Top

BackTrack 4 한국어판 [공포의 해킹 툴 백트랙 4]

  • 원서명BackTrack 4: Assuring Security by Penetration Testing (ISBN 9781849513944)
  • 지은이샤킬 알리, 테디 헤리얀토
  • 옮긴이민병호
  • ISBN : 9788960772168
  • 30,000원
  • 2011년 07월 29일 펴냄 (절판)
  • 페이퍼백 | 436쪽 | 188*235mm
  • 시리즈 : acorn+PACKT, 해킹과 보안

판매처

  • 현재 이 도서는 구매할 수 없습니다.

책 소개

최초로 백트랙(BackTrack) 운영체제를 다룬 책으로서, 침투 테스트(모의 해킹)의 A에서 Z까지를 모두 다룬다. 워낙 다양한 해킹 툴을 다루다 보니 독자 입장에서는 ‘양날의 칼과 같은 해킹 툴이 악용되면 어쩌려고 이런 책을 출간했나’하는 걱정을 할 수도 있다. 하지만 구더기 무서워 장 못 담그랴. 해킹 툴을 널리 알려 윤리적 해커인 침투 테스터 양성에 기여하는 게 바로 이 책의 목적이다. 이를 위해 이 책에서는 해킹 툴뿐만 아니라 보고서 작성과 발표 등 전문 침투 테스터에게 반드시 필요한 내용도 충실히 다룬다.


[ 소개 ]

『BackTrack 4: 공포의 해킹 툴 백트랙 4』는 실용적인 침투 테스트 기술을 익힐 수 있도록 최신 해커 툴과 기술을 단계별로 설명한 책이다. 이 책에서 다루는 랩 준비와 테스트 절차는 경영자 입장에서 이해할 수 있는 디지털 시대의 실제 공격 시나리오를 반영한다.

보안 분야에서 경험과 전문성이 풍부한 저자는 침투 테스트를 논리적이고 체계적인 과정으로 설명하며 업계 최고의 침투 테스트 전략을 공개한다. 『BackTrack 4: 공포의 해킹 툴 백트랙 4』는 처음이자 유일하게 백트랙 OS를 다룬 책으로, 기본적인 설치와 설정 방법은 물론, 랩 준비와 테스트 절차, 블랙박스와 화이트박스 방식의 침투 테스트 유형을 설명한다. 또 유명한 보안 테스트 방법론을 알아보면서 백트랙에 적합한 테스트 과정도 제안한다.


[ 이 책에서 다루는 내용 ]

■ 마술 같은 침투 테스트 과정과 백트랙 리눅스 배포판에 관한 깊은 지식
■ 해커가 침입하기 전에 미리 수행하는 사내 네트워크 시스템 보안 평가의 중요성
■ 대표적인 사용 예와 설정 방법, 장점 등 다양한 보안 툴에 관한 실용적인 내용
■ 실용적인 예제와 단계별 설명, 유용한 팁을 통해 알아보는 최신 보안 평가 툴의 모든 것
■ 백트랙 OS의 설치, 설정, 실행, 갱신 방법을 포함한 테스트 랩 환경 구축 방법
■ 백트랙 테스트 방법론
■ 테스트 방법론에 따라 논리적으로 분류한 다양한 백트랙 보안 툴의 실전 예제
■ 교묘한 속임수를 이용해 사람의 약점을 공략하는 타겟 공격 방법


[ 이 책의 대상 독자 ]

유닉스/리눅스 운영체제의 기본적인 정보 보안 관련 지식을 알고 있는 IT 보안 전문가나 네트워크 관리자, 또는 백트랙을 사용해 침투 테스트를 하고 싶은 사람이라면 누구나 이 책을 읽을 수 있다.


[ 이 책의 구성 ]

1장, 백트랙 시작하기에서는 침투 테스트 전용으로 개발된 라이브 DVD 리눅스 배포판인 백트랙을 소개한다. 백트랙의 간단한 역사와 다양한 기능을 배우게 된다. 또 백트랙 다운로드, 설치, 설정, 업데이트 방법과 백트랙 환경에 툴을 추가로 설치하는 방법을 다룬다. 끝 부분에서는 테스터의 필요에 따라 백트랙을 어떻게 커스터마이징할 수 있는지 설명한다.

