안녕하세요 :) 저는 올해 6월 7일 자로 지니언스 기술연구소 연구기획실에 입사한 이동건 연구원입니다.
기술연구소 연구기획실은 QA, 인증, 과제 관리 등 다양한 업무를 수행하는 팀입니다. 그곳에서 저는 보안 취약점 관련 업무를 하고 있습니다.
오늘은 제 하루 일과를 통해 제가 하는 업무에 대한 소개를 해드리려 합니다.
보안 취약점(Vulnerability)이란?
보안 취약점이란 해킹 등 외부 공격으로 시스템에 손실, 손상의 원인이 되는 보안상의 허점입니다.
또한 보안약점(Weakness)은 보안 취약점의 근본적인 원인이 되는 SW의 결함, 버그 등의 오류를 뜻하는데요.
외부 공격자는 이러한 보안약점을 통해 정보시스템 내에 구성 및 소프트웨어의 결함을 찾아내 공격을 할 수가 있습니다.
이제 본격적으로 저의 하루 일과를 소개해 드리겠습니다.
지니언스에서는 직원을 위한 복지 중 하나로 유연근무제를 시행하고 있습니다.
직원들 개개인의 시간을 존중하여 팀별로 오전 8시부터 10시 사이에 자유롭게 출근을 할 수 있는데요. 저도 이러한 유연근무제를 활용하여 오전 8시 30분에 출근하여 오후 5시 30분에 퇴근을 하고 있습니다.
출근을 하게 되면 우선적으로 저에게 온 메일이나 사내 메신저를 확인합니다.
그 후에는 스케줄을 확인하면서 오늘은 어떤 것을 해야 하는지 계획을 세웁니다.
이후 실원들이 도착하게 되면, 같이 사내 카페에서 커피를 마시며 간단한 대화를 나눕니다.
지니언스의 복지 중 하나인 카페 말랑은 자유롭게 음료를 주문하고 마시며 휴식을 취할 수 있는 사내 카페입니다. 아침에는 빵도 있어 간단하게 식사도 할 수 있습니다. 저도 가끔 빵과 커피로 아침을 먹습니다. ^_^
오전 10시에는 실원 전체가 데일리 스크럼을 통해 어제 진행한 업무와 금일 진행할 업무에 대해서 이야기한 후 본격적으로 업무가 시작됩니다.
저의 주요 업무는 다음과 같습니다.
•
제품 취약점 점검 및 취약점 분석서 작성
•
버그 바운티 업무 및 보안약점 분석
•
REST API 테스트를 통한 분석 및 검증
취약점 점검 업무는 저희가 판매하는 제품들에 대해 취약점이 있는지 점검을 하고, 개발 단계에서 시큐어코딩이 적용되어 있는지 확인하는 것입니다. 이러한 점검을 통해 취약한 부분을 사전에 보완하여 제품의 보안을 더욱더 향상시킬 수 있습니다.
제품들의 취약점 점검과 시큐어코딩 점검이 끝나면 관련된 취약점 분석서를 작성합니다.
시큐어코딩 점검 사진
취약점 분석서를 작성하면서 어떠한 항목으로 취약점을 시험할지 생각하고, 다양한 방법을 찾아 제품의 취약점을 직접 시험할 수 있게 준비합니다.
분석서를 활용해 취약점을 찾아 직접 시험해 보고, 취약점이라고 검증이 되면 그 부분은 해당 개발팀에 개발 요청을 하여 보완이 될 수 있도록 합니다.
어느 정도 업무가 진행되고 서서히 배가 고플 때쯤이 되면 점심시간이 되는데요 이 시간이 항상 기대가 됩니다.
지니언스에서 먹는 밥은 정말 맛있습니다. 먹어본 사람만 알 수 있어요!
지니언스에서는 사내식당 뿐 아니라 외부에서도 지정한 음식점에 한해 중식/석식을 제공해 줍니다.
점심을 먹고 난 후에는 자유롭게 휴식시간을 가지는데요.
이때 커피를 마시거나 날씨가 좋으면 밖에서 산책도 하고, 사무실에서 편하게 앉아 유튜브도 보면서 쉽니다.
