Top

보안의 미학 Beautiful Security [보안의 심리학과 측정학, 지하 경제, 역사에 이르기까지 컴퓨터 보안의 오해와 진실]

  • 원서명Beautiful Security: Leading Security Experts Explain How They Think (ISBN 9780596527488)
  • 지은이앤디 오람(Andy Oram) (편저), 존 비에가(John Viega) (편저)
  • 옮긴이김상현
  • ISBN : 9788960777361
  • 30,000원
  • 2015년 07월 31일 펴냄
  • 페이퍼백 | 384쪽 | 188*235mm
  • 시리즈 : 해킹과 보안

책 소개

2016년 대한민국학술원 우수학술도서 선정도서
요약

요즘 스마트폰을 쓰지 않는 사람이 얼마나 될까? 와이파이를 쓰지 않는 사람은? 하지만 자신의 스마트폰에, ‘앗 공짜다’라며 별 생각 없이 접속해 쓰게 되는 와이파이에, 어떤 보안상의 취약점이나 위험이 도사리고 있는지 진지하게 고민해 본 사람은 많지 않다. 보안업계 종사자는 물론 일반인들에게도 중요한 지침서 노릇을 할 이 책은 정보통신 보안업계의 여러 전문가, 리더, 선량한 해커들이 보안 분야의 핵심 이슈와 과제에 관해 쓴 에세이들을 모은 책이다. 총 16장에 걸쳐 폭넓고 다양한 보안 문제들을 짚고, 그에 대해 심층적이고 풍요로운 통찰을 제공한다.

이 책에 쏟아진 찬사

이 사려 깊은 에세이들의 모음집은, 보안이라고 하면 흔히 떠올리는 ‘두려움, 불확실성, 회의’(FUD)의 그릇된 신화를 넘어, 제대로 시행되고 적용된 보안의 미묘한 아름다움을 독자들에게 전해준다. 이 책은 보안의 음과 양, 보안의 가공할 만큼 파괴적인 속성과 눈부실 만큼 건설적인 속성 사이의 원천적이고 창의적인 긴장 관계를 표나게 보여준다.
-게리 맥그로(Gary McGraw) / ‘시지탈(Cigital)’의 CTO, 『소프트웨어 보안』 저자

이 책에서 다루는 내용

비록 대부분의 사람들은 자신들의 PC나 기업 시스템이 막상 해커의 공격을 받을 때까지는 보안에 대해 별다른 주의를 기울이지 않지만, 이 심도 깊은 에세이 모음집은 디지털 보안이 평소에도 생각해볼 만한 가치가 있을 뿐 아니라 사실은 더없이 매혹적인 주제라는 점을 뚜렷이 보여준다. 디지털 보안의 세계에서 사이버 범죄자들은 엄청난 창의성을 발휘해 시스템을 파괴하는 만큼, 그를 막으려는 사람들도 그에 못지않은, 아니 그를 넘어선 창의성을 발휘하지 않으면 안 된다. 이 책은 이 난제를 풀기 위해 다음 주제들로 통찰력 있는 에세이와 분석을 제공한다.

개인정보를 둘러싼 지하경제: 이 시장은 어떻게 작동하는가, 범죄자들 간의 관계는 어떻게 형성되고 변화하는가, 대량의 개인정보를 빼내기 위해 어떤 수법과 속임수들을 쓰는가

소셜 네트워킹, 클라우드 컴퓨팅, 그리고 사이버 세계에서 벌어지는 여타 인기 트렌드들은 온라인 보안에 어떤 도움을 주거나 해악을 끼치는가

구체적 수치로 위험 수준을 평가하는 ‘메트릭스’, 특정 소프트웨어나 시스템에 요구되는 사양과 기능 정보의 수집, 시스템 설계, 관련 법규 등은 어떻게 보안을 한 단계 더 높은 수준으로 끌어올릴 수 있는가

세상에 잘 알려지지 않은, 대표적 데이터 암호화, 복호화 프로그램인 PGP의 흥미로운 역사

이 책의 대상 독자

이 책은 컴퓨터 기술에 관심이 있고, 특히 첨단 분야의 삶을 경험하고 싶어하는 이들을 염두에 두었다. 장차 이 분야로 진로를 잡고 싶어하는 학생, 어느 정도의 프로그래밍 지식을 갖춘 이들, 컴퓨터 전반에 대한 이해도가 중급 이상인 사람들이 우리가 상상하는 독자들이다.
기고자들은 비교적 초보 수준의 독자라도 그 공격과 방어의 일반적 기제를 이해할 수 있을 만한 수준으로 설명하고 있다. 전문지식을 갖춘 독자라면 이 책의 논의 내용을 더욱 제대로 만끽하는 것은 물론 더 심도 있게 연구할 수 있는 지침도 얻게 될 것이다.

