구글 CEO도 격분한 '구글 검색'

지난 2005년 CNET이 구글 검색엔진의 사생활 침해 문제를 꾸준히 제기하다 이에 응대하지 않는 구글측에게 보내는 선전포고로서, 구글 검색으로 구글 CEO 에릭 슈미트의 사생활을 해킹해 개인정보를 그대로 기사화한 적이 있습니다. 재산, 주식 거래내역, 가족 정보, 당시 활동상황 등 구글이라면 파헤치지 못할 게 없었던 거죠. 물론 CNET이 이런 내용을 기사화하고 구글이 공방을 벌인 데에는 여러가지 문제점이 제기될 수도 있겠습니다만, 어쨌든 당시로서는 구글의 막강한 검색력과 개인신상정보 등의 보안 문제가 많은 이슈가 된 것은 사실이었습니다.

조지오웰의 공포를 자아내게 한 당시 사건으로부터 어언 몇 년이 지난 현재 우리의 온라인 세상은 얼마나 발전을 해왔을까요?

며칠전 정부가 인터넷 뱅킹시 해킹 피해를 막기 위해 공인증서를 PC에 저장하는 것을 금지하는 법제정을 추진한다는 보도가 나오면서 역시 여러가지 이야기로 온라인 세상은 들끓었습니다. 물론 사방을 완벽하게 막아낼 수 있는 방어기제란 존재하기 어려울 것입니다. 하지만 저희 책 크라임웨어:쥐도 새도 모르게 일어나는 해킹 범죄의 비밀이라는 책에도 나오듯이 스팸 메일이나 피싱보다 더 적은 비용으로 강력한 해킹 효과를 누릴 수 있는 것이 USB 공격이라는 연구결과도 이미 나왔습니다.

모름지기, 해킹 보안에서는 마치 부동의 금언처럼 쓰이는 지피지기백전백승(知彼知己百戰百勝)이라는 말처럼 이제는 적을 알지 않으면 절대로 나를 지켜낼 수 없는 세상이 된 지 이미 오래입니다.

베일에 싸인 구글 해킹의 비밀을 파헤친다!

구글해킹이 IT는 물론 일반인의 온라인 세상까지 발칵 뒤집어 놓은 지 5년이 지난 지금 세상은 얼마나 달라졌을까요? 그간 트위터나 페이스북, 미투데이 같은 소셜미디어는 개인의 생활은 물론 세상의 모습까지 바꾸고 있고 모바일기기의 강세와 블루투스 확장 등 오히려 온라인에서 활동하는 사람들의 행동반경은 더욱 넓어졌고 그만큼 도처는 우리를 위협하고 정보를 빼내고자 하는 위험이 뱀처럼 혀를 날름거리며 온 사방을 죄어오고 있습니다. 우리는 오히려 점점 그 자극에 무뎌가고 있는지도 모르죠. 신상 정보 공개니 해킹 사고 등에 대해서는 화들짝 정색을 하며 대책을 요구하는 네티즌도 일반 소셜네트워크 활동에서는 자신의 신상정보에 관해서 별일 아니라는 듯 대수롭지 않게 여기는 이중성을 보이기도 합니다.

필요한 것은 단지 키보드와 모니터, 컴퓨터 본체. 그리고 구글 사이트에 들어갈 수 있는 웹 브라우저뿐.

2005년 출간되어 개발자가 아닌 사람들에게까지도 화제를 불러일으켰던 책 『구글해킹』이 대폭 내용을 보강해 2010년 『구글해킹 절대내공』으로 새롭게 여러분을 찾아갑니다.

악성 ‘구글해커’의 공격기법을 분석함으로써 보안관리자가 흔히 간과하지만 매우 위험한 정보 유출로부터 서버를 보호하는 방법을 설명한다. 특히 구글해킹의 갖가지 사례를 스크린샷과 함께 보여주는 쇼케이스 내용을 새롭게 추가해 해커의 공격 방식을 한눈에 살펴볼 수 있다. 브라우저와 검색엔진만으로도 해킹이 가능한 사례를 보여주는 구글해킹 쇼케이스는 이 책의 백미로서 보안 대응의 중요성을 널리 알린다.

[ 이 책에서 다루는 내용 ]

① 구글 검색의 기초
구글의 웹 기반 인터페이스를 살펴보고, 구글 요청문을 만들고, 구글에서 만든 URL을 변경해본다.
② 고급 연산자
고급 연산자를 조합해보고 충돌되는 연산자와 나쁜 검색을 알아본다.
③ 구글 해커가 사용하는 방법
임의성을 가능케 하는 캐시 사용법과 디렉터리 목록보기, 디렉터리 검색 기술을 살펴본다.
④ 문서 분석과 데이터베이스 채굴
구글로 문서를 찾는 방법, 문서 내의 정보를 찾는 방법을 살펴본다.
⑤ 정보 분석 프레임워크로의 구글 역할 이해
자동 검색 원리와 데이터 수집의 원리를 이해한다.
⑥ 공격 코드와 대상 찾기
공격 코드와 대상의 취약점을 발견한다.
⑦ 단순하면서도 잘 동작하는 검색문 10가지
원하는 결과를 얻고, 보안 평가에 좋은 검색문을 살펴본다.
⑧ 웹서버 찾기
웹서버, 로그인 포털, 네트워크 하드웨어, 유틸리티 등을 찾고 정리하는 방법을 살펴본다.
⑨ 정보 획득 방법
사용자 이름, 비밀번호, 신용카드 번호, 사회 보장 번호 등의 정보를 찾는 방법을 살펴본다.
⑩ 구글 서비스 해킹
AJAX 검색 API, 캘린더, 블로그, 블로그 검색 등을 살펴본다.

앞에서 이야기했듯이 이 책에서는 실제 브라우저와 구글 검색엔진에 몇 가지 연산자 입력만으로도 엄청난 해킹이 가능한 사례를 보여줍니다. 바로 구글해킹 쇼케이스라고 불리는 내용으로서 저자가 모자이크 처리를 함으로써 세세한 정보를 오픈하지는 않았지만 해킹에 대한 보안 대응이 얼마나 중요한지에 대한 경각심을 불러 일으킵니다.

개인의 캘린더 정보를 해킹해 일정을 알아내거나 웹캠을 해킹해 자신의 컴퓨터로 상대의 사생활을 낱낱이 모니터링하거나 전력발전소 정보를 해킹해내고, 경찰 보고서 문서까지 해킹해내는 등 이 책에서 명시하는 사례는 엄청납니다.

여러분의 정보에 단단히 자물쇠를 채우는 것, 남이 대신해주지 않습니다. 이 책으로 다시 한번 여러분의 소중한 정보가 가득 든 곳간의 잠금장치를 되살펴보시기 바랍니다.

『구글해킹 절대내공』은 YES24, 교보문고, 인터파크, 강컴, 알라딘에서 예약판매중입니다.

덧붙임. 모두 새해 힘차게 시작하셨죠? 에이콘의 신간 소개는 당분간 바빠질 것 같아요. 잘 챙겨주세요~ ^^

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

트리니티와 함께 위기에 빠진 시온을 구하라. 엔맵!!

자, 1초 드립니다. 무슨 영화의 한 장면인지 한번 맞춰보세요. 1초 이상의 시간을 드리는 건 독자 여러분을 무시하는 듯하여!
또옥~딱, 아... 네. 빙고. 우리의 명민한 에이콘 독자라면 0.1초에 모두 맞추셨을 거라 믿습니다. :)

1999년 전세계에 네오와 트리니티, 가상 세계 열풍을 몰고온 '매트릭스'의 두 번째 이야기, 2003년 개봉한 <매트릭스 리로디드>의 한 장면입니다. 우리가 살고 있는 이 세계가 사실은 무언가의 프로그래밍에 의해 정교하게 움직이는 가짜라는 잔혹한 현실.

해방된 인간이 살고 있는 진짜 세계 시온이 2십5만 개의 센티널에 의해 공격을 받고 있습니다. 트리니티는 5분 이내로 28개 도시 블록의 비상전원시스템을 차단해야 합니다. 이전 팀은 시도 중에 모두 목숨을 잃었습니다. 우선 수많은 네트워크에 설치된 방화벽과 침입 탐지 시스템을 무찔러야 합니다. 트리니티는 오토바이를 타고 사투 끝에 컴퓨터실로 접근하는 데 성공합니다.


