신규 시스템 보안 검토 경험 없음을 밝히고 공부한 원칙으로 설명
신규 오픈 시스템의 보안 검토나 Red Team과 협업한 경험은 없습니다. 보안 수업과 관련 자료를 통해 이 과정이 어떻게 이루어지는지 이해했습니다.
공부하면서 Red Team의 역할이 단순히 공격을 시도하는 것이 아니라, 실제 공격자 관점에서 방어팀이 놓칠 수 있는 시나리오를 찾아내는 것이라는 점을 배웠습니다. 그래서 보안 검토에서 Red Team과 협업할 때는 어떤 자산을 가장 우선적으로 검토할지, 어떤 공격 시나리오를 가정할지를 사전에 정의하는 게 중요하다는 걸 알게 됐습니다. 그 범위를 정하지 않으면 검토가 포괄적으로 이루어지지 않거나 중요한 영역을 놓칠 수 있다는 내용이 인상적이었습니다.
실제 협업 경험은 없어서 입사 후에 현장에서 배워가겠습니다.