이 책의 구성

이 책의 장들은 어떤 특별한 도식에 따라 배열한 것이 아니라 새로운 시각을 하나둘 드러내면서 독자의 관심을 끌 수 있도록, 가능하다면 심지어 독자들에게 충격을 줄 수 있도록 배려했다. 하지만 비슷한 주제를 다루는 장들은 같은 그룹으로 묶었다.

1장 심리적 보안의 덫 (피터 '머지' 자트코)
2장 무선 네트워킹: 사회공학의 옥토 (짐 스티클리)
3장 보안 측정의 미학 (엘리자베스 니콜스)
4장 '정보보안 범죄의 지하경제' (첸시 왕)
5장 전자상거래 보안의 재고찰 (에드 벨리스)
6장 온라인 광고 보안: 새롭고 거친 서부의 도둑과 보안관들 (벤저민 에델만)
7장 PGP의 '신뢰의 웹'의 진화 (필 짐머만, 존 칼라스)
8장 오픈소스 허니클라이언트: 클라이언트 측 익스플로잇을 탐지하는 방법 (캐시 왕)
9장 보안의 미래 (마크 커피)
10장 보안은 디자인 단계부터 (존 맥마누스)
11장 기업들에 보안 경각심 불어넣기: 보안은 미래 소프트웨어의 필수 요건 (제임스 루스)
12장 오 맙소사, 정보 변호사들이 몰려오고 있어! (랜디 사벳)
13장 로그 관리의 미학 (앤톤 추바킨)
14장 사고 탐지: 나머지 68%를 찾아서 (그랜트 가이어, 브라이언 던피)
15장 실제 데이터 없이 일하기 (피터 웨이너)
16장 주문 걸기: PC 보안 극장 (마이클 우드, 퍼낸도 프란시스코)

저자/역자 소개

지은이의 말

뉴스 헤드라인이 사회의 흐름을 드러낸다고 한다면 요즘은 컴퓨터 보안 관련자들에게 흥미로운 시기임에 분명하다. 이 책 『보안의 미학 Beautiful Security』에 대한 편집을 마감할 즈음, 마이크와 카메라를 몰래 작동시켜 데이터를 훔쳐낼 수 있는 소프트웨어가 103개국 1,200대 이상의 컴퓨터에서, 특히 대사관과 다른 기밀 정부 사이트의 컴퓨터에서 발견되었다는 뉴스가 나왔다. 한편 한 법원은 미국 수사관들이 영장 없이도 (그 대화의 한쪽이 미국 영토 밖인 한) 전화와 인터넷 기록을 수색할 수 있는 권리를 인정했다. 그리고 최근에는 어도비 애크로뱃과 어도비 리더에 '버퍼 오버플로우(buffer overflow)’의 취약성이 있어서 악의적으로 설정된 PDF를 이용자가 실수로 열 경우 해커가 그의 권한을 도용해 그의 시스템에 임의적인 코드를 실행시킬 수 있다는 점이 밝혀졌다.
그러나 이 같은 헤드라인은 제대로 알고 보면 기술적 동향을 드러내는 좋은 지표가 아니다. 길게 볼 때 역사의 변화를 추동하는 것은 미묘한 진화적 변화이고, 이는 오직 소수만이, 이를테면 이 책에 기고한 이들처럼 내로라하는 보안 전문가들만이 의식할 수 있는 변화다. 요즘 나타나는 보안적 위협과 그에 대한 대응 양상은 이 책에 잘 소개되어 있다.
내가 첫 단락에서 언급한 모든 놀라운 뉴스 아이템은 컴퓨터 보안 분야에서는 그저 일상적인 사례에 지나지 않는다. 물론 그것들이 우려할 만한 흐름 중 하나인 것은 분명하다. 하지만 우리는 또한 더 새롭고 덜 드라마틱한 보안상의 취약점에도 주목할 필요가 있다. 이 책의 기고자들은 지난 수십 년간 우리의 작업 관행에 내재한 보안상의 취약점을 찾아내고, 그에 대응하는 독특한 방법을 제시하는 데 앞장서 왔다.

