안녕하세요. 포스코DX 보안기획섹션에서 근무하는 김희현 프로입니다. 저희 부서는 회사의 보안·네트워크 시스템부터 데이터센터 운영까지 인프라 전반을 책임지는 중추적인 역할을 하고 있습니다. 그룹사의 보안 운영(SM)*을 지원하는 것은 물론 보안관제센터, 모의해킹 전문가들로 구성된 팀과 보안 침해사고와 정보유출 예방에도 힘쓰고 있습니다. 저는 그중에서도 포스코그룹의 보안 취약점을 식별하고 제거하는 모의해킹 업무를 맡고 있는데요. 시스템의 안정성을 높이고, 소중한 데이터를 보호하기 위해 매일 치열하게 고민하며 업무에 임하고 있습니다.

*SM(System Management) : 시스템을 운영하고 장애를 예방, 대응하는 역할

보안 분야에 첫발을 내디딘 것은 서버 운영자로 근무하던 시절 겪었던 한 사건 때문이었습니다. 어느 날 아침, 예고 없이 재부팅 된 서버를 보고 누군가 시스템에 침입했음을 깨달았는데요. 시스템을 안전하게 지켜야 한다는 강한 책임감을 느껴 다양한 온·오프라인 보안 활동을 거쳐 정보보호 전문 기업으로 자리를 옮겼습니다. 하지만 외부 컨설팅 업무는 단기적인 점검에 그치는 경우가 많아, 보안 체계를 지속적으로 고도화하고 완성도를 높이는 데에는 한계가 있다는 것을 느꼈어요. 보안 업무에 대한 갈증이 커질 무렵, 좋은 기회를 만나 포스코DX 보안기획섹션에 합류하게 됐습니다.

사진 출처 : ⓒ clipartkorea

두 집단이 사용하는 기술은 유사할지라도, 목적과 윤리 의식, 그리고 수행 절차는 아주 다릅니다. 화이트 해커는 기업이나 기관의 정식 승인을 거쳐 실제 해킹 시나리오를 바탕으로 보안 취약점을 탐지하고, 그에 따른 해결책을 제시하는 ‘보안 전문가’입니다. 사고 예방과 보안 체계 강화가 궁극적인 목적인데요. 반면, 블랙 해커는 범죄나 금전적 이익을 목적으로 타인의 시스템에 무단 침입해 개인정보 유출이나 시스템 파괴 등 불법 행위를 일삼습니다.

메인 홈페이지나 전자구매(E-Procurement) 시스템처럼 사내 개발자들이 웹 기반으로 구축한 서비스는 외부 또는 내부에 오픈되기 전에 반드시 보안 취약점 점검을 거칩니다. 저희는 해당 웹 프로그램에 보안상 허점이 없는지 사전에 면밀히 확인하는데요. 만약 취약점이 발견되면, 보고서를 작성해 개발 부서에 전달하고, 조치가 완료되면 다시 이행 점검을 해 문제가 해결됐는지 확인합니다. 이 과정을 반복해 모든 취약점이 조치되어야만 최종적으로 서비스를 오픈할 수 있습니다.

점검 과정에서 발견되는 취약점은 SQL Injection(데이터베이스 공격), XSS(사용자 브라우저를 향한 공격), 파일 업로드 취약점 등 26개에 달하는데요. 이 밖에도 시스템 구성에 따라 모바일 앱 모의해킹, 인프라 시스템(유닉스, 윈도우, 네트워크장비, DB 등)에 대한 보안 설정 점검도 함께 수행하고 있습니다.

또한 포스코홀딩스, 포스코 등 그룹 내 사업회사를 직접 방문해 현장 점검도 하고 있습니다. 사업회사마다 업태와 사업 방향, 시스템 규모가 다르기 때문에 점검 포인트 역시 달라질 수밖에 없는데요. 미흡한 부분이나 해킹, 정보 유출 사고로 이어질 가능성이 있는 요소들을 발견해 개선 방향을 안내해 드리면, 보안 담당자분들께서 큰 도움이 된다고 말씀해 주십니다. 저는 이런 활동들이 포스코그룹 전체의 보안 수준을 한 단계 끌어올리는 데 의미 있는 역할을 하고 있다고 생각합니다.

화이트 해킹의 핵심 가치는 문제가 발생하기 전에 위험을 발견해 막을 수 있다는 점, 즉 사전 예방(Prevention)에 있습니다. 보안 사고는 일단 발생하면 막대한 금전적 손실과 서비스 중단, 고객 정보 유출 등 피해가 매우 크기 때문에, 사전에 잠재적 위협을 제거하는 것이 가장 효율적입니다.

