웹 애플리케이션 해킹의 모든 걸 알려주는 위험한 책?

사용자 삽입 이미지

웹 해킹 & 보안 완벽가이드
웹 애플리케이션 보안 취약점을 겨냥한 공격과 방어
대피드 스투타드, 마커스 핀토 지음 | 조도근, 김경곤, 장은경, 이현정 옮김
840쪽 | 40,000원 | 2008년 11월 21일 출간예정 | 해킹과 보안 시리즈 19


웹은 이제 단순히 컴퓨터 모니터안에서 펼쳐지는 가상세계를 넘어선 지 오래입니다. 세컨드라이프라 할 만큼, 금융, 쇼핑, 업무 모든 일상생활이 일어나는 장소로서 오히려 오프라인보다 시간을 더 많이 할애하는 경우도 많아졌습니다. 그만큼 월드와이드웹은 인류 최대의 발명품이자 최고의 킬러애플리케이션으로서 우리에게 경이로운 세상을 열어주고 있지만, 그만큼 어둠의 그림자도 점점 짙게 드리워지고 있습니다.

- 지난 3년간 침해사고로 전세계 2억 8000만명 개인정보 유출
- 'GS칼텍스 고객정보유출' 손해배상소송에 4만명 참여
- 옥션, 해킹으로 개인정보 유출사고 발생
- 정보보안은 이제 '기업생명줄' - 안철수 교수 기조연설

올해만 해도 내로라하는 대기업에서 해킹사고나 기업의 부주의로 인한 개인정보 유출 사건이 연달아 터졌습니다. 사실 요즘 사회면이나 IT섹션을 장식하는 기사들중에는 하루가 멀다하고 크라임웨어나 악성프로그램, 웹 해킹 사고 등에 대한 기사가 줄을 잇습니다. 얼마전 설문조사에서도 앞으로 다가올 미래사회에서 가장 우려되는 문제로 "개인정보 유출" 등을 꼽을 정도로 사람들이 느끼는 사용자 안전이나 개인정보 보호 필요성과 함께 어디서 내 정보가 유출될지 모른다는 두려움은 점점 커져만 가고 있죠. 이는 기업의 보안 의식 결여나 무방비 보안 대책 등에서부터, 급박한 개발 일정때문에 일단 기능부터 구현하고 보자는 안일한 개발 방식에서 기인한다고 볼 수 있습니다.

방화벽 등 그런 대로 안전지대에 속한 웹 서버에 비해 결국 오늘날 웹이라 불리는 웹 애플리케이션은 그야말로 보안 취약점이 그대로 노출되고 헛점 투성이로 벌거벗겨진 채로 군침을 흘리고 있는 해커들을 유혹하며 스스로 불러들이고 있는지도 모르겠습니다.

작년 4월 『웹 애플리케이션 해킹 대작전』출간에 즈음해 저희 에이콘 해킹 보안 시리즈 에디터인 강유님이 쓴 웹 2.0 시대를 지키는 웹 보안이라는 스페셜 이슈 글에서도 나오지만, 해킹과 보안 전쟁은 점점 뜨거워져만 가고 있습니다. 하지만 그 책이 나오고 1년 반이나 훌쩍 지난 지금, 우려만 불거지고 있을 뿐 뉴스를 장식하는 기사들을 보면 문제는 더욱 심각해져만 가고 있는 듯합니다.

세상을 해킹하자!

지난 여름에도 한 번 출간 안내를 했던 이 책 The Web Application Hacker's Handbook은 아마존에서도 ★★★★★의 평점을 받고 엄청나게 뜨거운 반응을 받고 있는 책입니다.(이럴수록 번역서를 정말 잘 내야 한다는 강박이 따라붙긴 하죠. 늘 최선을 다하고는 있습니다만..) 작년에 펴낸 『웹 애플리케이션 해킹 대작전』이 해킹 보안 초심자를 위한 초급가이드로서 말랑말랑한 내용을 선보였다면 이 책웹 해킹 & 보안 완벽가이드』는 좀더 상세하고 구체적이며 심도 있으면서도 방대하고 전체적인 실전 해킹의 핵심을 다루는 절대 바이블입니다.

이 책 초반부에서는 해킹에 대한 전반적이고 기본적인 정보수집 기술을 알려주고 큰 그림을 그려줍니다. 이어 중반부에서는 실제 해킹에서 사용되는 세부 공격 기술을 여러 장에 걸쳐 알려주며, 공격을 편리하게 해주는 기법 등 자동화를 이용한 공격 도구 모음을 익힐 수 있습니다. 마지막 부분에서는 웹 애플리케이션 해커의 공격 방법론을 통해 이 책에서 소개한 모든 기술과 절차를 체계적이고 포괄적으로 설명합니다.

