IT 기업 면접 준비 - 정보 보호 전문 업체편

필자의 면접 컨설팅을 받고싶다면?

https://kmong.com/gig/344176

금융공기업 A매치 현직자의 IT 면접 컨설팅 드립니다. | 40000원부터 시작 가능한 총 평점 0점의 취

 

 

이번에는 큰 서론없이 면접에 초점을 맞추어 정보 보호 전문 업체에 대해서 정리를 해보려 한다.

 

2021.09.15 - [취업 훈수] - 정보 보호 직군의 현실과 정보보호 전문업체의 연봉에 대해서(컨설팅, 보안 관제)

정보 보호 직군의 현실과 정보보호 전문업체의 연봉에 대해서(컨설팅, 보안 관제)

 

해당 글에 많은 정보를 적어 넣었지만, 이번에는 면접 준비에 초점을 맞추어볼까 한다.

 

음... 회사의 면접 질문은 비밀 누설...? 에 해당될 수 있으므로, 뭉뚱그려서 받았던 면접 질문들과 자기소개서 작성법을 말해보겠다.

 

1. 자기소개서 준비

2021.08.23 - [취업 훈수] - 금융 IT 직군으로 취업하기 - 서류편(자기소개서)(2/2)

금융 IT 직군으로 취업하기 - 서류편(자기소개서)(2/2)

 

여기에도 내가 적어둔 글을 통해서 충분히 자기소개서 작성에 문제가 없으리라 생각이 되지만, 정보보호 전문업체에 맞게 조금 더 추가하겠다.

 

자기소개 항목

사실 개인적으로는 자기소개서 항목은 그다지 중요하지 않다고 생각한다. 주요 정보보호 전문업체 자기소개서를 대충 작성하였어도 포트폴리오로 어느 정도 커버가 됐다. 사실 저런 업체들은 대기업과는 다르게 일을 가르쳐서 업무를 시킬 사람을 뽑는 것이 아니라 기본기가 어느정도 갖추어져 있는 상태에서 프로젝트가 바로 투입이 가능한 사람을 뽑는 것이기 때문에, 포트폴리오가 정말 중요하다.(대기업이나 공기업 공채에서는 거의 대부분 포트폴리오를 요구하지는 않는다) 자기소개서에 자신이 알고 있는 직무를 채워 넣는 것은 한정적이기 때문에, 시각적으로 잘 알 수 있는 포트폴리오가 이런 부분들을 채워준다고 생각한다.

 

그렇다고 해서 성의 없게 작성하면 안 되고, 내가 기존에 작성했던 자기소개서 작성법을 참고하여 작성한다면 무리 없게 모든 서류는 통과할 수 있을 것이다.

 

포트폴리오

대부분의 정보보호 전문업체는 포트폴리오를 요구한다. 그리고 포트폴리오가 가장 가장 중요하다. 자신이 진행했던 악성코드 분석이라던가, 모의해킹 보고서, 보안을 고려하여 구성한 네트워크, ISMS 인증 관련 관리 보고서 등 다양한 보고서가 있다. 이런 세세한 보고서의 팁은... 조금 어렵지만 그래도 나열해볼까 한다. 

 

모의해킹 보고서

모의해킹 보고서는 특별하게 정해진 형식은 없으나, 검색을 통하여 SK인포섹이나 안랩 등 보고서 샘플을 얻을 수 있다면 좋다. 그리고 점검에 대한 기준을 설정하고 보고서를 작성하는 것이 좋다. 국정원 8대 취약점 분석, 전자금융기반시설 취약점 분석, ISMS 인증 항목, OWASP TOP 10 등 자신이 설정한 기준을 가지고 사이트에 대한 취약점 분석을 통해 보고서를 작성하는 편이 간편하다. 저 항목들을 포괄할 수 있는 점검 기준을 가지고 있다면 그것을 활용해도 좋다. 정 없다면 댓글이나 무엇인가를 남긴다면 내가 샘플을 보내주도록 하겠다.