화이트 해커는 실제 공격자와 같은 방식으로 시스템을 테스트하여 ‘공격자가 들어올 수 있는 문’을 먼저 찾아내고, 그 문을 닫는 방법을 제시합니다. 이 과정에서 기업의 운영 방식, 정책, 조직적 취약점도 조기 발견할 수 있는데요. 즉, 화이트 해킹은 기업의 재무적 가치와 브랜드 신뢰도, 그리고 운영의 안정성을 지킬 수 있는 핵심적인 전략 자산이라고 할 수 있습니다.

보안 전문가로서 가장 어려운 점은 ‘고객이 만족할 만한 결과를 내는 것’입니다. 해커들의 공격 기법은 하루가 다르게 진화하지만, 제한된 인력으로 신기술을 습득하고 현장에 곧장 적용하는 것은 쉽지 않은 일입니다. 하지만 고객이 기대하는 최고 수준의 전문성을 확보하기 위해, 기술 공유 세미나와 외부 교육에 적극 참여하며 역량을 내재화하고 있죠.

최근에는 AI 기술을 적극 도입하여 보안 업무의 패러다임을 바꾸려 합니다. 현재 모의해킹과 보안관제 과정에 AI를 접목해 시간과 비용을 줄이고, 더욱 빈틈없는 보안 체계를 구축하기 위한 다양한 테스트를 하고 있습니다.

저는 늘 ‘스스로 납득할 수 있을 만큼 점검하자’는 원칙을 가지고 업무에 임합니다. 시간에 쫓겨 점검을 대충 하면, 반드시 문제가 발생한다고 믿기 때문입니다. 물론 업무가 몰리는 시기에는 여러 내·외부적인 요인으로 이 원칙을 지키는 것이 쉽지 않은데요. 그럼에도 원칙을 지키는 것만이 사고를 예방할 수 있는 유일한 방법이라는 점을 마음에 새기고 있죠.

사진 출처 : ⓒ clipartkorea

과거 외부와 단절되었던 폐쇄형 공장이 스마트 팩토리로 전환되면서, 사이버 공격은 단순한 정보 유출에 그치지 않고, 공장 가동 중단이나 물리적 파괴와 같은 막대한 조업 손실로 연결되고 있습니다. 따라서 철강과 제조 산업에서의 디지털 보안은 단순한 데이터 보호를 넘어, ‘공장의 멈춤을 방지’하고 ‘현장 작업자의 생명과 안전’을 지키는 필수 안전장치가 되었습니다.

보안 전문가에게 요구되는 가장 중요한 역량은 ‘문제 해결 중심의 사고(Practical Problem-Solving)’입니다. 단순한 기술적 지식을 넘어 기술이 내포한 위험을 식별하고, 현실적인 해결책을 제시할 수 있는 능력이 핵심인데요. 보안 전문가를 꿈꾸고 있다면 위험의 기술적 본질을 꿰뚫어 보고 조직의 비즈니스 환경에 최적화된 ‘실현 가능한 해결책’을 제시할 수 있는 종합적 사고의 소유자가 되어야 합니다.

화이트 해커나 보안 전문가로 성장하기 위해서는 운영체제(OS), 네트워크, 프로그래밍과 같은 IT 인프라 전반에 탄탄한 이해가 필요합니다. 보안 대상과 서비스가 매번 달라지므로, 문제 해결 능력과 다양한 실전 경험도 갖춰야 하는데요. 특정 기술에만 의존하다 보면 한계에 부딪힐 수 있으므로 다양한 해킹 도구를 활용해 연습하고, 버그 바운티* 프로그램에 참여하거나 최신 보안 트렌드를 학습하여 유연한 사고와 대처 능력을 키우는 것이 좋습니다.

*버그 바운티 : 기업이나 조직이 자사의 소프트웨어, 웹사이트, 서비스에서 보안 취약점을 발견한 화이트 해커에게 포상금을 지급하는 제도

마지막으로 끈기와 열정이 필요합니다. 숨겨진 취약점을 찾아내고 해결하는 것은 수많은 실패를 동반합니다. 모든 위기를 이겨낼 끈기와 열정이 있다면 훌륭한 보안 전문가로 거듭나실 수 있을 것입니다.

최근 개인정보 유출 사고가 잇따라 발생하면서 디지털 보안의 중요성이 날로 커지고 있죠. 이번 편에서는 포스코그룹의 디지털 보안을 책임지는 포스코DX의 보안기술그룹을 만나봅니다. 포스코그룹의 보안 전문가가 만드는 안전한 디지털 세상, 지금 만나보세요!

안녕하세요. 포스코DX 보안기술그룹의 김진욱 프로입니다. 보안기술그룹은 보안기획섹션, 포항보안섹션, 광양보안섹션으로 구성됩니다. 보안 시스템과 네트워크 시스템, 프로세스 컴퓨터, 데이터센터와 관련된 운영을 하고 있습니다. 그룹사들의 보안SM* 업무도 수행하고 있고요.
*SM(System Management) : 시스템을 운영하고 장애를 예방·대응하는 역할

안녕하세요. 보안기술그룹 최종철 프로입니다. 관제센터에서는 포스코그룹의 취약한 서버들이 노출되어 있지는 않은지 상시 점검하고 있습니다. 동시에 내부로 들어오는 공격에 대해서도 탐지를 하고 있고요. 이메일을 통해서 악성코드가 많이 들어오는데, 일일이 점검하면서 관리하고 있습니다.

