포지션 상세
👋 Information Security Division을 소개해요
핀다의 정보보안 Division은 Tech, Policy, Infra 파트가 유기적으로 협업하며, 망분리 환경을 포함한 핀테크 규제 요건을 만족하면서도 프로덕트가 빠르게 성장할 수 있도록 보안을 서비스에 내장(Secure by Design)하는 것을 목표로 합니다.
단순한 운영/점검에 머무르지 않고, 애플리케이션 보안 전략을 수립하고 개발 조직 전반에 보안 문화를 내재화하며, 취약점 관리 체계·Secure SDLC·IAM·보안 자동화의 기준을 정의하고 조직적 성숙도를 끌어올릴 Senior Application Security Engineer(DevSecOps)를 찾고 있습니다.
애플리케이션 보안 전략 및 취약점 관리 체계 설계
• 웹/모바일/API 및 내부 업무 시스템에 대한 취약점 관리 프레임워크 수립 (분류 기준, 심각도 평가 모델, SLA 정의)
• 취약점의 발견 우선순위화 개선 추적 재발 방지까지 전체 라이프사이클의 프로세스를 설계하고 정착
• 조직의 공격 표면(Attack Surface)을 체계적으로 분석하고 리스크 기반의 점검 우선순위 및 연간 로드맵 수립
• 취약점 트렌드를 정량적으로 분석하여 경영진에게 보안 수준 변화를 리포팅하는 메트릭 체계 설계
Secure SDLC / DevSecOps 체계 설계 및 내재화
• CI/CD 파이프라인의 보안 검증 아키텍처 설계 (SAST, DAST, SCA, 컨테이너 스캐닝 등 도구 선정·배치 전략)
• Shift-Left 보안을 구호가 아닌 실행으로 만들기 위한 개발 조직 맞춤형 보안 게이트 정책 수립
• 시큐어 코딩 가이드의 작성·배포를 넘어, 개발팀이 자율적으로 보안 리뷰를 수행할 수 있는 체계 구축
• 오픈소스 라이브러리·컨테이너 이미지의 취약점·라이선스 리스크 거버넌스 체계 수립
• 보안 검증 결과의 노이즈를 구조적으로 줄이는 튜닝 전략 설계 (오탐 억제, 커스텀 룰 관리)
IAM 및 접근 관리 아키텍처 고도화
• 통합 인증(SSO), 인증·인가 정책의 To-Be 아키텍처 설계 및 마이그레이션 전략 수립
• 계정 라이프사이클·권한 관리의 자동화 체계 설계 (프로비저닝 권한 부여 주기적 리뷰 회수)
• 서비스 확장에 따른 권한 모델의 진화 방향 수립 (RBAC/ABAC 전환, 최소 권한 원칙 실효성 확보
보안 자동화 전략 및 엔지니어링
• 반복 업무 자동화를 넘어, 보안 운영 전반의 자동화 전략 수립 및 우선순위 결정
• 보안 도구 간 연동(API) 및 탐지 알림 대응 증적의 end-to-end 파이프라인 설계
• 보안 점검/승인/증적 생성 흐름의 프로세스 설계 및 도구 구현
기술 리더십 및 보안 문화 내재화
• 개발 조직과의 보안 리뷰 체계 설계 (Threat Modeling, 설계 단계 보안 리뷰, 코드 리뷰 보안 체크포인트)
• 보안 챔피언 프로그램 등 개발팀 내 보안 역량을 분산·확산시키는 구조 설계
• 주니어/미드 레벨 보안 엔지니어의 기술적 멘토링
• 보안 기술 의사결정의 근거를 문서화하고 개발 리더·경영진과 효과적으로 커뮤니케이션
• 애플리케이션 보안 경력 7년 이상, 또는 그에 준하는 역량
• 인하우스 환경에서 애플리케이션 보안 체계를 직접 설계하고 조직에 정착시켜 본 경험이 있으신 분
• 개발 경험을 바탕으로 코드 레벨의 취약점 원인 분석과 구조적 개선 방향을 제시할 수 있는 분
• CI/CD 파이프라인에 보안 도구를 단순 연동하는 것을 넘어, 보안 게이트 정책과 운영 기준을 설계해본 경험이 있는 분
• IAM/인증·인가 아키텍처를 서비스 성장에 맞게 재설계하거나 마이그레이션을 주도해본 경험이 있으신 분
• 취약점 진단 결과를 개발팀에 전달하는 것을 넘어, 개발 조직이 보안을 자율적으로 고려하는 문화를 만들어본 경험이 있는 분
핀다의 정보보안 Division은 Tech, Policy, Infra 파트가 유기적으로 협업하며, 망분리 환경을 포함한 핀테크 규제 요건을 만족하면서도 프로덕트가 빠르게 성장할 수 있도록 보안을 서비스에 내장(Secure by Design)하는 것을 목표로 합니다.
