BoB 뉴스레터 2024년 10월 호

BoB NewsLetter 56호

Vol. Nov 2024

BoB Newsletter

BoB인들을 위한 뉴스레터를 한 달에 한 번 메일로 받아보세요!

BoB 수료생과 멘토들의 활약 내용, BoB 교육생 및 센터의 소식, 최근 보안 이슈 정리 및 기사 공유, 멘토의 인터뷰 및 기고문 등의 다양한 이야기를 전해드립니다.

BoB 뉴스레터 구독하기

이전 뉴스레터 보러가기

🍎 BoB 뉴스레터 10월호 스토리

📢 10월 BoB 수료생&멘토 소식
[특집] 새로운 어택 서페이스(Surface), 어택 스페이스(Space)! - 우주 사이버 보안 발전 배경
🎼비 내리는 호남~ 사이버보안 콘퍼런스 🔐
???: 저 그만 괴롭혀요 : AI 모델을 탈옥하는 방법 공개
⚡11월 전력망 붕괴의 순간이 온다 : 사이버 공격 방어 훈련 대회
♚♚보안★ㅈr격증으1@세ㄱㅖ로☆ㅇㅕzㅓ분을$$초ㄷㅐ합ㄴ1ㄷr♚♚

(1) 📢 10월 BoB 수료생&멘토 소식

🍧 이문규, 김동언 멘티<10기, 12기 디지털포렌식 트랙>

2024 제5회 호남 사이버보안컨퍼런스 침해대응 경진대회 최우수상

🍧 정준영, 김동언 멘티<10기 취약점분석 트랙, 12기 디지털포렌식 트랙>

2024 충청권 사이버보안 경진대회 우수상

(2) [특집] 새로운 어택 서페이스(Surface), 어택 스페이스(Space)! - 우주 사이버 보안 발전 배경

우주 산업의 패러다임이 변화하고 있다. 이제 단순한 탐사와 연구를 넘어 다양한 분야에서 상업적 기회를 제공하는 공간으로서 우주가 주목받으며, 우주 공간의 활용도가 더욱 높아지고 있다. 다양한 기술과 개념이 등장하면서 우주 산업의 규모가 커지고 있지만, 이에 따른 우주 사이버 보안은 어떻게 대응하고 있을까?

3화에 걸친 이번 특집의 주제는 우주 사이버 보안으로, 우주 사이버 보안이 발전하게 된 배경과 동향을 다루고, 이를 바라보는 보안 전문가 분들의 인터뷰로 진행될 예정이다.

올드 스페이스? 뉴 스페이스?

[ 올드스페이스와 뉴스페이스 - 출처 : 세계일보, 달 넘어 더 넓은 우주로 인류의 꿈, 한계는 없다 ]

이전부터 우주 사이버 보안은 우주를 활용하는 국가에 있어서 항상 중요시 되는 부분이었다. 하지만 우주 공간의 활용도가 높아짐에 따라 우주 산업이 발전하고, 올드 스페이스에서 뉴 스페이스로 변화함에 따라 공격 타켓과 범위, 접근 방식이 다양해지면서 우주 사이버 보안에 대한 부분이 더욱 부각되고 있다.

그렇다면 우주 산업 발전에 있어 핵심적인 개념인 올드 스페이스와 뉴 스페이스는 무엇일까?

먼저 올드 스페이스는 정부 기관과 대형 방산업체가 중심이 된 전통적 우주 산업 모델이다. NASA(미국), Roscosmos(러시아), ESA(유럽)와 같은 정부 기관이 주요 우주 프로젝트를 주도했으며, Boeing, Lockheed Martin 등 대형 방산업체들이 이들과 협력했다. 이들은 안전성을 최우선으로 하여 장기적이고 비용이 높은 프로젝트를 진행했다. 주로 세금과 공공 예산을 통해 자금을 확보해 온 올드 스페이스는 보수적이고, 변화가 느리며 엄격한 규제를 따랐다.

반면 뉴 스페이스는 민간 기업들이 혁신적인 기술과 저비용 구조를 통해 우주 산업에 적극적으로 참여하는 흐름을 가리킨다. SpaceX, Blue Origin, Rocket Lab 같은 민간 기업들이 주도하면서 빠른 개발 주기와 효율성을 강조하며, 우주 산업의 패러다임을 바꾸고 있다. 뉴 스페이스는 재사용 로켓, 소형 위성 등을 통해 비용을 낮추고 혁신을 가속화하면서도 민간 자본을 활용해 독자적인 프로젝트를 수행하고 있다.