안녕하세요. 보안기술그룹 화이트해커 김종완 프로입니다. 화이트 해킹팀은 모의해킹 업무를 주로 합니다. 웹, 인프라, 모바일 앱 대상으로 공격자의 관점으로 취약점을 진단하고 조치합니다.

포스코그룹을 대상으로 하루 평균 약 3천여 건의 해킹 공격이 일어납니다. 지금 이 순간에도요. 분당 2회가량 해킹 시도가 발생하는 것이죠. 이에 포스코그룹은 내부도 안전하지 않다고 보는 ‘제로 트러스트(Zero Trust)’*라는 개념에 따라 대응하고 있습니다. 하지만 모든 시스템을 다 검증해야 해서 많은 비용이 들어갑니다. 최소한 4~5년에 걸쳐서 대규모의 투자가 동반되어야 하고요. 2027년을 목표로 그룹사의 제로 트러스트 보안모델 체계를 확산해나갈 계획입니다.
*제로 트러스트(Zero Trust): ‘아무도 기본적으로 신뢰하지 않는다’는 원칙에 기반한 보안 모델이다. 내부·외부를 구분하지 않고 모든 접근 요청을 검증하며, 최소 권한 부여와 지속적인 모니터링을 통해 위협을 차단한다.

‘정보보호 3요소’라는 게 있습니다. 기밀성, 무결성, 가용성 세 가지인데, 산업 현장은 장애가 발생하더라도 생산 라인이 멈추면 안 되기 때문에 가용성이 특히 중요합니다. 그러다 보니 취약점이 발생해도 쉽게 조치를 취하지 못하는 어려움이 있습니다.

업데이트가 어려운 패치가 오래된 자산들은 보안이 취약할 수밖에 없습니다. 이에 외부로부터 내부로의 침입 경로를 차단하기 위해 망 분리나 차단을 꾸준히 해야 합니다.

2017년 5월 ‘워너크라이(Wanna Cry) 랜섬웨어’가 확산됐던 게 기억에 남습니다. 해외에서부터 확산되기 시작해 전 세계 20만 대 PC가 감염되기까지 2시간이 채 걸리지 않았는데요. 포스코그룹은 이에 선제적으로 대응하기 위해 관련된 악성 정보들을 수집했습니다. 악성 통신을 하는 서버의 IP, 워너크라이 랜섬웨어의 해시코드 등을 미리 수집해서 회사 내부로 침투하지 못하도록 선제적인 방어 조치를 취했습니다.

코딩을 잘하면 도움이 됩니다. 공격이나 유출에 대해서 프로그램을 통해 빠르게 자동화할 수 있어서 코딩을 하면 확실히 도움이 되고요.

시작하는 단계에서는 기본적으로 기술적 보안에 대해서 학습이 필요합니다. 많은 보안 장비들이 네트워크 기반으로 동작하기 때문에 네트워크의 기본적인 개념을 알고 있어야 합니다.

‘2025 Locked Shields’*에서 3일 동안 39개국 18개 팀과 공격과 방어를 하면서 점수를 획득하는 방식으로 훈련을 진행했습니다. 지난해에는 13위를 기록했는데, 올해에는 6위라는 기록을 달성할 수 있었습니다.
*락드 쉴즈(Locked Shields) : 나토 사이버방위센터가 주관하는 세계 최대 규모의 국제 사이버 방어 훈련. 나토 회원국 간 사이버 위기 대응 역량 강화를 목표로 2010년부터 매년 개최하고 있다.

보안기술 업무는 이익을 창출하지는 않지만, 회사에 이득을 줄 수는 있다고 생각합니다. 보안 사고가 발생하면 100억 원가량의 과징금이 부과될 수도 있기 때문에 사고를 미리 사전에 예방하고, 대비해 이에 따른 손실을 막을 수 있습니다. 모든 IT 기술의 근간은 보안으로 부터 시작됩니다. 포스코DX은 보안기술그룹은 앞으로도 흔들림없는 보안 기술로 포스코그룹 DX 전환에 단단한 기반을 만들어 갈 계획입니다.

포스코그룹은 날로 높아지는 보안 위협 속에서도 쉽게 뚫리지 않을 견고한 안전망을 유지하고 있는데요. 포스코그룹의 디지털 보안을 책임지는 포스코DX 보안기술그룹에 많은 관심 부탁드립니다!

▼포스코그룹의 디지털 보안 현황 만나보러 가기