Q
안녕하세요. 현재 어떤 일을 하고 계신지 자기소개 부탁드립니다.
안녕하세요. 포스코DX 보안기획섹션에서 근무하는 김희현 프로입니다. 저희 부서는 회사의 보안·네트워크 시스템부터 데이터센터 운영까지 인프라 전반을 책임지는 중추적인 역할을 하고 있습니다. 그룹사의 보안 운영(SM)*을 지원하는 것은 물론 보안관제센터, 모의해킹 전문가들로 구성된 팀과 보안 침해사고와 정보유출 예방에도 힘쓰고 있습니다. 저는 그중에서도 포스코그룹의 보안 취약점을 식별하고 제거하는 모의해킹 업무를 맡고 있는데요. 시스템의 안정성을 높이고, 소중한 데이터를 보호하기 위해 매일 치열하게 고민하며 업무에 임하고 있습니다.
*SM(System Management) : 시스템을 운영하고 장애를 예방, 대응하는 역할
Q
사이버 보안 분야에 관심을 두게 된 계기와 포스코DX 입사를 결심하게 된 이유가 궁금합니다.
보안 분야에 첫발을 내디딘 것은 서버 운영자로 근무하던 시절 겪었던 한 사건 때문이었습니다. 어느 날 아침, 예고 없이 재부팅 된 서버를 보고 누군가 시스템에 침입했음을 깨달았는데요. 시스템을 안전하게 지켜야 한다는 강한 책임감을 느껴 다양한 온·오프라인 보안 활동을 거쳐 정보보호 전문 기업으로 자리를 옮겼습니다. 하지만 외부 컨설팅 업무는 단기적인 점검에 그치는 경우가 많아, 보안 체계를 지속적으로 고도화하고 완성도를 높이는 데에는 한계가 있다는 것을 느꼈어요. 보안 업무에 대한 갈증이 커질 무렵, 좋은 기회를 만나 포스코DX 보안기획섹션에 합류하게 됐습니다.
사진 출처 : ⓒ clipartkorea
Q
보안 전문가를 ‘화이트 해커’라고 부르기도 하는데요. 흔히 말하는 블랙 해커와는 어떤 점이 다른가요?
두 집단이 사용하는 기술은 유사할지라도, 목적과 윤리 의식, 그리고 수행 절차는 아주 다릅니다. 화이트 해커는 기업이나 기관의 정식 승인을 거쳐 실제 해킹 시나리오를 바탕으로 보안 취약점을 탐지하고, 그에 따른 해결책을 제시하는 ‘보안 전문가’입니다. 사고 예방과 보안 체계 강화가 궁극적인 목적인데요. 반면, 블랙 해커는 범죄나 금전적 이익을 목적으로 타인의 시스템에 무단 침입해 개인정보 유출이나 시스템 파괴 등 불법 행위를 일삼습니다.
Q
포스코DX 화이트 해커의 주요 업무는 무엇인가요?
메인 홈페이지나 전자구매(E-Procurement) 시스템처럼 사내 개발자들이 웹 기반으로 구축한 서비스는 외부 또는 내부에 오픈되기 전에 반드시 보안 취약점 점검을 거칩니다. 저희는 해당 웹 프로그램에 보안상 허점이 없는지 사전에 면밀히 확인하는데요. 만약 취약점이 발견되면, 보고서를 작성해 개발 부서에 전달하고, 조치가 완료되면 다시 이행 점검을 해 문제가 해결됐는지 확인합니다. 이 과정을 반복해 모든 취약점이 조치되어야만 최종적으로 서비스를 오픈할 수 있습니다.
점검 과정에서 발견되는 취약점은 SQL Injection(데이터베이스 공격), XSS(사용자 브라우저를 향한 공격), 파일 업로드 취약점 등 26개에 달하는데요. 이 밖에도 시스템 구성에 따라 모바일 앱 모의해킹, 인프라 시스템(유닉스, 윈도우, 네트워크장비, DB 등)에 대한 보안 설정 점검도 함께 수행하고 있습니다.
또한 포스코홀딩스, 포스코 등 그룹 내 사업회사를 직접 방문해 현장 점검도 하고 있습니다. 사업회사마다 업태와 사업 방향, 시스템 규모가 다르기 때문에 점검 포인트 역시 달라질 수밖에 없는데요. 미흡한 부분이나 해킹, 정보 유출 사고로 이어질 가능성이 있는 요소들을 발견해 개선 방향을 안내해 드리면, 보안 담당자분들께서 큰 도움이 된다고 말씀해 주십니다. 저는 이런 활동들이 포스코그룹 전체의 보안 수준을 한 단계 끌어올리는 데 의미 있는 역할을 하고 있다고 생각합니다.
Q
김희현 프로님이 생각하시는 화이트 해킹 업무의 가장 큰 가치는 무엇인가요?
