케이쉴드주니어 11기 침해사고대응 합격후기

☞ 서류합격 후기
☞ 지필평가
☞ 면접 후기 

 

케이쉴드주니어 11기 모집공고

 
이번에 케이쉴드주니어(K-Shield Jr.) 11기에 지원했습니다.
 
장기간 무료로 진행되는 보안교육이 많이 없을 뿐더러, 여러 방면에서 지원을 많이 해주는 보안 교육은 BoB, 케이쉴드 주니어 정도만 알고 있어 둘 중에 하나는 꼭 하고 싶었습니다. BoB는 작년에 지원을 했었지만 면접에서 탈락하고, 이번 년도에는 다시 지원하지 않았습니다. 저는 현재 보안 쪽에서 인턴으로 일하고 있는데, 경험이 부족하다보니 실무 일을 맡는 게 어렵고 부담이 되었습니다. BoB는 주말 없이 공부한다고 해서 스케줄 상의 문제도 있었고, 차라리 빨리 취업해서 실무를 경험하고 싶은 마음이 컸기 때문에 4학년 재학생이 된 지금 케쉴주에 지원하고 붙으면 졸업 후 지원을 받아 취직할 예정입니다.
 
저는 작년에 6학기를 마치고 휴학하며 인턴을 하는 상황이었고,
케쉴주에서 말하는 최종학년 기준이 다음 학기에 7-8학기 재학생이라 다행히 조건이 맞았습니다.
사실 최종학년 아니어도 서류는 합격하는 것 같습니다. 면접에서 떨어트릴 수도 있지만. (이게 더 가혹한 게 아닌지..)
 
본격적인 후기를 쓰기에 앞서 제가 케쉴주에 지원할 때 도움을 받았던 후기 링크를 남길까 합니다.
구글에 노출된 케쉴주 합격 후기는 거의 다 살펴본 것 같은데, 도움이 많이 되었던 후기 링크만 남겼습니다.
https://timing-bravery.tistory.com/28 케쉴주 6기
https://kkomii22.tistory.com/35 케쉴주 7기
https://solar1234.tistory.com/1 케쉴주 4기
https://ccurity.tistory.com/278 케쉴주 3기
https://magn0lia.tistory.com/44 케쉴주 9기
https://foxtrotin.tistory.com/577 케쉴주 9기
 
케이쉴드 주니어 10기 설명회
https://www.youtube.com/live/AJhiTwgMhQE
케이쉴드 주니어 블로그 (4기에서 끊김)
https://blog.naver.com/kshieldjr/221444979387
KISEC 블로그에 케이쉴드주니어 소식이 올라오네요.
https://blog.naver.com/kisecedu
케이쉴드주니어 기술팀 팀장님 FAQ
https://rjswn0315.tistory.com/180
 
[보안프로젝트] 케이쉴드주니어 면접관 입장에서 볼 때 준비하면 좋은 것
https://youtu.be/169QgPfpcGw
 

#서류

서류전형이 예전 기수에 비해 상당히 간소화 된 것 같습니다. 서류보다는 지필과 면접으로 합불을 가리려는 의도가 보였습니다. 구글폼으로 접수를 받는데, 응답은 메일로 오지 못하게 설정되어 있어서 지원동기는 따로 적어두시는 게 좋습니다.
 
지원 폼에는 기본 인적사항과 재학상태, 다음 학기 휴학 여부, 졸업시기 등을 작성하고,
지원동기 / 자격증 / 경력사항 / 희망진로 / 케쉴주를 선택한 이유 등을 기입하게 됩니다.
 
심화과정은

모의해킹 | 정보보호컨설팅 | 개인정보보호기술 | 침해사고대응 | 정보시스템취약점진단 | 클라우드보안운영

총 6가지 과정으로 이루어져 있습니다.
 
저는 1지망은 침해사고대응, 2지망은 정보시스템 취약점 진단을 선택했습니다.
지원파트도 고민이 많았는데, 케쉴주 10기 모집설명회 영상을 보면 커리큘럼을 어느 정도 알 수 있으니 참고하시면 좋을 것 같습니다. 10기와 달리 오프라인 교육도 요일이 붙어 있어(월화/수목/금토) 개강하면 수업을 들을 수 있을지 걱정도 했습니다만, 영상의 QnA 답변을 보니 학업와 병행할 수 있도록 조정해주는 것 같아 일단 제일 듣고 싶은 파트를 1지망으로 골랐습니다.
 
지원동기는 500~1000자입니다. 원래는 꽉 채우려고 했는데, 이거 적느라 머리 싸매고 있는 것보다 얼른 내고 지필과 면접에 집중해야겠다는 생각이 들어 간략하게 그동한 해왔던 활동과 지원 동기를 나누어 적었습니다.
 
