해외 IT회사에서 시큐리티 엔지니어로 일하는 경험과 시큐리티 엔지니어의 커리어패스에 대해서 이야기합니다. 사이버시큐리티에는 수 많은 커리어 패스가 있습니다만, 크게 레드팀과 블루팀으로 나눠서 이야기해보고싶습니다. 레드팀은 서비스에 대한 침투 테스트를 통해 취약점을 사전에 탐지, 예방 및 제거하는것에 중점을 둔다면, 블루팀은 공격에만 국한되지 않고 광범위한 보안 위협에 대한 방어책을 사전에 구축하고 지속적인 모니터링을 포함하여 전반적인 시큐리티를 보장하는데 중점을 둡니다.
시큐리티 엔지니어로써 보안 취약점을 찾고 공격하는 역활은 매우 매력적으로 보일 수 있습니다만, 현실은 조금 다를지도 모릅니다. 시큐리티 엔지니어의 궁극적인 목표는 안전한 소프트웨어를 만드는 것이지만 특히 한국에서는 그 부분이 평가 절하되고 있지 않나 생각합니다. 모두가 0-day, Bug Hunting, CTF, Mitigation bypass 등 Offensive research에 열광하지만, 많은 분들께서 소프트웨어를 안전하게 잘 만드는것 또한 ‘멋짐 폭발’이라는것을 잘 모르시는 것 같습니다.
이번 발표에서는 메신저, 가상화폐거래소, 금융서비스등을 비롯한 다양한 서비스에서 블루팀으로써의 경험에 대해 중점을 두고 이야기해보려고 합니다. 현실은 녹록치 않았습니다. 하지만 보안을 실체화하고 증명하는일은 시스템을 해킹하는 것 이상의 뿌듯함을 줍니다. 게다가 공격자를 농락하는 일은 참 즐겁습니다. 많은 시행착오가 있었고 저희가 시도하고 있는 소프트웨어 개발 프로세스 ‘SecDevOps’에 대해서도 이야기합니다.
이 발표가 여러분들께서 성공적인 커리어 패스를 만드시는데 도움이 되길 희망합니다.