네트워크는 사설 1.0.0.0/8 네트워크 주소공간을 사용한다는 사실을 알아낸 트리니티. 네트워크 주소로 핑(ping)을 날려 수십 개의 장치로부터 반응을 얻어냅니다. 그리고 여기서 드디어 엔맵(Nmap)이 등장합니다.
터미널에는 엔맵 베타 버전 2.54BETA25가 깔려있군요. 2001년 버전이긴 하지만 트리니티가 새 버전을 설치할 여유는 없습니다. 어서 서둘러야 해요.

nmap -v -sS -O 10.2.1.3

TCP SYN 스캔과 10.2.1.3에 대한 운영체제 탐지 작업에 대한 명령을 실행합니다. 호스트는 그녀 예상대로 보안에 취약합니다. 같은 명령을 10.2.2.2에 대해서도 실행해봅니다. 이번에는 대상 운영체제가 인식되지 않습니다(쯔즛. 늘 새 버전으로 업데이트하면 찾아낼 수 있었을 텐데 말입니다). 하지만 포트 22는 열립니다. 이것은 관리 서비스를 암호화한 보안 셸(Secure Shell)입니다. 2001년 당시 많은 SSH 서버는 여러 가지로 취약점이 많았습니다. 트리니티는 대상 박스의 루트 암호를 Z10N10101 암호로 바꾸기 위해 가능한 코드 조합을 모두 사용합니다. 그리고 로그인해서 21에서 48 블록까지 28개도시의 비상 백업 전원을 모두 차단하라는 명령을 내립니다.


미션 성공! 이제 도시의 불빛은 하나둘 꺼져갑니다. 우리의 시온은.........  이후 자세한 이야기는 영화를 참조하시구요.

이 장면은 여기 유튜브 링크에서 생생하게 보실 수 있습니다. 퍼오자니 저작권 ㅎㄷㄷ스러워서...
 
매트릭스와 엔맵

그 이후 수많은 본빠를 양산해낸 또다른 트릴로지 본 시리즈 중에서 <본 얼티메이텀>에 엔맵은 또 다른 모습을 선보입니다. <매트릭스 리로디드>에서 기본적인 커맨드라인 방식을 선보였지만, <본 얼티메이텀>에서는 궁극의 GUI 버전인 젠맵(Zenmap)이 쓰인 것이지요. 어느쪽이 폭풍 간지인지는 여러분의 취향입니다.

저도 매트릭스 팬이었지만 그 영화에서 쓰인 툴이 무엇인지는 신경조차 쓰지 않았던 반면, 수많은 엔맵 사용자들은 헐리웃 영화에 속속 모습을 드러내는 엔맵에 환호성을 지릅니다. 엔맵이 무비 스타로 등극하고 최고의 네트워크 탐지 스캐너로 이름을 날리기 시작한 때였으니까요. 엔맵은 이후 <다이하드4> 등 7개 영화에 출연하며 승승장구합니다. 출연료를 받았는지는 알 수 없습니다만, 엔맵이 성공가도를 달리는 계기가 됐다는 데는 이견의 여지가 없겠군요. 엔맵 공식 사이트에 Movies featuring Nmap(http://nmap.org/movies.html)이라는 페이지를 운영할 정도니까요. 재미있는 이야기가 많으니 한번 살펴보세요.

창시자 고든 라이언(Gordon Lyon a.k.a Fyodor)은 유닉스 머신용으로 네트워크 매퍼(Network Mapper) 엔맵(Nmap)을 개발해 오픈소스로 전환한 후 수백만 명의 개발자의 열화와 같은 성원으로 지금은 주요 운영체제에서는 모두 사용할 수 있습니다. 심지어 게임기 OS인 아미가(Amiga)에서도 돌아갈 정도니까요.

엔맵의 공식 사이트 nmap.org에서는 오픈소스 프로젝트 엔맵에 대한 전세계 개발자들의 열정을 담아 시시각각 새로운 기능을 업데이트하고 있습니다. 독일과 브라질에 이어 세계에서 세 번째로 출간된 에이콘출판사의 번역서는 엔맵 도서 정보사이트에도 자랑스레 그 이름을 올려놓았습니다.

이 사이트의 인기는 저희도 이미 확인한 바 있는 게, 한달 전쯤 고든이 사이트에 올려놓은 책 출간 소식을 본 독자가 "엔맵 사이트에서 봤는데, 한국어판 책 언제 나오나요?"라고 문의 전화도 걸어주신 적이 있어 저희도 그 인기에 깜짝 놀랐답니다. 성(Lyon)을 한국어로 어떻게 표기할지 물어보니 사자(Lion) 발음과 같다하던 고든은, 계약 초기부터 자신의 책에 대한 뜨거운 관심과 기쁨을 표현했습니다. 아마 고든 사이트에 '에이콘출판사의 번역서 잘 읽었어요!'라며 인사를 건넨다면 정말 반갑게 맞아줄 겁니다. 아니면 저희에게 신고해주세요!^^

엔맵은 네트워크 탐색, 관리, 인벤토리, 보안 감사용도로 수백만 명이 사용해온 보안 툴입니다. 로우 IP 패킷을 사용해 네트워크상에서 이용가능한 호스트, 해당 호스트가 제공하는 서비스 이름과 버전, 서버의 운영체제 종류와 버전, 패킷 필터나 방화벽 종류까지 모든 것을 알아냅니다. 또한 각종 옵션을 사용해 방화벽과 침입탐지시스템을 탐색해내고 무력화시킬 수도 있습니다.

『엔맵 네트워크 스캐너』는 엔맵의 창시자가 저술한 지상 유일 최고의 엔맵 공식 가이드입니다. 초보자를 위한 포트 스캐닝의 기초 설명에서 고급 해커들이 사용하는 상세한 로우레벨 패킷 조작 방법에 이르기까지, 모든 수준의 보안 전문가와 네트워크 전문가가 꼭 읽어야 할 책이지요.

이 책에서는 각종 사례를 들어 포트 스캔에 대해 설명합니다. 호텔에서 열리는 컨퍼런스에 참가한 어느 날, 고든은 누군가 자신의 노트북은 스캔하는 낌새를 알아챕니다. 잠자는 호랑이의 콧털을 건드린 셈이죠. 그는 엔맵을 이용해 다시 역스캔하여 해당 IP를 탐지해냈다는 이야기도 나옵니다. 게다가 유명한 잡지 플레이보이 서버를 스캔해 취약한 포트를 찾아내 로그인한 후 공짜로 이미지를 내려받아 저장했다는 무용담은 단지 웃거나 부러워할 수만은 없는 이야기인 것 같군요.

하지만 꼭 명심해야 할 것이 있습니다.

포트 스캔은 법적으로는 문제가 없지만 상대의 허락없이 사용했다간 정말 큰 코 다칠 수 있으니 절대 주의하셔야 합니다. 국가에 따라 범법 여부 범위가 다르며 포트 스캔으로 인해 시스템이 다운된 경우 해당 기업에서 소송을 걸어오면 형사/민사상의 책임 여부를 절대 피할 수 없다고 합니다. 한 마디로 모든 걸 잃을 수도 있다는 이야기죠.

그러니 반드시 시스템에 대한 스캔을 실시할 경우라면 반드시 대상 시스템이나 기업의 관리자에게 허락을 받아야 합니다. 아시죠. 이 책의 저자나 역자, 출판사는 그 이후의 여하한 상황에 대한 책임은 없다는 말씀.

그동안 이 책을 번역하시느라 고생하신 역자 김경곤님, 김기남님, 장세원님과 좋은 책 만드느라 늘 애쓰시는 편집자 박창기님께 진심으로 감사하다는 말씀 전합니다. 와이어샤크를 활용한 실전 패킷 분석, 웹 해킹 & 보안 완벽 가이드, 윈도우 시스템 관리자를 위한 커맨드라인 활용 가이드에 이어 벌써 4권의 책을 번역해주신 김경곤님 앞으로도 좋은 책 많이 소개해주시기 바랍니다.

취약한 컴퓨터를 찾아 좀비 호스트로 활용한 디도스(DDoS)공격을 막는 방법을 찾고 계시다면, 어서 엔맵으로 여러분의 사이트에 널려있는 취약점을 찾아 방어하십시오. 게다가 무료니까요!

엔맵의 무궁무진한 활용법은 모두 이 책을 손에 쥔 당신의 것입니다.

『엔맵 네트워크 스캐너』는 YES24, 교보문고, 강컴, 알라딘, 인터파크와 전국 주요 서점에서 11월 16일에 만나실 수 있습니다.

Happy Hacking!!!

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

“최근 5년 동안 온라인 보안 분야에서, 불법으로 얻어 낸 개인 정보와 자료를 거래하는 범죄 시장은 무시무시할 정도로 빠르게 성장했다. 이 책은 공격자가 바로 행동에 옮길지 모르는 새로운 공격 기술과 툴을 다룬다.” 

“이 책은 우리가 직면한 최신 인터넷 보안 위협을 매우 포괄적으로 분석한다. 중요 이슈는 물론, 곧 맞닥뜨리게 될 문제도 예측해 크라임웨어와 관련된 근본적인 문제는 무엇인지 제시한다. 인터넷 보안과 관련된 사람이라면 반드시 읽어야 할 책이다.”

 

"낮말은 새가 듣고 밤말은 쥐가 듣는다!"

