사이버 보안인들에게 익숙한 우분투 운영체제에 기반해 IDS/IPS 장비의 기반을 이루는 스노트와 IPTables 전반을 설명한다.

당신을 곤경에 빠뜨리는 것은 당신이 모르고 있는 것이 아니라 당신이 확신하고 있는 것이다. -미국의 소설가 마크 트웨인(Mark Twain)

리눅스는 보안 위협에 안전하다고 믿는가? 그렇다면 당신은 틀렸다.
최근 리눅스를 겨냥한 에레버스 변종 랜섬웨어에 153대의 서버가 감염돼 곤욕을 치른 바 있는 인터넷나야나 사태를 지켜보면서 피해 당사자들에 비할 바는 아니지만 나 또한 매우 안타까운 심정이었다. 이 사건은 리눅스도 보안에 신경을 써야 할 때임을 엄중히 경고하고 있으며, 타산지석(他山之石)으로 삼을만한 일이다. 리눅스는 저렴한 운영 비용과 기술 적용의 용이성, 그리고 보안 위협에 대한 상대적 신뢰성 등으로 각 분야에서 도입하고 있으며 요즘 트렌드인 클라우드 컴퓨팅, 사물 인터넷(IoT), 인공 지능(AI) 분야 등의 운영체제로도 널리 활용되고 있다. 그러나 이런 추세에 편승해 보안 위협 또한 가파르게 증가하고 있는 점 역시도 간과할 수 없는 현실이다.
이 책의 저자들은 이러한 점을 정확히 인식하고 사이버 보안을 위해 반드시 알아야 할 스노트(Snort)와 IPTables를 다루는 책을 계획, 집필한 것임에 틀림없다. 나 또한 스노트 학습을 위해 국내 서적을 찾아봤지만 저자 서문에서 언급됐듯이 시중에서 관련 국내 서적을 찾기란 쉽지 않았으며, 초보자 눈높이에 맞게 쓰여진 서적은 전무했다. 즉 이 책의 출판 소식은 내게도 상당히 반가운 일이 아닐 수 없었다.
이 책은 TCP/IP 계층의 대표적인 통신 프로토콜에 대한 기본 이론부터 각종 공격 유형 및 원리, 그리고 IDS/IPS 보안 장비의 개념까지 충실히 설명하고 있다. 또한 가장 인기 있는 리눅스 배포판인 우분투 환경에서 스노트와 IPTables를 통해 악의적인 공격을 탐지하고 방어할 수 있도록 도구의 환경 설정과 사용법에 대한 세심한 설명과 함께 예시와 실습 화면을 적절히 제공하고 있어 초보자 입장에서 쉽게 접근할 수 있는 책이다.
부디 이 책을 통해 학생들을 비롯한 서버 관리자 및 보안 실무자 등 많은 관련 분야 종사자들이 리눅스는 안전하다는 구시대적인 사고에서 벗어나 현재 진행형인 리눅스 보안 위협에 선제적, 능동적으로 대응할 수 있는 인재로 거듭나길 바란다.
아울러 개인적으로 이 책의 저자인 오동진 씨를 볼 때 중국 역사 인물 중 유일한 흙수저 출신이면서 천하를 평정한 한나라 황제 유방(劉邦)과 비슷한 점이 있다고 생각해왔다. 정보 보안 분야에서 뛰어난 역량과 충분한 잠재력, 그리고 열성까지 겸비한 추다영 씨를 공동 저자로 한 인재 기용술과 책 집필 과정에서 보여준 엄청난 자제력은 그야말로 유방다운 면모였다고 생각한다. 바로 이런 점이 내가 오동진 씨의 다음 책을 기대하게 만드는 이유 중 하나다.