왜 보안은 아름다운가
내가 보안 전문가인 존 비에가(John Viega)에게 이 책에 참여할 저자를 찾는 것을 도와달라고 부탁한 것은 보안에 대한 일반 사람들의 시각에 큰 문제가 있다고 생각했기 때문이다. 그들이 언론을 통해 읽는 침입이나 절도에 관한 충격적인 묘사를 제외하면, 보안에 대한 보통 사람들의 시각은 그저 '지루하다.'라는 것이다.
많은 이들에게 보안은 시스템 관리자들이 만들라고 귀찮게 요구하는 백업 폴더나, 웹 페이지가 뜨기 전에 암호를 넣으라며 끝도 없이 뜨는 대화창으로 대표된다. 대화창에 넣을 암호를 얼른 기억하지 못한 컴퓨터 사용자는 책상 위 메모지에 적어둔 암호를 찾아 읽으며 불만을 터뜨린다(메모지 아래에 놓인 것은 퇴근할 때 꼭 서랍에 넣고 잠그라고 사무실 관리자가 누누이 강조한 예산 계획 문서다.). 만약 이런 게 보안의 실체라면, 누가 이 분야로 들어서고 싶겠는가? 혹은 오라일리에서 보안 관련 책을 사겠는가? 혹은 그에 대해 30초 이상 생각하겠는가?
안전한 시스템을 만들 임무를 띤 사람들의 시각으로 볼 때는 어떤 노력도 가망 없어 보인다. 사내의 누구도 그들이 만든 보안 절차에 협조하지 않고, 비즈니스 매니저들은 보안 분야에 쥐꼬리만한 돈 말고는 더 이상 쓸 생각이 없다. 프로그래머와 시스템 관리자들은 끝없이 출현하는 '제로데이 익스플로잇(zero-day exploits)’과, 그들이 쓰는 툴과 프로그램 언어의 보안적 취약성에 신물 난 나머지 점점 더 해이해진다.
보안 관련 책이 잘 안 팔리는 것도 그 때문이다(비록 지난 한두 해 동안 판매량이 다소 늘기는 했지만). 시스템을 해킹하는 방법에 관한 책이 시스템을 보호하는 방법에 관한 책보다 훨씬 더 잘 팔린다. 정말 걱정되는 대목이다.
이 책이 그런 경향을 바꿨으면 한다. 보안이 당신이 선택할 수 있는 가장 흥미진진한 진로라는 것을 이 책이 보여줄 것이다. 보안은 지루하지도 않고, 관료주의적이지도 않으며, 사고를 제한하지도 않는다. 오히려 보안은 기술의 어떤 분야에서도 그 유례를 찾기 어려운 수준의 무한한 상상력을 펼치게 해준다.
지난 몇 년간 내가 편저자로 참여했던 프로그래밍 관련 책은 대부분 보안에 관한 단원을 담고 있다. 이들 내용은 보안에 도움이 될 법한 작업 습관과 일반적인 원칙을 익힐 수 있다는 점에서 분명히 유용하다. 하지만 보안이라는 주제를 다른 프로그래밍 주제와 구분하는 그러한 관행이 나는 탐탁치 않았다. 그것이 보안을 일종의 부가물이자 '때늦은 생각(afterthought)’ 정도로 여기는 너무나 흔한 시각을 더욱 부추긴다고 봤기 때문이다. 『보안의 미학』은 그 같은 오해를 불식시키고자 한다.
존은 이 책의 기고자로 보안 분야에서 거듭 탁월한 통찰력을 발휘해 왔고, 이 분야에 대해 참신한 시각을 제시해온 이들을 뽑았다. 어떤 기고자는 수천 명이 이용하는 시스템을 설계했고, 어떤 기고자는 내로라하는 대기업의 고위직에 있었으며, 또 다른 이는 보안 문제와 관련해 정부에 조언하거나 직접 정부에서 일했다. 이들은 예외 없이 우리는 그 단서조차 이해하지 못하는 보안 분야의 문제점과 그 해결책을 찾고 있고, 앞으로 여러 해에 걸쳐 그에 관한 이야기를 들려줄 수 있을 것으로 기대된다.
이 책의 기고자들은 효과적인 보안책은 언제나 긴장을 늦추지 않는 것임을 보여준다. 효과적인 보안책은 기술, 인식, 조직 구조 등의 경계선을 넘어선다. 보안 분야의 악한들은 절묘한 창의성을 발휘해 그들의 악의적인 목표를 달성한다. 따라서 그들을 막는 쪽도 그와 마찬가지의 창의성과 상상력을 발휘하지 않으면 안 된다.
이 책의 기고자들은 세계 정보보안의 막중한 책임을 지고 있는 이들인 만큼, 이 책에서 자신에게 할당된 부분을 쓰느라 따로 시간을 뺏긴 데 대해 비판을 들었을 수도 있다. 실제로 여러 기고자들은 눈코 뜰 새 없이 바쁜 일정을 쪼개 이 책에 들어갈 글을 쓰느라 적잖은 스트레스를 받았다. 그러나 충분히 그럴 만한 가치가 있는 일이었다. 이 책이 그들의 더 큰 목표를 실현해줄 수 있기 때문이다. 이 책을 읽고 더 많은 이들이 보안 분야에 매력을 느끼고, 더 깊이 탐구해보겠다고 결심해서, 더 나은 보안을 위해 조직 문화의 변화를 꾀하는 이들에게 주의를 기울이고 그들을 지원하게 된다면, 이 책은 그와 같은 노력을 기울일 만한 가치가 있었음을 증명하는 셈이 될 것이다.