모두 아는 우리 속담이죠. 일본에는 "벽에도 귀가 있다"라는 속담도 있고요.
그런데 그 날고 기는 새와 쥐와 벽보다 더하고 독한 것이 있더랍니다. 바로 쥐도 새도 모르게 우리의 피와 살 같은 정보를 몰래 훔쳐가는 크라임웨어(Crimeware)라는 물건이죠. 그럼 그 크라임웨어이 저절로 생겨났을 리는 만무하고, 누군가 만든 이들이 있을 거란 게죠.

지피지기면 백전백승. 아, 도대체 보안해킹을 이야기하며 이 말을 몇 번째 우려먹는 건지 모르겠습니다만, 이 말만큼 해킹 범죄와 보안 방책을 논하는 데 더 적절한 말이 있을까 싶네요.

이 책 『크라임웨어: 쥐도 새도 모르게 일어나는 해킹 범죄의 비밀』에서는 세상을 뒤흔드는 크라임웨어의 종류와 경향, 이 같은 범죄 프로그램을 만드는 이들의 습성과 배경 등을 자세하게 설명합니다.

책 앞머리에서 저자가 이야기하듯 크라임웨어 초창기에는 멀웨어(Malware)를 만드는 건 그저 자신들의 공명심이나 기술력을 뽐내기 위한 경쟁 도구였을 뿐입니다. 하지만 세상이 변하며, 돈과 크라임웨어는 뗄래야 뗄 수 없는 불가분의 관계에 놓이며 범죄의 한 축으로 자리하게 됩니다. 크라임웨어가 단지 순수하게 사용자에게 불편을 주거나 특정 정보만을 노리는 시대는 지났다는 이야깁니다.

악성프로그램은 지하실이나 대학기숙사 등 음습하고 어려운 환경에서 재미로 만드는 것이 아니라 조직적인 범죄의 온상으로서 테러 조직 활동과 공격적인 정권 유지, 금전 획득을 위한 도구가 된 시대라는 말입니다. 여기에는 당연히 어떤 산업 분야에 비할 수 없을 만큼 빠른 성장세를 보이는 인터넷의 보급이 한몫을 하고 있습니다.

이 책은 단지 특정 보안, 해킹 전문가만을 위한 책이 아닙니다. 17개장에 걸쳐 다양한 주제와 다양한 저자가 총동원된 이 책에서는 각 장마다 약간의 편차가 있습니다. 네트워크나 오류를 다루는 장은 전문가만이 이해할 수 있는 심도 깊은 내용이 펼쳐지기도 합니다. 하지만 대부분 장은 모두가 간과하고 있었던 해킹 범죄의 비밀, 그래서 각 기업의 보안 담당자는 물론, 일반인의 보안 의식 제고를 위해서도 꼭 읽어둬야 할 등잔 밑 어두운 그림자에 대한 이야기를 전개합니다.

이 책에서 다루는 내용
▶ 루트 킷, 봇 네트워크, 스파이웨어, 애드웨어, 부정 클릭 등 최신 보안 위협
▶ 다양한 크라임웨어 위협 간의 상호작용
▶ 보안 위협이 야기하는 사회, 정치, 법적인 문제점 분석
▶ 크라임웨어 공격을 탐지하고 막아내는 중요 대응책
▶ 보안 위협 기술 예측과 효과적인 방어책 제시

이 책 『크라임웨어』를 읽어야 하는 이유에 대해서는 역자분이 쓴 옮긴이의 말에서 좀더 정확히 알 수 있습니다.

백신도 설치하고 방화벽도 켜뒀는데 자꾸 바이러스에 감염된다는 사람들이 많다. 컴퓨터가 느려졌다거나 뭔가 안 된다고 해서 가보면 십중팔구는 악성 프로그램에 감염돼있다. 컴퓨터로 뭘 했냐고 물어보면 웹 서핑도 유명 포탈만 다녔고 메신저 정도만 이용했는데 도대체 왜 바이러스에 걸렸는지 모르겠다며 고개를 갸우뚱한다. 이렇듯 악성 프로그램은 사용자 모르게 컴퓨터에 상주하며 사용자 정보를 가로챈다. 인터넷 뱅킹 계좌에서 돈이 빠져나가고 사지도 않은 물건이 카드 청구서에 있다.

컴퓨터는 잘 모르지만 보안 전문가들이 하라는 대로 백신도 설치하고 악성 사이트에는 들어가지도 않았건만 왜일까? 흔히 알고 있는 보안 상식으로는 더 이상 컴퓨터를 보호하기 힘들다는 이야기다. 전국민이 컴퓨터 보안 전문가가 될 수는 없지만 단순히 백신만 설치하면 다 된다고 생각할 수 있는 시대도 아니다. 인터넷을 이용해서 뱅킹, 쇼핑 등 돈과 관련된 업무를 본다면 보안에 좀 더 관심을 가져야 한다는 의미다.

『크라임웨어』는 해커가 어떻게 내 컴퓨터에 침투하는지 가장 광범위하면서도 자세히 설명한 책이다. 보안에 관심을 가지고 있지만 백신을 설치하는 것 외에 뭘 해야 할지 모르는 사람에게 내 정보를 지키려면 컴퓨터를 어떻게 사용해야 하는지 확실히 알려준다. 해커가 어떻게 해킹하기에 많은 사람이 전혀 눈치채지 못하고 해킹당하는지 속 시원하게 알고 싶다면 이 책을 읽어보자. 물론 『크라임웨어』는 보안에 관심 있는 일반 사용자에게 정보를 제공하는 차원에 그치지 않는다. 보안 전문가에게는 다양한 최신 해킹 기술을 심도 있게 설명해주며 보안 교육담당자에게는 사용자 교육이나 법 같은 내용을 엔지니어 입장에서 알기 쉽게 알려준다.

이제까지 이렇게 다양한 해킹 기법과 해킹 범죄 관련 내용을 깊이 다룬 책은 없었다. 수박 겉핥기 식의 내용으로 구성된 장이 없기 때문에 일반 독자에게 어려운 부분도 있지만 인터넷 뱅킹과 온라인 쇼핑을 이용하는 사람이라면 이해할 수 있는 부분까지만이라도 꼭 읽어보기 바란다. 내 정보는 결국 내가 지키는 것이기 때문이다.

일례로 이처럼 수많은 크라임웨어 공격 종류 중에서 일반인이 명심해야 할 내용도 있습니다. 예를 들면 4장의 USB 드라이브를 통한 전파에서는 길에서 누군가 흘린 아이팟 셔플을 얼씨구나 냅다 집어들고 회사 컴퓨터에 꽂았다가 모든 정보를 유출당한 사건에 대한 이야기가 나옵니다. 여러분은 어떠시겠어요? 과연 눈앞에 아이팟 셔플이 떨어져있는데 그냥 지나칠 용자 계십니까? 이제 범죄자들은 메일서버에서 99% 필터링 당하는 피싱 메일 발송보다는 순진무구한 일반인의 상상을 뛰어넘고 그들이 걸려들 통계가 더 높은 지능적인 범죄를 추구합니다.

모바일 기기를 자주 사용하면서 여기저기서 와이파이를 쓸 일이 많아졌습니다. 대도시 사거리에서 잠시 신호대기 중이면 열 몇 개나 잡히는 네트워크 중에서 하나를 골라 후딱 메일을 확인하고 갈 수 있을 정도로 무선 네트웍의 천국이기도 하죠. 게다가 my*****라는 네트워크는 기본 설정된 비밀 번호를 대부분 바꾸지 않고 사용해 누구나 접속 가능한 꿈의 네트워크가 되어버렸습니다. 사랑해요~ XX. 노래가 절로 나올 정도죠. 하지만 여기도 그림자는 존재합니다. 우리처럼 법없이 살 사람들이라면 "감사합니다"하고 내 계정을 오히려 네트웍에 노출 시키고 잠깐 인터넷망을 사용하는 정도라지만, 검은 손은 귀찮아서 혹은 잘 몰라서 비밀번호를 바꾸지 않은 당신의 인터넷망에 침투해 호시탐탐 여러분의 재산을 노리고 있습니다.

이 밖에도 타이포스쿼팅(typo-squatting)이라는, '사용자의 오타를 미리 예측해 도메인을 미리 선점해둠으로써, 일순 잘못 접속한 사용자의 컴퓨터가 불법 프로그램을 깔아버리는 범죄 기법' 등도 다룹니다. 저 또한 물론 아주 자주 가는 사이트야 즐겨찾기에 저장해뒀지만 처음가는 사이트는 주로 주소창에 사이트명을 유추해 직접 입력하는 케이스입니다. 그래서 가끔 acornpub.co.kr 대신 acorpub.co.kr을 입력하곤 하죠. 만약 저희 회사가 더더욱 (조만간) 유명해진다면, 어떤 타이포스쿼터가 유사 도메인을 미리 선점해둘지 모를 일이겠군요.

