리버싱, 악성코드 분석, 침해사고 대응 등 7년간의 전문 역량을 바탕으로 견고한 보안 환경을 구축합니다.
안녕하십니까, 저는 대학교에서 정보보안 전공으로 졸업 후 국방부에서 국가안보차원으로 양성한 사이버보안 전문장교로 임관하여, 2019년부터 약 7년간 악성코드 분석, 로그 기반 위협 탐지/분석, 침해사고 조사, 소프트웨어 및 웹 클라이언트 취약점 연구를 수행한 IT 보안 기술자입니다.
현대오토에버의 Blue팀은 현대자동차의 국내 그룹사 및 해외 사업장을 포함한 전체 IT 인프라에서 발생한 침해사고를 대응하고, 보안이벤트를 분석하여 이상징후 탐지규칙 고도화까지 연결하는 조직이라고 이해했습니다.
저는 악성코드 분석과 로그 분석 경험을 바탕으로, 특정 조직에 발생한 침해의 유입경로와 수행된 행위(내부 확산, 지속성 확보, 정보 유출, 추가 악성행위 등)을 세밀하게 분석하고 영향성을 검증하여 재발 방지를 위한 체크포인트와 대응 방향을 도출하는 업무를 수행해왔습니다. 동시에 대학원에서 디지털포렌식을 전공하면서 이와 관련된 전문 지식들을 습득하고 연구활동을 이어나갔습니다. 또한, 취약점 분석 업무도 수행하여 공격자 관점에서 시스템의 공격벡터를 식별하고 검증하는 경험도 쌓았습니다.
제가 현장에서 얻은 다양한 경험과 전문적인 지식이 현재 오토에버에서 원하는 능력이라고 생각했고, 오토에버의 보안체계를 더 단단하게 만들고 그 과정에서 다양한 인재들과 소통하며 서로 성장하고 싶어 귀사에 지원합니다.
저의 강점은 리버싱, 악성코드 분석, 보안이벤트 분석, 포렌식 역량을 실제 업무에 적용하여 침해 사고 대응 과정의 전 단계를 폭넓게 경험해왔다는 점입니다.
의심 파일이나 행위가 확인되면 정 적·동적 분석을 통해 실제 수행 기능(지속성 유지, 권한 상승, 정보 수집, C2 통신, 추가 행위 등)을 확인하였습니다. 특히 문자열/설정 값 암호화, 패킹, 제어 흐름 변조 등을 통해 의도적으로 악성 기능을 은닉한 코드를 분석하여 원래의 공격 목적과 동작 원리를 정리해왔습니다. 그 결과 고도로 복잡한 코드에서도 핵심 동작 원리를 빠르게 분석하고 이해하는 능력을 확보했습니다.
SIEM 환경에서 방화벽, IDS/IPS 등 보안장비 로그와 다양한 서버 및 엔드포인트 로그를 함께 분석하며, 개별 이벤트가 아닌 연관된 흐름으로 상황을 해석하는 데 강점이 있습니다. 여러 장비에서 수집되는 로그를 교차분석하여 이벤트 간 상관관계를 만들고, 군 내 자산에서 발생할 수 있는 이상 징후를 초기 단계에서 식별해 왔습니다. 또한 위험도가 높은 이벤트 사이에서 우선순위를 선별하여 리소스를 효율적으로 배분했고, 분석 과정에서 반복적으로 확인된 패턴과 인사이트를 바탕으로 모니터링 기준, 탐지 시나리오, 운영 가이드를 지속적으로 개선해왔습니다.
앞서 말씀드린 경험과 능력을 활용하여 인터넷 연동 환경과 내부망 환경이 모두 존재하는 군 주요 시스템에서 발생한 침해사고를 대상으로, 사건의 단편적인 징후를 모아 전체 침해 과정을 일관된 시나리오로 복원하는 업무를 수행해 왔습니다. 대규모 서버 인프라와 방화벽·IDS/IPS·VPN 등 여러 보안장비가 연동된 환경에서, 초기 침투 이후 내부 확산 여부, 지속성 확보, 외부 통신 시도, 정보 유출 가능성과 추가 악성 행위 유무까지의 전 과정을 단계별로 분석하였습니다. 이 과정에서 확보된 악성코드의 기능을 분석하고 행위를 구체화함으로써, 사건의 범위와 영향도를 더 정확히 규명할 수 있었습니다. 또한 군 PC뿐 아니라 함정·전차 등의 무기체계에서 발생한 사건도 다루며, 감염 경로를 확인하고 실제로 악성 기능이 동작했는지까지 검증하는 방식으로 분석의 신뢰도를 확보했습니다.