허근영 / 모의 침투 연구회 부회장

정보 보안 기사 실기 시험을 응시하며 여러 번 낙방했던 쓰라린 기억이 있다. 당시 서버 운영 장교로 복무하던 나에게 서버 보안은 나름 자신 있는 분야였지만 네트워크 관련 부분이 발목을 잡았던 것이다. 기초부터 쌓아야겠다고 마음먹었지만 적합한 개념서를 찾기가 정말 어려웠다. 어떤 책은 번역이 난해했고 일부는 특정 제품에 치중돼 있어 입문자가 보기에 쉽지 않았다. 만약 여러분의 손에 들려있는 바로 이 책이 조금만 더 일찍 세상에 나와줬다면 나도 그만큼 ‘더 빨리 합격할 수 있지 않았을까?’하는 시샘이 날 지경이다.
이 책은 오동진, 추다영 선생님의 인고의 결실이다. 네트워크 보안 분야에 입문하시는 분들에게 필히 추천하고자 한다.
1장부터 5장까지는 TCP/IP 프로토콜에 대한 친절한 설명과 각 계층별 공격 유형을 보여준다. 그리고 6장과 7장에서 침입 탐지 시스템과 방지 시스템을 설명한 후 가장 대표적인 리눅스 오픈 소스 소프트웨어인 스노트(Snort)와 IPTables를 각각 다룬다.
이러한 프로그램들을 직접 설치하고 룰을 설정해 실행해 보는 일련의 과정들을 찬찬히 따라가다 보면 IDS와 IPS를 직접 운영할 수 있는 충분한 역량을 얻게 될 것이다.
책의 후반부에는 반야드 2와 FWSnort를 다루는 부분이 나오는데 이 도구들은 니도 처음 접하는 것이어서 굉장히 큰 도움이 됐다.
마지막까지 포기하지 말고 한 장 한 장 꼭 본인의 것으로 만들길 추천한다.

박재유 / 모의 침투 연구회 부회장

우분투는 리눅스 기반 도구 중 레드햇(Redhat) 다음으로 많이 알려지고 소개됐으며, 이 책은 그 중에서도 IDS/IPS를 소개하고 있다.
기존의 IDS/IPS에 관한 책들은 모두 외국 서적이기 때문에 보안 분야 종사자들은 어색한 번역서를 보거나 온라인 커뮤니티에 소개된 파편적인 내용만을 볼 수 있었다.
이러한 와중에 내국인이 저술한 IDS/IPS 서적 출판은 매우 반가운 소식일 수 밖에 없다. 이 책에는 IDS(침입 탐지 장비)와 IPS(침입 방지 장비)인 스노트(Snort)와 IPTables뿐만 아니라 TCP/IP 기반의 공격 유형까지 설명하기 때문에 내용이 무척 자연스럽다. 따라서 이 책은 보안 업무 담당자들에게 좋은 지침서라고 생각한다.
다양한 보안 위협이 점증하는 현실에서 이 책을 통해 다양한 보안 위협 요인을 사전에 예방할 수 있는 기초를 쌓을 수 있으면 좋겠다.

박수곤 / 모의 침투 연구회 부회장

█ TCP/IP 이론을 숙지한 사람
█ 데비안/우분투 환경에 익숙한 사람
█ 칼리와 백박스 등과 같은 모의 침투 운영체제를 일정 정도 다룰 수 있는 사람
█ 정보 보안 기사/산업 기사 시험을 준비하는 사람
█ 대학교와 대학원에서 정보 보안을 전공하는 사람