단순한 운영/점검에 머무르지 않고, 애플리케이션 보안 전략을 수립하고 개발 조직 전반에 보안 문화를 내재화하며, 취약점 관리 체계·Secure SDLC·IAM·보안 자동화의 기준을 정의하고 조직적 성숙도를 끌어올릴 Senior Application Security Engineer(DevSecOps)를 찾고 있습니다.
주요업무
이런 일들을 같이 할 거예요애플리케이션 보안 전략 및 취약점 관리 체계 설계
• 웹/모바일/API 및 내부 업무 시스템에 대한 취약점 관리 프레임워크 수립 (분류 기준, 심각도 평가 모델, SLA 정의)
• 취약점의 발견 우선순위화 개선 추적 재발 방지까지 전체 라이프사이클의 프로세스를 설계하고 정착
• 조직의 공격 표면(Attack Surface)을 체계적으로 분석하고 리스크 기반의 점검 우선순위 및 연간 로드맵 수립
• 취약점 트렌드를 정량적으로 분석하여 경영진에게 보안 수준 변화를 리포팅하는 메트릭 체계 설계
Secure SDLC / DevSecOps 체계 설계 및 내재화
• CI/CD 파이프라인의 보안 검증 아키텍처 설계 (SAST, DAST, SCA, 컨테이너 스캐닝 등 도구 선정·배치 전략)
• Shift-Left 보안을 구호가 아닌 실행으로 만들기 위한 개발 조직 맞춤형 보안 게이트 정책 수립
• 시큐어 코딩 가이드의 작성·배포를 넘어, 개발팀이 자율적으로 보안 리뷰를 수행할 수 있는 체계 구축
• 오픈소스 라이브러리·컨테이너 이미지의 취약점·라이선스 리스크 거버넌스 체계 수립
• 보안 검증 결과의 노이즈를 구조적으로 줄이는 튜닝 전략 설계 (오탐 억제, 커스텀 룰 관리)
IAM 및 접근 관리 아키텍처 고도화
• 통합 인증(SSO), 인증·인가 정책의 To-Be 아키텍처 설계 및 마이그레이션 전략 수립
• 계정 라이프사이클·권한 관리의 자동화 체계 설계 (프로비저닝 권한 부여 주기적 리뷰 회수)
• 서비스 확장에 따른 권한 모델의 진화 방향 수립 (RBAC/ABAC 전환, 최소 권한 원칙 실효성 확보
보안 자동화 전략 및 엔지니어링
• 반복 업무 자동화를 넘어, 보안 운영 전반의 자동화 전략 수립 및 우선순위 결정
• 보안 도구 간 연동(API) 및 탐지 알림 대응 증적의 end-to-end 파이프라인 설계
• 보안 점검/승인/증적 생성 흐름의 프로세스 설계 및 도구 구현
기술 리더십 및 보안 문화 내재화
• 개발 조직과의 보안 리뷰 체계 설계 (Threat Modeling, 설계 단계 보안 리뷰, 코드 리뷰 보안 체크포인트)
• 보안 챔피언 프로그램 등 개발팀 내 보안 역량을 분산·확산시키는 구조 설계
• 주니어/미드 레벨 보안 엔지니어의 기술적 멘토링
• 보안 기술 의사결정의 근거를 문서화하고 개발 리더·경영진과 효과적으로 커뮤니케이션
자격요건
📌 이런 분과 함께하고 싶어요• 애플리케이션 보안 경력 7년 이상, 또는 그에 준하는 역량
• 인하우스 환경에서 애플리케이션 보안 체계를 직접 설계하고 조직에 정착시켜 본 경험이 있으신 분
• 개발 경험을 바탕으로 코드 레벨의 취약점 원인 분석과 구조적 개선 방향을 제시할 수 있는 분
• CI/CD 파이프라인에 보안 도구를 단순 연동하는 것을 넘어, 보안 게이트 정책과 운영 기준을 설계해본 경험이 있는 분
• IAM/인증·인가 아키텍처를 서비스 성장에 맞게 재설계하거나 마이그레이션을 주도해본 경험이 있으신 분
• 취약점 진단 결과를 개발팀에 전달하는 것을 넘어, 개발 조직이 보안을 자율적으로 고려하는 문화를 만들어본 경험이 있는 분
