대학시절 차세대 보안 리더 양성 프로그램(Best of the Best, BoB)에 참여한 것을 계기로 화이트 해커의 길을 걷게 된 지한별. 화이트 해커가 되기 위해 이수해야 하는 교육, 필수 자격증도 없다지만, 그에게 화이트 해커가 되기 위한 정공법을 물었다.
해커라는 단어에 막연히 검은 후드를 눌러쓴 채 음흉한 미소를 짓는 사람이 떠올라요. 밝고 에너제틱한 한별님의 이미지와는 정반대죠. 정확히 화이트 해커는 정확히 어떤 직업인가요?
화이트 해커는 해킹 기술을 방어 목적으로 사용하는 직업이에요. 앞서 상상하신 블랙 해커는 해킹 기술을 사용해 정보 유출이나 금전적인 피해를 발생시키는 것에 목적을 두죠. 반대로 화이트 해커는 해킹 기술을 통해 서비스의 취약점을 발견하고 이를 빠르게 복구하는데 사용해요.
화이트 해커의 업무 자체가 모두가 그 존재를 모를 때, 보안이 잘 유지되고 있는 상황이겠군요. 역으로 인식했을 때는 무언가 문제가 발생한 상황일테고요. 동료들 사이에서도 낯선 직무일 듯해요. 현재 토스(비바리퍼플리카)에서는 어떤 업무를 담당하시나요?
보안 기술팀에 소속되어, 설계부터 개발, 운영까지 전단계에서 발생할 수 있는 보안 이슈들을 사전에 찾아내고 더 안전하게 토스의 서비스를 제공할 수 있는 방법을 고민하는 역할을 하고 있어요. 토스는 업무 범위나 역할에 대해 한계를 두지 않고 있는데요. 보안성을 향상시킬 수 있는 일이라면 적극적이고 주도적으로 일을 추진할 수 있죠. 그래서 토스 보안성 향상을 목표로 내부 보안 캠페인, 개발자 보안 교육, 자체 보안성 심의 등을 포함해 다양한 시도를 하고 있습니다. 최근에는 토스에서 버그바운티 프로그램의 운영을 시작했는데요. 버그바운티란 기업이 운영 중인 서비스의 취약점을 화이트 해커가 찾는 것을 허용하고, 취약점이 발견될 시 제보를 받아 보상금을 제공하는 제도예요. 덕분에 토스의 안정성을 한 번 더 확인하고, 제보된 취약점이나 공격 기법 등의 보안을 강화하는데 좋은 기회가 될 거라 기대해요.
최근에는 무형의 재산권뿐 아니라, 유형의 장비, 시설을 해킹해 작동시키는 등 해커의 침입 범위와 경로가 다양해졌다고 들었어요. 토스에서는 특별히 어떠한 재산권을 보호하는 데 집중하고 있나요?
고객의 정보인데요. 저희 보안 기술팀뿐 아니라 인프라팀, 보안팀 등을 비롯해 다양한 팀에서 안전한 서비스를 제공하기 위해 노력하고 있어요. 토스는 금융권에서는 거의 유일하게 화이트 해커 팀을 운영하는 회사입니다. 보통은 보안팀에서 화이트 해커를 1-2명 정도 채용하여 공격자 관점에서의 보안 점검을 진행하는 편이에요. 토스는 자체적으로 팀을 꾸리는 것을 넘어, 매일 서비스의 취약점을 찾기 위해 모의 해킹을 진행하고 발견된 취약점을 고쳐 나가며 보안을 더욱 튼튼하게 만들고자 노력하고 있어요.
이전에 기업의 보안 수준을 진단, 취약점 점검 등을 비롯한 보안 컨설팅 회사 라온화이트햇에 근무하신 걸로 알아요. 토스로 이직하게 된 계기가 궁금합니다.