이처럼 이 책에서는 일반인이 꼭 알아야 할 기본적인 해킹 사례는 물론 그보다 더 심화된 해킹 공격 사례와 법규, P2P 네트워크의 허점을 노린 범죄, 펌웨어와 브라우저를 타겟으로 한 크라임웨어, 봇 네트워크, 피싱과 파밍 사기, 사이버 범죄와 정치에 얽힌 술수, 부정클릭 등 온라인 광고 사기 등 그야말로 모~~~~~~든 범주의 크라임웨어를 속속들이 다룹니다.

게다가 보안 교육의 중요성을 강조하면서 일반인들에게 재미있게 먹힐 만한 만화를 예로 들기도 합니다. 교육은 흥미가 우선이라는 거죠. 그림이 작긴 할 텐데 한번 보세요.


마지막으로 그간 이 책을 함께 번역한 민병호님과 김수정님에게 감사의 말을 전합니다. 민병호님은 서울대 컴퓨터공학부 학사와 석사를 졸업하고  『TCP/IP 완벽 가이드』, 『새로 보는 프로그래밍 언어』, 『리눅스 방화벽』를 번역해주신 분입니다. 올 겨울 엄청나게 오래 사귄 연인과 결혼을 앞둔 데다 지구촌을 내집마냥 여기저기 출장 다니는 와중에도 책 마무리하느라 고생하셨어요.

그리고 올해부터 카이스트 정보통신공학과로 통합된 ICU 전자공학과 학사와 석사를 졸업하고 정부문서 번역 작업을 하다가 저희와 함께 일하게된 김수정님. 좋은 인재를 스카웃한 덕분에 저희와 벌써 『하드코드』, 『죽어가는 프로젝트 살리기』 등 두 권을 편집해 펴냈구요. 앞으로도 많은 책을 함께할 예정입니다. 수정씨에 대한 인사와 격려는 사적인 자리에서 많이 하고 있으니, 앞으로 여러분도 기대 많이 해주시면 좋겠습니다.

둘다 외모까지 출중해서 참 때론 '역시 하느님은 공평하지 않아'라는 말이 절로 나오게 만드는 사람들이죠. :) 앞으로 역자로서 편집자로서 두 분의 활약을 기대할게요.

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

소프트웨어를 해부해서 설계와 구현 내용, 심지어 소스코드까지도 알아낼 수 있어서 최근 보안업계의 화두로 떠오른 리버싱.

복제방지기술 무력화와 상용보안대책 무력화로 무장한 해커들의 리버싱 공격 패턴을 파악하기 위한 최신 기술을 담은 해킹 보안 업계 종사자의 필독서.

소프트웨어의 약점을 찾아내 보완하고, 해커의 공격이나 악성코드를 무력화하며, 더 좋은 프로그램을 개발할 수 있도록 프로그램의 동작 원리를 이해하는 데도 효율적인 리버스 엔지니어링의 비밀을 파헤친다.

소프트웨어 리버싱에 관한 명저 『Reversing: Secrets of Reverse Engineering』이 드디어 번역 출간됩니다. 그간 리버싱과 관련해 적지 않은 책들이 출간되어 왔습니다만, 저자가 서문에 밝히고 있듯이 소프트웨어 개발 프로젝트를 수행하며 여러 기업의 코드를 리버싱해온 경험에 바탕한 이 책의 장점은 단 두 가지로 요약할 수 있습니다.

1) 리버싱 관련 내용을 집대성해서 체계적으로 설명해준다.
2) 실전 사례를 들어 설명하므로 이해하고 활용하기가 쉽다.

어떤 것을 분해, 해석해서 정보를 얻어내 알아볼 수 있는 형태로 표현한다는 점에서 역자 윤근용님은 번역 작업을 리버싱에 비유하기도 했습니다. 대상을 정해 이해하고 해부하고 분해하는 작업은 어렵고도 험난한 일입니다.

지령: 해체하고 분석하라!

아이팟비디오를 분해해서 블로그에 올린 대인배 kenu님의 글을 예로 들지 않더라도 도대체 이 내부는 어떻게 동작하는 걸까 궁금해하신 분들 많으시죠. 라디오, 카셋테입 플레이어, 시계 등 소형가전의 동작원리를 알아내기 위해서 드라이버 하나 들고 제품을 분해해보신 "호기심 가득했던" 어린 시절을 떠올려보세요. 물론 호기심으로 "해보는" 것과 충분한 이해와 지식을 바탕으로 분해하는 작업에서 얻어내는 정보는 천양지차일 것입니다. 하지만 근본을 이해하고자 하는 노력, 그 시발점은 비슷하지 않을까 싶네요.

그렇다면 "이놈의 소프트웨어 도대체 어떻게 돌아가는 걸까" 물건이라면 뜯어내 속을 까보고 싶으셨던 적 많았을 테죠. 프로그램이란 게 공구 들고 해체할 수 있는 것도 아닌데 말이죠.;; 최근엔 IDA Pro나 OllyDbg, Windbg 등 디버거 툴이 많아서 이를 이용해 분석해내고 수많은 정보를 얻어내기도 쉬운 세상이 됐습니다. 『실전 윈도우 디버깅』이라는 책도 나와서 이런 툴을 어떻게 하면 효율적으로 활용할 수 있는지를 배워볼 수도 있습니다.


그러나 드라이버나 분석툴이 만능해결책이 될 수 없는 데는 "이 정보를 내가 어떻게 이용할 것인가"하는 문제에 달렸습니다. 이 책에서는 방대한 소스를 펼쳐 놓고 취약점이나 핵심을 짚어내는 능력을 알려줍니다.

공격점/방어점을 찾아라!!

해킹과 보안은 늘 모순, 창과 방패의 양면을 지닙니다. 마치 꼬리에 꼬리를 물고 돌고 도는 동물의 띠와도 같죠. 이 책에서는 방대한 소스코드에서 꼭 필요한 부분을 찾아내서 그 부분을 공격하고 방어하고 다시 또 공격하는 내용을 중첩해 다룹니다.

에러메시지가 뜨는 부분, 암호를 비교하는 부분, 시리얼 넘버를 확인하는 부분 등을 찾아내 브레이크포인트를 걸어 그 부분을 뛰어넘게 함으로써 공격하는 방법도 실례를 들어가며 설명합니다. 크래커가 리버싱을 통해 공격하는 모습을 생생하게 보여주는 거죠. 그리고 다시 소스코드를 분석하지 못하도록 코드를 꼬아놓는 역리버싱을 설명합니다. 하지만 다시 역리버싱된 부분마저 허물어 뜨리는 과정까지 보여주죠.

책을 읽다보면 잠시 헷갈리는 부분이기도 합니다. 그래서 제목에 쓴 것처럼 해커(정확히 말하자면 크래커)들이 알면 위험한 책이 되는 이유랍니다. 청진기를 의사가 심장 박동을 듣는 도구로도 쓸 수 있고, 도둑이 금고문을 딸 때도 쓸 수 있을 겝니다. 허나 누가 어떤 식으로 활용하든 간에 결국은 어쨌든 그 소리를 듣고 이해하는 뇌의 이해 능력을 우리가 갖춰야 하는 게 가장 큰 관건입니다.

어셈블리 언어는 필수?

리버싱을 하는 데 필요한 모든 내용은 이 책에서 거의 다룹니다. 하지만 소스에 접근해 파일을 덤프시켜 뽑아낸 기계어를 완벽하게 이해할 수 있는 사람이 있을까요? 그렇다면 기계어를 인간이 이해할 수 있는 어셈블리 언어나 하이레벨 언어로 바꿔주는 게 시급한 과제일 테죠. 하지만 기계어를 "완/벽/한" 하이레벨로 바꿔주는 툴은 세상 어디에도 없기 때문이죠. 그렇다면 어셈블리 언어를 이해해야 한다는 문제가 과제로 다가옵니다.

단점이라고 한다면 어셈블리 코드를 일일이 설명하기 때문에 페이지를 이리저리 뒤져가면서 보는 불편함이 많아요.

역자 윤근용님이 말하는 이 책의 유일한 단점입니다만, 이는 거꾸로 이 책의 장점이 되기도 합니다. 그만큼 각 코드를 어셈블리 코드로 낱낱이 보여주고 있다는 반증이기도 하니까요.

