지켜야 하기에, 먼저 무너뜨립니다

안녕하세요. 

보안 컨설팅을 하는 협력사에서 모의해킹 업무를 하다가,

현대오토에버에 입사해 현재 3년 반째 근무 중인 Red팀 오민호입니다.

지금은 Red팀 내 사이버 침투 테스트 파트를 맡고 있습니다.

원래 현대오토에버의 협력사에서 일하면서 회사와 직접적으로 함께하는 경험이 있었는데,

외부가 아닌 내부에서 보안 수준을 더 체계적으로 향상시킬 수 있겠다는 생각이 들어 이직을 결심하게 됐습니다. 

또한, 현대오토에버가 스마트홈, 모빌리티, AI 등 다양한 사업 영역을 가지고 있기 때문에 

다양한 보안 영역을 경험하며 제 커리어를 확장할 수 있을 거라 확신해 입사를 결정했습니다

Red팀은 전원이 화이트 해커로 구성되어 있으며 

현대자동차그룹의 다양한 정보 자산을 대상으로 보안 취약점을 사전에 발굴하고 

개선하는 역할을 맡고 있어요.

Red팀은 사이버 침투 테스트, 완성차 H/K 시스템, 

통합보안진단 서비스, 보안_SI, 피싱모의훈련플랫폼 등

총 5개의 파트로 구성되어 있습니다.

각 파트의 활동을 통해 그룹 전반의 디지털 환경을 

보다 안전하게 만드는 데 기여하고 있어요. 

궁극적으로는 고객에게 더 안전하고 신뢰할 수 있는 서비스와 

모빌리티 경험을 제공하는 것이 저희 팀의 목표예요 

Red팀의 업무에 관해 자세히 알고 싶다면?
디지털 보안을 책임집니다! 현대오토에버 보안진단팀을 만나다(네이버 블로그 바로가기)

중고등학교 시절, 신문에서 해킹 사고 기사를 접했어요. 

그 기사에서 국내에 보안 전문가가 많이 부족하다는 이야기를 보고, 

내가 이 분야에서 사회에 기여할 수 있겠다는 생각이 들었죠. 

컴퓨터공학과에 진학했지만 보안을 본격적으로 공부한 건 3학년 때부터였고요. 

늦게 시작했지만, 적성에도 잘 맞아서 흥미를 가지고 공부했습니다.

처음 보안을 공부할 때부터 해킹 관련 내용을 다뤘던 터라, 

공격에 흥미를 느꼈던 것 같아요. 

제가 상상한 공격 루트나 취약점이 

실제로 유효했을 때 느끼는 희열이 컸고요. 

단순히 방어하는 것보다, 

공격을 통해 방어 체계를 설계하는 쪽이 

제 성향에 더 맞다고 느꼈습니다.

Red팀 내 거의 모든 업무를 경험해봤어요. 

국내 그룹사, 해외 그룹사, 완성차 시스템 등 다양한 자산을 대상으로 한 모의해킹은 물론이고, 

스마트홈 보안 점검 프로젝트도 기획 단계부터 직접 참여했었죠. 

그중에서도 특히 기억에 남는 건 사이버 침투 테스트에요. 

이 업무는 단순히 수행만 한 게 아니라, 

처음 서비스 기획을 직접 했고, 

PM으로서 팀을 이끌며 전체적인 흐름을 관리하기도 했어요. 

지금은 다시 실무에 집중하고 있는데,

그만큼 다양한 역할을 해보면서 업무에 대한 이해도도 넓어졌고, 

애정도 커졌습니다.

사이버 침투 테스트는 외부 해커의 시각에서, 

별도의 계정이나 시스템 정보를 제공받지 않은 상태에서 

특정 그룹사만 지정된 상황에서 업무를 시작해요. 

먼저 해당 그룹사가 외부에 오픈한 서비스나 자산들을 광범위하게 수집합니다. 

이때 임직원 계정 정보나 관련 URL 등도 가능한 한 모읍니다. 

이후 수집된 자산을 대상으로 취약점을 탐색하고, 

발견한 취약점들을 서로 연계해 내부망까지 침투가 가능한지 여부를 확인합니다.

내부 진입이 성공하면, 해당 그룹사의 주요 비즈니스와 연결된 중요 정보를 식별하고, 

실제로 탈취 가능한지까지 점검해요. 

이후 어떤 경로를 통해 접근했고, 

어떤 정보를 확보했는지를 상세히 정리한 보고서를 작성합니다. 