2장, 침투 테스트 방법론에서는 명확한 침투 테스트 과정을 구성하는 기본 개념, 규칙, 프랙티스, 방법, 절차 등을 논한다. 유명한 침투 테스트 유형인 블랙박스와 화이트박스 테스트를 어떻게 구별하는지 배우게 된다. 취약점 평가와 침투 테스트의 차이점도 분석한다. 다양한 보안 테스트 방법론과 이들의 핵심적인 비즈니스 기능과 특징, 이점 등을 살펴본다. 2장에서 다루는 방법론은 OSSTMM, ISSAF, OWASP, WASC-TC다. 끝으로 윤리적 관점에서 침투 테스트 업무의 연속적인 10단계로 구성된 백트랙 테스트 과정을 설명한다.

3장, 타겟 스코핑에서는 테스트 요구사항을 정할 때 가이드라인으로 활용할 수 있는 스코프 과정을 다룬다. 테스트 실행의 실질적인 로드맵을 구성하는 스코프 과정의 각 요소를 알아본다. 주요 요소는 클라이언트 요구사항 수집, 테스트 계획 수립, 테스트 한도 설정, 비즈니스 목적 정의 프로젝트 관리와 일정 등이다. 또 타겟 테스트 환경에 관한 정보를 획득하고 관리하는 방법을 배우게 된다.

4장, 정보 수집에서는 정보 수집 단계를 다룬다. 다양한 형식의 문서에서 메타데이터를 수집하고, DNS 정보를 추출하며, 경로 정보를 수집하고, 능동/수동적으로 정보를 수집할 수 있는 여러 가지 툴과 기술을 살펴본다. 또 타겟에 관해 수집한 정보를 문서화하고 정리하는 데 매우 유용한 툴도 설명한다.

5장, 타겟 발견에서는 타겟 발견과 핑거프린팅 과정을 설명한다. 타겟 발견의 주요 목적과 타겟 머신을 식별할 때 유용한 툴을 살펴본다. 마지막 부분에서는 OS 핑거프린팅에 사용할 수 있는 다양한 툴을 다룬다.

6장, 타겟 탐색에서는 타겟 탐색의 과정과 목적을 다룬다. 포트 스캐닝의 정의와 유형, 포트 스캐닝에 필요한 여러 가지 툴을 살펴본다. 열린 포트와 서비스를 매핑하는 방법도 설명한다.

7장, 취약점 매핑에서는 대표적인 두 가지 취약점 유형인 로컬과 원격 취약점을 다룬다. 또 통합적인 공통 패턴에 따라 임의의 취약점을 분류할 때 사용할 수 있는 업계 표준의 취약점 분류법을 몇 개 소개한다. 다음으로 타겟 환경의 보안 취약점을 찾고 분석하는 데 유용한 여러 가지 보안 툴을 설명한다. 7장에서 다루는 툴은 오픈VAS, 시스코, 퍼징, SMB, SNMP, 웹 애플리케이션 분석 툴의 6가지 분류로 나눌 수 있다.

8장, 사회 공학에서는 전문 사회 공학자가 사람을 속여 정보를 누설하게 하거나 특정 행위를 수행하게 할 때 사용하는 핵심 원리와 프랙티스를 다룬다. 사회 공학자의 목표와 비전을 가능케 해주는 기본적인 심리학적 원리도 설명하며, 실질적인 예를 통해 사회 공학의 공격 과정과 기법도 살펴본다. 마지막 부분에서는 컴퓨터 기술에 기반한 두 개의 유명한 사회 공학 툴을 사용하는 실전 예제를 소개하면서 타겟의 사람 인프라를 어떻게 평가할 수 있는지 알아본다.

9장, 타겟 익스플로잇에서는 실제로 익스플로잇을 수행할 때 사용할 수 있는 프랙티스와 툴을 다룬다. 취약점을 이해, 조사, 테스트할 때 매우 중요한 취약점 연구 분야를 살펴본다. 또 공개 익스플로잇과 이를 언제 사용할 수 있는지에 관한 최신 정보를 얻을 수 있는 다양한 익스플로잇 저장소를 소개한다. 타겟 평가 분야에서 정말 유명한 익스플로잇 툴킷도 배운다. 끝으로 간단한 메타스플로잇 프레임워크용 익스플로잇 모듈을 작성하는 과정을 살펴본다.

10장, 권한 상승에서는 권한 상승과 네트워크 스니핑, 스푸핑에 필요한 툴과 기술을 다룬다. 암호 공격 툴을 사용해 공격자의 권한을 상승시키는 방법을 살펴본다. 또 네트워크 트래픽을 스니핑할 수 있는 툴도 소개한다. 끝으로 스푸핑 공격을 실행하는 데 유용한 몇 가지 툴을 설명한다.

