KITRI 화이트햇 스쿨 1기 2기, BoB 13기

화이트햇 스쿨, BoB 준비 전 필독

세대 보안 리더 양성 프로그램
Best of the Best(BoB)

화이트햇 스쿨
WhiteHatSchool(WHS) 프로그램

한국정보기술연구원(KITRI) 교육 프로그램 WHS, BoB를 준비하고 있다면 읽어보는 것을 추천한다.

만약 보안에 조금이라도 흥미를 가지고 있다면 무조건 하는 것이 좋다.

서론

필자는 BoB 수료생, 선린고, 디미고 학생들과 외주를 하기에 해당 프로그램의 존재여부는 어느 정도 알고 있었다.

다만 필자는 BoB 교육 프로그램에 집중하고자 대학교 졸업 후 지원하고자 하였다.

당시는 화이트햇 스쿨 교육 프로그램이 없었고 BoB 프로그램은 올인하지 않는 이상 의미가 없다고 생각하였기 때문이다.

필자는 대학교 재학 중이며 대학원 진학을 위한 준비를 하고 있으며 동시에 개인 사업을 하고 있었기에 BoB 프로그램에 집중할 수 없을 것 같다고 판단하여 미룬 것이다.

하지만 친한 누나가 KITRI 멘토가 되며 화이트햇 스쿨 교육 프로그램이 생겼고 지원해 볼 것을 권유하여 화이트햇 스쿨 1기를 지원하게 되었다.

화이트햇 스쿨 1기(불합격), 2기(합격)

일단 지원하든 안하든 손해보는 것이 없었기에 지원하게 되었다.
BoB는 오프라인 보안 전문가 난이도 중~상 이라고 한다면 화이트햇 스쿨은 온라인으로도 가능하며 BoB는 대학생 위주라면 화이트햇 스쿨은 중 고등학생도 할 수 있게끔 온라인으로 가능하며 난이도 또한 초~중으로 구성되어 있다.

서류전형

먼저 보안에 관심이 생기게 된 계기를 작성하였다.
나는 어릴 때부터 만드는 것을 좋아해 별다른 컴파일 과정이 필요 없고 직관적으로 바로 결과를 확인할 수 있는 웹 프로그래밍에 관심이 많았다.
당시 12살에 Javascript를 이용해 게임 Addon을 만들고 놀던 것이 첫 시초이고, 어릴 때 PHP와 MySQL, HTML, CSS(Bootstrap)을 이용해 사이트를 만들었다.
SSL도 모르고 암호화도 모르고 배열도 잘 모르던 시기였다.

보안에 대해 잘 몰랐어서 그냥 남들처럼 웹서비스를 만들어서 운영해보고 싶어서 운영을 했는데 회원가입에 캡챠를 하지 않아 DB에 쓰레기값으로 도배가 된 적도 있고 게시판도 XSS 공격당하고 웹서버 DDoS 공격도 당했다.
이를 해결하려고 다양한 방법을 시도했다고 기술했다.

DDoS 공격을 해결하기 위해 KISA 사이버대피소나 Cloudflare 서비스, AWS Lightsail 서버를 사용하거나 sslh로 Proxy 보안을 직접 구축한 적도 있다.

학교 내에서 사회문제가 어떤 것이 있고 이를 해결하기 위해 기획을 하고 소프트웨어를 개발하였는데 이러한 프로젝트들을 정말 많이 진행하였고 이러한 부분이 많은 도움이 된 거 같다.

또한 할만한 대회가 있었던 것들은 모두 참여하였다. Dacon AI 대회, 아이디어 공모전, 소프트웨어 개발, 취약점 분석 등 상금을 떠나 내 커리어가 하나하나 쌓이고 대회 참여하고 수상하지 못한다고 하여 리스크가 없기 때문에 최대한 열심히 해보길 바란다.

대학교를 재학하고 있다면 교수님 추천서는 없는 갓보단 좋으니 한번 부탁해서 써달라고 하는 것도 좋다.

지금 와서 생각하는 것이지만 컴퓨터 활용능력, 리눅스 마스터, 네트워크 관리사 등 쉬운 자격증이고 쓸모없어 보일지 몰라도 돈 아깝다고 생각하지 말고 취득하는 것이 좋다고 생각한다.
토익도 마찬가지로 점수가 낮게 나와도 좋으니 없는 것보다 있는 것이 더 좋아 보인다. 필자처럼 자격증 아무것도 없을 수는 있겠지만 자신의 능력을 빠르고 간단하게 입증시키려면 자격증이 편하기에 자격증 취득을 게을리해서는 안될 것 같다.

