어느날 학교 학년 공지방에 다음과 같은 인턴십 공고가 올라왔다.
처음에는 그냥 그러려니 하고 넘어갔으나, 후에 어느 기업들이 인턴을 뽑는지 궁금하여 기업 목록을 찾아보았다.
그런데 내가 원래 목표로 하고 있었던 꿈에 그리던 기업들 중 하나의 이름이 보여 허겁지겁 회원가입하고 이력서를 작성하기 시작했다.
서류
서류는 이력서 + 자소서 이렇게 기본 양식이 주어진다.
이력서에는 학점, 전공학점과 같은 형식적인 내용들이 들어가며, 자소서는 자유양식이었다.
또한, 서류는 총 3곳에 넣을 수 있다.
(나는 목표 기업 한군데에만 넣었다.)
나같은 경우에는 기본 양식으로는 차별성을 둘 수 없다고 판단하여 틀부터 새로 만들자 라는 생각을 하였다.
하지만, 평소 발표 ppt도 제대로 못만드는 똥손인 나는 곧 그 사실을 후회할 수 밖에 없었는데... 거기서 저번에 동아리 선배께서 보여주셨던 이력서가 생각이 나 연락을 드렸고 실제로 많은 도움을 받을 수 있었다! (정말 정말 정말 감사드립니다 ㅠㅠ)
그렇게 만들게 된 이력서에는 아래와 같은 내용들을 담았다.
- 이름 및 연락처
- 간략한 소개
- 보유기술 ( ex. Language[C, Python], System Hacking[bof, fastbin_dup, memory_leak ...] 등)
- 활동이력 ( ex. CTF 운영 이력, KISA 취약점 제보 이력 등)
- 여태까지 진행한 프로젝트 및 프로젝트에 관한 상세한 설명
- 나를 뽑아야 하는 이유
이렇게 여태까지 내가 해왔던 활동들과 강점이라고 생각하는 부분을 잘 녹여 이력서를 작성하는데 일주일이란 시간이 걸렸고 이력서 제출 마감 2시간 전 무사히 제출할 수 있었다.
코딩테스트
나는 내가 목표로 하던 기업을 인턴십 목록에서 찾자마자 허겁지겁 이력서를 써냈기때문에 이 부분에 대해서는 간과하고 있었다.... 하지만 목표 기업은 코딩테스트를 보는 기업이었던 것.... 거기다 코딩테스트는 12시간동안 보게되는데 알바와 동아리 시간이랑 겹쳐 3일은 못잔 상황에서 멘탈이 탈탈 털린 상태로 보게되었다...
코딩테스트는 해커랭크 사이트에서 영어로 5문제, 12시간동안 테스트를 보게 된다.
처음에는 영어에 겁먹어 일일이 해독해야 하나....? 싶었지만 그냥 입출력 예제를 보고 어떤 문제인지 쉽게 파악할 수 있었다.
또한, 평소 알고리즘 공부를 하지 않아 걱정한것과는 다르게 생각보다 매우 매우 쉬운 문제들이 출제되었다. (그런것 치고는 첫번째 문제부터 아에 모르는 문제가 출제되어 구글링으로 학습하며 풀었다.)
결과는 5문제 중, 3문제는 만점 2문제는 테스트 케이스 25개 중 4문제를 틀렸다.
그 중 테스트 케이스 하나는 속도 제한 때문에 상당히 힘들었는데 나는 평소 다른 언어에 비해 비교적 느린 파이썬을 쓰기 때문에 결국 해결하지 못하고 넘어가게 되었다 ㅠㅠ...
또한 결과에 관해서는 메일로 상세하게 안내해주기 때문에 결과 확인에 있어서 매우 좋았다.
메일로 확인한 바로는 279/350 (점수/만점) 이었고 백분율로는 79.7%로 80점을 넘지 못해 개인적으로 아쉬웠다. ㅠㅠ..
서류 합격!
코테를 보고 한 이틀동안 가슴을 졸이며 서류전형 결과를 기다렸다. 블로그를 이곳 저곳 살펴본 결과 코테 시험 도중에 서류 합격 문자가 날라온 곳도 있다고 하여 더 그랬던것 같다.
평소와 같이 알바를 끝내고 집에 가던 도중 문자가 도착하여 확인했는데 면접안내 문자였다. 서류가 붙은 기쁨도 얼마안가 면접이 내일 모레라는 것을 알고 또 다시 긴장하기 시작했다. ㅎㅎ...
면접 복장
대학교 2학년을 마치고 이제 3학년에 올라가는 나는 면접보러 갈 때 복장에 대한 걱정을 많이했다. 복장에 대해 자율이라고 안내를 받았으나 구글 검색을 한 결과 자율 복장이더라도 양복을 입으면 플러스면 플러스지 마이너스는 아니다 라는 의견이 압도적이었기 때문이다.
하지만 가지고 있는 양복도 없었고, 목표기업은 다른 기업에 비해 비교적 자유롭고 상당히 젊은 기업이었기 때문에 그냥 후드티와 청바지를 입고 운동화 신고 가게 되었다...