마지막 단계에서는 블루팀이나 관제팀과 함께 저희 행위가 탐지되었는지 여부를 확인하고, 

탐지가 미흡했던 경우엔 룰셋 보완이나 탐지 방식 개선을 

제안하면서 전체 보안 체계를 고도화하는 데 기여하고 있어요.

전 그룹사에서 공통으로 사용하는 서드파티 솔루션에서 취약점을 찾아낸 사례가 있어요. 

저희 오토에버가 만든 건 아니었지만, 

이 취약점으로 내부망까지 침투할 수 있는 가능성이 있었거든요. 

결국 전사 공지를 통해 해당 솔루션의 사용 중단을 권고했고, 

공급망 공격 가능성을 미리 차단한 사례라서 기억에 남아요.

말 그대로 해커 역할극이라고 할 수 있어요. 

정보 수집부터 침투, 탈취, 개선안 제시까지 전 과정을 다 다루죠. 

내가 설계한 시나리오가 실제로 통해서 중요한 정보를 확보하고, 

그걸 바탕으로 조직의 보안이 더 단단해지는 걸 보면 정말 뿌듯해요.

가장 중요한 건 타겟의 핵심 비즈니스가 무엇인지를 파악하는 거예요

그리고 해커 입장에서 가성비 있는, 

효율적인 공격 루트를 찾는 것도 중요하죠. 

실제 공격자들도 복잡한 공격보다는 ROI가 높은 방법을 찾으니까요.

언어는 Python, Java, Go를 많이 써요. 

프록시 서버 툴로는 Fiddler나 Burp Suite를 많이 쓰고요. 

개인적으로는 Wayback Machine을 이용해서 숨겨진 URL 정보를 수집하는 걸 선호합니다. 

기본적으로는 개발, DB, 인프라 등 IT 전반에 대한 이해가 꼭 필요해요

저희 팀 분위기를 한마디로 표현하면, 

모르면 언제든지 편하게 물어볼 수 있고, 

아는 건 아끼지 않고 나누는 문화라고 할 수 있어요. 

작년엔 매달 정기적인 기술 공유 발표회를 열었고, 

올해는 강제성이 없는 소규모 스터디 그룹으로 전환해 

더 깊이 있는 탐구를 추구하고 있어요. 

이런 문화 덕분에 특정 개인에게만 기술이 쌓이지 않고, 

팀 전체가 함께 성장할 수 있는 기반이 마련되고 있어요.

 사이버 침투 테스트를 처음 기획하고

 PM 역할까지 맡아 실제로 운영해본 경험이 가장 기억에 남습니다. 

서비스의 범위와 방향을 설정하고, 

전반적인 흐름을 설계하면서 실무 외적인 요소까지 고민해야 했기 때문에 

성장의 폭이 매우 컸어요.

또 스마트홈 점검 프로젝트처럼 생소한 도메인에 투입됐을 때는 

관련 기술과 구조를 단기간에 습득하고 결과를 도출해야 해서, 

압박감은 있었지만 기술적인 이해도와 문제 해결 역량을 

크게 끌어올릴 수 있었던 계기가 됐습니다.

보안 트렌드를 놓치지 않기 위해 평소에도 꾸준히 공부하려고 노력해요. 

정기적으로 CTF 해킹 대회에 참여하면서 실전 감각을 유지하려 하고, 

출퇴근 시간엔 트위터 등에서 활발히 활동하는 보안 전문가들의 계정을 통해 

새로운 취약점이나 공격 사례들을 찾아보고 있어요. 

덕분에 최신 동향을 자연스럽게 익힐 수 있고, 

업무에도 바로 적용할 수 있는 힌트를 얻곤 합니다.

'바이브 코딩'이나 '바이브 해킹'에 개인적으로 많은 관심을 두고 있어요. 

요즘은 AI에게 특정 기능을 가진 코드를 만들어달라고 요청하면, 

그 기능은 구현되지만 보안적인 요소는 빠진 경우가 많거든요. 

예를 들어 인증 정보나 시큐어 코딩 관련 처리가 생략된 코드가 나오는 식이에요. 

그래서 오히려 보안 취약점이 더 많이 발생할 수 있고, 

일반인도 쉽게 이런 코드를 활용해 해킹을 시도할 수 있는 시대가 온 셈이죠. 

저희처럼 전문성을 가진 사람들이 이런 흐름을 잘 이해하고, 

대응 전략을 수립해야 한다고 생각해요. 

