비전공자의 화이트해커 도전기: 사회복지 전공에서 모의해킹 컨설턴트로 💻🛠️

 

 

안녕하세요, 저는 YUBI 입니다.
유비라고 부르시면 됩니다.

 

현재 저는 보안 관련 컨설팅을 제공하는 회사에서, 모의해킹 컨설턴트로 근무하고 있는 신입 모의해커 입니다 😎

 

YUBI

 

이 이미지는 전 직장 동료분께서 bing AI 이미지 생성기를 돌려 만들어주신 제 캐릭터예요.

당시엔 해킹과는 관련 없는 IT 프로덕트 매니저 및 서비스 기획자로 근무 중이었어요.

동료분과 많은 이야기를 나누며 보안전문가가 되겠다! 같은 허무맹랑한 목표들을 나누었던 기억이 나는데 정말로 그러게 되었다니.. 감회가 새롭네요.

 

 

 

비전공자라면서요?!

맞습니다. 저는 비전공자 입니다. 그것도 완전 컴퓨터와는 관련없는 사회복지 전공 학생이었어요.

 

제 인생은 우여곡절이 많았어요. 우여곡절이라기보단... 헤매는 시기가 길었다고 해야 할까요.

아마 첫 시작을 공무원으로 끊어서 더 어려웠던 것 같아요. 포기가 너무 어려운 선택이잖아요.

 

 

 

어떤 시간을 거쳐서 여기까지 왔나요?

 

저는 학교를 빨리 졸업하고 취업을 해서 돈을 벌고 싶었습니다. 그래서 부모님께서 권하신 사회복지 공무원이 되기 위해서 명지전문대학 사회복지과를 다니고, 졸업하였습니다.

그리고 공무원 공부를 하다보니 일반행정 9급으로 합격을 하게 되었어요.

 

막상 그렇게 되니 이 일이 정말 하고 싶은가? 공무원은 오래 일할수록 메리트가 있는데 정말 그렇게 오래 이 일을 하며 지낼 수 있을까? 진지하게 고민하게 되더라구요. 

 

결국 공무원을 포기하고, 더 늦기 전에 내가 진심으로 하고 싶은 일은 무엇인지, 내가 정말 잘할 수 있는 일이 무엇인지 진로 탐색을 진지하게 시작했어요.

 

 

제 성향을 분석해봤어요.

저는 학생 때부터 상황을 논리적으로 분석하고, 파고들고, 때론 넓게 숲을 보며 사람들의 심리를 파악하는 일을 좋아하고 잘했습니다.

그리고 IT 쪽에서 근무하고 싶다는 생각에 PM(프로덕트 매니저)라는 일을 해야겠다고 생각하고, 국가지원 부트캠프를 하게 되었어요. 하면서 개인적인 특화 역량을 키우고자 데이터 분석 독학도 병행했어요.

 

이 과정에서 미약하지만 프로그래밍 이라는 것을 접하기 시작했어요. 그리고 운이 좋게도 데이터, AI 관련 사람들이라면 다 아는 좋은 인공지능 관련 기업에 서비스 기획자로 취업하여 약 1년간 근무를 했습니다.

 

그 과정에서 다양한 프로젝트를 기획하고, 개발된 프로젝트를 QA하고, 개발자 분들과, 사수 분들과 소통하며 전문 기술을 갖고 싶다는 생각을 하게 됐어요.

 

 

 

어쩌다 갑자기 보안 쪽을 생각하게 되었나요?

근무하며 유료 구독 학습 프로젝트를 런칭하고, QA를 진행하다가 URL을 변조하면 무료 학습자가 유료 학습 콘텐츠에 접근할 수 있는 등.. 이때 처음으로 취약점이라는 세계를 알게 되었어요.