이처럼 올드 스페이스와 뉴 스페이스는 접근 방식과 목표에서도 차이를 보인다. 올드 스페이스가 안정성과 신뢰성을 중시했다면, 뉴 스페이스는 혁신과 상업적 가능성에 초점을 맞춘다. 올드 스페이스는 고비용과 긴 개발 주기를 필요로 하지만, 뉴 스페이스는 효율성과 저비용을 바탕으로 빠른 개발을 추구한다. 이러한 변화는 전 세계적으로 민간 기업의 참여를 촉진하며, 우주 산업이 더 많은 사람에게 개방되는 데 기여하고 있다.

시대의 변화에 따른 민간 기업의 참여

[ 국내 우주 예산 규모(좌), 글로벌 우주 산업 규모 전망(우) - 출처 : 아시아 경제, 미데일리 ]

올드 스페이스 시대에는 민간 기업의 참여가 제한적이었다. 주로 정부가 프로젝트를 주도하고, 대형 방산업체가 협력하여 우주 산업에 참여하는 형태였다. 이는 많은 예산과 자원을 요구했고, 자본과 기술력을 갖춘 대형 기업들만이 주요 참여자로 자리 잡았다.

하지만 뉴 스페이스 시대가 열리면서 상황은 달라졌다. SpaceX, Blue Origin 같은 민간 기업들은 정부에 의존하지 않고 독자적인 우주 프로젝트를 수행하고 있으며, 소형 위성이나 우주 탐사와 같은 새로운 사업 모델을 선보이고 있다. 벤처 자금과 투자 자본이 유입되면서 다양한 스타트업이 우주 산업에 진입하고 있고, 이에 따라 중소기업이나 신생 기업까지도 우주 산업에 활발히 참여하고 있다.

이러한 뉴 스페이스의 흐름은 기존 올드 스페이스와 비교할 때 민간 기업의 참여율을 크게 높이고, 우주 산업의 혁신 속도를 가속화하고 있다.

뉴 스페이스 시대의 핵심 : 위성 기술의 혁신

뉴 스페이스 시대의 전환에서 가장 주목할 만한 부분은 위성 기술의 혁신이다. 소형 위성(SmallSat)과 초소형 위성(CubeSat)의 발전은 우주 개발 비용을 대폭 절감하며, 더 많은 기업과 기관이 위성 발사를 시도할 수 있는 환경을 조성했다.

미국의 위성 운용사인 Planet Labs는 소형 위성 "Dove"를 통해 매일 약 400만 장의 지구의 이미지를 촬영하여 기후 변화, 재난 감시, 농업 데이터 등 다양한 정보를 제공하고 있으며, 최근 NATO와 고해상도 위성 데이터 공급 계약을 체결하기도 하였다.

위성 발사 비용 절감 역시 뉴 스페이스의 주요 혁신이다. SpaceX의 재사용 가능한 로켓 기술은 발사 비용을 낮췄고, Rocket Lab은 소형 위성 전용 로켓으로 저렴하고 신속한 발사를 가능하게 했다. 특히, SpaceX의 스타링크(Starlink) 프로젝트는 저궤도 위성을 통해 전 세계에 인터넷을 제공하는 것을 목표로 하고 있으며, 인터넷 접근성이 낮은 지역에도 초고속 인터넷 서비스를 확산하고 있다.

뉴 스페이스 기업들은 이러한 위성 데이터를 통해 농업, 환경 보호, 기상 예측 등 다양한 분야에 걸쳐 상업적 가치를 창출하고 있으며, 이는 우주 산업이 단순히 상업적 이익을 넘어 지구 환경 보호와 사회적 가치 창출에도 기여할 수 있음을 보여준다.

뉴 스페이스 시대, 증가하는 우주 사이버 보안 위협

이처럼 뉴 스페이스 시대로의 전환은 우주 산업과 우주 개발의 새로운 가능성을 대중에게 열어주는 혁신적이고 긍정적인 변화이지만, 수 없이 많은 위성으로 인한 우주 쓰레기 증가, 위성을 타켓으로 한 사이버 공격, 이를 규제할 국제 규범의 부재 등 아직 해결해야 할 과제가 존재한다.