11장, 장악 유지에서는 유명한 프로토콜 터널링, 프록시, 단대단 통신 툴을 소개한다. 공격자는 이런 툴을 사용해서 자신과 피해자 머신 사이에 은닉 채널을 생성할 수 있다.

12장, 문서화와 보고에서는 문서화, 보고서 준비, 발표 등 침투 테스트에 필수적인 부분을 설명한다. 이런 과정을 통해 체계적이고 구조적이며 일관된 방식으로 테스트 보고서를 작성할 수 있다. 또 결과 검증 과정, 보고서 유형, 발표 가이드라인, 테스트 후절차에 관한 내용도 다룬다.

부록 A, 기타 유용한 툴에서는 침투 테스트에 유용하게 사용할 수 있는 추가적인 툴을 소개한다.

부록 B, 주요 리소스에서는 다양한 참고 자료 리소스를 설명한다.

저자/역자 소개

[ 저자 서문 ]

백트랙은 타겟 네트워크 환경에서 아직 발견되지 않은 취약점을 식별, 탐지, 익스플로잇할 수 있는 고급 툴이 탑재된 침투 테스트이자 보안 감사 플랫폼이다. 잘 정의된 비즈니스 목적과 정확한 테스트 계획과 함께 적절한 침투 테스트 방법론을 적용하면 철저하고 확실한 네트워크 침투 테스트를 수행할 수 있다.

『BackTrack 4: 공포의 해킹 툴 백트랙 4』는 여러분이 읽으면서 실용적인 침투 테스트 기술을 익힐 수 있도록 최신 해커 툴과 기술을 단계별로 설명한 책이다. 이 책에서 다루는 랩 준비와 테스트 절차는 경영자 입장에서 이해할 수 있는 디지털 시대의 실제 공격 시나리오를 반영하고 있다.

보안 분야에서 경험과 전문성이 풍부한 저자는 침투 테스트를 논리적이고 체계적인 과정으로 설명하면서 업계 최고의 침투 테스트 전략을 공개한다.

『BackTrack 4: 공포의 해킹 툴 백트랙 4』는 처음이자 유일하게 백트랙 OS를 다룬 책으로, 기본적인 설치와 설정 방법은 물론, 랩 준비와 테스트 절차, 블랙박스와 화이트박스 방식의 침투 테스트 유형을 설명하고 있다. 또 유명한 보안 테스트 방법론에 관해 알아보면서 백트랙에 적합한 테스트 과정도 제안한다. 저자는 백트랙 테스트 방법론을 하나씩 다루면서 침투 테스트를 수행하는 데 필요한 다양한 보안 평가 툴을 분류별(타겟 스코핑, 정보 수집, 발견, 탐색, 취약점 매핑, 사회 공학, 익스플로잇, 권한 상승, 장악 유지, 보고)로 소개한다. 각 툴은 실전 예제를 통해 실질적인 사용법과 입증된 설정 방법을 강조하는 방식으로 설명한다. 또 모든 침투 테스터가 알차게 활용할 수 있는 추가적인 보안 툴과 보안 정보 관련 주요 리소스도 소개한다.

이 책은 높은 수준의 침투 테스트 기술을 처음부터 확실하게 익힐 수 있는 전문적이고 실용적인 가이드다. 책을 읽고 나면 실제 환경이나 실험용 테스트 베드에서 백트랙 OS를 누구보다도 잘 사용할 수 있게 될 것이다.

백트랙을 이용해서 사이버 상의 취약점을 식별, 탐지, 익스플로잇하는 침투 테스트 기술을 완전히 숙지할 수 있는 확실한 예제 중심의 가이드가 바로 『BackTrack 4: 공포의 해킹 툴 백트랙 4』다.


[ 저자 소개 ]

샤킬 알리 (Shakeel Ali)
영국 사이퍼 스톰(Cipher Storm Ltd, UK)의 주요 설립자이자 CTO다. 보안 업계 경력이 매우 풍부하며 매일 같이 보안 평가, 감사, 컴플라이언스, 거버넌스, 포렌식 프로젝트를 수행한다. 또 CSS-프로바이더 S.A.L의 최고 보안 책임자(CSO, Chief Security Officer)도 맡고 있다. 경험 많은 보안 연구가로서 밤을 새가며 전세계의 다양한 기업, 교육 기관, 정부 기관 등에 보안 지원 업무를 제공하고 있다. 활동이 왕성한 독립적 보안 연구가로서 다양한 글과 백서를 작성하며 Ethical-Hacker.net에서 블로그를 운영하고 있다. 또 멕시코에서 열리는 버그콘(BugCon) 보안 학회에 정기적으로 참가하면서 최신 사이버 보안 위협과 실질적인 대응 솔루션을 알리는 데 앞장선다.