 

지금 생각하면... GET 방식으로 구현된 곳의 파라미터를 변경하면 권한 설정이 되지 않은 페이지로 접근이 되는 프로세스 검증 누락 취약점이죠. (ㅋㅋㅋㅋ 그땐 와~~ 컴퓨터의 세계란 너무 신기하다~~~~~ 이런 생각만 했지만요.. ㅋㅋㅋ)

 

 

그런 다양한 취약점을 발견하고, 개발자 분들께서 고쳐주시고 이런 과정을 거치다보니 이 기술에 매력을 느끼기 시작했어요. 이런 걸 전문으로 하는 사람들이 있다는 것도 알게 되죠.

 

취약점을 어떻게 사람들은 악용하는거지? 무엇을 어떻게 얻어내기 위해? 같은 생각을 하게 됐습니다.
시나리오를 생각하게 된거죠. 아마 이때부터 화이트해커의 길로 빠지게 된게 아닌가 싶네요.

 

그 뒤로 어떤 버튼을 보거나, 요청이 가는 것을 보면 이렇게 해볼 수 있나? 저렇게 해볼 수 있나? 이거 되게 취약해보이는데? 세상의 모든 사이트들이 모의해킹 진단 대상으로 보이기 시작했던 것 같아요.

 

 

 

Normaltic ?

 

그렇게 Normaltic 님의 유튜브 영상을 쥐잡듯이 보게 됩니다. 그렇게 bandit 문제도 풀고, Python 강의도 들으며 공부도 하고, 칼리리눅스로 이런저런 툴도 만져보게 되었어요.

 

몇개월가량 탐색과 독학의 시간을 보내다가, 5개월짜리 정말 하드하고도 하드한... 경력있는 신입으로 만들어준다는 취업 스터디를 여신다는 것을 알게 됩니다. 그렇게 직장을 다니면서 취업 스터디를 시작하게 됐어요. (그렇게 스스로 불러온 재앙에 빠지게 됩니다... )

 

 

본격 해킹 공부의 시작!

5개월 중 2개월은 직장을 병행했습니다. 그러다보니 놓치는 과제나 진도도 많았고 이렇게는 안되겠다 라는 생각이 들었어요. 진심으로 모의해킹을 하고 싶은데 이 시기를 놓치면 안되겠다는 판단이 섰고 퇴사를 결심하게 됩니다.

 

다른 분들은 직장을 다니지 않고 공부에만 매진하시는데 나는 이게 뭐하는거지? 이렇게 해서 제대로 할 수 있을까?라는 생각이 들었어요. 그렇게 2023년 12월 맡은 프로젝트들을 끝내고, 인수인계까지 마무리하고 퇴사를 하게 됩니다.

 

본격적으로 모의해킹 공부에 매진하게 되었어요. 노말틱 님께서 중간에 따라오지 못하는 사람을 위한 보충 수업을 마침 열어주셔서 적지않은 돈을 추가로 내고 주말에 4시간 정도 참여하였습니다.

 

수업을 제대로 활용하기 위해 놓쳤던 것들을 복습해가고 부족한 부분을 스스로 진단해서 갔어요. 그리고 수없이 질문해가며 놓친 걸 되돌려놓겠다는 마음가짐으로 활활 타오르게 참여했어요.

그렇게 궤도에 다시 올라와 최선을 다해서 따라가게 되었어요. 할거라면 제대로 하자!의 성격을 갖고 있어서 정말 죽어라 했던 것 같아요. 하지만 여기서 가장 중요한 건 흥미를 잃지 않는 것이었어요. 사실 모든 건 얼마나 열심히 할 수 있느냐,가 아닌 얼마나 오래 할 수 있느냐거든요.

 

제가 여기서 번아웃이 와버리거나 너무 열심히만 해서 흥미를 잃게 된다면 여태 하던 것들이 사라질테니까요.

 

그래서 공부시간을 유동적으로 가져가며 필수로 해야 하는 것들은 하며, 하고 싶을 때 공부하고, 쉬고 싶을 땐 쉬는 방식을 고수했습니다.

 

쉴땐 며칠도 쉬어주고, 할 땐 밤을 새서라도 하고 .. 이런 식으로 진행했던 거죠.