제가 보안에 푹 빠지게 된 계기가 BoB 프로그램인데, 정부에서 운영하는 차세대 보안 리더 양성 프로그램(KITRI Best of the Best, BoB)입니다. 대학시절 융합보안동아리에서 보안과 해킹을 처음 접했어요. 당시 IT 관련 기본 지식이나 보안에 대한 개념을 배울 수 있었지만, 해킹에 대해 깊은 학습과 실무적인 경험이 필요했어요. 그래서 대학교 3학년 때 프로그램에 지원했죠. 덕분에 국내외 해킹 분야에서 활약하시는 다양한 멘토들을 만날 수 있었어요. 그때 저의 멘토였던 이종호 화이트 해커님이 토스 보안 기술팀의 리더로 계시고요. 첫 직장에서도 4년간 함께 근무했습니다. 이직하게 된 계기는 토스의 높은 자율성과 책임감이 화이트 해커의 문화와 잘 맞는다고 생각했습니다. 업무의 한계 없이 하고 싶은 일을 자유롭게 추진할 수 있고, 업무에만 집중할 수 있도록 돕는 여러 제도가 매력적이었거든요.
어려서부터 화이트 해커가 꿈이셨나요? 진성 문과생으로서 보안 분야에 한 우물을 판 한별님의 커리어가 새삼 대단해 보여요.
고등학교 시절에도 이과를 선택했지만 3년 내내 글짓기 대회에서 수상했어요. (웃음) 논술 대회, 창업경진대회 등 다양한 분야에 도전하기도 했고요. 본래 꿈이 학교 선생님이었어요. 다만 대학에서 여러 분야에 대해 배우고 싶은 갈망이 컸고, 배운 기술을 사회에서 바로 활용할 수 있는 분야를 원했습니다. IT 기술은 모든 분야에 활용될 거라 판단해 컴퓨터공학과를 전공했죠.
전공생이라고 모두 화이트 해커가 될 순 없을 텐데요. 화이트 해커가 되기 위해 받아야 하는 교육이나 취득해야 하는 자격증이 있을까요?
학교나 학과가 정해져 있거나, 필수 자격증이 소지해야 하는 건 아니에요. 교육을 필수적으로 이수해야 하는 것도요. 다만 해킹대회나 기업의 버그바운티에 참가해 취약점을 제보하고 보안에 기여한 경험이 있다면 좋습니다. 그리고 앞서 말씀드린 BoB 프로그램을 통해 해킹에 대한 다양한 학습과 프로젝트 경험을 쌓았다면 더욱 좋고요. 저 역시 BoB 프로그램에서 좋은 해커들을 많이 만나 그 인연을 지금까지 이어오고 있습니다. 지금은 제가 멘토가 되어 멘티들에게 배움과 경험을 나눠주고 있기도 하고요.
보안 분야는 아무래도 아직 여성의 비율이 높지 않죠. 이전 회사에서도 팀원 17명 중 홀로 여성이었다고 들었어요. 여성 화이트 해커로서 어려웠던 순간은 없으셨나요?
여성 해커라서 어려운 점 보다 화이트 해커라는 직업 자체가 고충이 많아요. 우선 종일 컴퓨터 앞에 앉아 있기 때문에 건강 관리가 쉽지 않아요. 거북목, 일자목은 기본이고 허리가 안 좋은 분들도 굉장히 많거든요. 토스는 출퇴근이 자유로운 편인데요. 저는 건강을 지키기 위해 보통 주 1-2회 오전에 운동을 한 뒤 출근하고 있습니다. 신기술에 대해 끊임없이 연구해야 하는 것도 어려운 점이에요. 취약점을 찾아 보완하는 일을 하려면 IT 기술에 대한 정확한 이해는 기본이고, 취약점을 발견하는 능력, 가장 효율적으로 조치할 수 있는 창의력 등이 필요합니다. 이러한 능력을 계속해서 발전시키려면 새로운 기술들을 빠르게 학습해야 하기 때문에 꾸준한 공부는 필수인 직업이에요. 개인적으로는 BoB 멘토링 프로그램의 멘토로 꾸준히 활동하고자 노력해요. 제가 알고 있는 것을 전달하면서 저 또한 성장해요. 또한 멘토링을 위해 꾸준히 연구도 하게 되고요. 업무시간 이외에 해킹 문제를 푼다거나 수업 때 활용할 실습 과제를 출제하면서 열심히 공부하고 있어요.
반대로 장점도 있겠죠?