실제로 면접관 분들은 당황한 기색이나 불편함을 느끼시는 것 같지는 않았다. 오히려 양복입고 갔으면 더 긴장했을것 같아서 지금 생각하면 괜한 걱정이었나 싶다.
면접 질문
우선 가장 걱정이 되었던 것은 실무관련 질문들 이었다. 외부활동(컨퍼런스, CTF)들을 참가하다 보면 나와 같은 대학생들 중 나보다 더 뛰어난 사람은 수없이 많았고 그 중에는 이미 리얼월드에 뛰어들어 활약하고 있는 사람들도 많았기 때문이었다.
(실제로 앞에 계신 면접관분들 또한 나와 비슷한 나이대였고 이미 기업에서 활약하고 계시는 유명한 분들 이었다.)
면접은 3:1 (면접관:지원자) 형식으로 진행되었고 면접 분위기는 개인적으로 면접이라기 보다 대화에 가까웠다고 생각한다.
우선 자소서에 관한 질문부터 정리하자면 아래와 같다. (굵은 글씨는 면접관분들의 질문)
- 자기소개부터 해주세요.
- 진행한 프로젝트에 관한 질문
- 보유기술에 적힌 기법에 관한 질문 (fastbin_dup_consolidate 기법에 관해 설명해주세요.)
- 취약점 제보와 관련된 질문
- 등
위에 관한 질문들은 자소서에 써진대로 그리고 알고 있는 내용에 관해 전부 설명했어서 면접 후에도 후회되지는 않았습니다. 하지만 문제는 아래 질문들....
- IoT, 모바일에 관심있다고 하셨는데 전에 말씀하신 IoT 카메라와 관련된 공격 벡터는 무엇이 있을까요?
- IoT 카메라 관리자 페이지에서 어드민 로그인과 관련된 공격, 또는 펌웨어 쉘 접근과 같은 것들이 있을 수 있습니다.
- (이 부분에 관해서는 전에 동아리 선배께서 발표하셨던 내용과 IoT카메라 관련해서 1-day 분석 글을 읽었어서 알고 있는 내용에 관해서 대답할 수 있었다. 하지만 긴장해서 제대로 된 대답을 하지 못했다고 생각한다 ㅠ...)
- 현재 윈도우 상용프로그램 익스플로잇을 진행중이라고 하셨는데 설명해주시겠어요?
- 우선 퍼징과 관련하여 dump fuzzer인 bff fuzzer를 사용한 것 부터 타겟은 어떤 소프트웨어인지, 분석 도구는 무엇을 사용했는지에 관해 설명드렸다.
- 그럼 현재 윈도우 상용프로그램 익스플로잇에 관해 진행된 내용이 있을까요?
- 없습니다.
- (실제로 저게 대답이었다 ㅋㅋㅋㅋ.... 너무 긴장한 것도 있고 제일 걱정하던 부분이라서 그렇다고 생각한다. 크래시 분석에서 멈춰 전혀 진행되지 않았고 하나의 크래시 파일을 이용하여 레지스터를 덮을 수 있었으나 현재 내 기술로는 관련 레지스터가 익스플로잇과 관련하여 사용할 수 있는 부분이 없다고 생각하여 그냥 날린 것이 전부였다. ← 하다못해 이런거라도 말했으면 얼마나 좋아 ㅠ....)
- 1-day 분석은 해보셨나요?
- 아니요. 해본적 없습니다.
- (정말 끔찍하다... 대답을 이렇게밖에 못하다니... 이것도 면접 당시에는 저렇게 뱉었지만 지금 생각해보면 직접 분석은 못했지만 윈도우 이미지 뷰어, IoT 카메라와 관련하여 hackerone, 구글링, cve 사이트를 돌아다니며 읽어보았던 점 정도는 이야기 할 수 있었을텐데... 긴장해서 제대로 대답을 못한것이 아쉽다.)
우선 기억나는 질문들은 이 정도였던것 같다. 리얼월드와 관련된 질문들이 많이 나올것이라고 예상은 했지만, 나는 리얼월드에 입문한지 얼마 지나지도 않았고 실적도 없어서 대답을 잘 못한것이 아쉬웠다...
면접을 보고나서 공부가 부족했다고 생각했고 더 열심히 해야겠다고 생각했다.
(공부 방향또한 잘못되었다고 생각해서 면접이 끝난 후 공부계획도 다시 세웠다. ptmalloc Heap → 1-day 분석 맨땅에 헤딩)
조언들
여기는 면접 중간에 해주셨던 조언과 마지막에 질문한 내용에 관한 답변들에 대한 정리이다.
- 음... 현재 하고 계신 힙 공부가 ptmalloc 이신 것 같으신데 ptmalloc 그렇게 열심히 안하셔도 돼요.
- (Heap 하면 입문으로 시작하는 것들이 전부 ptmalloc이어서 아무 생각없이 따라갔었던 것 같다. 평소에도 ptmalloc을 공부해도 앞으로 진행할 윈도우 익스플로잇과 모바일 익스플로잇에서는 메모리 할당자가 ptmalloc이 아닐텐데라는 생각을 해왔던터라 생각보다 쉽게 듣자마자 납득했다.)