2009년 3월 19일 '상거래, 과학 및 교통 문제에 관한 상원 위원회(Senate Committee on Commerce, Science, and Transportation)'는 공청회를 열고, 정보기술 분야의 전문가가 부족한 현실과, 그것이 미국의 사이버 보안에 미치는 부정적 영향을 논의했다. 학생과 전문직 종사자들 사이에서 보안 문제에 대한 관심을 촉발한 필요성이 시급하다. 이 책은 그 목표를 향한 한 걸음이다.

편저자 소개

앤디 오람(Andy Oram)

오라일리 미디어(O’Reilly Media)의 편집인이다. 1992년 오라일리에 합류한 이후 오픈소스, 프로그래밍, 그리고 소프트웨어공학 분야를 전담하고 있다. 그가 오라일리에서 편집한 주요 저작으로는 미국 출판사 최초로 펴낸 리눅스 관련 서적인 2001년의 『차세대 인터넷 P2P』, 2007년의 『Beautiful Code』 등이 있다. 프로그래밍과 시스템 관리에 대한 그의 지식은 대부분 독학의 산물이다. 인터넷 관련 정책 문제, 기술 혁신에 영향을 미치는 흐름과 그것이 사회에 끼치는 영향 등을 주제로 오라일리 네트워크와 여러 매체에 글을 쓴다. 그의 글은 오라일리 레이다(http://radar.oreilly.com/andyo)에서 볼 수 있다.

존 비에가(John Viega)

2010년 3월부터 클라우드 기반의 보안 서비스 기업인 ‘실버스카이(Silversky)’의 제품, 전략 및 서비스 담당 수석 부사장이다. 뉴욕대의 컴퓨터과학 외래 교수이며, IEEE의 기관지인 ‘보안 및 프라이버시’의 편집장, 포티파이 소프트웨어(Fortify Software)의 기술자문위원, 비트나인(Bit9)의 자문위원 등을 역임했다.

안티 바이러스 회사인 맥아피와의 인연이 깊어서 2006-2008년 부사장 겸 최고 보안 아키텍트로 일하다 사직하고 스톤월 소프트웨어(Stonewall Software)라는 회사를 설립했다가 2009년 다시 맥아피로 돌아와 공학 부사장, 기술 부문 최고 책임자로 년1 가까이 일했다.

『Building Secure Software(보안성 높은 소프트웨어 개발)』, 『Network Security with OpenSSL(오픈SSL을 통한 네트워크 보안)』, 『업계가 감추려 하는 컴퓨터 보안의 진실』 등 다수의 보안 관련 저서도 펴냈다. 그는 수많은 소프트웨어 보안 툴을 관리했고, GNU 기반의 메일링 리스트 관리 툴인 메일맨(Mailman)의 원 제작자이기도 하다. IEEE와 IETF에서 보안 관련 표준을 정하는 데 상당 부분 기여해 암호화 알고리듬인 GCM을 공동 개발했고, 이는 국립표준기술연구소NIST에 의해 표준으로 정해졌다. 버지니아 대학에서 학사와 석사 학위를 받았다.

