보안 엔지니어링 기술서
김민호 · 정보보호 실무 경력 7년+ · 최종 갱신 2026.05
1. 개요
웹·모바일·API 모의해킹, AWS 클라우드 보안 운영, DevSecOps 파이프라인 설계를 아우르는 풀스택 보안 엔지니어입니다. 단순 취약점 발견을 넘어 조직 내 지속 가능한 보안 체계를 구축하는 데 집중합니다.
| 구분 | 내용 |
|---|---|
| 총 경력 | 7년 9개월+ (2018.03 ~ 현재) |
| 현 소속 | 티맵모빌리티 · 정보보호 매니저 |
| 학력 | 동국대 국제정보보호대학원 석사 |
| 자격 | CPPG, 정보처리산업기사, 리눅스마스터, 네트워크관리사 |
| 핵심 도메인 | 모의해킹, DevSecOps, 클라우드 보안, 보안 거버넌스 |
2. 취약점 진단 및 모의해킹
2.1 진단 범위 및 방법론
| 대상 | 방법론 | 주요 도구 |
|---|---|---|
| 웹 애플리케이션 | OWASP Top 10, 주요정보통신기반시설 가이드 | Burp Suite, OWASP ZAP |
| 모바일 앱 (Android/iOS) | OWASP MASTG, 정적/동적 분석 | Frida, Objection, jadx, MobSF |
| API | OWASP API Security Top 10 | Postman, Burp Suite |
| 인프라 | CIS Benchmark, 주요정보통신기반시설 가이드 | Nessus, 자체 스크립트 |
| 클라우드 (AWS) | CIS AWS Benchmark, AWS Well-Architected | Prowler, ScoutSuite, AWS Config |
2.2 주요 성과
- ISMS 인증 심사 대비 기술적 진단 영역 7회 이상 총괄 수행
- 대규모 인프라(10,000+ 자산) 취약점 진단 자동화 솔루션 자체 개발
- 시나리오 기반 모의해킹으로 인증 우회, 권한 상승, 데이터 유출 경로 다수 발견
- 블랙박스 침투 테스트 및 퍼징 테스트 수행
- CVE 식별 및 위험도 평가 기반 조치 우선순위 관리 체계 구축
2.3 진단 자동화
| 항목 | 설명 |
|---|---|
| 자동화 대상 | 서버(Linux/Windows), 네트워크 장비, DBMS, WEB/WAS |
| 구현 방식 | Python 기반 진단 스크립트 + 결과 파싱 + 리포트 자동 생성 |
| 효과 | 수작업 대비 진단 소요 시간 70% 단축, 휴먼 에러 제거 |
| 연동 | 취약점 관리 시스템과 API 연동하여 실시간 현황 대시보드 제공 |
3. DevSecOps 및 CI/CD 보안
3.1 파이프라인 보안 아키텍처
| 단계 | 보안 활동 | 도구 |
|---|---|---|
| 코드 작성 | Secret 스캔, 코딩 규칙 검증 | git-secrets, SonarQube |
| 빌드 | SAST, SCA (OSS 라이선스/취약점) | Sparrow, Blackduck |
| 테스트 | DAST, API 보안 테스트 | AppSuit, Burp Enterprise |
| 배포 | 이미지 스캔, 설정 검증 | Trivy, OPA |
| 운영 | 런타임 모니터링, 이상 탐지 | Datadog, Falco |
3.2 Secret 관리
- HashiCorp Vault 기반 인증정보 중앙 관리 체계 구축
- 하드코딩된 시크릿 탐지 및 자동 차단 파이프라인 적용
- 서비스별 최소 권한 원칙 기반 시크릿 접근 제어
3.3 OSS 라이선스 관리
- Blackduck 기반 오픈소스 컴포넌트 식별 및 라이선스 의무사항 관리
- 취약 버전 자동 탐지 및 업데이트 권고 프로세스 운영
- SBOM(Software Bill of Materials) 생성 및 관리
4. 클라우드 보안 운영
4.1 AWS 보안 아키텍처
| 영역 | 적용 내용 | 서비스/도구 |
|---|---|---|
| 네트워크 | VPC 분리, Security Group 최소 권한, WAF 정책 | VPC, WAF, CloudFront |
| 접근 제어 | IAM 최소 권한, MFA 강제, 역할 기반 접근 | IAM, SSO, STS |
