사이버보안공학 전공 보안 엔지니어로, 시스템/웹 애플리케이션 취약점 진단 및 모의 침투 테스트를 수행합니다. 과기정통부 고시 기준 진단부터 MITRE ATT&CK 기반 위협 분석까지 체계적 검증 역량을 보유하며, 백엔드 개발 경험을 바탕으로 개발팀과 효과적으로 협업하여 보안 요구사항을 설계 단계부터 통합합니다.

• 취약점 진단 & 모의 침투 테스트

  • 과기정통부 고시 기준 Unix/Windows/Web 대상 체계적 진단 수행

  • Burp Suite, Nmap, Kali Linux + Metasploit를 활용한 웹/인프라 취약점 분석 및 모의 침투 테스트

  • MITRE ATT&CK 기반 공격 기법 분류, Android 앱 디컴파일(apktool) 및 소스코드 분석

• 위협 모델링 & 보안 설계

  • STRIDE 프레임워크 기반 IoT 디바이스 보안 위협 분석

  • OWASP 기반 웹 애플리케이션 위협 시나리오 식별 및 대응 전략 수립

  • ISMS-P 보호 대책 요구 사항 분석 및 컴플라이언스 검토
    

• 보안 교육 & 개발 역량

  • Django/FastAPI 기반 백엔드 개발 및 보안 기능 구현(JWT 인증, RBAC, OTP 인증)

  • 설계 단계부터 보안 요구 사항 통합 및 비전공 개발자 대상 OWASP Top 10 교육

• Django/FastAPI 기반 백엔드 개발 경험으로 개발자 관점의 보안 솔루션 설계

• 계층형 아키텍처와 최소 권한 원칙을 통한 권한 분리 및 접근 제어 구현

• 입력 검증, JWT 기반 인증, RBAC를 통한 인증/인가 체계 구축

• 보안 요구 사항을 개발 초기 단계부터 설계에 통합하는 Secure SDLC 실천

STRIDE 위협 모델링 기법을 적용한 IoT 디바이스 보안 분석 프로젝트. RC카 무선 제어 시스템을 대상으로 Replay Attack을 실증하고, Spoofing, Tampering, DoS, Privilege Escalation 등 다층적 보안 위협을 체계적으로 분석함.

• 담당 역할: STRIDE 모델 기반 RC카 제어 시스템 위협 분석, 무선 신호 캡처 및 Replay Attack 실증, 스마트 도어락/자동차 키리스/가전기기 등 다양한 IoT 기기 대상 동일 취약점 패턴 분석

• 기술 스택: Wireshark, Python, SDR, STRIDE Framework

• 주요 성과:

  • STRIDE 6개 카테고리 기반 체계적 위협 식별 및 Replay Attack 실증

  • 다양한 IoT 기기 대상 동일 위협 패턴 확인 및 대응 방안 제시

• 프로젝트 리뷰: Microsoft STRIDE 방법론을 적용하여 단순한 공격 실습을 넘어 체계적인 위협 분석 프로세스를 경험함. 특히 하나의 취약점(재전송 방지 부재)이 STRIDE의 여러 카테고리(Spoofing, Tampering, Elevation of Privilege)에 걸쳐 다층적 위협으로 이어진다는 것을 이해함. RC카라는 단순한 기기였지만, 같은 위협 모델이 자동차 키리스 엔트리, 스마트 도어락 등 실제 보안 사고로 이어지는 IoT 기기에도 그대로 적용된다는 점에서 위협 모델링의 중요성을 체득한 프로젝트였음.

주요정보통신기반시설 취약점 분석·평가 기준을 기반으로 Unix/Windows 시스템 및 웹 애플리케이션 대상의 엔드 투 엔드(End-to-End) 진단 수행.

• 담당 역할: Unix/Linux/Windows 서버 대상 취약점 진단, OWASP Top 10 기반 웹 취약점 점검, 과기정통부 고시 및 개인정보보호법 기반 Compliance 평가, Shell Script 기반 자동 점검 스크립트 개발

• 기술 스택: Unix/Linux Shell, Burp Suite, Nmap

• 주요 성과:

  • 인프라/애플리케이션/개인정보보호 전 영역 체계적 진단 및 자동화 도구 개발

  • 자동화 도구와 수동 검증 결합으로 오탐(False Positive) 최소화

  • 고위험 취약점 식별 및 환경별 우선순위 기반 패치 권고안 제시

• 프로젝트 리뷰: KISA 가이드라인 기준으로 인프라 전반을 진단하면서, 기술적 점검과 법적 규정을 동시에 충족하는 분석 프로세스를 경험함. 특히 Shell Script 자동화로 반복 작업 효율을 높이되, 자동화 도구가 놓치는 논리적 결함(권한 설계 오류 등)은 수동 검증을 병행하며 진단 정확도를 높임. 단순히 취약점을 나열하는 것을 넘어, 환경별 우선순위를 고려한 패치 권고안을 제시하며 실무 중심 진단 역량을 확립한 프로젝트였음.

Kali Linux 및 Metasploit를 활용한 모의침투 테스트 실무 프로젝트. Android 모바일 환경과 Windows 시스템을 대상으로 공격 시나리오 설계부터 취약점 분석, 위험 평가까지 End-to-End 프로세스를 수행함.

• 담당 역할: 악성 APK 디컴파일 및 Smali 코드 분석, Mobile OWASP Top 10 취약점 진단, Windows 보안 정책 점검 자동화, 가상 기업 대상 위험 평가

• 기술 스택: Kali Linux, Metasploit, msfvenom, Nmap, Burp Suite, Wireshark, ADB(Android Debug Bridge), apktool, Windows Batch Script, Shell Script

• 주요 성과:

  • Metasploit 기반 Android APK 페이로드 생성 및 원격 제어 실습

  • apktool 디컴파일로 Mobile OWASP Top 10 기준 취약점 진단

  • Windows 보안 점검 자동화 및 가상 기업 대상 위험 평가

• 프로젝트 리뷰: Mobile OWASP Top 10 기준으로 실제 앱을 분석하면서, 단순한 취약점 나열을 넘어 체계적인 진단 프로세스를 경험함. 특히 분석 대상 앱에 문제가 생겨 분석 방법이 제한되는 상황에서도 AndroidManifest.xml를 이용하여 과도한 권한 설정, 평문 통신 허용 등 핵심 취약점을 식별함.