이스트게임즈 정보보안 운영 관리 엔지니어 모집

https://estfamily.career.greetinghr.com/o/134206

이스트게임즈에서 정보보안 운영 관리 엔지니어를 모집하고 있습니다

 

정보보안 영역은 그 범위와 깊이가 워낙 방대하고 많기 때문에

컴퓨터공학 지식부터 시작하여 그 원리에 대한 기초지식을 바탕으로

여러가지 해킹 툴 및 그에 대한 보안대처 방안 및 보안관련 규제와 법까지 알고 있어야

비로소 보안 담당자의 업무를 수행 할 수 있다고 볼 수 있습니다.

 

때문에 보안 담당자는 보안을 배워가는 과정속에서

하드웨어, 서버, 네트워크, 프론트/백엔드 프로그래밍 뿐만 아니라

데이터베이스, 각 서비스와 솔루션을 모두 알고 있어야

해킹툴의 작동원리를 이해하고

해킹의 원리를 이해한 것에 대한 대처방안으로 방화벽과 여러가지 보안 솔루션을 운영 할 수 있게 됩니다.

 

특히 보안 담당자를 맡게 되면, 웬만한 서버와 솔루션, 출입권한 등에 대한 거의 모든 권한을 갖게 되는데

이러한 부분 때문에 "지식"적인 깊이도 중요하지만

"윤리"와 "인성" 부분에 대한 평가를 더더욱 세심하게 보게 됩니다.

 

보안을 공부하는 과정중 어설픈 지식으로 해킹을 시도하다가 대기업에서 소송을 걸어 주민번호에 빨간줄이 그이거나,

고급 지식을 기반으로 몰래 해킹을 하다가 사이버 수사대에 발각되어 잡혀가는 보안전문가들이 종종 발생하기도 합니다.

 

무엇보다 보안 전문가를 모집함에 있어서, 그 "보안 지식 수준"을 측정하는 것이 참 어려운데요

" 나 보안 잘해! "라는 것을 어떻게 증명 할 것인가라는 난제에 빠집니다.

잘 막은 것을 어필하려면 경력내 이전 직장의 보안 이슈를 공개해야하는데 이는 윤리적으로 맞지 않고,

해킹을 잘하는 것을 어필하려면 포트폴리오를 만들어야하는데 당연히 해킹이 윤리적일리는 없죠.

 

이 때문에 인성과 실력을 두루 겸비한 보안전문가를 찾는 것은 하늘의 별따기와 같습니다.

 

그럼 어떻게 이러한 보안 관리자를 준비하면 될지 아래에서 찬찬히 살펴보겠습니다.

 

https://estfamily.career.greetinghr.com/o/107366

[ESTgames] 정보 보안 운영 관리 엔지니어 (Python, Linux)

 

 

이스트게임즈는 2005년 '카발 온라인'을 시작으로 '카발 모바일', '고양이 다방' 등 다양한 게임을 개발 및 서비스해온 게임 전문 기업입니다.

오랜 경험을 바탕으로 한 탄탄한 개발력과 서비스 노하우를 보유하고 있으며, 현재도 다양한 신작 개발과 서비스 연구를 지속하고 있습니다.

 

1. 기업규모

이스트게임즈는 중소기업으로 분류되며, 직원 수는 약 140명입니다.

2. 기업매출

이스트게임즈의 매출액은 약 126억 2,956만 원으로 보고되었습니다.

3. 근무지 및 근무시간

• 근무지: 서울특별시 서초구 반포대로 3, 이스트빌딩 5층 
• 근무시간: 주 5일 근무, 오전 9시부터 오후 6시까지

4. 복지

이스트게임즈는 직원들의 Work & Life 밸런스를 위해 다양한 복지 제도를 운영하고 있습니다

• 복지 포인트: 여행, 공연, 자기계발, 쇼핑 등 다양한 분야에서 자유롭게 사용 가능한 복지포인트 지급
• 사내 카페테리아: 편안한 휴식 공간 제공, 제조 음료 할인 및 베이커리 판매, 층별 스낵바 운영
• 축하 이벤트: 졸업, 수습 종료, 자녀 초등학교 입학 등 다양한 축하 이벤트 지원
• 가족 친화 제도: 출산 축하 선물, 육아 수당, 리조트 지원, 경조사 휴가 및 경조금 지원
• 건강 관리 지원: 건강검진 및 휴가 지원, 병가 및 단체상해보험, 실손의료보험 제공
• 주택 자금 지원: 월세 지원, 전세대출이자 지원, 주택담보대출이자 지원, 이사비 지원

5. 채용 포지션

현재 이스트게임즈는 '정보 보안 운영 관리 엔지니어 (Python, Linux)' 포지션을 모집하고 있습니다.

