안랩 공개채용 기술 컨설턴트 1차면접 불합격 후기

불합격

 

5월 4일에 1차면접을 보고왔다.

정말 열심히 준비하고 공부하고, 예상질문도 수십개를 외워갔고

면접도 나쁘지 않게 봤는데 떨어졌다. 매우 아쉽지만.. 나보다 뛰어난 사람이 있었으니 떨어졌으리라 생각한다.

붙을 가능성이 충분히 있다고 생각했던 터라, 좀 충격이 있긴 하다. 하지만 마음을 다잡고 다시 준비하여 취업에 도전해 보려 한다.

한번도 실패하지 않는 사람은 없으니까. 실패를 하지 않는것 보다 실패를 딛고 일어나는 게 더 중요하다.

 

면접은 면접관 3명, 면접자 4명으로 이루어졌다.

시간별로 정해진 면접자만 면접을 보는 것 같았다. 나는 10시 면접이었고 9시40분 쯤에 도착해서, 10시에 바로 면접을 봤다. 면접시간은 약 30분이었다.

기술면접이라 명시되어 있었지만, 정말로 대부분의 질문이 기술적인 것일지는 예상 못했다. 특히 면접자 한 분에게만 대략 5분? 동안 질문하셨는데, 꼬리에 꼬리를 물고 질문하셔서 옆에서 들으면서 굉장히 떨렸다. 그분도 답을 엄청 잘 하시다가, 면접관님이 계속 물어보시니 약간 막히긴 하더라.

 

아래는 면접 질문과 답이다.

단체 질문도 있고 개인 질문도 있으며, 내가 답한 내용을 기억나는 대로 작성한 것이기 때문에 정답이 아니다.

또한 질문 순서도 다를 수 있다.

 

1. 첫 질문은 자기소개였다. 1분내외로 간단하게 자기소개 해보라고 하셨다.

-> 안녕하십니까, 기술 컨설턴트 직무에 지원한 양선규입니다. 저의 강점은 잘 다져진 기본기입니다. 같은 명령어를 입력하더라도, 이론적인 부분을 아느냐 모르느냐는 매우 차이가 큽니다.
저는 4년제 대학에서 정보보안을 전공하였으며, 리눅스마스터1급과 정보보안기사를 취득하면서 기초를 탄탄히 다질 수 있었습니다. 그 기초가 실무에서 어떻게 사용되는지를 케이쉴드주니어 교육을 통해 잘 이해하고 배울 수 있었고, 그에 대한 방증으로 과학기술정보통신부장관 명의 인증서를 수상하였습니다. 또한 현재까지도 개인 블로그에 워게임 풀이 글을 지속적으로 업로드하며 공부를 게을리하지 않고 있습니다.
사람이 처음부터 일을 잘할 수는 없습니다. 그러나 빨리 배울 수는 있습니다. 저의 강점인 잘 다져진 기본기를 통해 업무에 빠르게 적응하고 회사에 도움을 주는 그런 인재가 되고 싶습니다. 감사합니다.

 

2. SQL Injection 공격 시 DB판단을 어떻게 하는지? (oracle, mysql 등 DB종류를 말하는 것)

-> sql 공격 구문인 "or 1=1-- 같은 입력을 할 때, 뒤에 오는 주석이 --인지 ## 인지 주석의 종류로 판단합니다.

 

3. 인증과 인가의 차이점이 무엇인지?

-> 인증은 이 사람이 누구인지 신원을 확인하는 과정이고, 인가는 권한을 가진 사람이 서버에 접속하려 할 때, 권한을 내어주는 과정입니다

 

4. 크로스 취약점이 있을 때 이것을 방지하는 헤더를 쓸 수 있는데, 어떤 헤더인지?

-> 잘 기억이 안나서 secure라고 답했다가, 아니라는 식으로 말씀하셔서(뭐라고 하신지 기억이 잘 안남) httponly를 말씀드렸다.

 

4.2 httponly 헤더는 정확히 어떤 역할을 수행하는지?

-> 웹에서 데이터가 전송될 때, 평문전송이 수행되고 있을 경우 전송하지 않는 것이었던 것 같습니다(잘못 말했다)

 

5. OWASP 취약점 스캐너 프로그램을 진행했는데, 간단히 설명해 달라

-> 제가 수행한 프로젝트는 OWASP TOP 10 취약점을 기반으로 한 웹 취약점 스캐너 개발 프로젝트입니다. 팀원 4명과 함께 진행하였으며 사용한 언어는 python이고 selenium 웹 크롤링을 통해 구현하였습니다.
사용된 기술은 SQLi, XSS, Brute force등이 있고
진단한 취약점으로는 관리자 페이지 노출, 오류 페이지 노출, 데이터 평문전송, 취약한 버전의 소프트웨어 사용, 패스워드 인증 실패횟수 제한이 없는 경우 등등을 진단했습니다.

 

5.2 프로젝트에서 어떤 역할을 수행하였는가?

-> 전반적인 취약점 진단 코드 작성에 모두 참여하였고, 발표대본 작성 및 발표영상 제작까지 직접 수행함으로써 프로젝트에 매우 크게 기여했습니다.