개인적으로는 이 방식이 정말 잘 맞아서 최대의 효율을 낼 수 있었던 것 같아요. 놓친 것 같아서 조급함이 느껴진다면 그 마음을 동력 삼아 또 뛰어가는 거죠.

 

 

그렇게 4개월이라는 시간이 지나가고 이 스터디의 정수라고 할 수 있는 마지막 1개월 실무 프로젝트를 경험해볼 수 있는 시간이 다가왔어요.

 

모의해킹에는 대표적으로 2가지 진단 기준이 있죠. 금취분평, 주통기반.

이 2가지 진단 기준을 전부 읽고, 해석하고, 분석했습니다.

 

기획적인 측면으로 접근해서 왜 이런 진단 기준들이 존재하는지, 고객사가 모의해킹을 의뢰하는 이유들이 보였습니다. 그리고 진단기준들의 경중과 어떤식으로 접근하면 될지. 프로젝트를 어떻게 대면해야 하는지를 알게 되었어요.

 

 

현직 개발자, 전공자 동기들과의 간극에 좌절하기도.. 

 

저는 성격상 왜 해야 하는가?를 이해하지 못하면 막혀서 답답해하거든요.

그간 계속 열심히 따라는 가고 있지만 다른 개발 전공, 현직 개발자이신 동기분들에 비해 못하는 것 같아서 사실 굉장히 좌절도 하고 했어요.
(이건 아마 스터디를 진행하면서, 디스코드에서 소통하게 되는데 그 과정에서 왠지 모를 박탈감을 느낄 수 있어요. 그런 고민을 하고 있을 후배분들께 위로가 되었으면.. )

이때 진단기준을 숲이라고 생각하고 훑고, 나무를 하나하나 해석하면서 그동안 배웠던 개념들을 거미줄처럼 연관짓고 그 기술들의 진짜 응용법과 의미를 찾게 되었어요. 그때부터 진짜! 모의해킹을 할 수 있게 되었던 것 같아요.

 

 

그렇게 실제로 몇개의 프로젝트를 진행하며 증적사진을 남기고, 보고서도 직접 템플릿도 만들어서 작성해보고. 검사받고 그런 과정을 거치며 기하급수적으로 성장하게 되었어요.

 

마지막엔 50명 정도가 남았는데 중간부턴 보고서까지 가장 잘 쓴 2명에 선정이 되기도하고, 마지막에 이루어진 오프라인 시험에서 합격하고 아래 사진과 같은 수료증도 받게 되었습니다.

 

 

 

재능이 없는 게 아니라, 낯선 겁니다.

뿌듯하기도 했고, 하면 되는구나. 내가 어려워하고 좌절했던 건 내가 재능이 없어서가 아니라 낯설었던 거구나 라는 걸 깨닫게 됩니다.

다른 동기분들에 비해서 뒤쳐지고 있다는 생각이 들어서 좌절하고 있을 후배분들께 꼭 해주고 싶은 이야기는 흥미가 있다면 포기하지 말라는 이야기 입니다. 저는 재능이 없는 게 아니라 낯설어서 헤맸던거라는 걸 깨닫고, 똑같은 걸 보고 또 보고, 해보고 또 해보고, 수없이 반복했더니 어느순간 마법처럼 응용까지 가능한 순간이 왔어요.

 

5개월을 버티는 것 자체가 사실 정말 대단하다고 생각해요. 빡세기도 빡세고, 스스로 이 길이 나한테 맞을까 하는 의심을 하게 되면서 그 과정에서 그럼에도 불구하고 나는 이 일이 하고 싶어! 계속 버틸거야! 라는 결심까지 하게 되는 시간들이니까요.

 

지금 제가 정말 잘한다! 라는 건 아니지만 주어진 게 있다면 그 안에서 어려움이 생겨도 어떻게든 극복해내고, 회복탄력성을 갖춘 정도는 되었다는 말입니다.

스터디를 통해 모의해킹 기술을 배우고, 좋은 사람들을 알게되고, 취업도 하게 되었지만 가장 좋았던 건 앞으로 저는 어떤 것이든 새로 배울 수 있게 되었다는 거예요.