편안하게 휴식을 취하고 나면 어느새 오후 업무시간이 됩니다.
오후에는 버그 바운티와 관련된 업무를 진행했습니다.
버그 바운티란 기업이 제공하는 제품이나 서비스의 보안 취약점을 발견한 화이트 해커에게 포상금을 지급하는 제도입니다.
지니언스에서는 국내 보안 기업 최초로 버그 바운티 제도를 실시하고 있습니다
버그 바운티를 통해 누수가 발생할 수 있는 서비스 보안을 선제적으로 차단하는 효과를 볼 수 있기 때문에 지니언스에서도 미처 발견하지 못한 취약점 등을 발견하기 위해 이러한 제도를 운영하고 있습니다.
제품의 취약점을 찾아 신고해주시면 평가 후에 포상금도 받을 수 있으니, 많은 관심 부탁드립니다 ㅎㅎ
개인 공부로 취약점을 찾으면서 포상금까지 받을 수 있어 일석이조의 효과를 얻을 수 있답니다!!
자세한 내용은 아래 링크를 확인해주세요.
버그 바운티에 신고된 취약점을 확인하고, 어떤 취약점인지 분류를 하고, 실제로 재현되는지 시험하는 시간을 가집니다. 이후 개발팀과 논의하여 실제 취약한 부분인지 확인하고, 취약점이 판정되면 개발팀에 보완 요청을 하게 됩니다.
취약점 신고 확인 후에는 버그 바운티를 통해 접수된 제품의 보안 약점에 대해서 소개 자료를 작성합니다.
다양한 공격을 통해 해킹을 할 수 있기 때문에, 이러한 공격들이 어떻게 이루어지는지, 공격은 제품의 어떤 보안약점을 통해 이루어지는지 알게 된다면 좀 더 품질 좋은 보안제품들을 만들어 낼 수 있다고 생각합니다.
버그 바운티 관련 업무를 진행한 후에는 API 관련된 업무를 합니다.
지니언스는 당사 제품과 누구나 연동할 수 있도록 REST API를 공개하고 있습니다.
누구나 REST API를 사용할수 있기 때문에 접근성이 올라가는 효과가 있지만,
그만큼 외부의 접근도 쉬워져 보안적으로 위협이 될 수 있기 때문에 API를 분석 및 검증하는 업무를 수행합니다.
이러한 과정을 통해 제품의 보안성을 더욱 높이는 일을 하고 있습니다.
API 테스트 과정
이렇게 하루가 마무리 되고, 오후 5시 30분이 되면 퇴근을 합니다.보통 직장인들의 퇴근시간인 6시와 30분밖에 차이가 나지 않지만, 더욱 빠르게 집으로 갈 수 있어 좋은 것 같습니다.
일찍 퇴근하는 만큼 제 시간이 더욱 생겨 여러가지 활동들도 할 수 있어 다양한 계획을 가지고 있지만 지금은 얼마 남지 않은 자격증 공부를 하며 하루를 마무리하고 있습니다.
이렇게 저의 하루를 통해 제가 하는 취약점 업무에 대해 소개해 드렸습니다.
이 글을 통해 지니언스와 취약점 인력에 관심이 있으신 분들에게 도움이 되었으면 좋겠습니다.
부족한 글 읽어주셔서 감사합니다.
마지막으로 취약점 대응 업무에 대한 솔직한 느낌을 적으며 글 마무리하겠습니다.
취약점 인력에 대한 솔직한 느낌!
•
IT가 계속해서 발전함에 따라 지속적인 관심과 공부가 필요하다.
•
다른 분야의 사람들과 얘기할 일이 많아 커뮤니케이션 능력도 필요하지만 그만큼 인맥도 넓혀갈 수 있다.
•
IT 보안에 관심이 계속적으로 높아지고 있기 때문에 향후 전망이 좋다.
•
없어서는 안될 직업 중 하나라 일을 하면서 자부심을 느낄 수 있다.
•
깊게 파고들어야 할 것들이 많기 때문에 호기심이 많고 탐구하는 것을 좋아하면 일을 좋아할 것 같다.