이 책의 앞 부분 1부와 부록에서는 독자나 개발자가 꼭 알아둬야 할 어셈블리 언어에 대해 자세히 설명하고 있습니다. 그러나 이는 저자가 말하듯이 꼭 알아둬야 할 "기본 사항"에 불과할 뿐입니다. 아는 만큼 보인다는 말처럼 로우레벨 언어에 대해 더 공부하고 싶은 분이 있다면 저희 책 Great Code 제1권. 하드웨어의 이해와 Great Code 제2권. 로우레벨을 고려한 프로그램 최적화를 일독하시기를 권합니다. 두 권 세트도 있으니 참조하시구요. :)

깨려는 자와 막는 자

요즘에는 "리버스 엔지니어링"이 웹 사이트를 해킹하거나 개인 정보를 훔치기 위해서 범죄자들이 사용하는 마술처럼 여겨지고 있다. 하지만 자신의 프로그래밍 기술을 향상시키고자하는 사람이라면 누구나 이 책을 읽어야 한다. 예를 들면, 디버깅과 리버싱은 유사한 점이 상당히 많다. 이 책에서 설명하는 기술을 바탕으로 코드 상의 버그를 추적하고 그것의 원인을 파악해가면서 프로그래밍 기술을 향상 시켜 나갈 수 있다.

(내가 생각하는) 이 책의 하이라이트는 "11장. 보호 기술 파괴" 장이다. 저자는 11장에서 매우 어려운 보호 기술을 리버싱하는 방법을 단계적으로 잘 설명한다. 보호 기술을 리버싱하는 것이 꺼림칙하다면 안심해도 된다. 저자는 애매한 법적인 이슈를 깔끔하게 비켜나가기 위해서 자신이 직접 보호 기술을 포함하고 있는 프로그램을 작성하고 그 프로그램을 이용해서 리버싱을 설명하기 때문이다.

- 아마존 서평 중에서

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

웹은 이제 단순히 컴퓨터 모니터안에서 펼쳐지는 가상세계를 넘어선 지 오래입니다. 세컨드라이프라 할 만큼, 금융, 쇼핑, 업무 모든 일상생활이 일어나는 장소로서 오히려 오프라인보다 시간을 더 많이 할애하는 경우도 많아졌습니다. 그만큼 월드와이드웹은 인류 최대의 발명품이자 최고의 킬러애플리케이션으로서 우리에게 경이로운 세상을 열어주고 있지만, 그만큼 어둠의 그림자도 점점 짙게 드리워지고 있습니다.

- 지난 3년간 침해사고로 전세계 2억 8000만명 개인정보 유출
- 'GS칼텍스 고객정보유출' 손해배상소송에 4만명 참여
- 옥션, 해킹으로 개인정보 유출사고 발생
- 정보보안은 이제 '기업생명줄' - 안철수 교수 기조연설

올해만 해도 내로라하는 대기업에서 해킹사고나 기업의 부주의로 인한 개인정보 유출 사건이 연달아 터졌습니다. 사실 요즘 사회면이나 IT섹션을 장식하는 기사들중에는 하루가 멀다하고 크라임웨어나 악성프로그램, 웹 해킹 사고 등에 대한 기사가 줄을 잇습니다. 얼마전 설문조사에서도 앞으로 다가올 미래사회에서 가장 우려되는 문제로 "개인정보 유출" 등을 꼽을 정도로 사람들이 느끼는 사용자 안전이나 개인정보 보호 필요성과 함께 어디서 내 정보가 유출될지 모른다는 두려움은 점점 커져만 가고 있죠. 이는 기업의 보안 의식 결여나 무방비 보안 대책 등에서부터, 급박한 개발 일정때문에 일단 기능부터 구현하고 보자는 안일한 개발 방식에서 기인한다고 볼 수 있습니다.

방화벽 등 그런 대로 안전지대에 속한 웹 서버에 비해 결국 오늘날 웹이라 불리는 웹 애플리케이션은 그야말로 보안 취약점이 그대로 노출되고 헛점 투성이로 벌거벗겨진 채로 군침을 흘리고 있는 해커들을 유혹하며 스스로 불러들이고 있는지도 모르겠습니다.

작년 4월 『웹 애플리케이션 해킹 대작전』출간에 즈음해 저희 에이콘 해킹 보안 시리즈 에디터인 강유님이 쓴 웹 2.0 시대를 지키는 웹 보안이라는 스페셜 이슈 글에서도 나오지만, 해킹과 보안 전쟁은 점점 뜨거워져만 가고 있습니다. 하지만 그 책이 나오고 1년 반이나 훌쩍 지난 지금, 우려만 불거지고 있을 뿐 뉴스를 장식하는 기사들을 보면 문제는 더욱 심각해져만 가고 있는 듯합니다.

세상을 해킹하자!

지난 여름에도 한 번 출간 안내를 했던 이 책 The Web Application Hacker's Handbook은 아마존에서도 ★★★★★의 평점을 받고 엄청나게 뜨거운 반응을 받고 있는 책입니다.(이럴수록 번역서를 정말 잘 내야 한다는 강박이 따라붙긴 하죠. 늘 최선을 다하고는 있습니다만..) 작년에 펴낸 『웹 애플리케이션 해킹 대작전』이 해킹 보안 초심자를 위한 초급가이드로서 말랑말랑한 내용을 선보였다면 이 책『웹 해킹 & 보안 완벽가이드』는 좀더 상세하고 구체적이며 심도 있으면서도 방대하고 전체적인 실전 해킹의 핵심을 다루는 절대 바이블입니다.

이 책 초반부에서는 해킹에 대한 전반적이고 기본적인 정보수집 기술을 알려주고 큰 그림을 그려줍니다. 이어 중반부에서는 실제 해킹에서 사용되는 세부 공격 기술을 여러 장에 걸쳐 알려주며, 공격을 편리하게 해주는 기법 등 자동화를 이용한 공격 도구 모음을 익힐 수 있습니다. 마지막 부분에서는 웹 애플리케이션 해커의 공격 방법론을 통해 이 책에서 소개한 모든 기술과 절차를 체계적이고 포괄적으로 설명합니다.

이 정도되면 이 책이 얼마나 무시무시한 책인지 느끼실 수 있으신가요? 물론, 보안과 해킹은 양날의 검이며 동전 양면과도 같다고 하지만, 원제에서 나타나듯이 이 책은 보안 책이라기보다는 세상에 못 뚫을 건 하나도 없다는 결연한 의지가 가득한 해커를 위한 완벽가이드입니다.

하지만 '모순'이라고 불리는 창과 방패는 늘 또 함께 짝을 이루고 서로를 반격하고 지탱해주면서 존재의 의미를 지니는 법. 보안에서 늘 나오는 "지피지기면 백전백승"이라는 말과 같이 해커의 모든 습성과 방법을 파악해야 보안 대책도 세울 수 있는 것이겠죠.

책을 읽으면 아시겠지만, 권한 제어 비즈니스 로직만 제대로 구현했다해도 관리자 권한으로 접근하는 해킹 공격을 막아낼 수 있었을 테고, 사용자 입력값을 필터하는 프로그래밍만 제대로 만들어도 코드삽입 공격은 쉽게 피할 수 있습니다.

이 책 저자 서문 마지막 부분에 나오는 경고문이 인상적입니다.

중요한 경고를 하나 해두겠다. 대부분 국가에서는 소유자의 허락없이 컴퓨터 시스템을 공격하는 일은 법에 저촉된다. 이 책에서 소개한 기술들을 사용해 컴퓨터 시스템 소유자 승인없이 해당 시스템에 대해 공격을 수행하는 것은 불법이다.

이 책의 필자는 고객사의 승인을 받은 웹 애플리케이션을 공격해 고객의 보안을 향상시켜주는 데 도움을 주는 전문 침투테스터들이다. 최근 많은 보안 전문가와 일반인들이 허락없이 실제 컴퓨터 시스템에 공격기법을 테스트하거나 공격함으로써 직업을 잃고 범죄기록을 갖게 됐다.

오직 정당한 목적으로 이 책에서 소개한 내용을 사용하길 바란다.

명심하세요! 이 글을 읽고 있는 님이 해커시라면, 이 책에 나온 해킹 노하우를 활용한 후 개인신상에 벌어지는 무서운 사태에 대해 저희 에이콘은 책임지지 않습니다. 게다가 님이 보안관리자거나 웹 애플리케이션 개발자시라면 이 책에 나온 뻔한 해킹 대책을 대비하지 못해 기업 상부로부터 어떤 문책을 당하시더라도 이 또한 책임져드리지 못합니다. -0-

부디.. 우리 모두 착하게 삽시다~! :)

『웹 해킹 & 보안 완벽가이드』는 지금 YES24, 교보문고, 강컴, 인터파크, 알라딘에서 "절찬리에" 예약판매중입니다. ^^
 

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

어느 때부터인가 조금씩 우리의 웹 생활을 조금씩 바꿔놓은 Ajax 기술. 몇 년 사이 급부상해 웹 개발의 스타로 떠오른 Ajax는 새로운 기술이 아닌, 이미 존재하던 자바스트립트와 비동기성을 이용한 기술입니다. 그렇기에 그 두 가지에서 발생하는 문제를 고스란히 간직하고 있었습니다.