테디 헤리얀토 (Tedi Heriyanto)
현재 인도네이사 정보 기술 회사의 수석 기술 컨설턴트다. 인도네시아 등 다양한 국가의 유명한 기관에서 일하면서 보안 네트워크 아키텍처 설계, 전사적 보안 시스템 배치 및 관리, 정보 보안 정책과 절차 개발, 정보 보안 감사와 평가, 정보 보안 의식 교육 등을 수행했다. 여유 시간에는 연구를 수행하면서 다양한 글을 쓴다. 또 인도네시아 보안 커뮤니티(Indonesian Security Community) 활동에도 참가하고, 블로그 사이트 http://theriyanto.wordpress.com도 운영한다. 정보 보안이나 컴퓨터 프로그래밍 서적을 집필하면서 정보 보안 분야의 지식을 공유하고 있다.


[ 옮긴이의 말 ]

최근 몇 년 사이에 사이버 범죄의 조직화와 현금화가 본격화됐다. 돈세탁으로 생각할 수 있는 머니 뮬(money mule)이 널리 퍼지면서 해킹한 정보를 이용해서 금전적 이익을 창출하는 사이버 범죄 산업이 크게 성장하고 있다. 단순히 재미나 실력 과시를 목적으로 해킹을 하는 게 아니라 돈과 이익을 노리고 조직적으로 해킹을 하는 사례가 늘고 있다는 의미다. 또 어노니머스(Annoynmous) 같은 핵티비스트 해킹 그룹이 기업이나 국가의 정치 경제적 기밀을 공개하고, 룰즈섹(LulzSec) 같은 흥미 위주의 해킹 그룹이 소니의 플레이스테이션 네트워크를 해킹하면서 전세계가 사이버 보안과 사이버 범죄에 큰 관심을 보이기 시작했다. 우리나라에서도 몇몇 금융 기관이 해킹 피해를 입으면서 사이버 보안이 사회적인 이슈로 떠올랐다.

이런 시기에 『BackTrack 4: 공포의 해킹 툴 백트랙 4』가 나왔다. 도깨비 방망이 같은 해킹 툴을 친절히 설명하면서 실전에 바로 적용할 수 있는 해킹 과정을 자세히 다루는 이 책이 말이다. 안 그래도 해킹과 사이버 범죄가 이슈인데 옆집 철수도 악의적 해커로 만들어 버릴 수 있는 책이 나와버린 것이다. 해킹 툴은 양날의 칼과 같아서 침투 테스터나 보안 전문가가 선의의 목적으로 사용하면 IT 산업 전체의 보안 향상에 기여하지만, 악의적 해커가 악용하면 사이버 재앙을 야기할 수도 있다. 수 많은 해킹 툴을 설명하는 이 책 역시 마찬가지다. 특히 이 책에서는 기술적 원리는 모르면서 툴만 사용하는 해커인 스크립트 키디가 지침서처럼 가지고 다닐 수 있을 정도로 다양한 해킹 툴을 소개한다.

그렇기에 이들의 공격을 막아야 하는 방어자와 침투 테스터에게도 꼭 필요한 책이 바로 이 책이다. 누구나 쉽게 사용할 수 있는 위험천만한 해킹 툴은 이미 존재한다. 구더기 무서워 장 못 담그지 않듯이 악용이 두려워 강력한 해킹 툴의 존재를 숨길 수는 없다. 오히려 툴의 사용법을 더욱 널리 알려 선의의 보안 전문가가 활용할 수 있게 하는 게 최선의 방어책이다. 공격자의 툴을 이해한 방어자는 난공불락의 방어 시스템을 구축할 수 있기 때문이다. 또 이 책에서는 해킹 툴 외에도 테스트 결과 문서화와 발표, 대응책 수립 등 전문 침투 테스터의 필수 업무와 체계적인 침투 테스트 과정도 다루고 있기에 그야말로 침투 테스터를 꿈꾸는 사람의 필독서라 할 수 있다. 여러분도 이 책을 읽고 나면 강력한 사이버 무기를 하나 더 갖춘 보안 전문가로 거듭날 수 있을 것이다.


[ 옮긴이 소개 ]

민병호
서울대학교 컴퓨터공학과에서 학사와 석사를 마쳤으며, 보안 연구가를 꿈꾸며 계속 정진 중이다. 옮긴 책으로 에이콘출판사에서 펴낸 『TCP/IP 완벽 가이드』(2007), 『새로 보는 프로그래밍 언어』(2008), 『리눅스 방화벽』(2008), 『크라임웨어』(2009), 『해킹 초보를 위한 웹 공격과 방어』(2011)가 있다.

