지난해 보안업체 이셋(ESET)은 북한 해킹 조직 라자루스 그룹의 새로운 작전을 공개했다. 링크드인(LinkedIn)에서 채용 담당자로 위장한 뒤, 유럽 방산업체 엔지니어들에게 가짜 채용 제안을 보낸 것이다. 첨부된 문서를 열면 원격 접근 도구가 설치됐다. 같은 시기, 깃허브(GitHub)에 올린 '코딩 테스트' 저장소에도 악성코드가 숨겨져 있었다. 개발자가 평가를 위해 코드를 내려받는 순간, 백도어가 심어졌다.

피싱 메일 하나, 채용 공고 하나가 기업 내부 시스템의 열쇠가 된 셈이다.

이런 공격은 더 이상 예외가 아니다. 신뢰할 수 있는 경로—이메일, 메신저, 개발 도구—를 통해 침투하는 방식이 국가 배후 해킹 조직의 표준 전술이 됐다. 보안 업계에서는 이런 위협에 대비하는 방법이 하나뿐이라고 말한다. 공격자가 쓸 경로를 먼저 걸어보는 것이다.

◇ 해커보다 먼저 침투하는 것이 직업

"공격자가 쓸 수 있는 경로를 우리가 먼저 전부 걸어봐야 합니다. 그래야 어디가 뚫리는지 보여요."

실리콘밸리의 한 글로벌 테크 기업에서 모의 침투 테스트(Penetration Testing) 등 공격 시뮬레이션 업무를 수행하는 금광윤 엔지니어의 말이다. 실제 해커의 공격 기법을 재현해 자사 시스템의 약점을 사전에 찾아내는 역할이다. 업계에서는 이런 직군을 '레드팀(Red Team)'이라 부른다.

그가 속한 조직은 미국 사용자의 데이터가 해외로 유출되지 않도록 시스템을 검증하는 엘리트 공격 보안 (Offensive Security Operations) 팀이다. 미·중 데이터 갈등이 격화되면서, 데이터 보호 체계의 안전성 검증은 단순한 기업 보안을 넘어 국가적 과제가 됐다.

금 엔지니어의 임무는 국가 배후 해킹 조직(APT)의 전술을 재현해 시스템에 침투하는 것이다.

"정찰, 침투, 권한 탈취. 실제 해커의 시나리오를 그대로 적용합니다. 그래야 취약점이 드러납니다."

◇ "교전 규칙부터 확인합니다"

금 엔지니어가 매일 아침 가장 먼저 여는 건 코드가 아니라 '교전 규칙(Rules of Engagement)'이다. 어떤 시스템을 어디까지 공격할 수 있는지, 법무팀·컴플라이언스팀과 사전에 합의한 작전 문서다.

모의 침투는 단순히 데이터의 흐름만을 추적하는 것이 아니라, 시스템 전반의 공격 표면을 분석하는 과정이다. 앱과 서버 간의 통신뿐 아니라 인증, 권한 관리, 저장소, 제3자 연동 등 다양한 경로에서 개인정보가 어떻게 처리되고 보호되는지를 검증한다. 이 과정에서 의도치 않은 데이터 노출 지점을 식별하며, 기술적 취약점뿐 아니라 미국 개인정보보호법(CCPA) 및 아동 온라인 보호법(COPPA)과 같은 규제 기준에 위반될 수 있는 데이터 처리 흐름까지 함께 평가한다.


"취약점 하나가 단순한 버그로 끝나는 일은 거의 없어요. 개인정보가 새는 순간 규제 위반이 되고, 과징금이 따라요."

금 엔지니어는 이 과정에서 기술적 심각도와 법적 리스크를 함께 분류하는 평가 모델을 직접 설계하기도 했다. 기술팀과 법무팀이 같은 기준으로 대화할 수 있도록 만든 도구다.

◇ "점검이 아니라 점검 체계를 만드는 일이었습니다"

금 엔지니어가 처음부터 이런 자리에 있었던 건 아니다. 보안 컨설팅 회사에서 금융기관 대상 모의 침투 업무로 경력을 시작했다. 해커가 이미 내부에 들어와 있다는 가정 아래, 권한 상승과 내부 확산 경로를 시험하는 일이었다.

전환점은 글로벌 전자기업의 북미 연구소 합류 이후 찾아왔다. 당시 해당 연구소에는 전담 모의 침투 조직이 없었다. 금 엔지니어에게 맡겨진 건 침투 테스트 자체가 아니라, 테스트 체계를 처음부터 세우는 일이었다.

작업 절차를 설계하고, 글로벌 보안 조직과의 협업 구조를 잡았다. 최신 공격 기법을 연구하는 내부 조직도 새로 꾸렸다. 이후 내부 시스템과 출시 전 보안 솔루션에 대한 침투 테스트를 수행하며 다수의 취약점을 발견·보고했다.

"팀이 없다는 건 틀이 정해지지 않았다는 뜻이기도 해요. 어디까지 공격할 것인지, 결과를 어떻게 전달할 것인지, 그 기준을 직접 만들 수 있었습니다."

◇ NASA·WHO 명예의 전당 등재

금 엔지니어의 활동은 소속 기업 안에 머물지 않는다.

미 항공우주국(NASA)과 세계보건기구(WHO)에 보안 취약점을 보고해 양 기관의 명예의 전당에 이름을 올렸다. 유명 오픈소스 소프트웨어에서 발견한 취약점 다수는 국제 공인 식별 번호(CVE)로 등록됐다. 2025년에는 IEEE 보안 개발 콘퍼런스(SecDev)에 제1저자로 논문을 발표했다. 거대언어모델(LLM)이 사이버 공격의 탐지 회피에 악용될 수 있다는 점을 실증한 연구다.


이후 미국 대서양위원회(Atlantic Council) 주관 국제 사이버 정책 대회 심사위원과 IEEE TPAMI 심사위원으로 초청되어 활동하는 등, 연구와 실무를 아우르며 다양한 분야에서 보안 발전에 기여하고 있다

◇ "기술적 결함을 찾는 건 출발점일 뿐입니다"

라자루스의 작전이 보여주듯, 오늘날의 공격은 피싱 한 통, 코드 저장소 하나에서 시작된다. 공격 보안팀이 재현하는 것도 바로 그 경로다. 공격 보안 분야의 질문도 달라졌다.

"방어하는 쪽은 모든 경로를 막아야 하지만, 공격자는 단 하나만 찾으면 됩니다. 공격 보안팀의 가치는 그 하나를 먼저 찾아내는 데 있어요."

"기술적 결함을 찾는 건 출발점이에요. 그게 사용자에게 어떤 피해로 이어질 수 있는지 끝까지 추적하는 게 이 일의 본질이라고 생각합니다."

기술적 결함을 찾는 데서 그치지 않고, 그것이 실제 피해로 이어지는 경로까지 추적하는 것. 금 엔지니어는 그 지점이 앞으로의 보안이 나아갈 방향이라고 말했다.