특히 사이버 위협의 경우, 국가와 정부뿐만 아니라 민간 기업의 우주 산업 참여로 공격 대상의 폭이 넓어지고, 위성의 특성과 민감한 환경으로 인해 레거시 공격 방식으로도 해킹 시도가 가능하다는 점에서 많은 위협이 존재할 것으로 보인다.

실제로 DEFCON 2022에서 화이트 해커 그룹 Shadytel의 칼 코셔는 폐기된 인공위성을 해킹하여 다양한 영상을 송출하는 방법을 발표했다. 합법적인 요소가 포함된 해킹이었지만, 특정 조건만 충족된다면 저비용으로도 간단하게 해킹이 가능하다는 점을 보여주었으며, 이를 악용할 경우 심각한 사이버 위협으로도 이어질 가능성이 존재한다.

이 외에도 우주 사이버 보안 위협과 관련된 다양한 사례들이 존재하며, 다음 화에서는 이러한 우주 사이버 보안 위협 사례와 동향, 관련 기술들을 다뤄보고자 한다.

[ 다음 화에서 계속 ]

새로운 어택 서페이스(Surface), 어택 스페이스(Space)! - 우주 사이버 보안 동향

(3) 🎼비 내리는 호남~ 사이버보안 콘퍼런스 🔐

2024년 10월 2일, 제5회 호남 사이버보안 콘퍼런스가 광주 김대중컨벤션센터에서 열리며 호남 지역 사이버보안 인재들과 정보보안 전문가들이 한자리에 모였다. 이번 행사는 한국정보보호학회 호남지부, 국가정보원 호남지부, 광주광역시, 한국전력공사, 한국인터넷진흥원, 광주광역시 정보보안협의체가 공동으로 주최했으며, 동신대학교, 전남대학교, 목포대학교, 광주관광재단이 공동 주관했다.

[ 제5회 호남 사이버보안 콘퍼런스 행사 - 출처 : 호남 사이버보안 콘퍼런스 ]

호남 지역의 30여 개 공공기관, 기업, 대학이 후원한 이 행사는 민·관·학계 간 보안 역량을 증진하고 최신 보안 기술을 논의하는 자리로, 680여 명이 참석해 열기를 더했다. 정보보안 부스에서는 광주·전남 지역의 해킹 동아리 '해커스페이스'가 마련한 해킹 체험 프로그램과 한국전력공사, 한국인터넷진흥원 등 다수의 기관이 참여한 보안 제품 전시 및 취업 상담이 진행되었다.

콘퍼런스의 주요 프로그램으로는 정보보안 연구 논문 발표, 해킹 대회, 해킹캠프 등이 포함되었으며, 업계 전문가인 스틸리언의 박찬암 대표가 특별 강연을 진행해 큰 호응을 받았다. 또한, 대학 간 침해 대응·분석 경진대회와 청소년 해킹캠프도 개최되어 정보보안 인재들이 실력을 겨루는 자리가 마련되었다. 웹 취약점 경진대회와 대학 간 침해 대응/분석 경진대회에서 BoB 수료생들도 다수 참가했으며, 각 대회에서 최우수상과 장려상을 수상하는 등 성공적인 성적을 보여주었다.

이동휘 동신대 교수(콘퍼런스 운영위원장)는 "이번 행사가 지역 내 사이버보안 역량 강화를 돕고, 정보보안 인재 양성에 기여할 것으로 기대된다"라며 행사의 성과를 강조했다.

[ 제5회 호남 사이버보안 콘퍼런스 현장 - 출처 : 직접 촬영 ]

행사 주요 대회와 자격 요건은 다음과 같았다.

웹 취약점 경진대회는 주어진 사이트를 대상으로 취약점을 발견하는 방식으로, 대학부와 일반부로 나누어져 있으며 온라인 예선을 통해 오프라인으로 본선을 진행했다. 참가 요건은 정보보호 민간단체(한국융합보안학회, 한국정보보호학회)의 개인 or 기업 회원으로 회사･대학에 소속된 팀(팀 당 3명 이내)으로 한정한다.
대학 간 침해 대응/분석 경진대회는 올해의 경우에는 예선 없이 당일 대회가 진행되었다. 가상의 침해 사고가 발생한 이미지를 분석하여 주어진 문제지를 해결하는 방식으로, 참가 요건은 3인으로 구성된 대학 별 팀 단위 구성이다.

