디지털 바다 속 파란 방파제

안녕하세요. 저는 현대오토에버 Cyber Security사업부 Blue팀의 주소영이라고 합니다. 

블루팀에서 주로 연계 분석 업무를 맡고 있고, 

입사한 지는 이제 1년이 조금 넘었네요. 

사실 이 회사가 제 첫 직장이기도 하고요. 

저는 석사 학위를 경력으로 인정받아 올해 4년 차입니다. 

석사 경력을 인정해주는 회사가 많지 않아서 감사하게 생각하고 있어요. 

이곳에서 다양한 보안 프로젝트를 수행하며 많은 것을 배우고 있습니다.

어릴 때부터 컴퓨터와 인터넷에 관심이 많았어요. 

대부분의 저희 또래가 그렇듯,,, 

저도 한 번은 온라인 게임에서 해킹을 당한 적이 있었거든요😭😭

제 아이템이 사라졌을 때 그 충격이 컸어요.

 '어떻게 내 계정을 해킹해서 아이템을 가져갔지?'라는 

궁금증이 생기면서 자연스럽게 보안에 흥미를 느끼게 됐어요. 

그리고 고등학생 때는 다운로드가 막힌 영상을 

어떻게든 다운로드해 보겠다고 

웹페이지나 스크립트에서 데이터를 추출했었던 적도 있어요
그때부터 기술 우회와 기능 구현에 대한 재미를 느꼈던 것 같아요.

그래서 대학 전공도 자연스럽게 보안 쪽으로 선택하게 됐고, 

석사까지 하면서 이 분야에 대한 꿈을 키웠습니다.

사실 보안 전공을 하면서도 실무 경험이 중요하다고 생각해서 여러 대외 활동을 많이 했어요. 

그중에서도 K-Shield 주니어라는 프로그램에 참여했는데, 

학부 때 실습 위주로 보안 기술을 익힐 수 있었던 좋은 경험이었죠. 

비전공자라면 특히 이런 대외 활동이 큰 도움이 되는 것 같아요. 

실무에서 직접 사용하는 보안 솔루션들을 미리 다뤄보면서 기본기를 다졌던 게 입사에 큰 도움이 됐어요.

저희 사업부에는 Red팀과 Blue팀이 있어요. 

Red팀은 모의 해킹이나 취약점 진단을 통해 공격 시나리오를 테스트하고요. 

Blue팀은 외부 위협을 조사해서 내부 위협을 찾아내고 대응하는 역할이에요. 

레드가 공격이면, 블루는 방어라고 생각하시면 돼요. 

둘이 상호보완해서 보안 수준을 강화하는 거죠. 

사실 팀 이름이 무슨 정치적 의미가 있냐는 우스갯소리도 듣긴 해요.😂

회사에서 합법적으로 치고 받고 싸울 수 있는 팀이 있다? 👩‍💻‍🕵️Red팀 Blue팀 소개 영상(인스타그램)

 대부분 20대와 30대로 구성되어 있어서 꽤 화기애애해요. 

특히, 긴급 상황에서 서로 도와야 하는 일이 많다 보니까 

자연스럽게 챙겨주고 의지하는 분위기가 강하죠. 

저희는 아침마다 다 같이 커피를 마시면서

전날 있었던 일이나 주말 계획 같은 걸 이야기해요. 

그냥 자연스럽게 이런저런 이야기를 나누면서 시작하는데, 

이런 시간이 팀원들 간에 소통하는 데 꽤 도움이 돼요. 

화요일에는 파트 회의, 수요일에는 팀 회의가 있어서 

그 주의 주요 업무를 조율하고 있죠. 

그리고 오후에는 각자 맡은 프로젝트를 진행하는데, 

일이 많을 때는 자연스럽게 모여서 같이 의견을 나누기도 해요.

저희는 SIEM, EDR, NDR 같은 보안 솔루션을 사용해요. 

로그 데이터를 수집해서 비정상 행위를 탐지하는 데 활용하죠. 

특히 SIEM을 통해 다양한 장비에서 수집된 로그를 통합 관리하고, 

이상 패턴을 분석해서 침해 사고 여부를 확인합니다. 

EDR은 단말기에서 발생하는 행위를 모니터링하고, 

의심스러운 활동을 실시간으로 탐지합니다. 

NDR은 네트워크 트래픽 분석을 통해 비정상적인 흐름을 감지하죠. 