논문 같은 경우에는 학술대회는 이러한 기술이 이러한 개선점이 보였고 이를 해결하기 위해 이러한 것을 해보았다라고 해도 될 정도로 간단하게 써도 된다고 하였다. 물론 필자는 학술대회 경험이 없다. 논문 어렵게 생각하지 말라는 조언을 인용할 뿐이다.

마지막으로 화이트햇 스쿨 교육과정과 수료 후 어떻게 할지 진지하게 많은 시간을 투자해 고민해 보는 것을 적극 권장한다.

인적성 검사

인적성 검사는 어려운 것이 없다. 그냥 하면 된다.
250문제를 30분 동안 푸는 것인데 문제를 풀기보단 자신이 맞다고 생각하는 것을 체크하면 된다.

필기시험

온라인으로 했는데 시험 범위는 아래와 같다.

짧은 기간 내에 다룰 수는 없지만 난이도는 적당한 것 같아 꾸준하게 해온 사람이라면 무리 없이 할 수 있을 것이다.

30분 동안 50문제를 풀이하는 것이었고 1기 때는 서버 믄제가 심하였지만 2기에는 서버 이슈가 덜했었다.

AI 면접

정말 정말 중요하다.

필자는 1기 때 면접을 정말 싸가지 없이 했다.

질문에 대한 답변을 카메라를 켜고 1분 동안 하는 것인데 답변을 10초 했다. 절대 그러지 말자.

자기소개, 지원동기, 합격 후 포부를 물어본 것 같다.

스크립트를 한번 작성해 보고 중요 키워드와 함께 연습을 많이 하면 좋겠다.
온라인 AI 면접이라 생각해서 옆에 메모장 키고 읽으려고 했는데 준비해서 하는 것을 적극 권장한다.

이후

1기 때는 면접을 진짜 준비 하나도 안 해서 떨어졌고 멘토 누나가 넌 무조건 합격할 거다 1기 때 보자라고 했는데 내가 너무 대충 해서 떨어지니 너무 부끄러워 2기 때는 정말 많이 준비했다.
1기 후기를 들어보니 프로그램 초기라 많이 부족한 부분이 있었고 2기는 개선된 부분이 많았던 것을 확인할 수 있었는데 오히려 좋은 것 같기도 하다.
무슨 일이든 열심히 하면 좋을 듯하다.

1단계 교육

주말 아침부터 저녁까지 교육을 받는데 격주마다 서울로 올라가서 오프라인 수업을 듣는다.

온라인강의도 들어야 하고 오프라인 강의도 들어야 하고 온라인 줌을 이용해 강의도 들어야 해서 정말 열심히 해야 한다.

분량이 매우 매우 많다.
조금이라도 게을리해서는 안된다.
지원금이 조금 늦게 들어오긴 했지만 월마다 지원금도 주니 부담 없이 수료하길 바란다.

온라인 줌으로 수업할 때 빌런이 있었지만 KITRI에서 트롤링을 하면 잡힙니다.
평생은 아니더라도 보안 업계에 당분간 지장이 생길 수밖에 없습니다.
생각보다 해당 업계가 좁고 8년 전 같이 코딩하던 동생도 만나고 대학교 동기 선임 여러 명도 만나고 저를 온라인으로 알고 있던 사람도 만났습니다.
제발 사고 치지 말길 바랍니다. 꼬리표 붙습니다.

그리고 반배정을 하게 되는데 꼭 억지로라도 친해지는 것이 나중을 위해 좋습니다.
CTF 대회나 과제나 교육 등 그냥 무조건 친해지세요.
저는 억지로 수업 끝나면 같이 저녁을 먹자고 끌고 다녔습니다.
결국에 열심히 안 하는 애들은 빠지지만 정말 많은 도움이 됩니다.