추계학술대회도 개최되었는데, 산업 보안, 디지털 포렌식, 인공지능 보안 등 다양한 분야에 대한 세션 발표와 포스터 발표가 진행되었다. 또한, 다양한 보안 기업에서 솔루션 소개와 기업 소개를 들으며 간단한 퀴즈를 푸는 부스가 있었다. 한편에서 해커스페이스 부스가 진행되는 것이 보였는데, 보안 입문자 및 방문객들을 대상으로 프롬프트 탈옥, 비밀번호 맞추기 등 보안에 흥미를 도와줄 수 있는 미니 게임이 준비되어 진행하는 것을 확인했다.

당일 부스 체험 시 메인 행사 경품 추첨도 진행되었는데 현장 등록 시, 팜플렛을 수령하는데 이 때 콘퍼런스 행사 및 기업 홍보 부스에서 도장을 받는 진행 방식이었다. 팜플렛에 필요한 도장을 모두 완성할 시 응모권 4장을 수령할 수 있었다. 경품은 MacBook Air, AirPods Max 등 총 2,000만원 상당으로 다양하게 준비되었다.

보안솔루션 전시회에는 개인정보보호, 네트워크 보안, EDR, NDR, XDR, SOAR, SIEM, 랜섬웨어 방지, 시스템 보안, 클라우드 보안, 네트워크 보안, 차세대 방화벽, 내부위협 방지, 제로트러스트, 애플리케이션 보안, API 보안, 아이덴티티 보안, 통합인증, 인공지능 보안, DLP, 데이터보안, 보안관제, 위협 인텔리전스 등 사이버 보안 전 분야 기업들이 참여했다.

[마치며]

컨퍼런스 체험과 오프라인 대회 본선을 경험할 수 있어 뜻깊은 시간을 보낼 수 있었다. 컨퍼런스 관련 내용은 공식 홈페이지(https://www.cshonam.or.kr/)에서 확인할 수 있다. 내년에는 더욱 더 크게 진행된다고 하니, 관심이 있다면 내년에 다시 찾아올 호남 사이버보안 콘퍼런스에 대회 참가하는 것이 어떨까.

(4) ???: 저 그만 괴롭혀요 : AI 모델을 탈옥하는 방법 공개

[연구원들이 AI 모델을 탈옥하는 방법을 공개]

2024년 6월, Cicada3301 랜섬웨어의 등장으로 사이버 보안 업계에 큰 충격을 주고 있다. Rust 언어로 작성된 이 랜섬웨어는 Windows와 Linux뿐만 아니라 VMware ESXi 시스템까지 타겟으로 삼아, 크로스 플랫폼 공격이 가능한 고도로 정교한 위협으로 평가되고 있다. 특히 소규모에서 중견 기업(SME)을 주요 공격 대상으로 삼고 있다는 점이 특징이며, 보안 취약점을 악용해 시스템에 접근하는 방식으로 공격을 시작한다.

최근 해외 사이버보안 연구원들이 AI 모델을 탈옥하는 새로운 공격 기법인 ‘Deceptive Delight'를 밝혀냈다. Palo Alto Networks의 Unit 42 팀에 따르면, 이 기법은 대화형 AI에서 악성 명령을 교묘하게 숨겨 모델을 속이고, 이를 통해 제한된 주제에 대해 안전하지 않은 콘텐츠를 생성하게 만드는 방식이다. 평균 64.6%의 공격 성공률을 보이며, 특히 세 번째 대화 턴에서 더 높은 확률로 유해한 출력이 생성되는 것이 특징이다.

이러한 Deceptive Delight는 대규모 언어 모델을 대화형 대화에 참여시켜 가드레일을 우회하고, 안전하지 않거나 유해한 콘텐츠를 생성하도록 유도하는 multi-turn 기술이다. 즉, AI 모델이 복잡하거나 긴 문장을 처리할 때 중요한 경고를 놓치고, 그로 인해 잘못된 출력을 생성할 수 있는 것이다.

이는 many-shot jailbreak 방법이라고 불리는 방식과는 차이점이 있다. many-shot 방법 같은 경우에는 안전하지 않거나 제한된 주제를 무해한 명령 사이에 끼워 넣는 것이라면, 해당 기법은 점차적으로 모델이 유해한 출력을 생성하도록 유도하는 것이다.