이런 솔루션들을 연계해서 공격의 흐름을 파악하고 빠르게 대응하는 데 중점을 두고 있어요.

다양한 보안 장비에서 나오는 데이터를 연계 분석하다 보면, 

공격자가 실제로 어떤 행위를 했는지 흐름을 재구성할 수 있거든요. 

그냥 이벤트가 쭉 나열되는 게 아니라, 

MITRE ATT&CK 프레임워크를 이용해서 

TTP(Tactics, Techniques, Procedures)를 분석하고, 

공격 패턴을 구조화해서 프로파일링할 수 있어요. 

이렇게 분석하면 단순한 이벤트가 아니라, 

실제로 침투 시나리오인지 판단할 수 있는 거죠.

특히, 단일 장비로는 위협을 놓치기 쉬워요.

예를 들어, 특정 장비에서는 단순 접속 로그로 보일 수 있지만, 

SIEM과 EDR을 연계하면 그 접속이 악성코드 다운로드와 연결된 것을 알 수 있죠. 

실제로 피싱 메일을 통해 내부로 침투한 후 

실행된 악성코드와 명령어 실행 로그를 연계분석을 통해 식별한 경험이 있습니다

이런 위협을 발견하고 대응하려면 종합적으로 분석할 수 있는 역량이 필요해요.

이건 Threat Intelligence(TI)입니다!

여기를 통해 최신 공격 사례와 보안 이슈를 확인하고 있어요

최근에 디지털 서명을 탈취해서 악용하는 공격 기법이 있었어요. 

디지털 서명은 보통 프로그램이 정상 파일이라는 걸 증명하는 인증 수단으로 쓰이는데, 

이걸 탈취해서 악성 파일에 그대로 입혀서 탐지를 피해가는 사례가 있어요.

 이런 공격은 공급망 공격과도 연결될 가능성이 커서 TI를 통해 계속 모니터링하고 있습니다.

 네, 머신러닝을 활용한 악성 도메인 탐지 모델을 연구 중이에요. 

정상 URL과 악성 URL을 구별하는데, 

단순히 도메인의 길이나 특수문자 비율만 보는 게 아니라, 

TI와 연결하여 악용된 적이 있는지도 피쳐로 활용하려고 하고 있어요. 

특히 악성코드가 활용하는 DGA(Domain Generation Algorithms, 도메인 생성 알고리즘) 

기반 도메인도 학습 데이터셋으로 활용해요.

데이터를 수집하고 전처리하는 과정에서, 

정상 도메인과 비정상 도메인을 어떻게 구분할지 고민이 많았어요. 

모델 학습 후에도 성능 검증을 위해 교차 검증을 여러 차례 반복하고 있습니다. 

모델 성능을 높이기 위해 구조를 몇 번이나 수정했고,

실제 환경에서도 활용할 수 있는 수준으로 탐지 성능을 높이는 데 중점을 두고 있어요.

네, 맞아요. 

특히 요즘 클라우드 보안이 중요해져서 AWS 자격증도 준비하고 있어요. 

하루에 한 시간 정도는 기술 문서나 최신 논문을 읽으려고 노력해요. 

또 업무 중에도 틈틈이 새로운 보안 도구를 테스트해보면서 

실제 현장에서 바로 써먹을 수 있는 지식을 쌓으려고 해요. 

공부할 게 많긴 하지만, 배우는 게 많아서 재미있어요.(?)

최근에 해외 출장을 갔을 때 큰일이 있었어요‼️

업무 때문에 대용량 데이터를 전송해야 했는데, 

현지 네트워크 정책 때문에 전송이 막혀버린 거예요. 

호텔에서 밤새워가며 여러 방법을 테스트해봤어요. 

데이터를 압축시키고 쪼개는 등의 다양한 방법을 시도했죠.

결국 문제를 해결하고 데이터를 성공적으로 전송했을 때 정말 뿌듯하더라고요. 

힘들긴 했지만, 그 경험 덕분에 위기 대처 능력을 한층 더 키운 것 같아요.

또 글로벌 보안 업체와 함께 보안 조치를 수행하는 미팅에 약 2주 간 참여했던 게 기억에 남아요. 

처음에는 영어로 진행되는 비즈니스 미팅 환경이 익숙하지 않아 어려움을 느꼈지만, 

새로운 경험이 주는 긴장감과 기대감이 동시에 느껴졌습니다.