| 데이터 보호 | 저장/전송 암호화, 키 관리 | KMS, ACM, S3 암호화 |
| 감사/모니터링 | API 호출 로깅, 이상 탐지, 컴플라이언스 체크 | CloudTrail, GuardDuty, Config |
| 컨테이너 | EKS 보안 설정, 이미지 스캔, 네트워크 정책 | EKS, ECR, Falco |
4.2 보안 모니터링 체계
- CloudTrail + GuardDuty 기반 실시간 위협 탐지
- Datadog/Splunk 연동 보안 이벤트 대시보드 구축
- 자동 알림 및 대응 플레이북 운영 (Slack/PagerDuty 연동)
5. 보안 거버넌스 및 컴플라이언스
5.1 ISMS 인증 대응
| 활동 | 상세 |
|---|---|
| 기술적 진단 | 서버, 네트워크, DB, 웹 전 영역 취약점 진단 총괄 |
| 증적 관리 | 진단 결과, 조치 이력, 잔여 위험 문서화 |
| 개선 과제 | 미조치 취약점 위험 수용 기준 수립 및 경영진 보고 |
| 수행 횟수 | 7회 이상 (2020~2026) |
5.2 보안 인식 및 훈련
- DDoS 모의 훈련 기획 및 수행
- 피싱 메일 모의 훈련 (전사 대상, 분기별)
- 보안 가이드 개정 및 사내 교육 수행
- 다크웹 모니터링 기반 계정 유출 점검
5.3 보안성 검토
- 신규 서비스/기능 출시 전 보안성 검토 프로세스 운영
- 아키텍처, 인증·인가, 데이터 흐름, 외부 연동 구간 위험 식별
- 개인정보 처리 흐름 검토 및 보호 조치 적정성 확인
- AI 서비스 도입 시 보안 요구사항 검토 기준 수립
6. 기술 스택 및 도구
| 분류 | 도구/기술 |
|---|---|
| 모의해킹 | Burp Suite, Frida, Objection, jadx, MobSF, Nmap, sqlmap |
| 취약점 진단 | Nessus, Prowler, ScoutSuite, SolidStep, Sparrow |
| DevSecOps | Blackduck, SonarQube, Trivy, git-secrets, Vault |
| 클라우드 | AWS (EC2, EKS, S3, IAM, CloudTrail, GuardDuty, WAF) |
| 모니터링 | Datadog, Splunk, Cloudflare, Akamai |
| 개발 | Python, Bash, JavaScript, SQL |
| 인프라 | Docker, Kubernetes, Terraform, Ansible |
7. 주요 프로젝트 상세
7.1 대규모 인프라 취약점 진단 자동화
| 항목 | 내용 |
|---|---|
| 배경 | 10,000+ 자산 수동 진단의 한계 (시간, 정확도, 일관성) |
| 목표 | 진단 자동화로 소요 시간 단축 및 품질 균일화 |
| 구현 | Python 기반 진단 엔진 + 결과 파싱 + 자동 리포트 생성 |
| 대상 | Linux/Windows 서버, 네트워크 장비, DBMS, WEB/WAS |
| 성과 | 진단 시간 70% 단축, 연간 3회 정기 진단 안정 운영 |
7.2 CI/CD 보안 파이프라인 구축
| 항목 | 내용 |
|---|---|
| 배경 | 빠른 배포 주기에서 보안 검증 누락 방지 필요 |
| 목표 | 개발-배포 전 과정에 보안 게이트 자동 삽입 |
| 구현 | Jenkins/GitLab CI 연동 SAST·SCA·DAST 자동 실행 |
| 성과 | 배포 전 취약점 사전 차단율 85%+, 보안 리뷰 병목 해소 |
7.3 악성 앱 분석 (KISA 프로젝트)
| 항목 | 내용 |
|---|---|
| 배경 | 통신 3사 대상 Android 악성 앱 분석 수요 |
| 역할 | 정적·동적 분석 수행, 악성 행위 식별, 기술 리포트 작성 |
| 분석 항목 | 권한 남용, 정보 수집, C2 통신, 난독화 우회 |
| 도구 | jadx, Frida, APKTool, Wireshark, 자체 샌드박스 |
| 성과 | 분석 리포트 기반 대응 인사이트 도출, 탐지 룰 개선 기여 |