[Deceptive Delight의 주요 특징]

Deceptive Delight는 LLM 고유의 약점을 이용해 두 대화 턴 내에서 맥락을 조작해 LLM을 속여 실수로 안전하지 않은 콘텐츠를 유도하도록 설계되었다. 세 번째 턴을 추가하면 해로운 출력의 심각성과 세부 사항이 높아지는 효과가 있다는 것이 특징이다. 또한 해당 모델은 제한된 주의 지속 시간을 활용한다. 이는 모델이 반응을 생성할 때 상황 인식을 처리하고 유지하는 능력을 말한다. LLM이 무해한 내용과 잠재적으로 위험을 끼칠 수 있는 자료나 해로운 내용이 섞인 프롬프트를 마주하면 주의 집중 시간이 제한되어 전체 맥락을 일관되게 평가하기 어렵다는 점을 활용하였다. 또한 복잡하거나 긴 구절에서 모델은 양성적인 측면을 우선시하지만 안전하지 않은 측면은 무시하거나 잘못해석하는 경향이 있다는 것을 밝혀냈다.

[ 공격 과정 - 출처 : The Hacker News ]

해당 연구원들은 “증오, 괴롭힘, 자해, 성적, 폭력, 위험” 등 6가지의 범주에 걸쳐 40가지의 안전하지 않은 주제를 사용해 8개의 AI 모델을 테스트한 결과, 폭력 범주에 속하는 안전하지 않은 주제가 가장 높은 공격 성공률을 보였다. 또한 평균 유해성 점수와 품질 점수가 2턴에서 3턴으로 21%, 33% 증가하는 것으로 나타났고, 세 번째 턴에서 모든 모델들이 가장 높은 공격 성공률을 보여주었다.

[대응 방안 및 마무리]

이러한 위험을 완화 시키기 위해서는 콘텐츠 필터링을 적용하고 허용 가능한 입력 및 출력 범위를 명시적으로 정의하는 것이 좋다.

새로운 연구에 따르면 생성 AI 모델이 개발자에게 존재하지 않는 패키지를 추천할 수 있는 “package confusion”에 취약하다는 사실 또한 드러났다. 이는 LLM이 jailbreak과 hallucination로부터 완전히 안전할 수 없다는 것을 보여준다. 만약 해커가 hallucination 패키지를 생성하고, 이를 malware에 감염시키고, 오픈소스 저장소로 푸시하면 소프트웨어 공급망 공격이 심각해질 수 있는 부작용 또한 존재한다. 상업용 모델의 경우 hallucination 패키지의 평균 비율은 최소 5.2%이고 오픈소스 모델의 경우 21.7%이며 여기에는 약 205,474개의 고유한 hallucination 패키지 이름이 포함되어 있어 이 위협의 심각성을 무시할 수 없다.

AI는 우리의 삶을 더욱 편리하게 만들고 다양한 분야에서 혁신적인 도움을 주고 있다. 그러나 이러한 기술의 발전은 동시에 악용될 가능성도 내포하고 있는 것을 보여준다. Deceptive Delight와 같은 공격 기법은 AI 시스템의 취약점을 이용해 위험한 결과를 초래할 수 있기 때문에, AI 모델을 신중하게 다루고 안전하게 설계해야한다. 문제를 풀어주고, 궁금한 것을 해결해 주는 완벽한 LLM을 무작정 사용할 것이 아니라 AI의 잠재적인 위험을 인지하고, 신중한 사용을 해야 할 필요가 있다 !

(5) ⚡11월 전력망 붕괴의 순간이 온다 : 사이버 공격 방어 훈련 대회

[ ELECCON 대회 포스터 - 출처 : 일렉콘 ]

ELECCON 2024는 한국전력공사(한전)와 국가정보원이 공동으로 주관하는 실전형 사이버 공격 방어 훈련 대회로, 올해 4회째를 맞이한다. 이번 본선 대회는 국가 중요 인프라인 에너지 시스템 보호를 목표로, 참가자들이 가상의 환경에서 다양한 사이버 공격에 대응하는 능력을 강화하는 데 초점을 맞추고 있다.

대회는 실시간으로 진행되는 사이버 위협 상황에 대한 실전 경험을 제공하며, 사이버 보안 전문가를 꿈꾸는 이들에게 보안 역량을 높일 수 있는 중요한 기회를 제공할 것이다.

🗓️ 대회 일정 및 구성

훈련은 예선과 본선으로 나누어 진행된다. 먼저, 예선은 10월 8일 (화) 10:00 – 18:00까지 온라인으로 진행이 되었으며, 온라인으로 참가 신청을 한 대학팀, 고등학교팀을 대상으로 운영했다. 2인 1조로 이루어 CTF 방식 진행을 통한 본선 훈련 참가팀 선발했으며, 에너지 기관팀은 별도의 예선 없이 주최 측의 추천, 모집 등을 통해서 본선 참가팀을 선정한다.