교육생 대표 선발

1단계 교육을 받고 있다가 제가 교육생 대표로 선발이 되어 놀랐습니다.
KITRI 합격자들 중 고대, 연대, 서울여대, 건대애들도 있고 디미고 애들도 있는데 검정고시 배재대가 교육생 대표가 되다니.. 감격이었습니다.
남자 대표는 제가 했고 여자 대표는 서울여대 재학 중이었는데 뽕이 차더라고요.
누나가 학교 타이틀도 중요하게 생각하겠지만 노력한다면 인정받고 보상받는다고 생각해요.
누나도 지방대 나왔지만 벤처기업, , 대기업, 외국계 회사 재직 중인 것을 보면 정말 대단하다 생각해요.

https://www.youtube.com/live/Edo62z9x93s?si=eaPec2834eGgZS9a
41분 55초부터 보시면 제가 나옵니다 ㅎㅎ..

00년생이 맞나 싶을 정도로 얼굴이 늙어 보이네요...

과제

무조건 되든 안되든 열심히 해서 제출하시길 바랍니다.
템플릿 만들어서 표지 목차 만들어두는 것을 추천드리고 보고서 작성이나 메모할 때 obsidian 이용하는 것을 추천합니다.

CTF 대회

10시부터 22시까지 진행하였는데 우리 팀이 1등 하였다.
3단계 교육할 때 참여한 학생들끼리 회식할 때 사용하기로 했다.

원래 2등이었는데 내가 대회 종료 10분 전 한 문제를 더 풀어서 1등 했다.

회식

그냥 억지로라도 하는 것이 좋다고 생각한다.
수료 이후에도 계속 연락하게 될 것이고 평생 친구라고 생각한다.

2단계 교육

기존 반 멘토가 아닌 프로젝트 멘토와 PL이랑 같이 6~7명으로 구성하여 프로젝트를 2개월 정도 진행하고 격주보고서와 온라인 중간발표를 하고 추후 오프라인으로 최종발표를 하게 된다.

처음 멘토님이 제안한 주제는 이거였다.

행위기반 데이터 중심의 EDR (XDR), SIEM과 같은 클라우드 보안 솔루션 연구 및 구현

wazuh와 은 클라우드, 컨테이너, 서버를 보호하기 위한 다양한 오픈소스 플랫폼을 연 구 및 분석하고, 데이터 기반의 위협 탐지 방안 아키텍처 설계 및 구현

하지만 나는 저사양 환경에서 보안 솔루션을 개발하여 패키징하고 오픈소스로 배포하고 기존 보안 방식의 개선점을 찾아 논문을 투고하는 것을 목표로 했다.

자세한 내용은 기술하지 못한다. 현재 프로젝트 진행 중이기 때문...

다만 조언을 하자면 미리 이번 기수의 신상을 털어라(?) 아는 지인이 있을 수 있다.
아무래도 모르는 사람들과 하는 것 보다 아는 사람 그리고 같은 지역에 지내면서 오프라인으로 참석이 가능하며 되도록이면 성인들로 팀을 이루는 것이 좋아 보인다.

필자는 현재 PM과 15반 반장(?)을 맡고 있다.

주변 팀들이 엉망이 되는 케이스를 많이 보았고 BoB 또한 그런 케이스가 많았다고 들어 다들 각자 최선을 다하며 게을리 하지 않았으면 좋겠다.

3단계 교육

기존 최종 발표 일정이 좀 뒤로 미뤄졌다.
프로젝트 종료 후 1단계보다 어려운 교육을 받는다고 한다.
아직 시작하자 않아 나중에 추가로 기술하도록 하겠다.

TOP 20 선정 및 BoB 가산점

수료를 하게 된다면 개인 CTF를 통해 TOP 20 선정 및 BoB 지원 시 가산점이 있다고 하였다.
과제 및 프로젝트 열심히 하길 바란다.

BoB 지원

2단계 프로젝트 진행 중 대학교 기말고사도 있고 BoB도 지원할 수 있다고 하여 한번 지원해 보았다.
필기시험에 좀 이상한 문제도 있었지만 잘 풀었고 늘 그랬듯 짧은 시간 내 많은 문제를 풀어야 하고 대부분 모든 문제를 다 푸는 학생은 극소수이다.
BoB는 압박 면접이 심하다.
면접을 준비 잘하길 바란다.
필자는 보안제품개발트랙에 지원했다.
15일에 면접을 했는데 너무 무서웠다.
정장, 면접 매너, 압박면접에 대해 구글링 해서 사전에 철저히 준비를 하길 바란다.

BoB 붙어도 화이트햇이랑 열심히 할 예정이고 BoB 떨어지면 화이트햇에 올인해서 나중에 BoB를 지원할 예정이다.