동아리에서 웹해킹과 포렌식을 위주로 공부했고, 대외활동(CTF 문제제작), 대회 참가, 보안교육에서 보고서 썼던 거, 디지털포렌식 2급 필기 합격, 인턴으로 근무하고 있는 것까지 면접에서 확실하게 대답할 수 있는 활동은 다 적었습니다.
지원동기는 인턴으로 근무하면서 느꼈던 한계나 더 공부하고 싶었던 것들, 공부하면서 어려웠던 것들을 적으며 케이쉴드주니어에서 성장하겠다고 적었네요. 나중에 보니 문장구조가 좀 이상한 부분이 있었지만... 다행히 서류합격은 했습니다.
 

서류합격 메일

 

#지필

지필은 정보보안기사 문제를 바탕으로 출제가 됩니다. 제가 보안기사를 공부해 본 적이 없다 보니, CBT로 문제를 풀 때 절반 정도는 모르거나 아예 처음 보는 개념이 나오더군요. 단시간에 공부하기에는 범위가 너무 넓은 것 같아 공부 방향을 바꿨습니다. 합격 후기에서 출제되었던 문제를 모두 모아 정리하고 모르는 개념을 익히는 방식으로 공부했습니다. 실제로 비슷한 문제들이 많이 나왔고, 도움이 많이 되었습니다. 여전히 절반 정도는 틀린 것 같긴 하지만ㅎㅎ 총 30문제였고 제한 시간 역시 30분이었습니다.
 
예전 글이긴 하지만 케쉴주 공식 블로그에 소개된 필기 문제 유형입니다.

<5문항>
- 시스템보안(OS구조, 유닉스/윈도우 보안)
- 정보보호 일반 (정보보호, 접근통제, 암호학 등)

<10문항>
- 애플리케이션 보안 (인터넷응용 & DB 보안, 웹 공격 및 대응, s/w 개발 보안 등)
- 네트워크 보안(TCP/IP 구조, 네트워크 공격 및 대응, 네트워크 보안 장비 등)

공격 기법의 설명을 적고 무슨 공격인지 맞추는 문제나, CS, 네트워크, 포렌식, 법률 등 다양하게 나왔습니다.
지필보다는 면접 비중이 더 높다고 하니 면접을 잘 공략해봅시다.
 

#면접

면접은 유형별로 4명씩 20분동안 보게 됩니다. 저희 조는 3명이서 면접을 봤습니다. 생각보다 시간이 많이 짧아서, 4명이었으면 대답할 시간이 부족했을 것 같습니다.
 
면접 역시 공통질문, 개인질문 싹 다 긁어모아서 벼락치기로 대비했습니다. 다행히도 개인질문보다는 공통질문 위주로 진행이 되어서, 전부 예상했던 범위 안에서 질문이 들어왔습니다. 면접을 잘 보는 편은 아닌데, 좀 떨더라도 말하고자 하는 바만 끝까지 전달하자라는 생각으로 차분하게 대답했습니다. 돌아가면서 답변을 말하기 때문에, 답변이 끝나면 "이상입니다.", "감사합니다." 등으로 확실하게 끝맺음을 짓는 게 좋습니다. 그래야 시간이 지체되지 않고 원활하게 진행됩니다.
 
아래는 면접 질문인데, 기억나는 느낌대로 적었습니다.
 

---

 

[공통질문]
Q. 간단하게 1분 정도 자기소개 부탁드릴게요.

- 안녕하세요, 케이쉴드 주니어 침해사고 대응 파트에 지원한 OOO입니다. OO학교에 재학 중이며 보안 학회에서 웹해킹과 포렌식을 공부했고, 운영진을 했던 경험이 있습니다. 현재는 OO에서 인턴으로 일하며 침해대응 및 컨설팅 업무를 수행하고 있습니다.
 
실제로는 많이 절었고, 자기소개를 특별하게 준비하지도 않았습니다. 개인질문을 대비해 면접시간을 조절하려 했거든요. 근데 아쉽게도 꼬리질문은 안 들어왔습니다. 
 

Q. 자신의 특성(강점)과 관련해서 어떤 직무 지원했는지 말씀해주세요.

- 저는 CERT 팀에 지원할 예정입니다. 평소에 꼼꼼하고 섬세한 편이라 CERT 팀에 잘 어울릴 거라 생각했습니다. 그리고 침해사고가 일어났을 때 잘 대응하고 대처하는 것이 가장 중요한 가치라고 생각하기 때문에 CERT 팀에 지원하고 싶습니다.
 