제1장, ‘TCP/IP 방식의 계층적 구조’에서는 TCP/IP 프로토콜의 구조와 각 계층의 역할을 설명 했다.
제2장,’ 네트워크 계층의 헤더 기능’에서는 네트워크 계층의 IP.ICMP 프로토콜 헤더 구조와 각 항목의 개념을 설명했다.
제3장, ‘네트워크 계층 기반의 주요 공격 유형’에서는 네트워크 계층에서 나타나는 각 공격 유형에 대해 설명했다.
제4장, ‘전송 계층의 헤더 기능’에서는 전송 계층의 TCP.ICMP 프로토콜 헤더 구조와 각 항목의 개념을 설명했다.
제5장, ‘전송 계층 기반의 주요 공격 유형’에서는 전송 계층에서 나타나는 공격 유형에 대해 설명했다.
제6장, ‘IDS와 IPS 이해’에서는 앞서 설명한 계층들에 기반한 장비들을 소개하고 어떤 방식으로 동작하는지 설명했다.
제7장, ‘랜 카드 인터페이스 명칭 변경’에서는 주분투와 백박스 랜 카드 인터페이스 명칭을 eth0로 변경하는 방법에 대해 설명했다.
제8장, ‘스노트 설치와 설정’에서는 데비안 환경에서 스노트를 설치한 다음 각종 설정 과정을 설명했다.
제9장, ‘스노트 기본 문법’에서는 스노트 동작과 운영에 필요한 기본 문법에 대해 설명했다.
제10장,’ 네트워크 계층 기반의 스노트 탐지 설정 일례’에서는 네트워크 계층에서 나타나는 공격 유형을 탐지하기 위한 설정에 대해 설명했다.
제11장, ‘전송 계층 기반의 스노트 탐지 설정 일례’에서는 전송 계층에서 나타나는 공격 유형을 탐지하기 위한 설정에 대해 설명했다.
제12장, ‘응용 계층 기반의 스노트 탐지 설정 일례’에서는 응용 계층에서 나타나는 공격 유형을 탐지하기 위한 설정에 대해 설명했다.
제13장, ‘스노트 구성 내역과 기타 탐지 규칙 문법’에서는 스노트 규칙 구성에 대한 의미와 탐지 규칙 문법에 대해 설명했다.
제14장, ‘IPTables 방화벽 기초’에서는 IPTables의 동작 방식과 명령어 문법에 대해 설명했다.
제15장, ‘IPTables 방화벽 사용 일례’에서는 앞서 설명한 IPTables의 기초적인 내용 기반의 일례를 중심으로 동작 순서와 원리를 설명했다.
제16장, ‘반야드2 설치와 활용’에서는 스노트와 MySQL 연동에 필요한 반야드2에 대한 설치와 설정 방법에 대해 설명했다.
제17장, ‘FWSnort 설치와 활용’에서는 스노트와 IPTables을 연동하는 FWSnort에 대해 설명했다.

