모든 코드에서 취약점을 찾아낸다. 침투 테스트가 취미이자 직업이며, CVE 제보가 훈장이다.
보안 전문가(SEEX) 유형은 공격자의 사고방식으로 방어를 설계하는 개발자입니다. SEC 유형보다 한 단계 더 깊이 들어가, 실제로 시스템을 침투 테스트하고 취약점을 직접 익스플로잇하며 검증합니다. CTF(Capture The Flag) 대회에 참가하고, 버그 바운티 프로그램에서 취약점을 제보하며, 오픈소스 프로젝트의 보안 이슈를 찾아 CVE를 직접 등록하기도 합니다. '공격을 알아야 방어할 수 있다'는 철학을 몸소 실천합니다.
이 유형은 암호화 이론, 네트워크 프로토콜 취약점, 메모리 보안, 웹 보안(XSS, CSRF, SQLi, XXE, SSRF, Deserialization 등)을 전문적으로 다룹니다. Burp Suite, Metasploit, Ghidra, IDA Pro, Wireshark 같은 도구를 일상적으로 사용하고, 어셈블리 코드를 읽고 분석하는 것을 편하게 여깁니다. 코드를 볼 때 기능과 동시에 공격 표면(attack surface)이 보이는 것이 이 유형의 특징입니다.
SEEX 유형이 팀에 있으면 보안 사고 발생 가능성이 극적으로 낮아집니다. 하지만 이들의 전문화된 보안 지식을 팀 전체가 이해하고 활용하게 만드는 것이 과제입니다. 너무 전문화된 보안 지식은 다른 팀원들이 따라오기 어렵고, 모든 것을 혼자 검토하다 보면 배포 속도의 병목이 되기도 합니다. 보안 교육과 자동화된 보안 테스트를 통해 팀 전체의 보안 수준을 높이는 것이 이상적인 방향입니다.
SEEX 유형은 보안을 단순한 체크리스트로 보지 않습니다. 공격자의 창의성이 방어자의 예측을 항상 앞서간다는 것을 알기 때문에, 끊임없이 새로운 공격 기법을 연구합니다. 최근 발표된 제로데이 취약점, 새로운 익스플로잇 기법, 최신 암호화 논문을 꾸준히 읽습니다. 이 지식이 팀의 보안 아키텍처 설계에 반영될 때 비로소 살아있는 보안이 만들어진다고 믿습니다.
"공격자는 한 가지만 성공해도 됩니다. 방어자는 모든 것을 막아야 해요. 그 비대칭이 무서워서 저는 항상 공격자처럼 생각하는 연습을 합니다."
— SEEX 유형 개발자SEEX 유형 개발자의 실제 하루를 따라가봅니다.