 

6. 업무 수행

해당 포지션의 주요 업무는 다음과 같습니다:

• 보안 관제 운영: 각종 보안 이벤트 로그 분석 및 대응
• 침해사고 대응 및 예방 활동: 웹 취약점 진단, 해킹 시도 분석
• 보안 시스템 구축 및 운영 관리: IPS, 웹 방화벽 등
• 업무 자동화 툴 개발: Python, Bash, PHP, C# 등 활용

7. 최소자격요건/필요기술

• 정보 시스템에 대한 기본 이해: Windows, Linux, DB, Network 등
• 보안 관제 및 침해 사고 대응 및 분석 능력
• 보안 시스템 운영 경험: IPS, 웹 방화벽 등
• 침투 테스트 경험
• 웹 취약점 진단 능력

각 기술별 세부 설명:

1. Python, Bash, PHP, C#: 업무 자동화 및 스크립팅을 위한 프로그래밍 언어 활용 능력
2. Windows, Linux, DB, Network: 다양한 정보 시스템 환경에 대한 이해 및 관리 능력
3. IPS, 웹 방화벽: 침입 방지 시스템 및 웹 애플리케이션 방화벽의 구축 및 운영 경험
4. 침투 테스트: 시스템의 취약점을 식별하고 보완하기 위한 모의 해킹 경험
5. 웹 취약점 진단: 웹 애플리케이션의 보안 취약점을 분석하고 대응하는 능력

8. 우대사항

• 정보보안기사 자격증 보유자
• CISSP 자격증 보유자
• 오픈소스를 활용한 보안 시스템 구축 경험자
• 통합보안로그 관리 시스템 운영 경험자: ELK 등

9. 채용절차

• 서류심사
• 필기시험 및 실무면접
• 최종면접
• 최종합격

각 전형 결과는 SMS 또는 이메일로 통보되며, 코로나19 확산 방지를 위해 대면 면접 대신 화상 면접으로 진행될 수 있습니다.

더 자세한 정보와 지원 방법은 이스트게임즈 공식 채용 페이지에서 확인하실 수 있습니다

 

 

 

자, 그럼 이제 어떻게 위와 같은 포지션을 준비하면 될지 하나씩 뜯어보겠습니다.

 

포지션 : 정보보안 운영 관리 엔지니어

포지션 명에서 보통 채용시 맡게 될 업무를 알 수 있습니다.

정보보안 + 운영 + 관리 + 엔지니어의 포지션을 맡게 되는 것으로 보건대

보안의 지식을 토대로 여러가지 기술업무를 담당하게 될 가능성이 큽니다.

 

정보보안

정보보안의 영역은 넓습니다.

보안 엔지니어의 필수적인 역량이라고 하면 "보고서 작성" 능력입니다.

흔히 엔지니어라고 하면 문서와 거리가 멀 것이라고 생각을 할 수 있는데,

 

엔지니어들은 자신이 왜 이 작업을 해야하며, 어떤 작업을 할 것이고, 작업 예상결과와 또 실패했을때의 롤백 계획까지 작업계획서를 많이 만듭니다.

 

그런데 보통 이렇게 작업계획서를 받는 경우는 외주 업체가 자사기업에 들어올 때의 경우가 많고

자체적으로 작업을 할 경우에는 작업 계획보다 "기획"과 "보고서" 능력을 좀더 많이 요구합니다.

 

왜 이러한 보안이 필요하고, 그에 따른 결과가 어떻게 될 것이 기대되는지에 대해서 상급자는 알아야 합니다.

특히 일해도 티가 나지 않는 보안의 영역에서는 더욱 보고의 역량이 중요시됩니다.

 

수 많은 보안 설정을 하면 어떻게 될까요? >> 해킹을 잘 막았으니 아무런 일도 일어나지 않습니다!

 

이러한 이유 때문에 보안을 잘 모르는 업체는 돈을 주고 보안 외주를 맡겨 정기 보고서를 받지만

엔지니어를 뽑겠다는 것은 기업이 비싼 솔루션에 대한 지출을 줄이고,

보안에 대한 책임 위험부담을 외주업체에게 전가시키는 것이 아니라

리스크를 감수하더라도 자체 엔지니어를 통해 사내 보안 역량을 강화하겠다는 경영 전략이라고 볼 수 있습니다.