옮긴이의 말

보안의 미학
‘아름다운’이라는 형용사 뒤에 어떤 명사가 들어갈 수 있을까? 설마… 보안?
여인, 신부, 순간, 풍경, 이별, 사랑, 산, 바다 같은 말은 일반적으로 쉽게 떠오를지언정 ‘보안’은 그렇지 못하다. 심지어 보안 분야에 종사하는 사람이라고 해도 ‘아름다운’과 ‘보안’을 연관 지어 떠올리기는 쉽지 않을 것 같다.
직역하면 ‘아름다운 보안(Beautiful Security)'이라는 제목이 될 이 책은 그런 면에서 도발적이고 신선하다. ‘보안은 아름답다.’라고 선언하고 있기 때문이다.
하지만 컴퓨터 보안, 혹은 IT 보안에 대한 일반적 이미지를, 특히 세간의 잦은 사건, 사고와 연결 지어 떠올려보면, ‘아름다운’보다는 ‘끔찍한’이나 ‘무서운’, ‘걱정스러운’ 같은 형용사가 더 잘 어울리는 것 같다. 당장 이 서문을 쓰던 지난 6월 중순만 해도 ‘어나니머스’라는 해커 그룹이 캐나다 연방 정부의 컴퓨터 서버를 공격해 여러 부처의 웹사이트를 마비시키는 사건이 발생했다. 유튜브를 통해 유포된 어나니머스의 메시지에 따르면 문제의 사이버 공격은, 캐나다 정부가 여러 시민 단체와 프라이버시 옹호 단체들의 강력한 반대에도 불구하고 ‘국가 안보’라는 명분으로 국민의 기본권을 자의적으로 침해할 소지가 다분한 ‘반테러 법안 C-51’을 통과시킨 데 대한 상징적 보복 행위였다.
어나니머스의 해킹 공격이 과연 정의로운 행위였는지의 여부는 여기에서 논의할 사항이 아니다. 그러나 이 책의 시각에서 보면, 그리고 캐나다 정부, 특히 IT 담당자들의 시각에 보면, 어떤 대목에서든 ‘보안’ 대책이 미흡했고, 그 때문에 웹사이트 마비라는 결과가 초래되었다는 점은 명백하다. 보안 문제, 혹은 보안이 중요하면서도 어려운 것은, 보안 사고가 실제로 터져야만, 더 정확하게는 터진 다음에만 세간의 주목을 받고, ‘아! 어딘가에 보안상의 취약점이 있었던 모양이다.’라고 깨닫게 만들기 때문이다. 대규모 개인정보 유출, 민감한 금융정보의 도난, 중국과 미국의 불꽃 튀는 사이버 보안 전쟁 같은 굵직굵직한 뉴스들로부터 잠시 눈길을 돌려, 우리의 일상적인 업무 환경에다 보안을 대입해봐도 사정은 크게 달라지지 않는다. 우리의 평범한 직장 생활에 컴퓨터나 IT 보안을 넣었을 때 선뜻 튀어나오는 형용사는 ‘귀찮은’, ‘짜증스러운’, ‘골치 아픈’, ‘따분한’, ‘그 투자나 비용 효과를 쉽게 계량화할 수 없는’ 등이다. 아침에 출근해 컴퓨터를 켰는데 ‘비밀번호가 만료되었습니다. 비밀번호를 변경해주세요.’라는 메시지가 뜬다. “아, 또? 벌써 두 달이 지났어?” 웬만한 기업들은 보안 목적상 직원들로 하여금 매달, 격월, 혹은 90일 단위로 비밀번호를 바꿀 수밖에 없도록 강제해 놓았다. 그뿐인가? 