 

기준을 설정하였으면, word로 목차 만들고, 1.1 비인가 공격 이런 식으로 단계를 나누어 보고서를 작성하는 것이 좋다. 시나리오 모의해킹이면 1. 취약점 스캔 2. 방화벽 우회 등 자신의 시나리오 단계 별로 보고서를 작성하면 된다. 그리고 이런 공격들을 수행할 때 단계 별로 캡처를 하여 어떤 식으로 진행하였는지 사진을 찍는 것이 좋다. 해당 화면에서 어떤 버튼을 누르고 다음에 어떤 버튼을 눌렀는지 네모 박스와 화살표를 이용하여 나타내면 더욱 좋다.

 

이렇게 보고서를 조금 상세하게 작성하여야 하는 이유는, 항상 보고서는 읽는 사람의 입장을 생각해서 작성해야 되기 때문이다. 프로젝트를 나갔을 경우 대부분 보고서를 읽는 주체는 개발자이다. 개발자가 해당 공격을 보고 자신의 소스 코드를 수정할 수 있어야 하기 때문이다. 그래서 어떤 부분에서 문제가 발생한 건지 잘 알 수 있도록 보고서를 작성해야 한다.

 

ISMS 관리 보고서

이 부분은 조금... 어려울 수 있는데, 왜냐하면 어떠한 인프라에 대해서 모든 점검을 수행하고 작성해야 되는 부분이기 때문이다. 학원 같은 곳에 다닌다면 조금 수월하게 진행할 수 있겠지만, 그런 환경이 아니라면 조금 어려울 수 있다. 만약 정말로 해당 보고서를 작성하고 싶다면, 자신이 간단하게 네트워크나 이런 것들을 구성해서 처음부터 끝까지 점검하는 편이 좋다. (하지만 현실적으로 어려운 부분이 많다.) 대신에 전자금융거래법이나 전자금융감독규정 등 금융회사에 적용되는 법들을 정리하여 보고서에 나타내는 편도 좋다. 법 정리는 추후 블로그 글에 올릴 예정이다.

 

악성코드 분석 보고서

악성코드 분석 보고서의 경우, 자신이 어떤 악성코드를 분석할지 먼저 정해야 한다. 안드로이드 악성코드, iOS 악성코드, 리눅스 악성코드, 윈도우 악성코드 등 종류가 여러 가지 있기 때문에 자신의 주력 분야를 선정하여 가장 유명하거나 널리 알려진 악성코드를 분석하는 것을 추천한다. 나도 리버싱은 겉핥기식으로 공부했던 게 전부라서(리버싱 핵심 원리 2/3 읽은 정도...ㅠㅠ 너무 두껍다. 모두 읽으신 분들은 존경한다) 자세히 조언하기는 어렵다. 하지만 난독화 되어있는 악성코드를 분석하는 것이 보고서 작성에 더 메리트가 있을 것이므로 조금 복잡하기 어려운 악성코드를 구해서 분석하는 것을 추천한다.

 

네트워크 구성 보고서

네트워크 엔지니어에게 가장 적합한 보고서라고 생각한다. 이 부분은 잘 모르긴 하지만, 보통 GNS3, VMware로 가상 머신 생성하여 안전한 네트워크 인프라를 구성하는 프로젝트로 자신의 역량을 나타낼 수 있다. 해당 부분은 사실 자료가 많아서, 복잡하지만 그래도 안전한 네트워크 구성을 구글링 하여 자신이 연습해보는 그런 식으로 진행해도 충분할 것이라고 생각한다. 이 부분은 구글링을 참고하라

 