맞아요. 보안이 다양한 분야에서 필수적인 존재이기 때문에, 직간접적으로 여러 분야를 경험할 수 있어요. 금융, 게임, 제조, 국방, IT 등 보안 업무를 수행할 수 있고 정보가 다뤄지는 곳이라면 화이트 해커가 활약할 수 있는 분야는 무궁무진하다고 할 수 있거든요. 최근 취약점과 방어 관점에서의 연구도 활발하게 이뤄지고 있어 역량만 있다면 도전할 수 있는 분야가 많습니다.
화이트 해커를 꿈꾸는 분들께 조언을 덧붙이자면요?
화이트 해커가 되기 위해 가장 중요한 것은 윤리성과 도덕성이라고 생각해요. 화이트 해커와 블랙 해커는 정말 한 끗 차이라서, 자신이 하는 일의 목적이 무엇인지 잘 생각해 봐야 합니다. 해킹 기술은 어디에 어떻게 사용하는지에 따라 사람을 고치는 의사의 칼이 될 수도, 범죄자의 칼이 될 수도 있습니다. 화이트 해커라는 직업의식과 사명감을 가지고 꿈을 키워가면 좋겠습니다. 그리고 배워야 하는 기술이 많고 끊임없이 공부해 스스로를 갈고닦아야 하는 분야인 만큼 끈기와 체력이 중요하다는 점도 말씀드리고 싶습니다.
, 화이트 해커 지한별 님에게 물었습니다!
🔍 감이 떠오르지 않을 때 즐겨 찾는 사이트 또는 인스타그램 계정은?
직업이 직업이다 보니 보안 취약점 관련 사이트들을 많이 살펴보고, 보안 뉴스 포털을 즐겨봅니다.
🔍 하루 평균 인스타그램 또는 타 SNS 사용 시간은?
컴퓨터 사용시간은 길지만 SNS는 잘 하지 않습니다. 식사, 출퇴근 시간에 구경하듯 살피는 정도입니다.
🔍 폰에서 가장 많이 사용하는 앱 3개는?
토스, 슬랙, 카카오톡. 토스는 슬랙을 업무 메신저로 활발하게 사용하고 있습니다!
Freelance Editor 유승현
Photo 개인 제공
대학시절 차세대 보안 리더 양성 프로그램(Best of the Best, BoB)에 참여한 것을 계기로 화이트 해커의 길을 걷게 된 지한별. 화이트 해커가 되기 위해 이수해야 하는 교육, 필수 자격증도 없다지만, 그에게 화이트 해커가 되기 위한 정공법을 물었다.
해커라는 단어에 막연히 검은 후드를 눌러쓴 채 음흉한 미소를 짓는 사람이 떠올라요. 밝고 에너제틱한 한별님의 이미지와는 정반대죠. 정확히 화이트 해커는 정확히 어떤 직업인가요?
화이트 해커는 해킹 기술을 방어 목적으로 사용하는 직업이에요. 앞서 상상하신 블랙 해커는 해킹 기술을 사용해 정보 유출이나 금전적인 피해를 발생시키는 것에 목적을 두죠. 반대로 화이트 해커는 해킹 기술을 통해 서비스의 취약점을 발견하고 이를 빠르게 복구하는데 사용해요.
화이트 해커의 업무 자체가 모두가 그 존재를 모를 때, 보안이 잘 유지되고 있는 상황이겠군요. 역으로 인식했을 때는 무언가 문제가 발생한 상황일테고요. 동료들 사이에서도 낯선 직무일 듯해요. 현재 토스(비바리퍼플리카)에서는 어떤 업무를 담당하시나요?
보안 기술팀에 소속되어, 설계부터 개발, 운영까지 전단계에서 발생할 수 있는 보안 이슈들을 사전에 찾아내고 더 안전하게 토스의 서비스를 제공할 수 있는 방법을 고민하는 역할을 하고 있어요. 토스는 업무 범위나 역할에 대해 한계를 두지 않고 있는데요. 보안성을 향상시킬 수 있는 일이라면 적극적이고 주도적으로 일을 추진할 수 있죠. 그래서 토스 보안성 향상을 목표로 내부 보안 캠페인, 개발자 보안 교육, 자체 보안성 심의 등을 포함해 다양한 시도를 하고 있습니다. 최근에는 토스에서 버그바운티 프로그램의 운영을 시작했는데요. 버그바운티란 기업이 운영 중인 서비스의 취약점을 화이트 해커가 찾는 것을 허용하고, 취약점이 발견될 시 제보를 받아 보상금을 제공하는 제도예요. 덕분에 토스의 안정성을 한 번 더 확인하고, 제보된 취약점이나 공격 기법 등의 보안을 강화하는데 좋은 기회가 될 거라 기대해요.