비밀번호가 쉽게 추정되거나 노출되지 않도록 하기 위해 ‘영문 대문자와 소문자, 숫자, 특수문자 등을 넣어 최소8자 이상’과 같은 규칙까지 요구한다. 이전 비밀번호와 숫자만 바꾼다든가 하면 다른 비밀번호를 넣으라고 퇴짜를 놓는다. 서너 달 전에 썼던 비밀번호의 재활용도 안 된다. 몇 번인가의 시도와 재시도 끝에 비밀번호를 바꾸는 데 ‘성공’했지만, 다음날 그 비밀번호를 기억 못해 또 머리를 싸매는 사태가 발생한다. 어찌어찌 헤매다가 새 비밀번호를 생각해내고 로그인해보니 시스템 관리자의 메시지가 도착해 있다. 백업 폴더를 만들어라, 보안 패치를 당장 업데이트해라, 비밀번호를 바꿔라… 아, 귀찮다. 가만, 또 비밀번호를 까먹는 상황이 나오면 안 되잖아. 어디에 적어놓아야겠다. 포스트잇에 새 비밀번호를 적은 뒤 키보드 밑에 붙인다. 이러면 안 된다는 얘기를 얼마 전에 보안 담당자한테 들었는데, 어쩌지?
한편 기업 경영진의 시각에서 볼 때 보안 부서는 종종 계륵이나 ‘캐치 22’처럼 여겨지기 일쑤다. 부서를 아예 없애자니 불안하고(금융기관이나 의료기관들은 보안 전담 인력을 의무적으로 두도록 법률로 규정하고 있으니 어쩔 수 없기도 하다.), 그렇다고 보안 부서에서 요구하는 수준의 예산을 편성하자니 괜한 낭비 같기도 하다. 보안 부서에서 자조적으로 ‘보안 사고가 터져도 문제, 너무 없어도 문제’라고 한탄하는 것도 그와 연관된다. 보안 사고가 터지면 경영진은 “보안 부서가 어떻게 했길래 이런 사고가 터졌느냐?”라고 화살을 돌리고, 아무런 사고도 없이 지나가면 “아무 일도 없는데 이렇게 많은 보안 인력과 예산이 꼭 필요한 거야?”라고 의문 부호를 던지기 때문이다.
이 책은 그러한 일반의 부정적인(그리고 잘못된) 이미지를 바로잡는다. 효과적이고 효율적인 보안은 값비싼 첨단 기능을 갖춘 특정 시스템이나 기술이 아니라, 상시적인 긴장과 경계, 분야와 경계를 넘나드는 유연성임을 기고자들은 알려준다. 또 바람직한 보안이란 첨단 IT 기술이나 고성능 컴퓨터 시스템, 최신 안티바이러스 프로그램에 의존하는 것이 아니라 각 분야에 종사하는 임직원 한 사람 한 사람이 보안을 침해할 수 있는 온갖 위험 요소와 위해 가능성을 늘 의식하는 데, 그리고 안이한 편견과 억측을 경계하는 데 있음을 보여준다. 프로그램이나 시스템이 기능이 무엇이든 상관없이 초기 디자인과 아키텍처 단계에서부터 ‘보안’을 변수가 아닌 상수로 포함시켜야 함을 강조한다. 보안이 사실은 지극한 창의성과 상상력을 요구하는 분야임을 알려준다.
이 책은 정보통신 보안업계의 여러 전문가, 리더, 선량한 해커들이 보안 분야의 핵심 이슈와 과제에 관해 쓴 에세이들을 모은 책이다. 총 16장에 걸쳐 놀라울 정도로 다양한 보안 분야들을 짚고, 각 분야에 대해 심층적이고 풍요로운 통찰을 제공한다. 보안의 심리학, 무선 네트워킹의 끔찍한 취약성, 클라우드 컴퓨팅의 보안 문제, 온라인 광고 시장의 보안, 정보 보안과 법의 상관관계, 보안 수준을 계량화해 측정하는 방법 등 몇 가지 사례만 들더라도 얼마나 다양한 주제를 다루는지 쉽게 짐작할 수 있다.
