공부 기록하기

[SK쉴더스 루키즈 28기] 1회차 멘토링 일지 및 학습 내용

안녕하세요! 오늘은 SK쉴더스 루키즈 28기 첫 멘토링(1회차)에서 팀원들과 나눈 이야기와 피드백, 그리고 새롭게 배운 지식들을 정리해 보려고 합니다. 프로젝트의 방향성을 명확히 잡을 수 있었던 소중한 시간이었습니다.

멘토링 일지 (1회차)

  • 일시: 2026년 2월 28일
  • 참석자: 멘토님 및 프로젝트 팀원 전체
  • 주요 내용: 프로젝트 방향성 점검, 모의해킹 시나리오 및 인프라 구조 피드백

프로젝트 목표 및 진행 일정 피드백

  • 진척도 목표: 다음 주 2회차 멘토링 전까지 전체 목표의 70% 이상 달성 (최대한 100% 근접할 수 있도록 노력!)
  • WBS(작업 분할 구조도) 정리: 너무 세밀한 내용보다는 프로젝트의 핵심적인 부분 위주로 간결하고 명확하게 작성할 것.

취약점 점검 및 보고서 작성 가이드

취약점 분석 결과 보고서를 작성할 때 기준을 명확히 하고, 정량적인 수치로 표현하는 것이 중요합니다.

  • 총 점검 항목 중 몇 가지 항목에서 취약점이 도출되었는지 수치화하여 명시할 것.
  • 점검 기준 (컴플라이언스):
    • 웹(Web): 주요정보통신기반시설 기술적 취약점 분석 평가(주통기) + OWASP Top 10
    • 모바일(Mobile): OWASP Top 10 + OWASP Mobile Testing Guide
    • 기타 금융보안원 취약점 평가(금취평) 기준 및 커스텀 체크리스트 항목 고려

오늘 공부한 내용 및 시나리오 기획

첫 멘토링을 통해 아키텍처 이해부터 웹/모바일 모의해킹 시나리오, 최신 우회 기법까지 다양한 기술적 논의를 진행했습니다.

1. 인프라 (Infra) 아키텍처 이해

가장 기본적이면서도 핵심이 되는 3-Tier 아키텍처에 대해 점검했습니다.

  • 전통적인 3-Tier (Web - WAS - DB)
    • Web Server: 정적 리소스(HTML, CSS, 이미지 등)를 클라이언트에게 전송.
    • WAS (Web Application Server): Tomcat 등 동적 로직 처리 및 언어 해석 담당.
  • 클라우드(AWS) 기반 3-Tier
    • 최신 비즈니스 모델에서는 클라우드를 폭넓게 활용합니다.
    • 아키텍처 매핑: ALB (Application Load Balancer) -> EC2 (WAS 역할 연산) -> RDS (데이터베이스)
  • 망 분리 아키텍처
    • 외부망(AWS 등): 환자 및 외부 고객 서비스용으로 구축.
    • 내부망: 내부 직원 전용 (단, 필요시 내부망에서 AWS 리소스 방향으로 조회/접근 가능하도록 설계 제한).

2. 웹 (Web) 취약점 및 모의해킹 시나리오 기획

웹 환경 모의해킹을 위한 공격 포인트와 시나리오 구성을 구체화했습니다.

  • IDOR (안전하지 않은 직접 객체 참조): 챗봇(Chatbot) 기능을 통해 다른 사용자의 민감 정보를 검색 및 탈취할 수 있는 취약점 반영.
  • 접근 통제 (인가 / 비인가): SQL Injection 등의 공격 발생 시, 접근 레벨을 일반/관리자, 혹은 인가자/비인가자로 나누어 명확한 공격 포인트(Point)를 시연.
  • 공격 시나리오 밸런스 분배:
    • Client-Side 공격과 Server-Side 공격을 명확히 분류. (Client 공격 비중은 전체 1개 이하로 제한)
    • 구성 예시: Client 공격 1개 + 웹쉘(Webshell) 1개 + 클라우드 메타데이터 탈취 (+ 선택적으로 모바일 공격).
    • 전체 시나리오 시간 중 모바일 시연은 짧게(1~2분 내외) 구성하고, 주 목표인 관리자 권한 탈취 진행에 시간을 집중할 것.
    • 권한 탈취 후 시간이 남는다면, 서버 로그 삭제 등 실전과 같은 공격 디테일 추가.

3. 모바일 보안 및 Frida 후킹

모바일 진단 파트에서 발생할 수 있는 통신 분석 이슈에 대해 논의했습니다.

  • 안드로이드 앱 통신 시 Burp Suite 프록시에 패킷이 잡히지 않는 문제(암호화 통신 등) 발생.
  • 해결 방안: Frida를 활용하여 앱 내부 로직 후킹(Hooking)을 수행하여 우회 시도.
  • TODO: 앞으로 진행할 Frida 후킹을 위해 프로세스 메모리 분석 방법에 대한 공부가 필요함.

4. 기타 보안 트렌드 스터디

  • 최신 랜섬웨어 동향과 윈도우 AMSI(Antimalware Scan Interface) 최신 버전을 우회하는 기법에 대해 논의함. 원리 파악 및 사례 연구 필요.

회고 및 다음 주 다짐

멘토님의 명확한 피드백 덕분에 현재 진행 중인 프로젝트를 어떤 기준(컴플라이언스)을 가지고 검증해야 할지, 시나리오는 어느 부분에 강약을 주어 구성해야 할지 감을 잡을 수 있었습니다.

우선 이번 주에는 피드백받은 인프라 구성 및 시나리오 기획을 70% 이상 구체화 및 구현하는 데 집중하고, 틈틈이 Frida 후킹을 위한 메모리 분석 기법에 대해 심화 학습을 병행해야겠습니다. 목표 달성을 위해 달려보겠습니다!

댓글을 남기시려면 Github 로그인을 해주세요

참고