 

이러한 보고를 위해서라도 담당자는 자신이 다루는 여러가지 운영/관리 솔루션에 대하여

1) 어떤 위험이 있고

2) 어떤 위협이 발생했으며
3) 대책은 무엇이고

4) 어떻게 조치하였는지

체계적으로 정리하여 보고할 수 있는 역량이 필요합니다.

 

운영

운영은 보안의 3요소 기밀성, 가용성, 무결성 중에서 "가용성"에 해당하는 부분을 요구하는 역량입니다.

 

사내 솔루션을 도입하여 운영하다보면 여러가지 문제가 발생합니다.

로그가 무지막지하게 많이 쌓여서 서버가 느려지기도 하고

사용자 접속자수가 폭증해서 다운이 되기도 하며

불필요한 더미데이터나 파일이 예상치 못한 곳에서 발생하거나

다양한 해킹시도, 네트워크 장애, 보안패치로 인한 서비스 장애, 사용자의 비정상적인 이용을 통한 버그 등등

여러가지 난제를 맞이하게 됩니다.

 

특히 게임회사에서 "서버장애"가 의미하는 것은 수 많은 유저의 이탈로인한 매출과 직결될 정도로 중요도가 크다고 보는데요

이러한 이슈를 미리 방지하여 가용성을 확보하려면 해킹 뿐만 아니라 수 많은 변수들을 고려해야합니다.

(물리서버가 고장난건지, 케이블 문제인지, 서버OS 장애인지, 서비스가 실행이 안된건지, DB가 맛이간건지, 네트워크가 문제인건지, 사용자 단말기의 문제인지, 코드상의 버그인것인지, 해킹 사고인것인지 등등)

 

이러한 모든 변수를 어떻게 진단하냐고요?

 

그래서 필요한 역량이 "모의해킹" 역량입니다.

 

모의해킹이 가능하다면, 어떠한 영역에서도 문제가 될 수 있는 부분을 진단할 수 있기 때문이지요.

 

아마도 Python, Bash, PHP, C#로 만들어진 서비스에 대해서 모의해킹을 시도할 가능성이 높겠군요.

 

무엇보다 포지션이 엔지니어이기 때문에 이에 대한 문제를 진단한다면 이를 해결 할 수 있는 역량까지 갖추어야 합니다.

 

관리

운영과 관리는 용어가 비슷해보이지만, 전혀 다른 직무라고 볼 수 있습니다.

운영은 서비스를 잘 돌아가게 하는 것이라면,

관리는 현재 상태가 어떠한지 모니터링을 하는 역량이 더 크다고 볼 수 있습니다.

 

그런데 보안에서 요구하는 운영 관리는 보통 보안 장비를 대상으로 말하는 경우가 많습니다.

 

IPS, 웹 방화벽 운영을 통한 관리가 바로 그것입니다.

 

IPS는intrusion Prevention System의 약자로, 침입방지 시스템입니다.

비정상적인 행위가 탐지가 되면 해당하는 세션이나 패킷을 끊어버리는 시스템이죠.

 

또 외부에서 내부 주요 자산에 접근하지 못하도록 방화벽을 설정합니다.

방화벽 정책은 쉽게 말하자면 일방향, 양방향 문을 놓고 가두어 놓거나, 차단하거나, 서로 왕래하는 미로를 만드는것과 비슷하다고 보시면 됩니다.

 

보안 관제 및 침해 사고 대응 및 분석 능력을 요구하는 것은 바로 이 장비를 운영할 수 있는가에 대한것을 묻는 것입니다.

 

Dos/DDoS 공격이나 여러가지 웹해킹에 대한 로그를 분석해서 보안관리 정책을 수립하는 업무를 맡게된다고 볼 수 있습니다.

 

웹취약점  진단 능력이 또 요구하는 역량으로 추가되어있습니다.

 

이는 기업이 웹에 대한 보안을 중시한다고 볼 수 있습니다.

기본적인 OWASP Top 10에 대한 해킹 능력은 물론이고

그에 대한 보안 설정까지 마치는 역량을 요구합니다.

 

엔지니어

단순 보안운영관리가 아니라 엔지니어라는 포지션명이 추가적으로 붙은 것으로 보아

관리해야 하는 영역이 비단 서버와 서비스 뿐이 아니라는 것을 암시합니다.

 

크게는 사내 네트워크 장비의 보안설정을 확인하고 재구성 해야 할 수 있지요.

게임회사의 특성상 트래픽을 분석하고 분산하여 가용성을 높일 수도 있습니다.

 

외에도 웹서버의 주요 보안 설정이나

서버 보안 설정, 보안패치 등 여러가지 엔지니어링 기술을 요구할 수도 있습니다.

