[2026-07-10] 서울청년정책박람회 IT 멘토링 — 개발 특강인 줄 알고 갔다가 보안을 만났다
한 줄 결론: 개발자 멘토링인 줄 알고 앉았는데 보안 스페셜리스트였다. 그런데 이틀간 들은 말 중 가장 오래 남은 문장을 여기서 얻었다 — "일의 형태만 다르지, 되고자 하는 사람은 같다."
왜 갔나
평소 온통청년·정보퐁퐁 같은 청년 정책 사이트 공고를 자주 확인하는데, 매번 들어가 보는 게 번거로워서 각 사이트 API를 크롤링해 디스코드로 알림을 받는 시스템을 만들어 쓰고 있다. 이 멘토링도 그 알림으로 발견했다.
개발자를 꿈꾸면서 방향을 어떻게 잡고 공부·학습·취준을 준비할지 고민하던 시기라 바로 신청했다. 현직 개발자가 비전공자 바이브코더를 어떻게 생각하는지도 궁금했다.
솔직히 당일 아침엔 두려웠다. AI로 바이브코딩하는 걸 안 좋게 보면 어쩌지, 비전공자라고 무시당하면 어쩌지. 결론부터 말하면 이 두려움은 이 자리에서부터 조금씩 풀리기 시작했다.
현장
2026-07-10(금) 11:40~12:20, DDP 아트홀 1관. 테이블에 둘러앉는 멘토링 형식이었다. 전반부는 콘텐츠 크리에이터 두 분의 브랜딩 이야기 — "완벽하게 준비하지 말고 일단 시작해라", "모든 사람이 아니라 한 명 한 명에게 사랑받으려고 해라". 후반부가 IBM 보안 스페셜리스트의 커리어·보안 멘토링이었다.
아쉬운 점 하나. 행사장 앞쪽에 테이블이 있어서 소음이 크고 멘토 말이 가끔 묻혔다. 주최측이 다음엔 자리 배치를 개선해줬으면 한다.
처음엔 IT/개발 멘토링인 줄 알고 갔는데 개발자가 아니라 보안 쪽 분이었다. 예상과 달랐지만 오히려 흥미로워서 다른 테이블로 옮기지 않고 40분을 다 들었다.
무엇을 들었나
보안 애널리스트가 하는 일. 서비스에서 보안 이벤트가 발생하면, 실제 공격인지 개발 과정에서 생긴 정상 이벤트인지 분석해서 보고서를 쓰고 처리한다.
비전공자의 보안 취업. 멘토 본인도 비전공자 출신. 취약점 3개를 골라 직접 공격 → 패치 → 탐지 시스템 구축까지를 프로젝트로 묶어 포트폴리오를 만들었다. "내 지식이 여기까지고, 난 여기까지 검증해봤다"를 보여주는 게 목표였다고 한다. 첫 프로젝트는 Log4Shell 취약점 — 마인크래프트가 자바로 만들어졌다는 점에 착안해 직접 서버를 열고, 공격이 되는지, 왜 되는지, 어떻게 막는지를 검증했다.
1인 개발자를 위한 보안 조언. 다 만들고 나서 몰아서 점검하지 말고, 기능·페이지 단위마다 점검해라. 코딩할 때부터 보안을 적용하는 시큐어 코딩을 해라. 다 만들고 나서 보면 찾기가 너무 어렵다.
AI 시대의 보안. AI 에이전트가 개발자 본인도 입력하지 않은 명령(외부 파일 다운로드 같은)을 실행하는 일이 현업에서 실제로 생기고 있다. 못 쓰게 할 수도 없고 안 쓸 수도 없어서, 사용자가 입력한 프롬프트와 실제 실행된 커맨드를 대조해서 악의적인지 판단하는 방식을 도입하는 중이라고 했다. AI 때문에 보안 일은 오히려 늘었고, AI가 분석한 결과와 사람의 분석을 비교해서 진짜 공격인지 판단할 수 있는 사람이 더 필요해지고 있다.
역량. 자격증은 있으면 플러스지만 없다고 마이너스는 아니었다고. 그보다 아는 걸 표현할 수 있는 능력, 그리고 "궁금해하는 자세"를 제일 강조했다. 공격이 왜 발생했는지 안 궁금해하고 처리만 하는 사람은 오래 못 한다.
기억에 남는 말
보안 일을 하기 전에 물류센터와 배민에서 일했다고 했다. 직무를 먼저 정한 게 아니라 "어떤 사람이 되고 싶은가"를 먼저 정했고, 그 답이 "남을 도와주는 사람"이었다고. 물건을 잘 포장해서 보내면 받는 사람이 도움을 받듯이, 보안도 결국 누군가를 도와주는 일이라 선택했다는 것이다.
일의 형태만 다르지, 되고자 하는 사람은 같다.
기술 얘기보다 이 태도가 제일 인상 깊었다.
내가 던진 질문과 받은 답
인프런 무료 네트워크 강의를 듣다가 보안의 중요성을 다시 알게 된 참이라 물었다. "보안 기초지식과 공부를 어떻게 넓히면 좋을까요?" 답은 명쾌했다 — "보안 기초는 인프런이나 유튜브 강의로도 충분할 것."
키워드 사전 (개발 몰라도 되는 버전)
- 시큐어 코딩 — 다 만들고 나서 보안 검사를 하는 게 아니라, 코드를 짤 때부터 보안을 집어넣는 방식
- Log4Shell — 2021년경 자바 로깅 라이브러리에서 터진 유명 취약점. 원격으로 서버를 장악할 수 있었다
- OWASP Top 10 — 웹 서비스에서 제일 자주 터지는 보안 위험 10가지 목록. 보안 공부의 표준 출발점
- 보안 이벤트 분석 — 시스템에 생긴 이상 신호가 "공격인가, 정상인가"를 가려내는 일
- 프롬프트-커맨드 대조 — 사람이 AI에게 시킨 말과 AI가 실제로 실행한 명령을 비교해서 이상한 짓을 탐지하는 방법
그래서 나는
"기능 단위로 점검해라"는 조언을 그 주에 바로 내 검증 도구(VHK)의 보안 자동화 설계에 반영했다. 지금 실제로 돌아가는 건 코드를 올릴 때마다 자동으로 시크릿 유출을 검사해 병합을 차단하는 게이트까지이고, 다 만들고 몰아서 검사하는 게 아니라 발행물·기능 단위마다 보안 게이트를 거는 구조는 설계를 잡아 넓혀가는 중이다. AI 에이전트의 프롬프트-커맨드 대조 아이디어도 도입 검토 목록에 올려뒀다.
원본 노트 (딥다이브)
이 글은 요약이고, 전체 상세 노트(강연 전문 요약·검증 기록)는 내 세컨드브레인에 보관 중이다. 비공개 문서라 링크는 걸지 않는다.