취약점 분석 경험을 통해 공격자 관점의 판단이 가능합니다. 상용 소프트웨어·웹 애플리케이션의 공격 표면을 식별하고, 입력 처리·권한 검증·인증/세션 관리·파일 처리 등 취약 지점을 중심으로 취약점 존재 여부를 점검해 왔습니다. 필요한 경우 PoC로 재현해 영향 범위를 확인하고, 단순 재현에 그치지 않고 운영 환경에서의 현실적인 악용 가능성과 우선순위를 함께 판단했습니다. 이러한 경험을 통해 사고 대응 시 “가능한 공격 시나리오”를 빠르게 좁히고, 우선 차단해야 할 지점과 후속 점검 범위를 정하는 데 기여할 수 있습니다.
마지막으로, 유관기관 협업과 국제 훈련 경험을 바탕으로 원활한 커뮤니케이션이 가능합니다. 사건 조사를 위해 타 부대를 방문할 시 출장팀장을 맡아 관계자와의 커뮤니케이션, 현장 대응 업무를 수행하였고, 타 정보보안부대·국정원·KISA·경찰 등과 협업할 때는 사건의 규모와 업무 연관성에 따라 각 조직 간 분석 범위를 조율하고 생산한 정보를 교류하는 등 불필요한 혼선을 줄이는 방식으로 업무를 진행했습니다. 또한 국제 연합 사이버훈련에서도 역할이 다른 여러 국가팀과 협력하며, 분석 결과를 공유 가능한 포맷(타임라인, IoC/TTP, 취약점 패치코드 등)으로 정리하여 제공했습니다.
사건 요약: SIEM을 통해 공격자가 승인되지 않은 IP에서 체계 내 VPN과 웹 서버에 비정상 접근 시도
본인 역할: VPN 인증체계 내 보안 취약점 분석, 로그 분석을 통해 공격자 행위 및 내부 확산 여부 분석, 탈취된 정보의 외부 유출 경로 추적, 상기 결과를 기반으로 침해사고 전체 타임라인 재구성 및 시나리오 확정
본인 역할: 가상의 국가 주요기반시설에 대한 대항군의 사이버 공격상황을 탐지·조사분석 및 침해복구, 참가국 간 위협 정보 공유
사건 요약: SIEM을 통해 공격자가 국방**원 웹메일체계 내 파일업로드 취약점을 이용하여 webshell을 업로드
본인 역할: 국방**원 현장조사 및 증거자료(메일서버, 정보보호체계 로그, 수신메일 등) 채증, 업로드된 악성코드 상세분석, webshell을 통해 유출된 정보 및 자료 등 조사
본인 역할: 한미 연합 사무실에서 근무하며 양 국가에서 생산한 사이버 정보 번역, 양 측 지휘관의 전문적인 대화를 위한 통역 업무 수행
사건 요약: 유관기관에서 군 관련 기관의 DB 서버에서 자료 유출 확인 후 공조
본인 역할: 유출 경위부터 추가 피해 유무까지의 전 과정 분석
사건 요약: 유관기관에서 군 관련 업체의 자료 유출 확인 후 공조
본인 역할: 해당 업체 사용자 PC에 저장된 악성코드 분석, 악성코드 유입 경위 및 특정 서버 내 공격자의 안티포렌식 행위 분석, 추가 피해 유무 분석 및 전체 타임라인 재구성
사건 요약: 국방****원 특정 서버 내 백신에 의해 짧은 시간안에 반복 탐지된 악성코드 식별
본인 역할: 네트워크 로그 분석을 통해 정보보안장비 정책에 존재하는 취약점 식별, 식별한 악성코드 상세분석, 공격자가 추가로 접근한 서버의 피해 유무 점검, 재발 방지를 위해 해당 조직의 보안 정책 개선
사건 요약: 국방**원의 특정 정보보안장비에서 외부로 통신 시도
본인 역할: 비정상 통신이 발생하는 장비 내 악성코드 식별 및 분석, 분석 결과를 통해 타 서버 및 장비로 확산된 피해 식별 및 분석, 탈취된 정보의 외부 유출 경로 추적, 상기 결과를 기반으로 침해사고 전체 타임라인 재구성 및 시나리오 확정
더 자세한 정보는 저에게 연락주세요.