최근에는 무형의 재산권뿐 아니라, 유형의 장비, 시설을 해킹해 작동시키는 등 해커의 침입 범위와 경로가 다양해졌다고 들었어요. 토스에서는 특별히 어떠한 재산권을 보호하는 데 집중하고 있나요?
고객의 정보인데요. 저희 보안 기술팀뿐 아니라 인프라팀, 보안팀 등을 비롯해 다양한 팀에서 안전한 서비스를 제공하기 위해 노력하고 있어요. 토스는 금융권에서는 거의 유일하게 화이트 해커 팀을 운영하는 회사입니다. 보통은 보안팀에서 화이트 해커를 1-2명 정도 채용하여 공격자 관점에서의 보안 점검을 진행하는 편이에요. 토스는 자체적으로 팀을 꾸리는 것을 넘어, 매일 서비스의 취약점을 찾기 위해 모의 해킹을 진행하고 발견된 취약점을 고쳐 나가며 보안을 더욱 튼튼하게 만들고자 노력하고 있어요.
이전에 기업의 보안 수준을 진단, 취약점 점검 등을 비롯한 보안 컨설팅 회사 라온화이트햇에 근무하신 걸로 알아요. 토스로 이직하게 된 계기가 궁금합니다.
제가 보안에 푹 빠지게 된 계기가 BoB 프로그램인데, 정부에서 운영하는 차세대 보안 리더 양성 프로그램(KITRI Best of the Best, BoB)입니다. 대학시절 융합보안동아리에서 보안과 해킹을 처음 접했어요. 당시 IT 관련 기본 지식이나 보안에 대한 개념을 배울 수 있었지만, 해킹에 대해 깊은 학습과 실무적인 경험이 필요했어요. 그래서 대학교 3학년 때 프로그램에 지원했죠. 덕분에 국내외 해킹 분야에서 활약하시는 다양한 멘토들을 만날 수 있었어요. 그때 저의 멘토였던 이종호 화이트 해커님이 토스 보안 기술팀의 리더로 계시고요. 첫 직장에서도 4년간 함께 근무했습니다. 이직하게 된 계기는 토스의 높은 자율성과 책임감이 화이트 해커의 문화와 잘 맞는다고 생각했습니다. 업무의 한계 없이 하고 싶은 일을 자유롭게 추진할 수 있고, 업무에만 집중할 수 있도록 돕는 여러 제도가 매력적이었거든요.
어려서부터 화이트 해커가 꿈이셨나요? 진성 문과생으로서 보안 분야에 한 우물을 판 한별님의 커리어가 새삼 대단해 보여요.
고등학교 시절에도 이과를 선택했지만 3년 내내 글짓기 대회에서 수상했어요. (웃음) 논술 대회, 창업경진대회 등 다양한 분야에 도전하기도 했고요. 본래 꿈이 학교 선생님이었어요. 다만 대학에서 여러 분야에 대해 배우고 싶은 갈망이 컸고, 배운 기술을 사회에서 바로 활용할 수 있는 분야를 원했습니다. IT 기술은 모든 분야에 활용될 거라 판단해 컴퓨터공학과를 전공했죠.
전공생이라고 모두 화이트 해커가 될 순 없을 텐데요. 화이트 해커가 되기 위해 받아야 하는 교육이나 취득해야 하는 자격증이 있을까요?
학교나 학과가 정해져 있거나, 필수 자격증이 소지해야 하는 건 아니에요. 교육을 필수적으로 이수해야 하는 것도요. 다만 해킹대회나 기업의 버그바운티에 참가해 취약점을 제보하고 보안에 기여한 경험이 있다면 좋습니다. 그리고 앞서 말씀드린 BoB 프로그램을 통해 해킹에 대한 다양한 학습과 프로젝트 경험을 쌓았다면 더욱 좋고요. 저 역시 BoB 프로그램에서 좋은 해커들을 많이 만나 그 인연을 지금까지 이어오고 있습니다. 지금은 제가 멘토가 되어 멘티들에게 배움과 경험을 나눠주고 있기도 하고요.