2년 만에 다시 국가 공무원 인재 개발원(구 중앙 공무원 교육원)으로 출강하기 시작했다. 국가 공무원 인재 개발원으로부터 다양한 과목을 의뢰 받았는데 그 중 한 과목이 바로 IDS(침입 탐지 장비)와 IPS(침입 방지 장비) 기능을 소개하는 과정이었다.
해당 과목을 준비하면서 IDS와 IPS에 접근하기 위해서는 반드시 스노트(Snort)와 IPTables 내용을 알아야 한다는 점을 깨달았다.
왜냐하면 형태와 부가 기능을 달리할 뿐 전 세계 IDS와 IPS 대부분은 스노트와 IPTables에 기반하기 때문이다. 다시 말해 IDS와 IPS의 원리와 구성을 이해하기 위해서는 스노트와 IPTables의 원리와 구성을 자세히 숙지할 필요가 있음을 깨달았다. 그래서 관련 책자부터 검색했지만 사실상 국내 출판 서적 중 스노트와 IPTables 등을 설명한 책이 없었다. 강의를 앞둔 시점에서 자료가 전무하다는 사실에 당혹감이 몰려들었다. 사이버 보안에서 IDS와 IPS의 역할은 사활적임에도 국내 출판 시장에는 관련 책이 없었다. 그러다 우연히 『스노트 2.0 마술상자』(에이콘, 2003)라는 책을 알게 됐다. 그러나 기쁨도 아주 잠시였다. 그 책은 절판 상태였기 때문이다. 혹시라도 보관용 재고가 있을까 싶어 에이콘출판사 측에 전화해 해당 책을 문의했다. 보관용 재고조차 없다는 담당자의 이야기를 들었을 때는 한 가닥 희망마저 무너진 기분이었다.
물론 내가 『데비안 리눅스 활용과 보안』(에이콘, 2017)이라는 공저를 통해 스노트와 IPTables를 다루긴 했지만 이것은 데비안 운영체제의 확장 기능 차원에서 스노트와 IPTables를 소개하는 수준이었기 때문에 체계적인 설명이 빈약하다. 다시 말해 초보자들이 책을 읽으면서 스노트와 IPTables 등을 설치하고 설정하는 데 무리가 있는 책이다.
불행 중 다행으로 강의 직전 에이콘출판사에서 출간한 『리눅스 방화벽』(에이콘, 2008)이란 책을 통해 그나마 강의에 부합한 내용을 준비할 수 있었다. 위기에 처한 나를 구해준 『리눅스 방화벽』은 탁월한 책이다. 그러나 이 책은 초보자보다는 중급자에게 초점을 두고 서술한 책이라 스노트와 IPTables에 처음 접근하는 사람들에게는 부담스러운 내용이 많다. 또한 레드햇 운영체제 기반으로 설치와 설정이 모두 수동 방식이기 때문에 이것 역시도 초보자들에게는 상당한 부담을 준다.
이러한 일련의 경험과 사실을 통해 IDS와 IPS에 대한 책을 집필해야겠다는 각오가 생겼다. 그래서 2017년 8월초부터 『우분투 리눅스 기반의 IDS/IPS 설치와 운영』 집필에 몰두했다.
이 책을 구상하면서 최근 사이버 보안 실습 환경에 부합하도록 우분투 리눅스를 선택했다. 우분투 리눅스는 데스크톱 환경에 부합하도록 설계한 운영체제로서 이미 전 세계 많은 사람들이 사용하고 있을 뿐 아니라 백박스 등과 같은 모의 침투 운영체제의 근간을 이루는 운영체제이기도 하다. 따라서 『스노트 2.0 마술상자』)와 『리눅스 방화벽』 등이 레드햇 운영체제에 기반한 IDS와 IPS 책이라고 한다면 내가 저술한 『우분투 리눅스 기반의 IDS/IPS 설치와 운영』은 제목 그대로 우분투 운영체제에 기반한 IDS와 IPS 책이라고 할 수 있다. 그러나 단순히 운영체제 환경만 바꾼 것이 아니라 접근하는 방식도 중급자가 아닌 초급자의 관점을 채택했다. 그런 만큼 집필 과정에서 스노트와 IPTables에 처음 접근하는 입문자의 지식 수준을 최대한 반영하고자 노력했다.
나는 이미 『데비안 리눅스 활용과 보안』이란 책을 집필하면서 공저를 경험했다(이 책의 9장까지 집필하고 이후 장은 이태희 씨가 집필했다). 분량을 구분해 저술하면 빠른 완성이라는 장점이 있지만 문체가 달라지는 단점이 있다. 이것은 독자들에게 조금은 당혹감을 줄 수 있기 때문에 이번 공저는 사수와 부사수의 개념을 도입했다. 다시 말해 이 책의 모든 내용은 내가 주도적으로 집필했고 집필 과정에 필요한 실습 내용은 추다영 씨가 담당했다. 처음부터 끝까지 집필하는 방식 때문에 자칫 오랜 시간이 걸리지 않을까 우려했지만 추다영씨가 워낙 영민하고 감각이 좋아 필요한 내용이 생길 때마다 바로 바로 결과물을 보내줬기 때문에 한 달이라는 기간 동안 원고 전체를 마무리할 수 있었다. 결론적으로 공저의 방식을 선택하고 추다영 씨를 공동 저자로 선정한 일은 매우 성공적이었다고 생각한다.
이 책은 단순히 나만의 지식 경험을 전달하는 내용이 아니다. 그동안 국가 공무원 인재 개발원에서 실무자를 대상으로 강의하는 동안 필요한 요구 사항을 반영한 내용이기도 하다. 그런 만큼 IDS와 IPS 또는 스노트와 IPTables에 처음 접근하는 사람들에게 좋은 안내서 역할을 제공할 수 있다고 확신한다.
또한 본문 중간 중간에 세계의 주요 국가 정보 기관을 소개했다. 전 세계적으로 빈번하게 이뤄지는 사이버 전쟁을 정보 기관에서 수행하기 때문이다. 그런 만큼 사이버 보안인이라면 사이버 전쟁을 주도하는 정보 기관에 대한 기본 지식이 필요하다고 판단해 수록했다. 참고로 해당 글들은 내가 평소 모의 침투 연구회(cafe.naver.com/kalilinux)에 연재했던 게시물을 조금 수정한 내용이다.
끝으로 글쓰기의 어려움을 말하고자 한다. 글쓰기에는 크게 두 가지가 있다. 이백식 글쓰기가 있고 두보식 글쓰기가 있다. 이백은 술 한 잔 마시고 내뱉는 말이 곧 시(詩)였다. 그야말로 거침없는 글쓰기다. 반면 두보는 밤새도록 한 글자 한 글자마다 수정을 반복했다. 나는 두보의 글쓰기를 닮았다. 특히 세종(世宗)의 『훈민정음서(訓民正音序)』를 우리 민족 최대의 명문으로 간주하는 나로서는 한 단어, 한 문장, 한 단락마다 절차탁마(切磋琢磨)했다. 불판에 놓인 오징어가 온몸을 비틀며 지글지글 오그라들 듯한 여름 날씨에 이런 작업은 진을 빼는 작업이었다. 그렇지만 한 순간도 글 다듬는 작업을 소홀히 하지 않았다. 잘못된 입력에서 잘못된 출력이 나온다는 전산의 기본 법칙처럼 사소한 오류가 독자 여러분에게 잘못된 지식으로 전해질까 싶은 두려움 때문이었다. 그래서 타 들어가는 정신을 가다듬으며 열심히 읽고 또 읽었다. 그럼에도 내가 미처 못 보고 넘긴 오류가 분명 있을 것이다. 나의 이러한 노력만이라도 가상히 여겨 너무 심하지 않게 질책해 주기 바랄 뿐이다.