취약점 분석 보고서

나 같은 경우 취약점 분석 보고서는 허니넷을 이용하여 해외에서 어떤 공격들을 실제로 수행하고 그 안에 어떤 악성 패킷들이 오가는지 확인하는 방향으로 보고서를 작성했었다.(실제로 어느 누구도 알지 못했던 C2 서버를 찾아서 세계에서 가장 먼저 보고한 적이 있다 껄껄) 하지만 허니넷을 구성하기 어려운 상황일 수 있으므로, CVE 코드가 있는 취약점을 선정하여 해당 공격에 대하여 자세하게 분석하는 방식으로 진행해도 좋다. 예를 들면 Apache struts2 RCE 공격 같은 경우는 한 때 엄청 유행했었다. 이런 공격들은 패킷을 구하기도 쉽고 기존에 분석해놓은 데이터가 정말 많다. 구글링을 통해 스크립트를 구해서 자신이 직접 패킷 발생하고 그 패킷을 분석하고, 더 나아가 IPS에서 pcre 룰을 설정하여 차단이나 탐지를 하는 방향으로 보고서를 작성해도 괜찮다고 생각한다.

 

https://www.exploit-db.com/ 

Offensive Security’s Exploit Database Archive

여기에 대부분의 공격 기법들, 공격을 할 수 있게 만들어놓은 스크립트 등을 쉽게 구할 수 있다. 이런 사이트들을 적극 활용하는 것이 보고서 작성에 수월할 것이다.

 

2. 면접 준비

나는 주요 정보보호 전문업체에서 면접을 모두 봤었기 때문에, 내가 봤던 면접에 한해서 말해보려 한다. 사실 면접 준비라고 해도 별 게 없다. 이 부분도 블로그에 작성했던 글이 있는데, 전체적인 틀로는 이 글을 참고하면 된다.

 

2021.08.26 - [취업 훈수] - 금융 IT 직군으로 취업하기 - 면접편(직무 면접)

금융 IT 직군으로 취업하기 - 면접편(직무 면접)

2021.08.30 - [취업 훈수] - 금융 IT 직군으로 취업하기 - 면접편(인성 면접)

금융 IT 직군으로 취업하기 - 면접편(인성 면접)

 

보통은 위와 같은 맥락일 것이지만, 특별히 정보보호에 관련된 질문에 대해서는 공부를 좀 할 필요가 있다.

 

직무 관련 질문의 분야를 나누어 보겠다.

 

모의해킹 / 정보보호 기술 컨설팅 / 보안관제

주로 웹 해킹에 관련된 질문이 다수이다. 추가적으로 안드로이드 or iOS 취약점 분석에 대한 질문을 한다.

 

1. OWASP Top 10에 대해서 설명해보세요

2. (취약점 이름) 에 대해서 설명해보세요

3. 어떤 툴을 주로 사용하시나요?

4. 진행해봤던 시나리오 모의해킹을 설명해보세요

5. 블랙박스 모의해킹 경험?

6. 방화벽 우회 방법을 설명해보세요

7. OAuth 취약점에 대해서 알고 있나요?

8. 안드로이드 후킹 방법을 설명해보세요

9. XSS와 CSRF의 차이점을 설명하세요

10. 가장 막기 어려운 공격?

 

등 별 거 없다. 그냥 주요 보안 취약점들에 대해서 공부하면 된다. 각 취약점들에 대한 공격 기법을 숙지하고 있어야 하고, 직접 실습도 해보면 좋다. 이런 부분들은 취약한 iso 파일을 많이 제공하니까 VM에 설치하여 직접 실습해보면 감이 올 것이다.

 

보안관제도 대부분 공격 패킷에 대한 지식이 있어야 하니, 비슷한 맥락으로 공부하면 될 것 같다.

 

악성코드 분석

악성코드 분석은 주로 어떤 악성코드를 분석해보았고, 해당 악성코드를 분석할 때의 툴과 기법을 설명하면 된다. 나는 악성코드 분석가가 아니라 심도 있는 질문을 받지는 못했다. 적어도 악성코드 분석 면접을 준비할 때에는 PE구조라던가 기본적인 메모리 적재 개념(컴파일 과정에서 나오는 코드 섹션 등), DLL 인젝션, API 후킹, SEH 등 이런 기본적인 개념을 알고 있어야 한다. 나는 해당 전문가가 아니므로 다른 이스트시큐리티나 안랩의 면접 후기들을(잡플래닛) 참고하면 될 듯싶다.