아마 지원한 파트를 말씀하셨던 것 같은데 직무라는 단어 때문에 원하는 진출 분야로 이해하고 CERT팀을 희망한다고 말했습니다. 따로 지적은 안 해주셨던 거 보면 침해사고 대응이랑 맥락이 비슷해서 그냥 넘어간 게 아닐까 싶습니다. 
 

Q. 만약에 케이쉴드 주니어 과정에서 프로젝트 팀장을 맡게 되었을 때, 팀원이 자꾸 빠진다면 어떻게 대처하실 건가요?

- 팀장으로서 조금은 팀을 위해 희생할 필요가 있다고 생각하기 때문에, 팀원의 스케줄을 조정해주고 중간 관리 역할을 잘 수행할 것 같습니다.
 
예상치 못하게 인성 관련 질문이 나와서 조금 당황했습니다. 이런 인성 질문은 정답이 뭔지 정말 모르겠습니다. 솔직히 다들 팀원 탈주하면 그냥 혼자서 다 하지 않나요? 저는 항상 그래왔는데... 의지가 없는 사람을 붙들고 강제로 참여시키기도 어렵고. 그래도 독재자같은 인상은 주고 싶지 않아서 희생을 조금 할 필요가 있다고 얘기했습니다. 맞는 대답인지 모르겠네요. 
 

Q. 케이쉴드 주니어 과정을 통해 장기적으로 무엇을 하고 싶나요? (진로계획)

- 케이쉴드 주니어 수료 후 CERT 팀에 지원할 예정인데, CERT 팀은 신입은 잘 뽑지 않는다고 들어서 모의해킹이나 다른 분야로 취업을 준비할 예정입니다. 케이쉴드주니어에서 실무 교육을 잘 배워가고 싶습니다.
 
마지막 문장을 뭐라고 했는지 잘 기억이 안나네요. 말하다가 뭔가 답변이 부족해보여서 어필하려고 포부같은 문장을 말하고 끝냈습니다.
 

[개인질문]
Q. 인상깊은 사건이나 최근 해킹사고 관련해서 어떻게 생각하는지 말씀해주세요.

- 최근에 스타벅스에서 사용자의 계정 정보가 노출되어 선결제 금액으로 피해를 입는 등, 크리덴셜 스터핑 기법으로 공격을 당한 기사를 읽었습니다. 그런데 이게 2019년에도 똑같이 일어났던 일이라, 침해 사고가 일어났을 때 제대로 대처하는 것이 중요하다는 생각을 했습니다.
 
크리덴셜 스터핑 기법에 대해 공부했기 때문에 문맥상 어색했지만 그 단어를 사용했는데 바로 꼬리질문이 들어오더군요. 
 

Q. 크리덴셜 스터핑 기법이 뭔가요?

- 크리덴셜 스터핑 기법은 이미 알려진 아이디나 비밀번호를 스타벅스 앱에 로그인하며 공격하는 기법입니다.
 
설명을 좀 버벅이긴 했는데 중간에 알아들었다는 듯이 끄덕여주셔서 안심했습니다. 크리덴셜 스터핑 기법은 기존에 유출된 아이디와 패스워드를 여러 웹사이트나 앱에 로그인하는 공격 기법입니다.
 

Q. 본인은 비밀번호를 어떻게 관리하시나요?

- 시중에 비밀번호 관리 프로그램이 있기는 하지만, 저는 크롬 브라우저를 자주 이용하기 때문에 크롬의 비밀번호 관리 기능을 사용합니다.
 
꼬리질문으로 이런 질문이 들어올 줄은 몰랐는데, 다행히 인턴을 일하면서 비밀번호 관리 프로그램에 익숙해져서 제가 사용하지는 않지만 대안을 제시하는 느낌으로 답변할 수 있었습니다.
 

Q. 사용자들이 비밀번호를 다 바꾸라 하기도 힘들고, 비밀번호 관리 프로그램이 해킹당하거나 하면 어떡하죠?

- 그런 일이 발생한다면 당연히 안 되겠지만, 사실 사용자들에게 책임을 지우는 것보다 기업 측에서 인증체계를 강화하는 등의 방식으로 해결하는 것이 더 효율적이라고 생각합니다.
 
평소에 저도 가지고 있던 고민이지만 해결 방법은 몰랐기 때문에, 기사에서 대응방법으로 나왔던 인증체계 강화를 대안으로 말했습니다. 대응방법 물어볼 줄 알고 준비하고 있었는데 다른 질문이 나와서 조금 당황했습니다. 마지막 질문 같아 아는 부분은 최대한 대답하려고 대응방법을 끼워넣었는데, 아마 이 때 말하지 않았다면 꼬리질문으로 한 번 더 질문이 들어오지 않았을까 싶네요.
 
 
+) 합격했습니다!! 너무 기쁘네요. 열심히 공부해야지...