안녕하세요 강사님

1

안녕하세요. 먼저 관심가지고 강의 들어주셔서 감사합니다.

일단, 보통 기업에서 취약점 진단 인원이 수행하는 업무는 아래와 같습니다.

• 웹/모바일 취약점 진단

• 인프라(서버/네트워크/DB/Cloud 등) 점검

• 모의해킹

2,3번째 업무 수행경험이 없더라도 웹/모바일 취약점 진단은 할 줄 알아야 합격할 가능성이 있습니다.

아래 OWASP라는 곳에서 발간하는 TOP 10 취약점에 대해서는 기본적인 지식 습득하시고 웹/모바일 취약점 공부할 수 있는 사이트들에서 문제풀어보시는 게 좋을 것 같습니다.

OWASP (WEB) : https://owasp.org/www-project-top-ten/

OWASP (Mobile) : https://owasp.org/www-project-mobile-top-10/

취약점 실습 사이트

(생각나는 사이트 몇개 공유드리며 추가로 찾아보시고 공부하셔도 좋습니다)

• https://webhacking.kr/

• https://dreamhack.io/

• https://github.com/dineshshetty/Android-InsecureBankv2

• https://github.com/optiv/InsecureShop

기본적인 업무 스킬은 이정도로 습득하시되, 이럴 경우 일반적인 신입과 차이점을 둘 수가 없을 텐데요. 기존에 개발자 경력이 있으시니 개발 능력 혹은 코드 분석 능력을 어필하면 조금 더 좋을 것 같습니다.

특히, 취약점 진단 신입으로 지원하는 분들 중 코드를 잘 모르면서 진단 방법만 습득하고 지원하는 분들이 많으셔서 제가 생각할 때는 아래와 같은 방향으로 공부하시고 포트폴리오에 추가해보면 어떨까 싶습니다.

• 소프트웨어 보안약점 진단원 취득 (소스코드 점검)

• 인프라 점검 스크립트 제작 (전자금융취약점분석평가 , 주요정보통신기반시설 항목 기준)

• 점검 간 필요한 자동화 혹은 효율성 증대를 위한 Tool 제작

• AI RAG 학습 등을 통한 자동화( 소스코드 점검 결과 정/오탐 2차 검증 등)

다만, 면접관 입장에서는 포트폴리오에 자동화 했던 경험을 가장 많이 쳐주는 경향이 있고 최근에는 보안쪽에서도 AI 붐(?)이 있어서 자동화나 AI 쪽으로 보안에 도움되는 결과물을 만들어서 제출하면 도움이 될 것 같습니다.

개발자 경력이 정보보안업에서 많은 도움이 되기에 응원드리며 혹시나 추가적으로 필요하신 부분이 있다면 쪽지로 물어보시거나 오픈채팅 링크 등 전달주시면 최대한 답변드리도록 하겠습니다.

감사합니다.