다가오는 본선은 2024년 11월 13일(수) 14:00 - 11월 14일(목) 16:00까지 전남 나주에 위치한 한전 본사에서 개최될 예정이다. 예선을 통해 올라온 대학부( 대한민국 국적의 대학교에 재학 중인 학부생 또는 휴학생으로 구성된 팀), 고등부(대한민국 국적의 고등학생 또는 이에 준하는 자로 구성된 팀) 그리고 에너지 기관부(국내 에너지 기관에 재직 중인 직원으로 구성된 팀)로 나누어 진행된다. 참가자들은 온라인으로 치러진 10월 8일 예선을 통과해야 본선에 진출할 수 있으며, 각 부문에서 선발된 상위 8개 팀이 본선에서 실력을 겨룬다. 본선은 한전이 구축한 가상 에너지 인프라를 바탕으로 진행되며, 참가자들은 다양한 실시간 사이버 공격 시나리오에 대응하면서 방어 전략을 실전에서 테스트하게 된다.

⚔️ 대회의 목표와 진행 방식

[ ELECCON 대회 운영 방식 - 출처 : 일렉콘 ]

일렉콘의 핵심은 실제 에너지 시스템에서 발생할 수 있는 다양한 사이버 위협에 대한 방어 역량을 키우는 것이다. 공격팀은 시나리오에 따라 에너지 시스템을 겨냥한 다양한 사이버 공격을 실행하며, 방어팀은 이러한 공격을 탐지하고 차단한 뒤, 시스템 복구 작업을 통해 시스템 가용성을 유지하는 훈련을 진행한다.

훈련 시나리오는 실제 에너지 시스템에서 발생할 수 있는 다양한 위협 요소를 포함하며, 공격팀은 네트워크 침입, 랜섬웨어 공격, APT 공격 등의 복합적인 공격을 감행한다. 이를 통해 참가자들은 위협 탐지, 대응 및 복구 과정에서 실전과 유사한 경험을 쌓게 된다. 훈련 일정, 포상 등 세부 내용은 주최 측의 사정에 따라 변동될 수 있으며, 변동 내용은 특별한 사정이 없는 한, 본 홈페이지를 통해서 공지한다. (https://eleccon.kr/)

각 부문에서 우수한 성적을 거둔 팀에게는 산업부 장관상과 한전 사장상을 포함한 상장과 상금이 수여되며, 사이버 보안 전문가로 성장할 수 있는 발판을 마련하게 된다. 이와 같은 대회는 에너지 시스템의 사이버 보안을 강화하고, 실전 경험을 통해 미래 사이버 보안 인재를 양성하는 데 중요한 역할을 하고 있다. 한전의 정보보안 실장은 "이번 훈련은 실제와 유사한 환경에서 이루어지며, 참가자들에게 사이버 보안 역량을 강화할 수 있는 중요한 기회를 제공할 것"이라고 밝혔다.

[글을 마치며]

에너지 시스템을 타겟으로 한 사이버 공격이 점차 증가하는 상황에서, 일렉콘 2024는 이러한 위협에 대비할 수 있는 실질적인 방어 역량을 강화하는 중요한 행사로 자리 잡고 있다. 참가자들은 가상의 에너지 시스템에서 다양한 사이버 공격 시나리오에 맞서 대응하고, 이를 통해 실제 상황에서 요구되는 보안 역량을 길러 나간다. 이 대회는 미래 사이버 보안 인재 양성에 중요한 역할을 하며, 국가의 에너지 인프라를 지키기 위한 사이버 보안 역량 강화에 이바지할 것으로 기대된다.

(6) ♚♚보안★ㅈr격증으1@세ㄱㅖ로☆ㅇㅕzㅓ분을$$초ㄷㅐ합ㄴ1ㄷr♚♚

4차 산업혁명의 물결 속에 있는 오늘날, 클라우드, AI, 블록체인 등 신기술들의 등장과 다양한 산업군과 IT의 융합으로 비약적인 기술 성장을 이룩하고 있다. 이러한 산업의 디지털화로 인해 신종 보안 위협들이 증가하고 있어 보안 전문가에 대한 수요가 그 어느 때보다 높다고 할 수 있다.