예컨대 보안에 대한 심리적 고정 관념(그것이 옳든 그르든) 이 어떤 위험 요소를 안고 있는지 실제 사례를 들어 친절히 분석하고 알려주는 장, 그리고 보안 역사의 드라마틱한 한 장을 펼쳐 보여주는 ‘PGP의 진화’는 보안에 조금이라도 관심이 있는 독자라면 누구라도 읽어볼 만한 내용이다. 소프트웨어나 시스템의 설계 단계에서부터 보안 요소를 고려해야 한다('security by design')고 조언하는 장, 적정한 보안 투자 수준을 결정하는 데 도움을 주는 ‘보안 메트릭스’의 장 등은 보안 부서의 중요성에 대해 확신을 갖지 못하는 경영진이 읽어봐야 할 내용이라 할 수 있다. 그런가 하면 정보 보안 분야에 특화된 법률 전문가가 떠오를 것이라는 전망, 보안 사고가 터졌을 때 효과적으로 대처하는 방법, 민감한 실제 데이터 없이도 업무를 수행하는 방법이라든가 로그 관리법, 허니클라이언트 등은 보안 분야에 어느 정도 지식과 관심이 있다고 자부하는 이들의 관심을 끌 만하다.
요컨대 이 책은, 난이도로 보면 보안에 대한 특별한 지식이 없더라도 별 어려움 없이 읽어낼 만한 수준이고, 독서의 필요성이나 가치의 기준으로 보면 모든 사람들이 읽어봐야 마땅할 만한 내용을 담고 있다. 요즘 세상에 스마트폰을 쓰지 않는 사람이 얼마나 될까? 와이파이를 쓰지 않는 사람은? 하지만 자신의 스마트폰에, ‘앗 공짜다!’라며 별 생각 없이 접속해 쓰게 되는 와이파이에, 어떤 보안상의 취약점이나 위험이 도사리고 있는지 잠깐이나마 고민해본 사람은 생각보다 많지 않을 가능성이 크다. 『보안의 미학』은 그런 사람들에게 특히 더 중요한 지침서가 될 수 있다.
이 책은 정말 좋은 책이다. 출간된 지 몇 해가 지났지만 거기에 내장된 생명력과 시의성은 조금도 퇴색하지 않았다. 본문 곳곳에서 발견되는 ‘좀 오래된’ 사례들에도 불구하고, 그를 통해 개진하는 보안 이론, 더 나은 보안을 위한 제언, ‘보안’이라는 어찌 보면 모호하고 지나치게 포괄적으로 여겨지는 단어가 포괄하는 IT 세계의 다종다양한 풍경은, 여전히 유효하고 더없이 흥미롭다. 이 책에 실린 추천사의 표현을 빌린다면 ‘FUD1의 그릇된 신화를 넘어, 제대로 시행되고 적용된 보안의 미묘한 아름다움을’ 독자들에게 전하면서 ‘보안의 음과 양, 보안의 가공할 만큼 파괴적인 속성과 눈부실 만큼 건설적인 속성 사이의 원천적이고 창의적인 긴장 관계를’ 잘 보여준다. 시간의 시험을 잘 견뎌내고, 더 나아가 극복할 수 있는 책 중 하나로 꼽을 만하다.