화이트 해킹의 핵심 가치는 문제가 발생하기 전에 위험을 발견해 막을 수 있다는 점, 즉 사전 예방(Prevention)에 있습니다. 보안 사고는 일단 발생하면 막대한 금전적 손실과 서비스 중단, 고객 정보 유출 등 피해가 매우 크기 때문에, 사전에 잠재적 위협을 제거하는 것이 가장 효율적입니다.
화이트 해커는 실제 공격자와 같은 방식으로 시스템을 테스트하여 ‘공격자가 들어올 수 있는 문’을 먼저 찾아내고, 그 문을 닫는 방법을 제시합니다. 이 과정에서 기업의 운영 방식, 정책, 조직적 취약점도 조기 발견할 수 있는데요. 즉, 화이트 해킹은 기업의 재무적 가치와 브랜드 신뢰도, 그리고 운영의 안정성을 지킬 수 있는 핵심적인 전략 자산이라고 할 수 있습니다.
Q
화이트 해커로 일하면서 가장 어려웠던 경험은 무엇인가요?
보안 전문가로서 가장 어려운 점은 ‘고객이 만족할 만한 결과를 내는 것’입니다. 해커들의 공격 기법은 하루가 다르게 진화하지만, 제한된 인력으로 신기술을 습득하고 현장에 곧장 적용하는 것은 쉽지 않은 일입니다. 하지만 고객이 기대하는 최고 수준의 전문성을 확보하기 위해, 기술 공유 세미나와 외부 교육에 적극 참여하며 역량을 내재화하고 있죠.
최근에는 AI 기술을 적극 도입하여 보안 업무의 패러다임을 바꾸려 합니다. 현재 모의해킹과 보안관제 과정에 AI를 접목해 시간과 비용을 줄이고, 더욱 빈틈없는 보안 체계를 구축하기 위한 다양한 테스트를 하고 있습니다.
Q
업무에 임하는 나만의 신념이 있다면 무엇인가요?
저는 늘 ‘스스로 납득할 수 있을 만큼 점검하자’는 원칙을 가지고 업무에 임합니다. 시간에 쫓겨 점검을 대충 하면, 반드시 문제가 발생한다고 믿기 때문입니다. 물론 업무가 몰리는 시기에는 여러 내·외부적인 요인으로 이 원칙을 지키는 것이 쉽지 않은데요. 그럼에도 원칙을 지키는 것만이 사고를 예방할 수 있는 유일한 방법이라는 점을 마음에 새기고 있죠.
사진 출처 : ⓒ clipartkorea
Q
산업현장, 특히 철강·제조 산업에서 디지털 보안이 중요해지고 있는 이유는 무엇일까요?
과거 외부와 단절되었던 폐쇄형 공장이 스마트 팩토리로 전환되면서, 사이버 공격은 단순한 정보 유출에 그치지 않고, 공장 가동 중단이나 물리적 파괴와 같은 막대한 조업 손실로 연결되고 있습니다. 따라서 철강과 제조 산업에서의 디지털 보안은 단순한 데이터 보호를 넘어, ‘공장의 멈춤을 방지’하고 ‘현장 작업자의 생명과 안전’을 지키는 필수 안전장치가 되었습니다.
Q
보안전문가로서 가장 중요하다고 생각하는 역량은 무엇인가요?
보안 전문가에게 요구되는 가장 중요한 역량은 ‘문제 해결 중심의 사고(Practical Problem-Solving)’입니다. 단순한 기술적 지식을 넘어 기술이 내포한 위험을 식별하고, 현실적인 해결책을 제시할 수 있는 능력이 핵심인데요. 보안 전문가를 꿈꾸고 있다면 위험의 기술적 본질을 꿰뚫어 보고 조직의 비즈니스 환경에 최적화된 ‘실현 가능한 해결책’을 제시할 수 있는 종합적 사고의 소유자가 되어야 합니다.
Q
마지막으로 보안전문가를 꿈꾸는 분들께 해주고 싶은 조언이 있다면요?
화이트 해커나 보안 전문가로 성장하기 위해서는 운영체제(OS), 네트워크, 프로그래밍과 같은 IT 인프라 전반에 탄탄한 이해가 필요합니다. 보안 대상과 서비스가 매번 달라지므로, 문제 해결 능력과 다양한 실전 경험도 갖춰야 하는데요. 특정 기술에만 의존하다 보면 한계에 부딪힐 수 있으므로 다양한 해킹 도구를 활용해 연습하고, 버그 바운티* 프로그램에 참여하거나 최신 보안 트렌드를 학습하여 유연한 사고와 대처 능력을 키우는 것이 좋습니다.
*버그 바운티 : 기업이나 조직이 자사의 소프트웨어, 웹사이트, 서비스에서 보안 취약점을 발견한 화이트 해커에게 포상금을 지급하는 제도
마지막으로 끈기와 열정이 필요합니다. 숨겨진 취약점을 찾아내고 해결하는 것은 수많은 실패를 동반합니다. 모든 위기를 이겨낼 끈기와 열정이 있다면 훌륭한 보안 전문가로 거듭나실 수 있을 것입니다.