목차

목차
  • 1부 랩 준비와 테스팅 절차
  • 1장 백트랙 시작하기
    • 역사
    • 백트랙의 용도
    • 백트랙 다운로드
    • 백트랙 이용하기
      • 라이브 DVD
      • 하드 디스크에 설치하기
      • 포터블 백트랙
    • 네트워크 연결 설정하기
      • 이더넷 설정하기
      • 무선 네트워크 설정하기
      • 네트워크 서비스 시작하기
    • 백트랙 업데이트하기
      • 소프트웨어 애플리케이션 업데이트하기
      • 커널 업데이트하기
    • 추가적인 소프트웨어 무기 탑재하기
      • 네서스 취약점 스캐너
      • 웹시큐리파이
    • 백트랙 커스터마이징하기
    • 정리
  • 2장 침투 테스트 방법론
    • 침투 테스트의 종류
      • 블랙박스 테스트
      • 화이트박스 테스트
    • 취약점 평가와 침투 테스트
    • 보안 테스트 방법론
      • 오픈 소스 보안 테스트 방법론 매뉴얼
      • 정보 시스템 보안 평가 프레임워크
      • 오픈 웹 애플리케이션 보안 프로젝트 상위
      • 웹 애플리케이션 보안 컨소시엄 위협 분류
    • 백트랙 테스트 방법론
      • 타겟 스코핑
      • 정보 수집
      • 타겟 발견
      • 타겟 탐색
      • 취약점 매핑
      • 사회 공학(소셜 엔지니어링)
      • 타겟 익스플로잇
      • 권한 상승
      • 장악 유지
      • 문서화 및 보고
    • 윤리적 측면
    • 정리
  • 2부 침투 테스터 무기창고
  • 3장 타겟 스코핑
    • 클라이언트 요구사항 수집
      • 고객 요구사항 양식
      • 산출물 평가 양식
    • 테스트 계획 수립
      • 테스트 계획 체크리스트
    • 테스트 한도 설정
    • 비즈니스 목적 정의
    • 프로젝트 관리와 일정
    • 정리
  • 4장 정보 수집
    • 공개 리소스
    • 문서 수집
      • 메타구필
    • DNS 정보
      • dnswalk
      • dnsenum
      • dnsmap
      • dnsrecon
      • 피어스
    • 경로 정보
      • 0trace
      • 드미트리
      • itrace
      • tcptraceroute
      • tctrace
    • 검색 엔진 활용하기
      • goorecon
      • 더하베스터
    • 일체형 정보 수집
      • 말테고
    • 정보 문서화
      • 드래디스
    • 정리
  • 5장 타겟 발견
    • 소개
    • 타겟 머신 식별
      • arping
      • arping2
      • fping
      • 젠리스트
      • hping2
      • hping3
      • 랜맵
      • nbtscan
      • 엔핑
      • 원식스티원
    • OS 핑거프린팅
      • p0f
      • xprobe2
    • 정리
  • 6장 타겟 탐색
    • 포트 스캐닝
      • 오토스캔
      • 네티페라
      • 엔맵
      • 유니콘스캔
      • 젠맵
    • 서비스 탐색
      • Amap
      • Httprint
      • Httsquash
    • VPN 탐색
      • ike-scan
    • 정리
  • 7장 취약점 매핑
    • 취약점 유형
      • 로컬 취약점
      • 원격 취약점
    • 취약점 분류법
    • 오픈VAS
      • 오픈VAS 통합 보안 툴
    • 시스코 분석
      • 시스코 감사 툴
      • 시스코 글로벌 익스플로이터
      • 시스코 암호 스캐너
    • 퍼지 분석
      • BED
      • 버니
      • JBroFuzz
    • SMB 분석
      • 임패킷 Samrdump
      • Smb4k
    • SNMP 분석
      • ADMSnmp
      • Snmp 이넘
      • SNMP 워크
    • 웹 애플리케이션 분석
      • 데이터베이스 평가 툴
      • 애플리케이션 평가 툴
    • 정리
  • 8장 사회 공학
    • 인간 심리학 모델링
    • 공격 과정
    • 공격 방법
      • 가장
      • 상호교환
      • 권력자 행세
      • 희소성
      • 사회적 관계
    • 사회 공학 툴킷
      • 타겟티드 피싱 공격
      • 사용자 계정 정보 수집
    • CUPP
    • 정리
  • 9장 타겟 익스플로잇
    • 취약점 연구
    • 취약점과 익스플로잇 저장소
    • 고급 익스플로잇 툴킷
      • MSFConsole
      • MSFCLI
      • 닌자 기본 훈련
      • 익스플로잇 모듈 작성
    • 정리
  • 10장 권한 상승
    • 암호 공격
      • 오프라인 공격 툴
      • 온라인 공격 툴
    • 네트워크 스니퍼
      • Dsniff
      • 햄스터
      • Tcpdump
      • Tcpick
      • 와이어샤크
    • 네트워크 스푸핑 툴
      • Arpspoof
      • 이터캡
    • 정리
  • 11장 장악 유지
    • 프로토콜 터널링
      • DNS2tcp
      • Ptunnel
      • Stunnel4
    • 프록시
      • 3proxy
      • 프록시체인
    • 단대단 연결
      • 크립트캣
      • Sbd
      • 소캣
    • 정리
  • 12장 문서화와 보고
    • 문서화와 결과 검증
    • 보고서 유형
      • 운영진 보고서
      • 관리 보고서
      • 기술 보고서
      • 네트워크 침투 테스트 보고서
    • 발표
    • 테스트 후절차
    • 정리
  • 3부 추가적인 무기
  • 부록 A 기타 유용한 툴
    • 취약점 스캐너
      • 넥스포즈 커뮤니티 에디션
    • 웹 애플리케이션 핑거프린팅 툴
      • 왓웹
      • 블라인드엘리펀트
    • 만능 네트워크 툴
      • 넷캣
    • 정리
  • 부록 B 주요 리소스
    • 최신 취약점 정보 수집
      • 유료 회원 우대 프로그램
    • 리버스 엔지니어링 리소스