보안 분야는 아무래도 아직 여성의 비율이 높지 않죠. 이전 회사에서도 팀원 17명 중 홀로 여성이었다고 들었어요. 여성 화이트 해커로서 어려웠던 순간은 없으셨나요?
여성 해커라서 어려운 점 보다 화이트 해커라는 직업 자체가 고충이 많아요. 우선 종일 컴퓨터 앞에 앉아 있기 때문에 건강 관리가 쉽지 않아요. 거북목, 일자목은 기본이고 허리가 안 좋은 분들도 굉장히 많거든요. 토스는 출퇴근이 자유로운 편인데요. 저는 건강을 지키기 위해 보통 주 1-2회 오전에 운동을 한 뒤 출근하고 있습니다. 신기술에 대해 끊임없이 연구해야 하는 것도 어려운 점이에요. 취약점을 찾아 보완하는 일을 하려면 IT 기술에 대한 정확한 이해는 기본이고, 취약점을 발견하는 능력, 가장 효율적으로 조치할 수 있는 창의력 등이 필요합니다. 이러한 능력을 계속해서 발전시키려면 새로운 기술들을 빠르게 학습해야 하기 때문에 꾸준한 공부는 필수인 직업이에요. 개인적으로는 BoB 멘토링 프로그램의 멘토로 꾸준히 활동하고자 노력해요. 제가 알고 있는 것을 전달하면서 저 또한 성장해요. 또한 멘토링을 위해 꾸준히 연구도 하게 되고요. 업무시간 이외에 해킹 문제를 푼다거나 수업 때 활용할 실습 과제를 출제하면서 열심히 공부하고 있어요.
반대로 장점도 있겠죠?
맞아요. 보안이 다양한 분야에서 필수적인 존재이기 때문에, 직간접적으로 여러 분야를 경험할 수 있어요. 금융, 게임, 제조, 국방, IT 등 보안 업무를 수행할 수 있고 정보가 다뤄지는 곳이라면 화이트 해커가 활약할 수 있는 분야는 무궁무진하다고 할 수 있거든요. 최근 취약점과 방어 관점에서의 연구도 활발하게 이뤄지고 있어 역량만 있다면 도전할 수 있는 분야가 많습니다.
화이트 해커를 꿈꾸는 분들께 조언을 덧붙이자면요?
화이트 해커가 되기 위해 가장 중요한 것은 윤리성과 도덕성이라고 생각해요. 화이트 해커와 블랙 해커는 정말 한 끗 차이라서, 자신이 하는 일의 목적이 무엇인지 잘 생각해 봐야 합니다. 해킹 기술은 어디에 어떻게 사용하는지에 따라 사람을 고치는 의사의 칼이 될 수도, 범죄자의 칼이 될 수도 있습니다. 화이트 해커라는 직업의식과 사명감을 가지고 꿈을 키워가면 좋겠습니다. 그리고 배워야 하는 기술이 많고 끊임없이 공부해 스스로를 갈고닦아야 하는 분야인 만큼 끈기와 체력이 중요하다는 점도 말씀드리고 싶습니다.
, 화이트 해커 지한별 님에게 물었습니다!
🔍 감이 떠오르지 않을 때 즐겨 찾는 사이트 또는 인스타그램 계정은?
직업이 직업이다 보니 보안 취약점 관련 사이트들을 많이 살펴보고, 보안 뉴스 포털을 즐겨봅니다.
🔍 하루 평균 인스타그램 또는 타 SNS 사용 시간은?
컴퓨터 사용시간은 길지만 SNS는 잘 하지 않습니다. 식사, 출퇴근 시간에 구경하듯 살피는 정도입니다.
🔍 폰에서 가장 많이 사용하는 앱 3개는?
토스, 슬랙, 카카오톡. 토스는 슬랙을 업무 메신저로 활발하게 사용하고 있습니다!
Freelance Editor 유승현
Photo 개인 제공