 

우대사항

마지막으로 우대사항을 살펴보겠습니다.

직무 역량은 "최소 이정도는 알고 와야 우리랑 같이 일 할 수 있다"를 말한다면

우대사항은 "몰라도 업무 가르쳐주면서 할 수는 있는데, 우리는 지금 이걸 사용하고 있어" 라는 힌트가 되기도 합니다.

 

1)정보보안기사 자격증 보유자

위에서 "보안 역량"을 측정하는 방법은 애매하다고 말씀드렸습니다.

이에 대한 대책으로 나온것이 정보보안기사 자격증입니다.

정보보안기사 자격증은 합격률이 3%~10%를 유지하는 난이도가 높은 시험입니다.

보통 1년정도를 준비해서 두세번 시도 끝에 취득한다고 말하죠.

 

난이도가 높은 공신력 때문에, 취득에 대한 불만도 많지만

그만큼 취득 시 많이 인정을 받는 경향이 있습니다.

 

정보처리기사가 IT업계의 운전면허자격이라면

정보보안기사는 자동차 부품과 동작 원리부터 특수장비까지 모두 다루는 범위의 면허라고 볼 수 있습니다.

 

2)CISSP 자격증 보유자

CISSP 자격증은 10대 유망 정보통신 자격증 가운데 하나로 선정되기도 할 만큼 보안 전문가로서 공신력을 인증하는 자격증으로 알려져 있습니다.

정보보호분야에서 5년이상 근무하거나, 전문자격을 갖고있어야 응시가 가능하는 국제 자격증인데요

 

안타깝게도 CISSP 시험은 올해(2024) 한국에서 철수하게 되었습니다.

시험을 보려면 해외에서 봐야 하게 되어서

우대사항은 기존에 인증된 보안 전문가는 환영한다라는 의미를 내포하고 있습니다.

 

3)오픈소스를 활용한 보안 시스템 구축 경험자

오픈소스 보안시스템은 Zabbix, Splunk 등 다양한 솔루션이 있습니다.

이러한 오픈소스 솔루션 구축 역량은 기업에게 추가적인 보안 솔루션 지출비용을 낮추고

보안 수준을 높이는 경제합리적인 대책이 되기 때문에 우대사항으로 놓은 것 같습니다.

 

4)통합보안로그 관리 시스템 운영 경험자: ELK 등

ELK는 Elasticsearch, Logstash, Kibana의 약자로 셋 모두 오픈소스이다.

로그를 전처리하여 시각화를 통해 통합보안관제를 하는 좋은 솔루션으로

보통 세가지가 함께 묶여서 구축됩니다.

자체적으로 ELK를 운영하고 있을 확률이 높습니다.

 

 

 

마치며

이상으로 이스트게임즈의 정보보안 운영 관리 엔지니어 포지션의 채용공고를 살펴보았습니다.

 

비전공자/입문자라면 막연하게 "보안 해야지"라는 생각으로 준비하다가

생각보다 많은 학습량에 좌절하거나 포기하게 되는데요

 

기업의 입장에서는 보안 인력은 필요한데 공급이 적고

공급된 보안담당자를 찾으려니 인건비가 비싸다는 상황에 처해있습니다.

 

때문에 중견 이상의 대기업에서는 아래와 같이

"내가 직접 우리 회사에 필요한 인재를 기르겠다" 전략으로

포지션에 대한 커리큘럼을 자체 설계하여 가르치고 채용 연계를 하기도 합니다.

 

입문자는 공부하면서 장학금을 받기도 하고

기업은 월급보다 적은 비용으로 신입아닌 신입을 가르쳐 우수학생을 채용하는 기회가 생기니

서로 윈윈하는 구조로 많이 도입되고 있습니다.

 

https://estfamily.career.greetinghr.com/o/134206 ~25/02/23 마감

[이스트캠프] 인프라보안 전문가 가디언즈 3기 모집 (~25/02/23 마감)

 

 

더 많은 IT 직업 직군에 대한 정보를 원하시면 아래 링크를 확인해보세요.

*** IT 전체직군 Overview ***

https://kmong.com/gig/467166

비전공자 IT 이직, 어디로 가야하오 - 크몽

*** IT 이직 개인 상담 ***

https://open.kakao.com/o/skdqjjSd

간달프/전산관리자+개발자님의 오픈프로필

*** IT 비전공 입문자를 위한 톡방 ***

https://open.kakao.com/o/gcnjbBBc

IT 입문 비전공자의 취준/이직 커뮤니티