관련 블로그 글

보안 적신호, [백트랙]을 활용한 모의해킹으로 철벽방어
사용자 삽입 이미지
BackTrack 4 한국어판: 공포의 해킹 툴 백트랙 4
샤킬 알리, 테디 헤리얀토 지음 | 민병호 옮김
acorn+PACKT 시리즈 | 에이콘 해킹 보안 시리즈
YES24 | 교보문고 | 인터파크 | 강컴 | 알라딘 | 반디앤루니스 | 대교리브로
출간 즉시 아마존닷컴 컴퓨터분야 1위,
전문기술서로서는 놀라운, 아마존 종합 순위 90위대를 기록한
보안/해킹 분야 필독서!
저자는 이 책에서 사이버 범죄로 인해 현대사회가 전자상거래의 추락뿐만 아니라 금융시스템의 붕괴까지 직면하고 있다고 지적한다. 한 마디로 사이버 조직범죄는 국제 마약거래나 핵 확산만큼 심각한 문제다. 나아가 러시아나 중국 정부는 국익을 위해 자국 해커들을 보호하고 심지어 전략적 수단으로 활용한다. 이 책은 영화처럼 흥미진진하지만 한편으론 인터넷 시대에 대한 매우 위험한 통찰이 담겨 있다.

[##_1R|1197353810.png|width="167" height="198" alt="사용자 삽입 이미지"|_##]영화 같은 실화?! 위 글은 얼마전 저희 출판사에서 출간한 『넷 마피아』의 요약 소개자료입니다. 온라인 해킹, 신원도용, 스팸메일, 피싱 등 수많은 온라인 범죄와 사이버 수사 첩보 등 이 책에 나오는 저자 바렛 리온과 앤디 크로커의 실화에 기반한 전세계 인터넷 지하 경제의 음모와 범죄를 낱낱이 다룬 이 책의 이야기는 이제 남의 일이 아닙니다.

며칠 전 초유의 사건이 터졌습니다. 우리나라 최대 포털 중 하나인 네이트에서 3500만 명 국민의 개인정보가 온라인해킹으로 노출된 사건이죠. 그 며칠 전에는 한국음악실연자협회의 사이트 관리 소홀로 유명 연예인 몇천 명의 주민등록번호가 검색에 고스란히 노출되기도 했습니다. 대형포털 디도스 공격, 현대캐피탈의 42만 명 고객정보 유출, 농협 해킹 사태로 인한 전산망 마비 등 이제는 금융기관, 국가의 전산망, 온라인 포털 등 곳곳을 가리지 않고 하루가 멀다하고 '사고'가 터지는 셈입니다. 인재와 천재가 겹친 서울 산사태를 무색케하는 대형인재가 온라인에서는 날마다 '有故'입니다.