하지만, 치열한 취업 준비 시장에서 성공하기 위해서는 자신의 지식을 증명할 수 있는 다양한 자격증들이 필요하다. 최근 채용 공고를 살펴보면, 대부분의 기업에서 정보보안기사, CISA, CISSP, CPPG 자격증 보유자를 우대사항으로 두고 있다. 또한 자격증 취득을 위한 공부가 아닌 미래를 위한 공부를 하게 되면, 자연스럽게 면접 대비도 될 수 있으며 나아가 실무에서도 도움을 받을 수 있다. 이번 기사에서는 대표적인 4가지 보안 자격증에 대해 자세히 살펴본 후, 분야별, 시기별로 필요한 자격증들을 알아보고자 한다.

정보보안기사 - 정보보안산업기사

정보보안기사는 국내 유일의 정보보호분야 국가기술자격증으로, 기사자격증 중 손에 꼽을 정도의 낮은 실기 합격률을 가진 자격으로도 유명하다. 그러나 대부분의 기업에서 우대사항으로 두고 있어 많은 사람들이 취득하려고 하는 자격증이다. 일반적으로 4년제 대학의 경우, 재학/휴학증명서에 ‘4학년’이 표시되어 있으면 응시가 가능하며, 산업기사 취득 후 관련 병과 군 경력이나 인턴 등의 경력을 이용하면 4학년 이전에 응시도 가능하다.

시행기관: 한국방송통신전파진흥원
직무 수행: 정보보호에 대한 지식과 운용 경험을 바탕으로 실무적인 시스템과 서버, 네트워크 장비 및 보안 시스템 운용을 통해, 보안 업무 및 보안 정책 수립과 보안 대책 구현, 정보보안 관련 법규 준수 여부를 판단하는 등의 업무 수행
정보보안기사 응시자격
- 동일 및 유사 직무 분야에서 4년 이상의 경력
- 4년제 대학 졸업 및 졸업예정자(4학년)
- 2년제 대학+경력 2년 / 3년제 대학+경력 1년
- 산업기사+경력 1년 / 기능사(청보처리기능사 포함)+경력 3년
정보보안산업기사 응시자격
- 동일 및 유사 직무 분야에서 2년 이상의 경력
- 2, 3년제 대학 졸업 및 예정자(4년제 대학 2학년 2학기 수료자)
- 기능사+경력 1년

[ 2024 정보보안기사/산업기사 시험 일정 - 출처 : KCA ]

CPPG(개인정보관리사)

개인정보의 중요성이 올라간 요즘, 개인정보담당자를 준비하는 사람들도 많아지고 있다. CPPG는 개인정보 분야 취업을 준비중이거나 실무자에게 도움이 되는 자격증이다. 민간자격증이긴 하나, 일반 보안담당자 직군에서도 우대사항으로 두고 있는 경우가 많아 많은 사람들이 취득하려고 하는 자격증이다. 다소 난이도가 있고, 응시료가 높지만 학생의 경우 검정수수료를 50% 할인해주므로 부담을 줄일 수 있다.

시행기관: 한국CPO포럼
직무 수행: 개인정보보호 정책 및 대처 방법론에 대한 지식 및 능력을 갖춰 개인정보보호와 관련된 보안정책의 수립, 기업/기관과 개인정보보호의 이해, 개인정보 취급자 관리, 관련법규에 대한 지식 및 적용하는 등의 업무 수행
응시자격
- 응시 제한 없음

정보처리기사 - 정보처리산업기사

정보처리기사는 IT 직군을 희망하고 있다면 필수라고 볼 수 있는 국가기술자격시험이다. 요즘은 보안 직군에서도 개발 및 DevSecOps 역량을 중요시 하는 경우가 많아 정보처리기사를 취득해두면 도움이 될 수 있다. 특히 올해부터 만 34세 이하 청년의 경우 한국산업인력공단에서 진행하는 국가기술자격시험의 응시료를 50% 지원해주는 사업이 진행되고 있어 경제적 부담 없이 응시가 가능하다.

