진단 경험: 발견보다 분류·전달이 더 어렵다
정보보안 컨설팅 직접 수행 경험보다는 내부 보안 점검 활동에 참여한 경험이 있습니다. 대학 IT 동아리에서 팀 내 서버 환경을 대상으로 기본 취약점 스캔을 돌리고 결과를 정리하는 실습을 진행했는데, OWASP 가이드를 참고해 점검 항목을 구성했습니다. 가장 인상 깊었던 건 취약점 발견보다 우선순위 분류가 더 어렵다는 점이었습니다. 동일한 취약점이라도 환경에 따라 실질적인 위험 수준이 다르기 때문에, CVSS 점수만으로 판단하기 어려운 경우가 많았습니다. 또 보안 진단 결과를 개발팀에 전달하는 커뮤니케이션도 중요합니다. 기술 용어를 그대로 나열하면 개발팀이 어떻게 조치할지 모르는 경우가 있어, 조치 방법을 함께 제안하는 형식으로 작성했습니다. 진단 경험을 통해 보안은 발견보다 조치와 재점검까지 이어지는 사이클이 중요하다는 걸 배웠습니다.