OSCP 도전시작

학창 시절, 정보보안 분야를 꿈꿨던 사람들은 대부분 해킹이나 게임 핵과 같은 주제에서 흥미를 느끼며 관심을 가지기 시작했을 것이다. 정보보안 중에서도 특히 해킹 분야는 오펜시브 시큐리티, 즉 레드팀의 역할과 밀접하다.

하지만 대한민국에서의 정보보안은 법과 제도 안에서 유지되는 직업군으로, 블루팀의 역할이 대다수다. 긍정적으로 보면 제도적으로 보장된 안정성이 있는 분야다. 주로 성장 중인 스타트업이나 중견기업, 대기업을 대상으로 취업 기회가 열려 있다.

 

레드팀의 역할을 기대하고 입사를 하였지만 주요정보통신 기반시설이나 ISO27001 및 ISMS(P)의 인증요건을 갖추기 위한 행위로서의 업무의 방향성이 정해지는 것이 대부분이다. 순수히 기업의 보안실태점검을 하는 시장이 상대적으로 적은 이유이다. 그러나 극히 일부 회사에서는 레드팀을 별도로 운영하는 것으로 채용공고상으로 보인다.

 

나는 정보보안 분야를 두 가지 트랙으로 본다. 첫째는 기업이 법적 요구사항을 충족시키기 위해 외부에 맡기는 컨설팅 및 외주 위탁. 둘째는 기업 내부의 인하우스 보안 담당자 역할이다.

각 트랙은 장단점이 있다. 보안 전문 기업에선 다양한 고객사의 환경을 경험하며 기술적 역량을 빠르게 쌓을 수 있다. 나 역시 그런 과정을 거쳐 현재는 인하우스 보안 담당자로 일하고 있다.

 

나는 사회초년생 때 기업이 어떻게 돌아가는지도 모르고 사회생활을 시작하였지만 이 글을 읽는 사람에게는 도움이 되었으면 좋겠다. 세상에는 문제들이 많고 이 문제를 해결하기 위해서 외부 전문가를 고용을 하거나 의뢰를 한다. 내가 기업의 담당자로 의뢰를 할 수도 있고 내가 직접 해결을 할 수도 있다. 또한 의뢰를 받아 처리를 하는 해결사 역할을 할 수도 있다. 이 것들은 회사가 영위하는 사업형태에 따라 다를 수 있으니 나는 어떤 역할을 하고싶은지 회사의 사업형태를 잘 보길 바란다.

 

기본적인 정보보안의 시장은 블루팀 쪽이 우세하며 레드팀은 상대적으로 극히 일부의 포지션만 있다고 이해하면 좋다.

 

만약 당신이 레드팀에 대한 열망이 있다면 그리고 경험을 쌓고 싶다면 그 기본적인 관문은 OSCP일 것이다. 해당 자격증은 레드팀으로서 자격이 있다는 증표로 활용된다. 해외 채용공고 및 국내 채용공고에서 우대요건에 기재되어 있다.

 

고민이 많았다. 흥미와 관심은 있으나 이 자격증 취득에 있어서 지금의 포지션에서 레드팀의 역할은 상대적으로 적을 것으로 판단했지만, 침해사고 대응 및 인증심사를 위한 취약점 점검 또는 모의해킹을 통한 취약점 식별 조치의 업무를 진행하면서 물론 공격/방어 측면에서의 경험을 쌓으며 실무에 적용해왔지만 뾰족한 나만의 무기가 필요하다고 판단이 되었다.

 

물론 블루팀에서 CISSP도 있지만, 기술적으로 OSCP가 더 뽀죡하고 날카롭게 보여 매력적으로 다가 왔다. 고민하는 시간에 도전하기로 했다. 우선적으로 Hack the box 플랫폼에서 OSCP 대응 가능한 머신을 정복하고 시험코스를 결제할 예정이다.

 

https://0xdf.gitlab.io/cheatsheets/offsec

OffSec Exam HTB Lists

 

 

평소에 Hack the box Academy 문서를 즐겨보던 터라 문서베이스의 지식을 습득하고 실습은 App 플랫폼에서 진행하고자 한다. 우선적으로 OSCP에서 출제되는 부분인 윈도우즈 시스템에 Active Directory에 대해 기본 개념부터 학습하고 있다.

 

단순한 취미생활로 끝을 내지 않고 업무에 활용하고나 지적만족도르 올릴 수 있는 한해를 보내며 올해안에 취득을 노려 보겠다.

방황하던 블로그의 방향성이 다시 잡히는 시즌2의 느낌으로 계속 나아가 보겠다.

 

ps. 타쿠대디님 블로그를 읽으며 도전하고 결과를 내는 모습을 보며 멋있다는 생각이 들었다. 결국 하면 되는 구나를 느꼈다.