 

5.3 OWASP 취약점 중 자신있는 것 한가지만 말해주세요.

-> 세번째 취약점인 Injection 취약점에 대해 말씀드리겠습니다. 이번에 XSS도 Injection에 추가된 것으로 알고 있습니다. 저는 대표적인 취약점인 SQL Injection에 대해서 말씀드리겠습니다. SQL Injection은 웹 사이트에서 악의적인 입력을 통해 쿼리문을 변경시켜 데이터베이스 내용을 추출하는 공격입니다. SQL Injection의 대응방안으로는 prepared statement, 즉 선처리 구문을 사용하는 것과, 서버 사이드에서 입력값 검증을 통해 SQL Injection에 사용될 수 있는 특수문자를 필터링 하는 방법 등이 있습니다.

 

6. 인크립션, 인코딩, 해싱의 차이점을 설명해 주세요

-> 인크립션이 암호화인데, 난 평소에 암호화를 인크립션이라 부른 적이 아예 없어서(전공수업, 교육, 자격증 등에서도 그냥 암호화라고 부르니...) 내가 모르는 것이라고 착각했다. 그래서 인코딩과 해싱에 대해서만 말씀드렸다. 

인코딩은 base64, URL 인코딩등이 있습니다. 인코딩은 정해진 규칙대로 문자를 치환하는 것에 가깝고, 해시는 어떤 길이의 입력값을 넣더라도 항상 같은 길이로 만들어지며, 같은 값을 입력하면 항상 같은 출력이 나옵니다. 따라서 무결성 검사에 많이 사용됩니다.

 

7. 해당 직무에서 어떤 일을 하고 싶은지?

-> 기술 컨설턴트 직무는 모의해킹, 취약점진단, 컨설팅/솔루션 업무를 하는 것으로 알고 있습니다. 저는 웹 해킹을 가장 많이 다뤄 봤으므로 웹 해킹을 중심으로 일해보고 싶습니다. 또한 저는 케쉴주에서 웹에서 시작해서 시스템 루트권한을 획득하는 과정을 실습해본 경험이 있으므로 시스템해킹, 네트워크해킹 분야까지 두루두루 해보고 싶습니다.

 

8. 마지막으로 마치기 전에, 본인이 지금까지 해온 준비들과 앞으로 회사에 어떻게 기여하고 싶은지, 또는 본인의 포부와 의지등을 자유롭게 말해 달라 ->
저는 중학교 3학년 시절부터 최고의 화이트해커가 되는 것이 꿈이었습니다. 그러기 위해선 꾸준한 자기개발이 필요합니다. 저는 꾸준한 자기개발을 통해 회사에 기여하고 싶습니다.
저는, 저의 발전은 회사의 발전이고 회사의 발전은 저의 발전이라고 생각합니다. 제가 꿈을 이뤄가는 과정에서 나오는 모든 부산물들이, 회사가 성장할 수 있게 돕는 거름이 될 것이라고 생각합니다. 저는 회사만을 위해서 일하겠다고 하지 않겠습니다. 저는 저를 위해서 회사를 키우겠습니다.

 

이렇게 면접은 끝났다. 여기 작성된 내용보다 조금 덜 정리된 느낌으로 답했다고 생각하면 된다. 

생각보다 너무너무 떨리더라... 말도 급하게 나오고 침착함도 없어지고.. 뭐 다들 그렇겠지만.

프로젝트 질문 제외하고는 똑부러지게 답한 질문이 없는 것 같다. 물론 대답 못한 질문도 없지만... 

비록 아주 정확하게 답하진 못했더라도, 내가 어느정도 알고 있다는 것은 전해졌을 것 같긴 하다.

IT쪽의 지식은 너무나 방대하기 때문에 제아무리 전문가라도 모든것을 외우고 있진 않으니까....... 아마도? 전해졌을 거라 믿는다.

 

음 또한, 면접시 생소한 단어를 굉장히 많이 쓰신다. 그러니까, 내가 알고 있는 것인데도 다른 용어를 사용하셔서 내가 알고있는 그게 맞나? 하고 헷갈린다.

인크립션(암호화), 해싱(해시함수), 크로스 취약점(XSS) 등등... 그나마 다른건 눈치챘지만 인크립션은 면접 끝나고 나서 눈치챘는데 되게 억울했다.

 

일단.. 당장 다른 곳에 이력서를 넣을지는 잘 모르겠다. 이번 면접을 겪으며 내가 실력이 정말 많이 부족하다는 걸 느꼈고, 큰 회사에서는 나정도의 사람은 쳐다도 보지 않는다는 걸 이해했다.

뭐, 신입 공채였으니 대부분은 아직 부족한 게 당연하겠지만.. 이 분야가 워낙 특출난 괴물들이 많기에. 

공부를 늦게 시작한 내가 안랩에 들어가는 건, 당연히 힘든 일이었을지도 모르겠다.

 

CTF를 한번도 안 해봤다. 워게임과는 또 다르게 배워가는 게 많다고 들었다. 앞으론 CTF에 도전하며 성장해 볼 계획이다.