『넷 마피아』를 읽은 독자 여러분의 서평은 한결 같았습니다. 두렵다, 놀랍다, 이 정도라니. 하지만 어쩌면 보안 관계자가 읽은 권수를 따라잡지는 못하겠지만, 해킹보안 서적을 수십 권 기획하고 출간한 저희로서는 넷 마피아의 그것은 어쩌면 독자분들이 느낀 감상보다는 그 여파가 덜했다고 볼 수 있습니다. 어쩌면 저희는 '뻔한 이야기 아냐?'라고 생각하기도 했습니다. 그만큼 저희가 느낀 작금의 사태는 이미 심각하다고 간파한 상태였습니다. "웹 애플리케이션 해킹 완벽 가이드"라는 책을 소개한, 3년 전의 2008년 11월 에이콘블로그 글에서도 이미 그 위험성을 경고한 적이 있습니다. 세상은 그동안 얼마나 달라진 걸까요?

세상의 해커들은 어쩌면 보안관리 담당자가 아는 것 이상의 엄청난 지식과 기술을 이미 확보하고 있을지도 모릅니다. 아니, 어쩌면 사람이 아닐지라도 어쩌면 여러분이 만든 사이트와 제품은 보안상의 수많은 오류와 헛점을 품은 채 이미 세상에 선을 보이고 당신의 소중한 고객이 열심히 사용중인지도 모릅니다. 역시나 여러분은 전혀 모르는 채로요.

과연 해커들이 시스템에 침투하여 단 1회에 개인정보를 모두 긁어가는 정도로 그쳤다면 어쩌면 천만다행인 일인지도 모릅니다. 그러나 우리가 모르는 사이에 해커는 시스템에 침투하여 데이터베이스에 접근해 모든 데이터를 긁어간 후에도 만족하지 않고 계속 들락거리며 우리 모두를 농락했을 거란 일입니다. 모 금융 시스템 해킹 사건에서 노출된 고객 정보가 처음 조사시에는 십수만 건에 불과했다가 최종에는 백만대 건으로 늘었다는 이야기는 이미 해커는 제집 드나들 듯 해킹 놀이를 했다는 것이지요.

해커는 웹의 취약점을 공격해 시스템의 최고권한을 획득한 후 서버 장악을 유지하기 위해 루트킷이나 백도어를 설치해 원하는 자료를 차근차근 획득하고 정보를 리셋한 후 종국에는 사이트를 마비시키는 시나리오를 이미 모두 짜놓은 후에 지금은 X단계의 미션을 실행 중인지도 모릅니다. 그렇다면 사이트 관리자나 보안 담당자들은 전혀 알아채지 못한 걸까요. 물론 정교하게 웹 트래픽처럼 보이게 했을지도 모릅니다. 그러나 분명히 그들은 방화벽을 우회한다거나 감시 모니터를 우회하는 등 흔적을 남겼겠지만, '사람'이 충분히 발견할 수 있는 기회조차 아예 갖지 않았다면 더욱 큰 문제가 아닐까요.

산도 무너지고 모든 온라인 세상이 무너져 내린다. 이 무서운 시나리오 속에서 그저 속수무책 잘못을 되풀이하고 사과하고 다시 또 다시 되풀이하는 악몽을 멈추게 하려면 반드시 현실을 직시하고 뛰는 놈 위에 나는 자가 되어야 합니다. 각 기관과 회사에서는 모의해킹과 침투테스팅 등을 통해 자사 사이트의 취약점을 발견하고 바로 대응책을 세워야 할 때입니다.
저자는 백트랙 테스트 방법론을 하나씩 다루면서 침투 테스트를 수행하는 데 필요한 다양한 보안 평가 툴을 분류별(타겟 스코핑, 정보 수집, 발견, 탐색, 취약점 매핑, 사회 공학, 익스플로잇, 권한 상승, 장악 유지, 보고서 작성)로 소개한다. 각 툴은 실전 예제를 통해 실질적인 사용법과 입증된 설정 방법을 강조하는 방식으로 설명한다.
BackTrack 4 한국어판: 공포의 해킹 툴 백트랙 4은 침투테스팅(이라고 쓰고 해킹이라고도 읽을 수 있는) 수많은 툴에 특화된 전용 운영체제인 백트랙4(BackTrack4)를 다룬 세계 최초의 책입니다. 이 책이 보안 관리자에게 읽힌다면 자사의 웹을 철벽방어할 수 있는 최대의 도구로서 활용될 수 있을 것이나, 만약 어린 스크립트키디의 손에 들어간다면 무시무시한 해킹 교본으로서도 악용될지도 모를 만큼, 어쩌면 매우 위험한 책입니다. 그렇기 때문에 미리 알고 미리 공부해서 외양간은 미리 튼튼하게 정비해둬야 합니다.

