.

해당 기업에서는 컨설팅본부/컨설팅팀이라는 부서에 2명을 모집하고 있다.

역시 공통 자격요건은 대졸이며 웹, 모바일앱 모의해킹 부문에서 모집하고 있다. 다른곳과 달리 담당 업무에 소스코드 진단이 포함되어 있지 않는데 웹 애플리케이션 모의해킹, 모바일 애플리케이션 모의해킹에 주력하는 것 같다. 재밌는 것은 OWASP Top 10 웹 취약점 진단 가능자라고 지원자격에 명시해둔 점이다. 모의해킹이나 보안 컨설팅에 관심을 가지고 찾아봤다면 한번쯤 들어봤을 유명한 취약점 리스트인 OWASP Top 10을 중요시 여기는 듯 한데 이 부분을 중점으로 포트폴리오를 만들어보는 것도 괜찮을 것 같다. 이를테면 해당 취약점을 구현한 사이트를 개발하고 이에 대한 모의 침투를 수행, 취약점을 수정하여 방어하는 식으로 보고서를 작성하는 것처럼 말이다.

중부정보보호지원센터에서 들었던 온라인 강의다.

이전에 '누구나 쉽게 따라하는 웹 취약점 진단기술'이라는 온라인 강의를 한번 들었던 적이 있다. 기본적인 웹 취약점 진단 원리와 기술을 간단하게 실습해보는 강의였는데 이 강의에서도 주통기(주요통신기반시설) 진단 가이드, OWASP Top10 같은 취약점 진단 가이드를 언급했었다. 그만큼 중요하고 유용한 자료인 것 같은데 조만간 이들을 읽어보고 해당 항목들을 진단할 수 있는 취약한 사이트를 구축하거나 이리 구성된 이미지를 구해서 모의 침투를 수행해보고 가이드대로 취약점들을 수정하는 프로젝트를 해보면 포트폴리오로 좋을 것 같다.

 

근무 형태는 비슷하게 수습기간 3개월의 정규직으로 오전 9시부터 오후 6시까지 근무하게 된다. 급여는 회사 내규에 따르며 지원 절차는 서류전형, 1차면접(실무면접), 2차면접(임원면접) 이후 최종합격으로 이어진다. 이력서 및 자기소개서는 당연히 필수고 이곳도 개인 포트폴리오를 우대하고 있다. 역시 지원자의 능력을 보이기에는 포트폴리오가 제격인 듯 하다.

 

 

마지막으로 (주)잉카인터넷이다.

사실 이 기업은 한국의 인터넷 환경에서 많이 볼 수 있는 기업인 것 같다. 특히 nProtect 때문에... 좋은 쪽으로든 나쁜 쪽으로든 인지도가 높다고 할 수 있다.

모집하고 있는 분야는 모의해킹 및 취약점 진단 분야로서 웹, 모바일 애플리케이션 모의해킹 및 취약점 진단을 수행하게 된다. 거기에 시스템 취약점 진단 및 보안성 검토도 수행하게 되는데 아마 특정 애플리케이션에 국한되지 않고 기업 내 서버나 전반적인 시스템의 보안성을 검토한다는 게 아닐까 생각한다. 자격은 웹, 모바일 애플리케이션 모의해킹 및 취약점 분석 가능자, 소스코드 정적 취약점 분석 가능자, 침해사고 분석(로그 분석 등) 가능자를 요구하고 있다. 담당업무에는 쓰여있지 않지만 기본적으로 소스코드를 읽고 취약점을 분석할 수 있는 능력이 있어야 업무를 수행할 수 있다고 보는 것 같다. 우대사항은 해킹대회 수상자, 관련 자격증 보유자인데 나같은 경우는 해킹대회는 당연히 참여해본 적도 없고 그나마 정보처리기사, 정보보안산업기사 자격증을 내세울 수 있지 않을까 생각한다.

 

근무 형태는 정규직 수습기간 3개월로 기술연구소에서 주 5일 오전 9시부터 오후 6시까지 근무한다. 지원 절차는 서류전형, 실무진 & HR 면접, 임원진 면접 이후 최종합격으로 이어진다. 딱히 포트폴리오를 요구하고 있진 않지만 서류전형 때 제출하는 것이라 생각된다.

 

 

왜 여러 기업에서 모의해킹 직무를 뽑을 때 소스코드 정적 분석 능력을 요구하는지 생각해봤는데 이유는 단순한 것 같다. 잘못 짜여진 취약한 소스 코드를 보고도 이게 취약한 소스 코드인지 모른다면 해당 코드로 돌아가는 사이트를 해킹할 수 있을까? 절대 그럴 수 없을 것이다. 그래서 코드를 이해할 수 있도록 개발 능력이 요구되기도 하고 반대로 취약점을 찾았으면 이를 수정하여 시큐어 코딩을 적용할 수 있어야 할 것이다. 이러나 저러나 소스 코드 분석 능력은 빠질 수 없는 것 같다.

 

관련해서 Security Analysis :: '모의해킹 QA' 카테고리의 글 목록 (tistory.com)라는 블로그에서 모의해킹 관련 QA 포스트들을 몇 개 봤는데 괜찮은 내용인 것 같다. 나중에 천천히 읽어봐야겠다.

'모의해킹 QA' 카테고리의 글 목록