시행기관: 한국산업인력공단
직무 수행: 컴퓨터 시스템을 개발 및 운용하거나, 네트워크를 이용하여 정보처리를 수행하는 다양한 기업 및 기관에서 소프트웨어의 설계 및 구현, 데이터베이스와 프로그래밍 및 정보시스템 구축관리 등의 업무 수행
정보처리기사/산업기사 응시자격
- 정보보안기사/산업기사와 동일

CISA(정보시스템감사사)

CISA는 정보시스템 거버넌스, 통제, 보안 및 감사 분야의 국제공인전문자격증으로 모든 보안 분야에서 우대 받을 수 있으며, 특히 해외 취업 시에 큰 도움이 될 수 있는 자격증이다. 특히 올해부터 CISSP(정보시스템 보안전문가)가 한국에서 응시 불가능해지면서 국내에서 취득가능한 국제자격증이 손에 꼽게 되었다.

시행기관: ISACA International
직무 수행: 경영 전략과 조직관리, 정보시스템 기반 기술, 정보시스템 보안 및 위험 관리, 정보시스템 개발 및 프로젝트 관리, BPR과 전자상거래 등의 업무 수행
응시자격
- 정보시스템 감사, 통제, 보증 또는 보안 관련 분야에서 5년 이상의 경력
- 60학점의 대학교육(2~3년제 대학)은 1년의 실무 경력으로, 120학점의 대학교육(4년제대학)은 2년의 실무경력으로 인정되며, 관련분야 석사학위 소지자는 추가 1년이 인정된다.(최대 3년 면제 가능)
- 응시자격을 충족하지 못한 자는 CISA 시험 합격 점수 취득 5년 이내에 자격 요견을 만족시키면 자격을 인정받을 수 있음

그 외 보안 관련 자격증

앞서 언급한 자격증 외에도 CEH(윤리적해커), OSCP(화이트해커), CISM(정보보안관리자), CISSP(정보시스템 보안전문가)와 같은 국제 자격증들도 존재한다. 국제자격증인 만큼, 해외 취업 시에도 우대받을 수 있으며, 특히 OSCP 및 CEH의 경우 모의해킹 분야 자격증이 손에 꼽기 때문에 보안 컨설팅 업체 취업 시 도움이 된다.

일정 기간 이상 경력을 쌓았다면, 심사원 활동에 필요한 자격들을 취득할 수 있다. ISMS-P 인증심사원을 취득하여 인증 심사에 참여하거나, PIA를 취득하여 개인정보 영향평가에 참여하거나, 소프트웨어 보안약점 진단원을 취득하여 클라우드서비스 보안인증(CSAP) 심사에 참여하거나 정보시스템 감리 수행 시 우대를 받을 수 있다.

[ 시기별 취득 추천 보안 자격증 ]

보안과 직접적으로 관련되어있지 않더라도, 취업에 도움이 되는 다양한 자격증이 존재한다.

금융권 취업을 희망한다면, 투자자산운용사와 AFPK 취득 및 일정 등급 이상의 매경TEST나 TESAT을 취득하는 것이 도움이 될 수 있다.

클라우드 보안을 업무로 하고 있거나, 희망하고 있다면, 클라우드 자격증을 하나 이상 취득하는 것이 도움이 된다. AWS에서 시행하는 SSA(Solutions Architect Associate)을 취득하거나, 리눅스재단에서 시행하는 쿠버네티스 자격증인 CKA(Certified Kubernetes Administrator)을 취득하거나, 네이버클라우드플랫폼에서 시행하는 NCA, NCP, NCE를 취득할 수 있다.

[ 분야별 자격증 ]

또한 취업 시에는 어학 성적도 중요한 요소 중의 하나이다. 만약, 대기업 취업을 희망하고 있다면 IM1~IM2 이상 등급의 TOEIC Speaking 또는 Opic 성적을, 공기업 취업을 희망한다면 700~800점 이상의 TOEIC 점수를 취득하면 지원 자격이 충족되지 않아 지원하지 못하는 불상사를 예방할 수 있다.

[글을 마치며]

자격증은 단순한 자격이 아닌, 보안 분야에서 쌓아온 지식과 경험을 증명하는 중요한 증거가 되어준다. 필수는 아니지만, 자격증 취득을 위해 준비하는 과정 자체가 미래에 큰 도움이 되어 줄 것이다. 게다가 각 지자체에서 자격증 및 어학 시험 응시료를 지원하고 있어 경제적 부담을 덜 수 있다. 시간에 여유가 있다면, 자신의 목표와 상황에 맞는 자격증을 선택하고 도전해보는 것이 어떨까?

예나의 TMI > 현재 정보보안기사 실기시험 원서 접수기간입니다! 필기를 취득해 둔 사람이라면 잊지 말고 신청합시다 😊