마지막으로 이 책을 번역한 보안 전문가 민병호 님의 옮긴이 서문으로 이 글을 정리합니다. 앞으로 한층 성장한 보안관리를 통해 더욱 견고해진 웹사이트를 안전하게 즐길 수 있게 해주시길 간곡히 부탁합니다. 에이콘출판사에서는 곧 무선네트워크 침투테스팅 방법을 설명하는 백트랙5 서적도 원서가 출간되는 대로 바로 번역해 출간할 계획입니다. 기대해주시기 바랍니다.

최근 몇 년 사이에 사이버 범죄의 조직화와 현금화가 본격화됐다. 돈세탁으로 생각할 수 있는 머니 뮬(money mule)이 널리 퍼지면서 해킹한 정보를 이용해서 금전적 이익을 창출하는 사이버 범죄 산업이 크게 성장하고 있다. 단순히 재미나 실력 과시를 목적으로 해킹을 하는 게 아니라 돈과 이익을 노리고 조직적으로 해킹을 하는 사례가 늘고 있다는 의미다. 또 어노니머스(Annoynmous) 같은 핵티비스트 해킹 그룹이 기업이나 국가의 정치 경제적 기밀을 공개하고, 룰즈섹(LulzSec) 같은 흥미 위주의 해킹 그룹이 소니의 플레이스테이션 네트워크를 해킹하면서 전세계가 사이버 보안과 사이버 범죄에 큰 관심을 보이기 시작했다. 우리나라에서도 몇몇 금융 기관이 해킹 피해를 입으면서 사이버 보안이 사회적인 이슈로 떠올랐다.

이런 시기에 『BackTrack 4: 공포의 해킹 툴 백트랙 4』가 나왔다. 도깨비 방망이 같은 해킹 툴을 친절히 설명하면서 실전에 바로 적용할 수 있는 해킹 과정을 자세히 다루는 이 책이 말이다. 안 그래도 해킹과 사이버 범죄가 이슈인데 옆집 철수도 악의적 해커로 만들어 버릴 수 있는 책이 나와버린 것이다. 해킹 툴은 양날의 칼과 같아서 침투 테스터나 보안 전문가가 선의의 목적으로 사용하면 IT 산업 전체의 보안 향상에 기여하지만, 악의적 해커가 악용하면 사이버 재앙을 야기할 수도 있다. 수 많은 해킹 툴을 설명하는 이 책 역시 마찬가지다. 특히 이 책에서는 기술적 원리는 모르면서 툴만 사용하는 해커인 스크립트 키디가 지침서처럼 가지고 다닐 수 있을 정도로 다양한 해킹 툴을 소개한다.

그렇기에 이들의 공격을 막아야 하는 방어자와 침투 테스터에게도 꼭 필요한 책이 바로 이 책이다. 누구나 쉽게 사용할 수 있는 위험천만한 해킹 툴은 이미 존재한다. 구더기 무서워 장 못 담그지 않듯이 악용이 두려워 강력한 해킹 툴의 존재를 숨길 수는 없다. 오히려 툴의 사용법을 더욱 널리 알려 선의의 보안 전문가가 활용할 수 있게 하는 게 최선의 방어책이다. 공격자의 툴을 이해한 방어자는 난공불락의 방어 시스템을 구축할 수 있기 때문이다. 또 이 책에서는 해킹 툴 외에도 테스트 결과 문서화와 발표, 대응책 수립 등 전문 침투 테스터의 필수 업무와 체계적인 침투 테스트 과정도 다루고 있기에 그야말로 침투 테스터를 꿈꾸는 사람의 필독서라 할 수 있다. 여러분도 이 책을 읽고 나면 강력한 사이버 무기를 하나 더 갖춘 보안 전문가로 거듭날 수 있을 것이다.
- 옮긴이 민 병 호
CC

크리에이티브 커먼즈 라이센스 이 저작물은 크리에이티브 커먼즈 코리아 저작자표시 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

도서 오류 신고

도서 오류 신고

에이콘출판사에 관심을 가져 주셔서 고맙습니다. 도서의 오탈자 정보를 알려주시면 다음 개정판 인쇄 시 반영하겠습니다.

오탈자 정보는 다음과 같이 입력해 주시면 됩니다.

(예시) p.100 아래에서 3행 : '몇일'동안 -> 며칠동안