 

취약점 분석

취약점 분석은 주로 CVE 코드가 달린 취약점에 대한 분석 능력을 물어본다. 사실 CVE 코드가 달린 취약점은 정말 범위가 다양하기 때문에 면접이 어떻게 나올진 잘 모른다. 그리고 해당 직무를 뽑는 면접도 사실상 거의 없을 것이다. 있다면... IPS 업체에서 주로 뽑을 것이다. CVE 코드를 분석해서 패턴을 추출하는 업무를 담당할 것이기 때문이다. 그렇기 때문에 CVE 코드에 대해서 pcre 룰로 방어하는 방법을 연구한다면 면접 준비에 도움이 될 것이다. snort를 PC에 설치하여 직접 CVE 코드 패킷을 생성하고 snort를 거치게 하여 자신이 만든 패턴으로 탐지가 되는지 확인해보면 된다. 나름 이 직무를 대비하기에는 저만한 꿀팁이 없다고 생각한다.

 

그리고 CVE 공격에 대해서 다른 블로그들이나 지식들을 참고해서 공격 기법을 연구하는 것도 좋은 방법이다. 대신 범위가 너무 넓기 때문에 특정 분야에 집중을 하는 것을 추천한다.

 

정보보호 관리 컨설팅

해당 부분은 주로 ISMS 인증에 관련된 부분에 대한 질문을 한다. ISMS 인증과 관련짓기 전, 먼저 주요 법률에 대한 기본적인 내용을 알 필요가 있다. 개인정보보호법, 신용정보법, 정보통신망법. 이 3가지의 법률에 대해서는 기본적으로 알아야 한다. 물론 깊게 알 순 없겠지만, 적어도 개인정보의 정의, 각 법의 설립 목적 등 핵심적인 내용은 필수적으로 숙지하고 있어야 한다. 

 

네트워크 구성

주로 네트워크에 대한 질문이 대부분 일 것이나, 잘 모르니 이 부분도 잡플래닛에 검색해보는 것을 추천한다. 다른 직무들도 기본적인 네트워크 질문은 알아야 된다고 생각하는데, 그냥 여기에 서술하겠다.

 

1. OSI 7계층 설명

2. HTTP, HTTPS 차이

3. TCP, UDP 차이

4. POST, GET 차이

5. 3-way-handshake 

6. 웹 방화벽과 네트워크 방화벽 차이

7. IDS와 IPS차이

8. 라우팅 프로토콜 설명

9. 서브넷 마스크란?

10. 구성해본 복잡한 네트워크 설계?

11. 왜 그렇게 설계했는지?

 

등 등 학부 수준이나 보안 기사에서 볼 수 있는 질문들이 많다. 아마 네트워크 부분이 가장 질문을 예측하기 좋을 테니 구글링을 통하여 다양한 질문을 확인하고 스스로 답변해본다면 큰 도움이 될 것이다.

 

마무리

쓰고 보니 별 내용이 없긴 한데, 역시 잡플래닛의 면접 후기만큼 좋은 참고 글은 없을 것이다. 그리고 자신이 정말 작성한 포트폴리오 내의 내용만 잘 숙지하더라도 수월하게 합격할 수 있다고 생각한다.(신입 채용의 경우에 한정) 너무 어려워하지 말고, 자신이 가지고 있는 지식을 논리적으로 서술하면 된다. 대신 정보보호 전문업체는 기술적인 부분을 많이 공부할 필요가 있다. 대기업은 태도를 중요시하는 반면, 이런 기업은 지식과 기술을 중요시한다. 그러니 철저히 준비해서 기술 면접에서 버벅거리는 일이 없도록 하자.