동시에 AI 도구를 활용해서 반복적인 작업은 효율화하고, 

그만큼 복잡하고 전문적인 영역에 더 집중하는 방향도 필요하다고 보고 있습니다.

운동이요. 

저희 업무 특성상 한 번 자리에 앉으면 몇 시간이고 꼼짝하지 않고 앉아 있는 경우가 많거든요. 

특히 취약점 분석이나 침투 테스트에 몰두하면 자세가 흐트러지기 쉽고, 몸도 점점 피로해지죠. 

그래서 의도적으로 운동하는 시간을 확보하고 있어요. 

스트레칭이나 유산소 위주의 운동을 통해 몸을 풀어주면, 

단순히 체력 회복뿐만 아니라 머리도 리프레시되는 느낌이 들어요. 

집중력을 다시 끌어올리는 데도 큰 도움이 되고요. 

꾸준히 운동하는 습관이 업무의 효율성이나 

컨디션 유지에 확실히 긍정적인 영향을 주는 것 같아요.

보안은 '집요함'이라고 생각해요.

점검을 하다 보면 정말 사소한 단서 하나가 

전체 시스템의 리스크로 이어지는 경우가 많거든요. 

처음엔 별거 아닌 것처럼 보여도, 

거기서부터 끈질기게 파고들다 보면 

아주 치명적인 취약점을 발견하게 되는 경우가 있어요. 

그런 경험을 여러 번 하면서, 

보안이라는 게 결국 얼마나 작은 징후도 놓치지 않고 

끝까지 탐색해 나가는 끈기에서 비롯된다는 걸 절감했어요. 

그래서 저는 작은 것들을 놓치지 않고 

집요하게 추적하는 태도가 보안의 핵심이라고 생각합니다.

공격 표면이 갈수록 넓어지고 있는 지금, 

단순히 기술적인 전문성만 갖추는 것에서 그치는 게 아니라, 

각 조직이 가지고 있는 핵심 비즈니스가 무엇인지 깊이 이해하고, 

그에 맞는 보안 전략을 설계하고 제안할 수 있는 사람이 되고 싶어요. 

궁극적으로는 기술과 비즈니스 감각을 

모두 갖춘 보안 리더로 성장하는 것이 제 목표입니다.

하고자 하는 일에 대해 주도적으로 제안하면 

실제로 기회가 주어지는 환경이라는 점입니다.

물론 그만큼 평시 업무 이상의 일을 해야 하지만 

주어진 일만 기계처럼 하는 것이 아닌 조직에 필요한 일을 찾아 진행할 수 있습니다.

이는 곧 개인 역량의 성장과 

더불어 조직이 더 나은 방향으로 

나아갈 수 있는 문화를 가지고 있다고 생각합니다. 

개인의 의지를 존중해주고 성장할 수 있는 기회를 준다는 점에서, 

지금 회사의 문화에 가장 큰 만족을 느끼고 있습니다.

윤리 의식이 제일 중요해요. 

Red팀의 업무 특성상 민감한 정보나 그룹사의 기밀을 다룰 일이 많기 때문에, 

그 어떤 상황에서도 책임감 있게 행동할 수 있는 태도가 필요하죠. 

그리고 단순한 기술력이 아닌, 

창의적으로 문제를 해결하려는 시각도 중요해요. 

똑같은 취약점도 어떻게 접근하느냐에 따라 완전히 다른 결과가 나올 수 있으니까요. 

또 Red팀은 혼자 일하는 게 아니라 다양한 팀원들과 유기적으로 협업해야 하는 환경이에요. 

자기 생각을 명확하게 전달하고, 

다른 사람의 의견을 잘 듣는 소통 능력이 있어야 진짜 실력을 발휘할 수 있다고 생각해요. 

무엇보다 IT 전반에 대한 폭넓은 이해가 있으면, 

다양한 시나리오에 더 유연하게 대응할 수 있어서 큰 도움이 됩니다.

Red 팀은 각자의 역할에 책임감을 가지고 

주도적으로 업무를 수행하는 동시에 

서로의 의견을 존중하며 

원활한 커뮤니케이션을 통해 함께 성장해 나가는 문화를 지향합니다.

예비 지원자분들께서도 자신의 생각을 적극적으로 표현하고, 

팀원들과의 소통을 통해 더 나은 결과를 만들어가는 

협업의 가치를 Red팀에서 함께 경험하셨으면 좋겠습니다!