'빛이 밝으면 그림자의 어둠도 깊다'는 말처럼 Ajax에 비춰진 화려한 스포트라이트 뒤에는 우리가 간과하거나 알면서도 애써 덮어두려 했던 문제점이 하나둘 부각되기 시작했습니다. Ajax는 서버에 요청하는 코드를 클라이언트 단에 두고 움직이는 자바스크립트에 기반한 기술이기 때문에 보안에 취약한 약점을 태생적으로 지니고 있었던 거죠. 따라서 Ajax 보안에 대한 문제점은 누구나 인식을 하면서도 마치 뜨거운 감자라서 함부로 건드리지 못하는 채로 방치되고 있었습니다.

드디어 누구나 쉽게 이해할 수 있도록 보안 전문가가 아닌 웹 개발자의 관점을 최대한 고려해 Ajax 보안을 기술한 책이 출간됐습니다.

이 책은 보안 전문가라면 반드시 알고 있어야 할 내용이지만, 그보다는 실제로 Ajax 웹 애플리케이션을 만드는 웹 개발자를 대상 독자로 하는 책이기 때문에 딱히 보안 전문가가 아니더라도 웹 개발자가 쉽게 이해할 수 있도록 구성했습니다. 저자는 일상생활에서 일어날 수 있는 쉬운 예를 통해 보안 개념과 발생가능한 문제를 설명하고 있습니다.

예를 들면, 8장에서 통화시 말끝마다 큰 소리로 특정 문구를 얘기하는 빌리라는 사람의 사례를 들어, 매번 요청문을 보낼 때마다 쿠키를 첨부해야하는 특성과 쿠키에서 발생할 수 있는 문제점이 무엇인지 지적하고 있습니다. 이 외에도 은행과 쇼핑몰의 비유, 클럽에 들어갈 수 있는 자격을 가진 사람의 비유, 블랙 박스와 화이트 박스의 비유를 들어가며 보안에 대한 개념을 단계별로 접근하기 쉽게 설명하고 있습니다.

1장부터 7장까지는 Ajax의 기본개념부터 관련 기술, 개발시에 발생할 수 있는 여러 핵심 보안 이슈를 설명합니다. Ajax, XMLHttpRequest(XHR), XML, DHTML, 서버-클라이언트 프로그래밍시 고려할 사항 등 Ajax를 쓰면서 다뤄야 할 기술의 핵심 내용과 이런 기술간의 연동시 고려해야 할 사항을 언급하는데, 앞에서 이야기 했듯이 여러 보안 이슈를 실제 일상생활 예를 들어가며 설명하고 있기에 이해하기 쉽습니다.

8장부터 12장까지가 이 책의 핵심이라고 할 수 있습니다. 클라이언트단 스토리지, 오프라인 Ajax 애플리케이션, 요청 출처 이슈, 매시업 등 고급 주제에 대해 다룹니다. 국내 개발자들이 사용은 해봤지만 취약한 부분이 무엇인지 모르거나 혹은 그 개념이 어려워서 접근하기 어려웠던 기술을 쉽게 설명하며 문제점과 해법을 제시합니다.

13장에서 15장까지는 자바스크립트 웜, 테스트할 때의 마음가짐, Ajax 프레임워크에서 발생할 수 있는 보안이슈에 대해 설명합니다.
 
이처럼 이 책에서는 전반적으로 문제가 될 수 있는 Ajax 코드와 이에 대한 해법을 제시하며, 무엇보다도 실제 코드 사례나 비유를 통해 웹 개발자도 누구나 이해하기 쉽게 쓰여졌다는 것이 포인트입니다. 그리고 웹 개발자들이 간과했던 보안 이슈, 스레드간의 경쟁상태에서 발생할 수 있는 오동작으로 인한 취약점, 프레임워크 사용시 발생할 수 있는 보안 문제 등을 다룹니다.

또한 이 책 전반을 통해 저자는 입력 검증(validation)의 중요성과, 중요한 로직은 서버단에 두고 클라이언트단에는 두지 말것을 일관되게 설파합니다.
 
계속 말씀드리지만 Ajax 웹 애플리케이션 보안 문제에 대해 "이거다!"라고 내놓을 수 있을 만한 정답을 찾기란 쉽지 않습니다. 그러나 이 책을 읽으면 그동안 간과했던 문제에 대한 경각심이나 통찰력을 키울 수 있을 것이라 생각합니다.

이 책은 처음 저희 에이콘에서 번역서를 펴내게 되신 고현영님과 윤평호님이 번역을 하셨습니다. "열심히, 꼼꼼히, 훌륭하게" 번역을 마무리해주신 두분께 감사 말씀 드립니다. 특히, 주위 소개 없이 직접 에이콘출판사의 문을 두드리고 역자 신청을 해주셔서 인연을 맺게 된 후 먼 길 오가며 책 마무리까지 정말 열심히 해주신 고현영님께 정말 감사합니다. 앞으로도 저희 해킹 보안 책의 훌륭한 역자로서 좋은 책 소개해드릴 수 있을 것 같습니다.

마지막으로 저자들이 책 첫 머리에 써놓은 위트 넘치는 서문을 한번 읽어보세요. :)

불, 수레바퀴, 전기.

인간의 이 위대한 발명품들은 오랜 시간을 거쳐 Ajax라는 기념비적인 업적을 탄생시키는 것으로 이어진다.

직립보행을 시작한 그때부터 인간은 웹에서 페이지를 부분적으로 갱신할 수 있는 날을 꿈꿔왔다. 아니 그날을 갈망했다.

어느 날 아침 제시 제임스 가렛은 샤워를 하던 중에 절대자 하나님으로부터 Ajax 복음을 계시받았다.

그러나 아즈텍의 코르테스나 스타워즈 에피소드 전편에서처럼 인류의 희망으로 등장했던 궁극의 기술이 결국 파멸의 앞잡이로 전락하고 말았다.

Ajax의 보안상 취약점이 그 음흉한 고개를 들고, 거리는 혼돈으로 가득 찼다. 찬란했던 문명은 모래처럼 무너져 내리고 있었다.

이때 빌리와 브라이언, 이름 없는 두 용사가 Ajax의 거대한 공포에 맞서 분연히 들고 일어났다.

연약하고 무고한 사람들을 지키기 위해.
어둠의 세력을 무찌르기 위해.
우주 모든 생명의 종말을 막기 위해.

49.99달러 혹은 3만원을 흔쾌히 내고 이 책을 구입해주신 여러분께 진심으로 감사드린다.

이 책은 지금 YES24, 교보문고, 강컴, 알라딘, 인터파크에서 예약 판매를 하고 있습니다. 웹 보안의 취약점을 우려해오셨던 분들께 길잡이가 될 수 있기를 바랍니다.

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

썬의 솔라리스(Solaris)나 IBM의 AIX, HP/UX 같은 유닉스 서버나, 원격관리가 쉽지 않고 라이센스 구매에 따른 부가비용이 발생하는 윈도우 서버는 대기업이나 특정기업을 제외하면 선택의 폭이 적습니다. 그래서 이메일 서버, 웹서버, DNS 서버 등 웹 호스팅 업체들을 비롯한 중소규모의 기업에서 가장 선호하는 서버는 아마도 리눅스 서버일 것입니다. 유지비용이 들지 않고 원격관리가 수월하기 때문이지만 가장 중요한 선택 조건은 아마 金, 돈 때문이겠죠.

다만 어떻게 활용하느냐의 문제는 늘 과제로 남습니다. 요즘처럼 보안문제가 뜨거운 감자로 부각되는 시기에, 리눅스 서버에서 보안을 어떻게 강화하느냐는 모든 서버관리자가 해결해야 할 숙제입니다. 리눅스 방화벽에 대해서는 전반적인 개념과 내용을 설명해주는 책은 있어왔지만, 리눅스에서 가장 널리 쓰이는 오픈소스 방화벽 iptables에 대한 책은 드물어서 대부분 인터넷에서 자료를 찾아볼 수밖에 없었습니다.

에이콘 해킹 보안 시리즈의 17번째 책으로 출간되는 『리눅스 방화벽: 오픈소스를 활용한 철통 같은 보안』은 선택과 집중을 통해, iptables와 psad, fwsnort 등 공개 소프트웨어를 활용해 공격을 감지하고 보안을 강화할 수 있는 실제적인 내용을 설명하는 리눅스 보안에 대한 절대비급서입니다.

보안에서 공격을 방어하는 방법은 크게 세가지로 나뉩니다.

감지(detect) - 분석(analyze) - 차단(prevent)

대부분 분석 단계에 이르기도 전인 공격감지 단계에서도 이미 선수를 놓치기 일쑤며, 대응책조차 세우지 못한 모래성은 허무하게도 무너져내리고 맙니다. 이 책에서는 공격 탐지와 방어에 쓰이는 iptables의 유효성을 극대화하도록 설계된 psad(iptables 로그 분석기와 능동적 응답도구), fwsnort(스노트 규칙을 등가의 iptables 규칙으로 변환하는 스크립트) 등 오픈소스 등을 활용해 특히 공격을 감지하는 내용에 집중해 설명하고 있습니다.