옮긴이 소개

김상현

「시사저널」, 「뉴스플러스」, 「주간동아」 등에서 IT 담당 기자로 일하다 2001년 캐나다로 이주했다. 온타리오 주와 알버타 주의 여러 부처에서 정보공개 담당관, 개인정보보호 관리자로 일했다. 지금은 브리티시 컬럼비아 주의 원주민(애보리지널)에 특화된 의료 관련 서비스를 제공하는 ‘First Nations Health Authority’의 프라이버시 관리자로 일한다. 서울대와 토론토대, 알버타대에서 공부했다. 저서로 『인터넷의 거품을 걷어라』(미래M&B, 2000)가 있고 역서로 『똑똑한 정보 밥상』(에이콘, 2012), 『불편한 인터넷』(에이콘, 2012), 『디지털 휴머니즘』(에이콘, 2011), 『통제하거나 통제되거나』(민음사, 2011) 등이 있다.

목차

목차
  • 1장. 심리적 보안의 덫
    • 학습된 무력감과 순진한 믿음
    • 확증의 덫
    • 기능적 고착
    • 요약

  • 2장. 무선 네트워킹: 사회공학의 옥토
    • 너무나 쉬운 무선 인터넷 사기
    • 보안 허점 투성이인 무선 인터넷
    • 그래도 무선이 미래다

  • 3장. 보안 측정의 미학
    • 의료 분야의 비유를 통한 보안 측정학의 이해
    • 예제로 본 보안 측정값
    • 요약

  • 4장. 정보보안 범죄의 지하경제
    • 사이버 지하 범죄 세력의 구성과 조직
    • 사이버 범죄의 대가
    • 날로 번창하는 사이버 지하경제를 어떻게 막을까
    • 요약

  • 5장. '전자상거래 보안의 재고찰
    • 상거래의 해부
    • 미흡한 개선책들
    • 개량된 전자상거래: 새로운 보안 모델
    • 새로운 모델

  • 6장. 온라인 광고 보안: 새롭고 거친 서부의 도둑과 보안관들
    • 사용자들에 대한 공격
    • 광고사도 희생자일 수 있다
    • 온라인 광고에서 책임 만들기

  • 7장. PGP의 '신뢰의 웹'의 진화
    • PGP와 OpenPGP
    • 신뢰, 유효성, 권위
    • PGP와 암호화 기술의 역사
    • 원조 ‘신뢰의 웹’ 모델의 개선
    • 더 많은 연구가 기대되는 흥미로운 분야들
    • 참고문헌

  • 8장. 오픈소스 허니클라이언트: 클라이언트 측 익스플로잇을 탐지하는 방법
    • 허니클라이언트의 경우
    • 세계 최초의 오픈소스 허니클라이언트
    • 2세대 허니클라이언트
    • 허니클라이언트의 운영 결과
    • 익스플로잇의 분석
    • 허니클라이언트의 몇 가지 한계
    • 관련 작업
    • 허니클라이언트의 미래

  • 9장. 보안의 미래
    • 클라우드 컴퓨팅과 웹 서비스: 단일, 단일 컴퓨터로의 통합
    • 사람, 프로세스, 테크놀로지의 연결: 비즈니스 프로세스 관리의 가능성
    • 소셜 네트워킹, 사람들이 소통하기 시작하면 커다란 변화가 일어난다
    • 정보보안의 경제학, 슈퍼크런칭과 그리드의 새로운 규칙
    • 롱테일 변종들을 위한 플랫폼: 왜 미래는 우리 모두에게 다를 것인가
    • 결론
    • 감사의 글

  • 10장. 보안은 디자인 단계부터
    • 무의미한 측정법
    • 시장에 빨리 내놓기냐, 품질 중시냐?
    • 원칙에 충실한 시스템 개발 라이프사이클의 이점
    • 결론: 아름다운 보안은 아름다운 시스템의 한 속성이다

  • 11장. 기업들에 보안 경각심 불어넣기: 보안은 미래 소프트웨어의 필수 요건
    • 묵시적 요구도 여전히 강력할 수 있다
    • 어떻게 한 기업이 안전한 소프트웨어를 요구하게 됐을까?
    • 기성 소프트웨어의 보안성 높이기
    • 분석: 소프트웨어를 더 안전하게 만드는 방법

  • 12장. 오 맙소사, 정보 변호사들이 몰려오고 있어!
    • 문화
    • 균형
    • 옳은 일을 한다는 의식

  • 13장. 로그 관리의 미학
    • 보안 법규 및 표준과 로그
    • 로그에는 무엇이 들어있나?
    • 로그가 지극히 중요한 경우
    • 로그의 문제점들
    • 사례 연구: 부서진 서버의 안에 숨은 것
    • 로그의 미래
    • 결론

  • 14장. 사고 탐지: 나머지 68%를 찾아서
    • 공통 출발점
    • 맥락을 통한 감지 능력 향상
    • 호스트 로깅을 통한 탐지력 제고
    • 요약

  • 15장. 실제 데이터 없이 일하기
    • 반투명 데이터 관리의 작동 방식
    • 실제 사례
    • 편의상 저장된 개인 데이터
    • 얻는 것과 잃는 것
    • 심화 작업
    • 참고문헌

  • 16장. 주문 걸기: PC 보안 극장
    • 늘어나는 공격, 후퇴하는 수비
    • 환상의 실체
    • 더 나은 데스크톱 보안 방법

도서 오류 신고

도서 오류 신고

에이콘출판사에 관심을 가져 주셔서 고맙습니다. 도서의 오탈자 정보를 알려주시면 다음 개정판 인쇄 시 반영하겠습니다.

오탈자 정보는 다음과 같이 입력해 주시면 됩니다.

(예시) p.100 아래에서 3행 : '몇일'동안 -> 며칠동안