안되는 건 없다, 모든 건 낯선거다, 익숙해지는 과정을 버티는 사람이 승리한다.. 이걸 알게 된거죠.

 

제 블로그 대표 문구가 무기는 끈기 거든요. 

당연히 재능을 갖고 태어난 사람도 존재하지만, 중요한 건 올곧게 자기객관화를 하고 어떻게 내가 가진 것들을 응용해갈 것인가.니까요.

 

 

스터디가 끝난 후엔 어떻게 지내셨나요?

저는 스터디가 끝나고, 오프라인 시험을 응시하고 합격했다는 소식이 저한테 도달하는 일주일동안 바로 회사에 지원을 하기 시작했습니다.

한 번 늘어지면 끝도 없을 거라고 생각했고 무엇보다 저는 빨리 일을 하고 싶었어요.

 

그렇게 잡코리아, 사람인을 통해 자기소개서, 블로그, 그간의 모의해킹 결과 보고서를 포트폴리오 삼아 지원을 했습니다.

 

그리고 정말로! 면접 연락이 10군데 이상에서 왔습니다.

그 중에서 기술 테스트를 먼저 본 곳이 2-3군데 있었고, 저는 실제로 면접 응시는 6곳 정도 하게 되었어요.
(다른 곳은 본사의 거리, 채용공고에서 느껴지는 어떠한 것... 등을 이유로 응시하지 않았습니다.)

 

스터디가 끝난 2주간 몰아서 계속 면접 준비를 하고, 기술 테스트를 응시하고, 면접을 봤던 거죠.

 

면접을 6곳 보고 5개의 회사에 모의해킹 컨설턴트로 최종 합격을 하게 되었습니다.

(심지어 보안 관련 자격증도 없고, 비전공 전문학사 인데도요! 용기를 가지세요!!)

(현재는 정보통신 쪽으로 더 배우고 싶고, 학사를 따고자 학점은행제를 진행하고 있습니다 :) + 보안 관련 자격증 공부도 진행 중이구요.)

 

그 중에서 저는 기술 테스트를 본 곳으로 결정을 하였고 현재 입사해서 1개월차 근무 중 입니다 :)
뭐랄까 저는 기술 테스트를 봤다는 사실이 좋더라구요. 정말 제대로 모의해킹 업무를 할 사람을 뽑는 곳이구나, 진짜 모의해킹 일을 즐겁게 많이 해볼 수 있겠구나, 하는 느낌이 들었던 것 같아요.

 

 

마무리하며

제 이야기가 도움이 되었을지 모르겠네요. 너무 쓸데없는 이야기를 주절주절 늘어놨나 싶기도 하고.

하지만 이건 진솔한 저의 이야기니까요 걱정하고, 좌절하는 모의해킹을 꿈꾸는 분들께 조금이라도 힘이 되었으면 합니다.

 

저도 여전히 트러블슈팅하며 좌절하기도 하고, 답답함에 좌절도 하다가도 또 결국 해결하거나 취약점을 찾고나면 소리지르며 자리에서 일어나 춤을 추기도 합니다. (물론 집에서요..)

 

앞으로가 너무 기대가 됩니다.

스터디를 통해 저에겐 연예인 같았던 노말틱님께 배우고, 소통하고, 인정받고.. 그리고 현재는 이렇게 같이 A.A.A. 해킹 팀으로 연구하게 되었으니까요. 리버싱, 포렌식, 임베디드 IoT 등등.. 배우고 만들어보고 싶은 게 많아요. 건강하게 오래 또 즐겁게 연구할 미래를 위해서 운동도 시작했어요.

 

다들 꼭! 포기하지 마시고 너무 힘들다면 꼭 쉬어가시면서 원하시는 곳에 도달하길 바랍니다 🫡

 

 

앞으로 이 블로그를 통해서 다양한 연구와 글로 찾아뵐테니 많은 기대 부탁드려요. 🛠️💻✅🚩