여러 컴퓨터에서 한 컴퓨터로 동시에 접근해 컴퓨터를 다운시켜버리는 DDOS 공격(분산 서비스 거부 공격), 특정 포트를 여러 번 접근하거나 여러 포트를 랜덤하게 동시 접근하는 포트 공격 등 다양한 시나리오를 대상으로 각 공격을 감지하고 분석하며, 커맨드라인 명령어와 로그파일 분석을 예로 들며 리눅스 명령어의 각 옵션을 자세히 설명하고 있습니다.

특히 이 책에서는 각종 오픈소스 소프트웨어를 사용해 적들의 공격 패턴을 눈으로 직접 확인할 수 있는 시각화 내용도 소개하고 있습니다.
이처럼 ICMP 패킷을 추적해 나치 웜이 전파되는 모습을 눈으로 확인할 수 있습니다.
이 그림은 Gnuplot 프로그램을 써서 슬래머 웜의 활동을 시간 단위로 측정한 그림입니다. 특정시점에서 그래프가 올라간 것으로 보아 슬래머 웜이 극성을 부리고 있음을 확인할 수 있죠.

요즘 점점 더 이슈로 떠오르고 있는 Security Visualization, 보안관련 시각화에 관해서는, 이 책에서도 1개 장을 할애하고는 있지만 깊이있는 내용을 다루고 있지는 않습니다. 이에 관해서는 좀더 전문적인 내용을 담은 책이 독자분들께 곧 선보일 수 있을 것입니다.


자세한 내용은 이 책의 도서정보페이지에서 읽어보세요. 얼마 전 출간된 『새로 보는 프로그래밍 언어』에 이어 바로 출간되는 신간을 번역하신 민병호님께 감사의 말씀을 전합니다. 옮긴이들께서 책을 출간하시면 옮긴이의 말에 사족을 넣곤 하시는데, 바로 출판사 직원들에게 보내는 인사말씀 말이죠. 그보다는 새로운 창작과 다름없는 어려운 번역 일을 해내시느라 밤잠 설쳐가면서 작업을 마쳐주시는 역자분께 오히려 저희가 깊은 감사를 전해야 하겠죠. 요즘도 어김없이 새벽에 일어나 매일 꾸준히 할당량(!)을 채우신다는 민병호님의 신간은 가을의 끝자락에 다시 선보여드릴 수 있을 것 같습니다.

『리눅스 방화벽: 오픈소스를 활용한 철통 같은 보안』은 지금 YES24, 교보문고, 강컴, 인터파크, 알라딘에서 예약 판매중입니다.

마지막으로 이 책 표지 디자인과 관련해 공개적으로 감사말씀을 드릴 분이 한분 계십니다. GREAT CODE 시리즈, 와이어샤크를 활용한 실전 패킷 분석, 리눅스 기반의 임베디드 제품 디자인 등의 원서를 펴낸 No Starch 출판사 특유의 표지에서 벗어나 뭔가 새로운 느낌을 줄 것이 없을까 고민하던 중 저희 에이콘과 윈도우CE 6.0 책을 번역하고 계신 dawnsea 신진철님께서 몇십 분만에 뚝딱뚝딱 표지 시안을 만들어 보내주셨습니다(직접 블로그에 올려두셨으니 한번 구경해보세요~). 시안을 보고나서 맘에 쏙 드는 바람에 바로 저희 표지로 판올림을 해버렸습니다. 기계공학도이자 개발자인데 표지 디자인까지 하는 미적쎈쓰까지 갖추신 dawnsea님의 능력에 감탄을 보내며 도움주셔서 정말 감사하다는 인사 전합니다. 디자인료로 책 무상 증정과 거한 만찬 적립해드리겠습니다.

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

여러분은 "에이콘"하면 언뜻 무슨 책이 떠오르세요? 흠, 어떤 책들을 꼽을지는 대강 짐작이 갑니다만, 그것도 저마다 관심있는 분야, 업무영역에 따라 다양하겠지요. 그렇다면 에이콘의 대표 시리즈는 무슨 시리즈가 떠오르세요? 저희는 특정 기획서보다는 분야에 따라서 시리즈를 나눕니다. 대표적으로 에이콘을 독자분께 각인시켜드리기 시작한 임베디드 시스템 프로그래밍 시리즈, 웹표준을 필두로 시작한 웹 프로페셔널 시리즈, 심도 있는 이클립스 책들을 소개하고 있는 이클립스 프로페셔널 시리즈 등 여러 가지를 꼽을 수 있겠지요.

오랜만에 해킹 보안시리즈를 멋지게 장식할 훌륭한 책이 한 권 나옵니다. 웹 애플리케이션 해킹 대작전이 부제로 달고있는 "웹 개발자가 꼭 알아야 할 웹 취약점과 방어법"이라는 문구처럼 이 책에서는 웹 보안에서 가장 염두에 둬야 할 기본적인 사항을 훑어주고 있습니다. 보안에 관한 기본 지식이 미비한 분들에게는 입문서로서의 역할을 톡톡히 해줍니다만, 좀더 심도 있는 내용을 요하는 독자분들에게는 뭔가 2% 부족한 느낌이 들었던 게 사실이죠. 아마존닷컴 독자서평 등이나 판매순위, 목차를 살펴보아도 이 책이 웹 해킹보안에 관심있는 분들이라면 침을 꿀꺽 삼킬 만한 내용이 가득합니다. 웹 보안의 개론, 코드 방어 메커니즘, 웹애플리케이션의 기본 이해부터 시작해 동전의 양면과도 같은 웹 보안의 취약점과 해킹 공격 등, 웹 해커의 툴킷과 방법론까지 웹 보안에 대한 바이블과도 같은 책입니다.

이 책은 와이어샤크를 활용한 실전 패킷 분석을 번역한 김경곤님과 장은경님이 다른 두 분 역자와 함께 번역을 하고 있습니다. 강유씨를 필두로, 루트킷 등 이미 3권의 해킹 보안책을 번역한 윤근용님, 윈도우 비스타 보안 프로그래밍을 김홍석님과 함께 에이콘의 해킹보안책을 책임지고 있는 역자분들이시죠. 나오지도 않은, 아직 출간일도 잡히지 않은 책을 왜 이렇게 광고를 해댈까요?

이 책 The Web Application Hacker's Handbook을 번역하고 있는 역자 네 분 중 두 분이 제가 휴가차 들른 따뜻한 남쪽나라에 마침 살고 계셔서 휴가 마지막날 잠시 짬을 내어 어제 저녁식사를 함께 했었거든요.
조도근님은 서울대에서 경영학을 전공한 후에 지금은 뜻한 바 꿈을 이루기 위해 이곳 블로그에서는 밝힐 수 없는 모두가 선망하는 모 기업에서 회계관련 일을 함께 하고 계십니다. 해킹에 관한 블로그를 탐독할 정도로 해킹 보안에 관심이 높아 김경곤님과 함께 A3시큐리티 컨설팅에서 함께 일한 인연으로 번역을 함께 참여하게 됐다고 합니다.장은경님은 대화를 해보면 영문학을 전공하고 있고, 고등학교때부터 해킹대회에 참여할 정도로 야무진 분입니다. 20대 초반의 앳된 아가씨라고는 생각할 수 없을 만큼 사려가 깊고 정말 똑똑한 처자라서 얘기를 함께 나누면 제 정신연령이 낮은 건지 이 처자가 눈높이가 높은 건지 말이 참 잘 통합니다(제 생각인지도 모르겠지만요 --a) 여기서 짬을 내어 만나지 않으면 쉽게 만나뵐 수 없는 역자분들인지라 잠시간의 만남이지만 에이콘을 매개로 즐거운 이야기를 함께 나눈 소중한 시간이었습니다.

2002년 해킹 보안 시리즈의 첫삽을 뜬 리눅스 해킹 퇴치 비법부터 작년 12월에 출간된 와이어샤크를 활용한 실전 패킷 분석까지. 에이콘의 해킹 보안 시리즈는 그간 음지에서 양지를 지향(!)하는 튼실한 해킹보안 책들을 꾸준히 펴내왔습니다. 거기에는 14권(그중 2권은 해킹 보안 책이 아니네요)의 책을 번역하고 1권을 집필한 강유라는 걸출한 역자가 든든히 뒤를 받쳐주기도 했습니다. 지금은 카네기멜론 대학에서 유학중인 강유님은 해킹보안에 관심이 없는 독자라도 그 이름을 익히 들어 알고 있을 만큼 에이콘의 기둥같은 역자분이기도 하죠.