- 마지막으로 하고 싶으신 말 있으실까요?
- 혹시 누군가 저처럼 인턴 면접, 혹은 연구원으로 면접을 온다 가정했을 때 어떤 사람들이 왔으면 좋겠고 어떤 사람들과 함께 일하고 싶으신가요?
- (당시 나는 외부활동을 나가면 많이들 보이는 고수 대학생들도 많이 지원했을 것이라 생각했고 실무관련 질문에 자신감이 많이 떨어져 면접이 끝난 후에 공부할 내용에 관해 조언이 될 것들을 얻고자 저런 질문을 했던것 같다.)
- 우선 지금 포너블을 공부하고 계신데 포너블은 현재 10명을 뽑는다고 하면 점점 줄어서 몇년 후에는 3명만 뽑는다 하는 식으로 점점 문이 좁아질거에요. 그리고 요즘도 모의해킹의 대부분은 웹이라서 지금이라도 웹을 공부하시는게 좋다. 생각합니다.
- 현재까지는 포너블이 재밌어서 그 분야만 쭉 파왔지만 앞으로 꿈꾸는 직종이 모의해킹이라 웹과 포너블을 굳이 구분짓지 않고 둘 다 공부하려고 합니다.
- (실제로 포너블의 문이 점점 좁아지고 있는 것은 진작 주변에서 들어서 알고 있었어서 평소 가지고 있던 생각을 말씀 드렸던 것 같다.)
- 앞으로 리얼월드 두려워하시지 마시고 1-day부터 분석해보시면 좋은 결과 얻으실 수 있다고 생각합니다.
- (공부 방향성을 직접적으로 제시해주셔서 너무 감사했다. 실제로 면접 끝나고 공부 계획을 세울 때 가장 큰 영향을 받은 대답이었다. 다만 여태까지도 1-day분석을 안하려던것은 아니었으나 1-day와 관련된 문서를 어디서 찾는지에 대한 정보가 부족했어서 그랬는데 이 정보를 얻는 것이 후에 있을 공부계획에 1순위였다.)
- (hackerone이나 cve같은 경우 잠시 들렀을 때 가끔씩 분석글이 보이기도 했으나 대부분 익스플로잇 사진 또는 추상적인 설명이 전부여서 정보를 얻는데 어렵다...) + (아직도 잘 모르겠다...)
- 우선 지금 포너블을 공부하고 계신데 포너블은 현재 10명을 뽑는다고 하면 점점 줄어서 몇년 후에는 3명만 뽑는다 하는 식으로 점점 문이 좁아질거에요. 그리고 요즘도 모의해킹의 대부분은 웹이라서 지금이라도 웹을 공부하시는게 좋다. 생각합니다.
면접 후기
우선 모의해킹/취약점 분석에서 유명한 기업이었고 예상했던대로 리얼월드 관련해서 많은 질문을 주셔서 "아.... 리얼월드 분석을 해본 인재를 원하시는구나"라고 생각해서 떨어졌다고 생각했다.
하지만 질문들을 하시면서 조언 또한 많이 들려주셨었고 공부 방향성을 밀고 새로 짜게된 것만으로도 이번 면접에 큰 수확이었다고 생각했다. (내가 언제 저런 고수분들과 대화를 나눠보겠어...?)
합격...?
동아리와 관련된 일때문에 밖에서 임원진분들과 이야기를 하고 있었는데 ICT인턴십사무국으로부터 메일이 도착했고 느린 3g데이터로 결과창을 몰래 확인하느라 힘들었다.
떨어질 것이라 생각했던 내 예상과는 다르게 면접전형 합격이라는 글자가 떠있었고 원하던 기업에서 인턴으로 일하게 된다는 생각에 너무 기뻤다.
다음날 00:00 부터 인턴확정 선택을 할 수 있었는데 00:00 시간이 되자마자 바로 눌렀던 기억이 난다.
해프닝
다음날 아침 ICT인턴십사무국에서 불합격 메일이 날라왔다. "아... 이게 현실인가? 여태까지 꿈이었나..?" 싶어 30분동안 멍때리다가 ICT인턴십사무국에 직접 문의를 해보니 데이터베이스가 꼬여 메일이 잘못 보내졌다고 한다. 다시 결과를 조회해주셨는데 정상적으로 합격처리가 되어있고 3월 2일부터 출근하면 된다고 한다.
지원 후기...?
쓰고나니 뭐... 일기장인가 싶다 ㅋㅋㅋㅋ....
사실 방금전까지도 "꿈인가? 안믿기네...." 이러고 있다가 기업에서 안내사항과 기업 메일 제작에 관해 문자가 날라와 현실 자각을 하게 되었다.
앞으로 엄청난 분들과 함께 일하게 될텐데 걱정도 되지만 이번 인턴십을 계기로 빠르게 성장해서 졸업 후 이곳에 다시 이력서를 넣었을 때 만약 합격하게 된다면 그 때는 한번에 합격 사실을 믿을 수 있게 열심히 하자.