伏望聖上陛下 諒狂簡之裁 赦妄作之罪 雖不足藏之名山 庶無使墁之醬瓿 (엎드려 바라오니 성상 폐하께서 소루한 편찬을 양해해 주시고 망작의 죄마저 용서해 주시니 비록 명산에 비장할 바는 아니오나 간장 항아리 덮개로만은 쓰지 말아 주시옵소서)

-김부식(金富軾)의 『삼국사기(三國史記)』 서문에서

오동진

오동진

서울에서 출생해 인천 대학교(구 인천 전문 대학) 일어과와 경희 사이버 대학교 정보 통신학과를 졸업하고 한국 외국어 대학교 교육 대학원에서 전산 교육학 석사를 취득했다.
약 9년 동안 한국 통신(KT)과 하이텔(HiTEL) 등에서 근무하며 다양한 정보 기술 환경을 경험했다. 정보 처리 산업 기사와 CCNA/CCNP 등과 같은 자격증을 취득했다.
국가 공무원 인재 개발원과 한국 지역 정보 개발원 등에서 정보 보안 기사와 모의 침투 분야 등을 강의 중이다. 2016년 경찰 교육원에서 우수 외래 강사로 감사장을 받기도 했다.
사이버 보안 중에서도 다양한 모의 침투 운영체제와 사회 공학에 특히 관심이 많다. 또한 페이스북에 모의 침투 연구회(www.facebook.com/groups/metasploits)와 사이버 안보연구회(www.facebook.com/groups/koreancyberwar)를 개설해 활동 중이다.
강의가 없을 때에는 문학과 사학과 철학 등에 대한 책을 읽거나 국가 정보학 등과 같은 책을 읽는다.
저서로는 『메타스플로잇 중심의 모의 침투 2/e』(에이콘, 2017), 『TCP/IP 이론과 보안』(에이콘, 2016), 『백박스 기반의 파이썬 2.7』(에이콘, 2016), 『백박스 리눅스를 활용한 모의 침투』 (에이콘, 2017), 『해커의 언어 파이썬 3 입문』(에이콘, 2018) 등이 있고, 공저로는 『데비안 리눅스 활용과 보안』(에이콘, 2017)이 있다.

추다영

서울에서 출생해 신흥 대학교 소프트웨어 개발 전공 학과를 졸업하고 국가 전략 산업 직종 훈련에서 정보 보안 전문가 9개월 과정을 수료했다. 보안 프로젝트 제8•9기 연구원으로 활동하며 모의 해킹 실무를 공부했다. 사이버 보안 중에서도 클라우드 보안과 사회 공학에 관심이 많다. 모의 침투 연구회 회원과 시큐리티플러스(www.securityplus.or.kr) 운영진으로 활동하면서 중•고등 학생 정보 보안 윤리 교육 강의를 진행한 바 있다.
공저로는 『Nmap NSE 스크립트를 활용한 Mongodb 시나리오 공격』(비팬북스, 2017), 『워드프레스 기반 웹 사이트 REST API 취약성으로 인한 침투 사례 분석』(비팬북스, 2017), 『쇼단 Shodan 활용 가이드』(비팬북스, 2017)가 있다.