기술서를 번역하는 데 가장 중요한 기술 기반에 대한 지식에 대해 말씀드렸듯이 각 시리즈나 분야별로 대표적인 역자나 저자분들이 있게 마련입니다. 굳이 이름을 들어 말씀드리지 않더라도, 혹 저희 출판사가 아니더라도 각 분야에서 두각을 나타내는 분들이 계시고 그 명성은 곧 책의 품질과 직결되기도 합니다. 그래서 각 분야에 훌륭한 필자분들을 발굴해내는 것도 출판사로서는 더없는 재산이기도 하죠.
한국에서는 만나뵐 수 없는 분들인지라 만날 것을 염두에 두고 갔었던지라 저희 책 "프리젠테이션 젠"과 "초난감 기업의 조건"을 전해드렸더니 많이 기뻐하셨습니다. (맞죠? 기쁘셨던 것...^^;) 세계로 뻗어가는 에이콘 역자진. 세계 곳곳에 포진해있는 우리 역자분들(아직 저자는 없으신 듯) 모두 건강하시구요. 자주 뵙지는 못하지만 늘 마음만은 함께 한다는 것, 기억해주세요. 참, 저를 만나고 싶으시면 특별 면담 신청해주세요. 그러면 저희 사장님이 특별 출장 보내시지 않을까요? 참, 제주도부터 가야 할 텐뎅... --;

참, 내일입니다. 브이코아가 주최하는 블로그 히어로즈 역자 최윤석님과의 만남. 드디어 내일 아침 9시30분 강남역에 있는 브이코아에서 열립니다. 오시는 길은 여기를 참조하세요. 많이 많이 오세요! 깜짝 선물이 있을지도 몰라요~.^^

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

지난 11월을 장식한 에이콘 신간들입니다. 여러분의 뜨거운 관심에 정말 감사합니다.

Ajax 패턴과 베스트 프랙티스
리눅스 기반의 임베디드 제품 디자인
초난감 기업의 조건
루트킷: 윈도우 커널 조작의 미학
윈도우 비스타 보안 프로그래밍

마이크로소프트웨어 12월호에 실린 에이콘 책 광고입니다. 저희 사장님께서 디자인하신 깔끔한 광고입니다. 앞으로 매달 마이크로소프트웨어 잡지에서 우리 에이콘 책 소개 페이지를 만나실 수 있을 거에요! :)

이 커다란 상자의 푸짐한 강냉이는 우리 블로그 외부 필진이신 호랭이님이 오늘 따끈따끈한 12월 마소 잡지와 함께 선물로 갖다 주셨습니다. 호랭이님은 12월 1일자로 마이크로소프트웨어 기자에서 편집장으로 영전하셨다죠! 늘 열심히 다니시고 모든 사람들에게 정성을 다한 결과가 아닐까 생각합니다. 축하드리구요. 앞으로 개발자분들께 힘 실어주는 즐겁고 유쾌하며 유익한 기사 가득한 마소 만들어가시기 바라겠습니다. ^^/ 우리 에이콘 블로그에도감성 넘치는 좋은 글 계속해서 써주시리라 믿구요~!

다음 주 월요일에는 에이콘의 12월을 장식할 첫 신간 와이어샤크를 활용한 실전 패킷 분석을 소개해드리겠습니다. 기대하세요!

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

에이콘 해킹보안 시리즈의 열세 번째 책인『오픈소스 툴킷을 이용한 실전해킹 절대내공』이 다음 주 월요일 드디어 출간됩니다. 이 책에 나온 실전 모의해킹 내용을 통해 여러분의 보안 실력을 한 갑자 높여 무림고수가 되어보시기를 바랍니다! :)

모의 해킹에서는 특정한 서버나 소프트웨어의 취약점을 알고있는 것도 중요하지만 정보 수집, 열거, 취약점 분석, 실제 공격에 이르는 전 과정을 빠짐없이 수행할 수 있는 자신만의 체계를확립하는 것이 더욱 중요하다. 이 책은 이러한 체계적인 모의 해킹 과정을 습득하는 데 많은 도움을 준다. 또한 모의 해킹 전 과정을 오픈소스 툴킷을 이용해 수행한다는 것이 최대의 강점이며, 분석 대상 환경에 맞게 기존 툴을 변경하거나 새로운 취약점 분석 기능을 추가할 수 있는 방법을 설명함으로써 실전 해킹 및 보안 분석에 매우 유용하다.

이 책에서 다루는 내용은 다음과 같습니다.

- 정탐            - 열거와 스캐닝       - 데이터베이스 테스트  
- 웹 서버 & 웹 애플리케이션 테스트   
- Auditor를 이용한 무선 침투 테스트
- 네트워크 장비                             - 오픈소스 보안 툴 작성   
- Auditor에서 네서스 실행          - 네서스 코딩
- NASL 확장과 테스트                   - 네서스 환경의 확장기능 이해
- 메타스플로이트 확장

이 책은 『구글 해킹』을 저술한 Johnny Long을 비롯해 모두 11명의 저자가 13장을 각자 나눠 맡아 공동으로 집필을 했습니다.

헌데 이 저자들 이력이 정말 재미있습니다. 평이하게 이력을 기술한 사람이 있는가 하면 위트 넘치는 자기 소개를 해놓은 저자들도 있습니다. 사실 책 이야기와는 논외이긴 하지만 잠시 소개해볼까요? :D 우리 역자나 저자분도 여유가 넘치는 이런 소개글 어떠세요?

Haroon Meer는 SensePost의 기술 본부장이다. 2001년부터 SensePost에서 일하고 있으며 어린 시절부터 잠자기를 무척이나 싫어했다.

Mike는 예전에 양조장 대표, 주류 세일즈맨, 작은 간이 식당의 주방장을 한 적이 있다.

Noam은 Microsoft, Macromedia, Trend Micro, Palm과 같은 거대 소프트웨어 회사 제품의 보안 취약점을 밝혀내서 이들 회사의 골칫거리가 되고 있다. 그래서 그는 필요할 경우 도망칠 수 있도록 14노트 이상의 속도를 자랑하는 Nacra Catamaran 보트를 즐겨 탄다.

Roleof는 혁신적인 생각, 차, 몽상, 빠른 네트워크 연결, 새롭고 신선한 것 익히기, 카멜 담배, 유닉스, 맛있는 음식, 새벽 3시의 영감, 체스, 우박, 큰 화면을 좋아한다. 그리고 체제에 순응하는 사람, 파파야 열매, 정장, 동물 학대, 오만함, 워드의 변경 내용 추적 기능, 거짓말하는 사람이나 프로그램을 싫어한다.

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

역자와 감수자와의 핫라인을 열어두고 『웹 애플리케이션 해킹 대작전: 웹 개발자가 꼭 알아야 할 웹 취약점과 방어법』마감 작업에 한창입니다.

한국어판의 출간을 앞두고 이 책의 원서가 2007년 Jolt 상 Book (Technical 부문) 후보에도 오르는 좋은 일이 생겼네요. 책의 시리즈 에디터이자 감수를 봐준 강유님이 블로그에 쓴 대로 보안 관리자는 물론, 웹 개발자, 기획자, 웹 관리자 모두 필독해야 할 책입니다. 『구글해킹』을 읽은 독자라면 더욱 흥미진진하게 읽을만한 책입니다.

웹 사이트에 비밀번호를 변경할 때 두 번씩 입력하는 경우가 있죠. 그럴 때 저만 해도 몸에 익은 구차니즘 덕분에 Ctrl 키와 C키, V키를 재빠르게 손놀림하여 복사 - 붙여넣기로 하는 적이 한두번이 아니었습니다. 이 책의 9장. 프라이버시를 읽고나니 다시는 그런 짓을 하면 안되겠구나 하는 생각이 드는군요. (저만 몰랐던 건가요?;;;)

글을 매끈하게 번역해주신 역자 윤근용님 고생 많으셨구요. 책을 꼼꼼히 감수해주고 시시때때로 날리는 메시지에도 답 잘 해주고 이 한밤중에도 오류를 잘 찾아준 에이콘의 에이스이자 특급 구원투수 강유님 고마워요.


<<마감중 후기>>

마감과 출간과 마감과 출간... 블로그 글 제목만 보면 그저 나른한 일과의 연속일 듯도 하지만!!! 팝콘과 크림치즈 베이글과 아이스크림이 책상위에 한가득 쌓아놓고 에이콘의 일상은 나름대로 참~ 다이내믹합니다. ^^ (배고픈 독자분이 계실까봐 사진은 생략합니다. :) 좀전에는 사장님이 산타아저씨처럼 직원들에게 천원짜리 신권을 뿌리고~ 가시는 화끈 이벤트도 열어주시는군요. ㅎㅎ

제 기억이 맞다면 오늘는 오래 전부터 메모해놓은 에릭 클랩튼의 내한공연일인데, 스피커에 Layla를 빵빵하게 틀어놓는 걸로 만족해야 할 것 같군요. 아함~ -0-
(글을 쓰다가 다른 작업하고 돌아오니 벌써 어제가 되어버렸네요.)

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.