이 정도되면 이 책이 얼마나 무시무시한 책인지 느끼실 수 있으신가요? 물론, 보안과 해킹은 양날의 검이며 동전 양면과도 같다고 하지만, 원제에서 나타나듯이 이 책은 보안 책이라기보다는 세상에 못 뚫을 건 하나도 없다는 결연한 의지가 가득한 해커를 위한 완벽가이드입니다.

하지만 '모순'이라고 불리는 창과 방패는 늘 또 함께 짝을 이루고 서로를 반격하고 지탱해주면서 존재의 의미를 지니는 법. 보안에서 늘 나오는 "지피지기면 백전백승"이라는 말과 같이 해커의 모든 습성과 방법을 파악해야 보안 대책도 세울 수 있는 것이겠죠.

책을 읽으면 아시겠지만, 권한 제어 비즈니스 로직만 제대로 구현했다해도 관리자 권한으로 접근하는 해킹 공격을 막아낼 수 있었을 테고, 사용자 입력값을 필터하는 프로그래밍만 제대로 만들어도 코드삽입 공격은 쉽게 피할 수 있습니다.

이 책 저자 서문 마지막 부분에 나오는 경고문이 인상적입니다.

중요한 경고를 하나 해두겠다. 대부분 국가에서는 소유자의 허락없이 컴퓨터 시스템을 공격하는 일은 법에 저촉된다. 이 책에서 소개한 기술들을 사용해 컴퓨터 시스템 소유자 승인없이 해당 시스템에 대해 공격을 수행하는 것은 불법이다.

이 책의 필자는 고객사의 승인을 받은 웹 애플리케이션을 공격해 고객의 보안을 향상시켜주는 데 도움을 주는 전문 침투테스터들이다. 최근 많은 보안 전문가와 일반인들이 허락없이 실제 컴퓨터 시스템에 공격기법을 테스트하거나 공격함으로써 직업을 잃고 범죄기록을 갖게 됐다.

오직 정당한 목적으로 이 책에서 소개한 내용을 사용하길 바란다.

명심하세요! 이 글을 읽고 있는 님이 해커시라면, 이 책에 나온 해킹 노하우를 활용한 후 개인신상에 벌어지는 무서운 사태에 대해 저희 에이콘은 책임지지 않습니다. 게다가 님이 보안관리자거나 웹 애플리케이션 개발자시라면 이 책에 나온 뻔한 해킹 대책을 대비하지 못해 기업 상부로부터 어떤 문책을 당하시더라도 이 또한 책임져드리지 못합니다. -0-

부디.. 우리 모두 착하게 삽시다~! :)

웹 해킹 & 보안 완벽가이드』는 지금 YES24, 교보문고, 강컴, 인터파크, 알라딘에서 "절찬리에" 예약판매중입니다. ^^
 

CC

크리에이티브 커먼즈 라이센스 에이콘출판사에 의해 창작된 이 저작물크리에이티브 커먼즈 코리아 저작자표시 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.


  • dawnsea| Nov 12, 2008

    오오 솔깃~

  • 레몬에이드| Nov 12, 2008

    공부하고 싶다... 해킹과 보안 +ㅁ+

  • kenu| Nov 12, 2008

    게으르면 욕 먹겠군요. 시스템 관리자와 보안 테스터들이요. ^^;

  • 호야지기| Nov 12, 2008

    착하게 살아야 하는건가...

  • lovedev| Nov 13, 2008

    이런책 언제 나오나 했습니다.
    보안 관련  종사하시는 분들이 좋아하실수도 있고. 아닐수도 있겠네요..^^;

    무서운책이 나오는 것임는 틀림없네요 :)

  • 에이콘| Nov 13, 2008

    정말 그렇겠네요. 보안관리자분들은 이런 책이 반가울 수도, 귀찮을 수도.. --;; ㅎㅎ 하지만 믿어요~ 설마.... 좋아하시겠죠!!

  • 바보대장| Nov 14, 2008

    원서를 볼려고 하다가.. 너무 힘들어서 포기했었는데.. 드디어 번역이 되어 나오는 군요..
    기다리고 있었습니다.

  • 황상철| Nov 14, 2008

    착하게 살아야 하는책이군요. ^^

  • ViNS| Jan 16, 2009

    어제 구매~
    느낌이 좋은 책입니다 ^^