점차 회의 흐름을 파악하여 보안 조치 항목과 추진 계획을 확인하고, 

보안 조치가 원활히 진행될 수 있도록 전반적인 지원을 해주면서 적극적으로 참여했어요. 

낯선 환경이지만 지속적인 소통을 통해 문제를 해결하고 정해진 짧은 기간 내에 최선을 다했었던 게 기억이 나네요.

그 때부터 낯선 환경에서도 소통하는 태도를 갖게 되고 자신감이 생긴 것 같아요.

예전에는 성격이 급하고 결과를 빨리 내고 싶어 했는데, 

Blue팀에서 일하면서 신중함과 인내심을 배웠어요. 

특히 복잡한 공격 사례를 다룰 때는 한두 가지 증거로 결론을 내리기보다, 

다양한 각도에서 데이터를 모아 신중하게 접근해야 하거든요. 

위협을 분석하면서 빠른 결론보다는 다각도로 검토하는 습관이 생겼죠. 

그래서 요즘은 조금 더 차분하게, 

다양한 가능성을 고려하면서 분석하는 자세를 가지려고 노력하고 있어요.

맞아요. 사실 스트레스가 적지 않죠. 

저는 머리를 좀 쉬게 해주고 싶어서 필라테스를 해요. 

몸과 마음이 동시에 정리되는 느낌이라 좋아요. 

그리고 두뇌 자극을 위해 데블스 플랜이나 더 지니어스 같은 추리 프로그램을 자주 봐요.

 머리 아프면서도 재밌고, 문제를 해결했을 때 그 쾌감이 좋더라고요.(?)

저는 보안을 기업이 반드시 투자해야 하는 소방시설과 같다고 생각해요. 

평소에는 눈에 잘 띄지 않고 신경 쓰지 않지만, 

화재가 나면 가장 먼저 의지하게 되는 존재죠. 

보안도 사전에 예방하지 않고, 

위기 상황이 발생했을 때 제대로 대응하지 않으면 큰 피해로 이어질 수 있어요.

그래서 사전에 철저히 대비하고 보안 역량에 투자하는 것이 중요하다고 믿습니다.

저는 데이터를 잘 해석하고 흐름을 구조화할 수 있는 분석 전문가로 성장하고 싶어요.

단기적으로는 지금 하고 있는 위협 탐색(Threat Hunting)과 

연계분석을 통해 데이터 기반으로 위협 인사이트를 도출하는 능력을 더 키우고 싶고요.

장기적으로는 이런 경험을 바탕으로 

데이터 분석 전략이나 탐지 모델 설계까지 할 수 있는 전문가가 되는 게 목표예요.

아무래도 긴급한 상황이 많다 보니까

팀워크랑 책임감이 중요한 것 같아요.

문제가 생겼을 때 같이 풀어나가야 하니까 

능동적으로 일하는 사람이 잘 맞고요.

새로운 걸 탐구하는 걸 즐기고, 

끈기 있게 파고드는 성향이라면 저희 팀 안에서 분명 잘 적응할 수 있을 거예요!

아까 말씀드렸듯이, 계속 공부해야 하는 내용이 많은데, 

사내 교육 지원을 받아서 인프런 등 다양한 플랫폼에서 공부할 수 있는 점이 정말 좋아요. 

특히 자기 계발을 적극적으로 지원해주는 문화가 있어서, 

필요한 교육을 스스로 찾아 들을 수 있다는 게 큰 장점이에요.

그리고 팀 빌딩이 제일 기억에 남아요. 

팀워크를 다지기 위해 야외 활동도 자주 해요. 

한강 유람선을 타고 갈매기에게 새우깡을 주며 바람을 쐬기도 하고, 

청계산입구 글램핑장에서 고기를 구워 먹으며 서로 이야기를 나누기도 했어요.

이런 활동을 통해 서로를 더 이해하고, 

위기 상황에서도 믿고 협력할 수 있는 관계를 만들고 있어요.

보안은 꾸준함이 생명이라고 생각해요. 

하루아침에 실력이 늘지 않으니, 

매일 조금씩 공부하고 새로운 기술을 접하는 습관이 중요해요. 

전공자라면 학점을 잘 챙기는 것도 중요하고, 

비전공자라면 실습 위주의 대외 활동을 추천합니다. 

무엇보다, 보안은 미래를 대비하는 일이기 때문에 항상 배움의 자세를 잃지 않았으면 해요.