해킹의 전반적인 내용을 담고 있는 종합 지침서다. 해킹을 위해 공격 대상을 물색하는 방법부터 단말 시스템과 서버 해킹, 기반 시설 해킹, 웹과 애플리케이션 해킹 등 거의 모든 분야를 망라한다. 이 밖에도 책에서 제시하는 모든 해킹 공격 기법들을 예방하는 여러 가지 대응 방안도 함께 소개한다. 단편적인 해킹 기술을 넘어 악의적인 공격자들의 사고방식을 이해하고, 효과적으로 대응하는 효과적인 전략을 수립하는 데 길잡이가 되어 줄 책이다.

APT와 웹 기반 공격 저지

스마트카드와 하드웨어 토큰을 사용한 원격 접근 차단

유닉스 기반 루트 접근과 버퍼 오버플로우 해킹을 방어

다계층 암호화와 게이트웨이로 802.11 WLAN 보호

SQL 인젝션, 스피어 피싱, 임베디드 코드 공격 차단

VoIP, 소셜 네트워킹, 클라우드, 웹 2.0 서비스에 존재하는 보안 결함 개선

루트킷, 트로이목마, 봇, 웜, 악성코드 탐지와 제거

최신 아이폰이나 안드로이드 공격과 이를 예방할 수 있는 방법 학습

공격자들은 보안 강화가 성숙하지 못한 차세대 기술들을 사랑한다. 이제 앞으로 다가올 시대를 선도하기 위해 최신 무선 및 모바일 기법과 함께 임베디드 시스템 해킹 방법을 이해할 때다.
- 크리스 위소팔(Chris Wysopal)/ 베라코드(Veracode) 사의 창업자이자 CTO

『Hacking Exposed』 시리즈는 사이버 방어 교육을 위한 핵심 내용을 담고 있다. 떠오르는 지능화 공격은 기술보다 교육의 중요성을 더욱 부각시켜준다. 『Hacking Exposed』 시리즈는 “적처럼 생각하라, 그러면 승리할 것이다”라는 격언을 충족하는 훌륭한 서적이다.
- 로버트 렌츠(Robert Lentz)/ 사이버 시큐리티 스트래티지(Cyber Security Strategies) 대표

『Hacking Exposed』가 다시 돌아왔다. 이 책에서 소개하는 대응 방안은 비단 정보 보안 전문가뿐만 아니라 복잡한 기반 시설을 관리하는 IT 전문가들도 반드시 읽어야 하는 내용을 담고 있다. 공격자들은 자신들의 공격을 방어하는 사람들이 이런 지식을 알게 되는 것을 정말 싫어한다.
- 폴 데 그라프(Paul de Graaff) / 글로벌 인포메이션 시큐리티 오피스(Global Information Security Office), SVP, AIG IT Security, Risk & Compliance

혁신의 속도는 모바일, 클라우드, 글로벌, 컴플라이언스, 위험이라는 수많은 유행어들을 만들어냈다. 활동 영역이 PC와 IT 산업에 국한돼 있던 해커들이 어느 순간부터 거의 모든 시스템에 침투할 수 있는 기술들로 무장하기 시작했다. 이 책은 디지털 세상을 안전하게 만들기 위한 놀라운 시야를 제공해주며, 우리들의 일상과 함께하는 모든 기술과 사이버 범죄 및 스파이 행위들 사이의 믿을 수 없을 만큼 놀라운 연결점을 제공해준다.
- 알렉스 돌(Alex Doll)/ 원아이디(OneID) CEO

모바일과 임베디드 시스템을 노리는 공격자들의 공격이 점점 정교해지고 있으며, 몇 년 전 PC에 존재했던 유사 위협보다 빠른 속도로 성장하고 있다. 이 책은 IT 및 보안 전문가들이 새로운 위협에 발맞춰 대응하고 떠오르는 보안 전문 분야를 항상 리드할 수 있게 도와주는 훌륭한 책이다.
- 엔소니 베티니(Anthony Bettini)/ 앱쏘로티(Appthority) 사의 창업자이자 CEO

『Hacking Exposed』는 현존하는 보안 서적 중 가장 광범위한 보안 공격 기법들을 다루는 책이다. 이 책은 10년이 넘는 기간 동안 교과서 역할을 해 왔으며, 해커들의 공격 기법의 진화에 발맞춰 지속적으로 내용을 개선해서 개정판이 출간되고 있다.
- 표도르(Fyodor)/ 엔맵 창시자이자 제작자, 『엔맵 네트워크 스캐닝』 저자

언젠가 열혈 비디오 게이머 중 한 명이 이런 말을 한 적이 있다. “움직이지 않으면 죽어!” 이 책을 활용해 당신의 보안 게임에서 살아남길 바란다.
- 패트릭 헤임(Patrick Heim)/ 세일즈포스닷컴(Salesforce.com) 사의 CISO

이 책이 7판까지 발행된 데에는 다 이유가 있다. 이 책은 해커의 생태계를 이해하는 데 흥미 있는 모든 사람에게 일용할 양식과 같은 존재다.
- 마크 커피(Mark Curphey)/ 소프트웨어 보안 컨설턴트

"우리는 현재 제로데이, APT, 정부 주도의 공격에 노출돼 있다. 오늘날의 보안 전문가들은 이런 무자비한 공격을 성공적으로 저지하기 위해 해커의 생각과 방법, 도구에 대한 깊은 이해가 필요하다. 이 책은 독자들에게 최신 공격 벡터를 이해시켜 주고 지속적으로 진화하는 위협을 포용할 수 있게 도와주는 훌륭한 길잡이가 되어 줄 것이다 "
- 브렛 월린(Brett Wahlin)/ 소니 네트워크 엔터테인먼트 CSO

"더 이상 당하고만 있을 수 없다. 게임의 판도를 바꿔 보자. 우리의 네트워크를 안전하게 지킬 수 있는 새로운 패러다임으로 향할 때다. 이 책은 공격자들에게 고통을 안겨 줄 강력한 무기와 같다"
- 션 헨리(Shawn Henry)/ FBI의 전임 executive assistant director

사이버 보안이라는 용어와 ‘사이버’라는 접두사가 붙은 수많은 단어가 우리의 일상을 점령하고 있다. 서로 밀접한 관계가 있으며, 상호 의존적인 사람들의 인생에 핵심이 되는 컴퓨터와 정보 보호 기술 영역 관련 용어들이 널리 사용되고 있지만, 단어의 진정한 의미에 대해 이해하는 사람은 그리 많지 않다. 정부, 민간 기업, 개인들은 일상적인 넓은 온라인 활동에 걸쳐 있는 위협과 도전들을 점점 중요하게 인식하고 있다. 컴퓨터 네트워크에 의존하는 정보의 저장, 접근, 교환의 세계적인 추세는 최근 몇 년 동안 기하급수적인 성장세를 나타내고 있다. 거의 모든 기반 시설과 산업 메커니즘이 컴퓨터로 운영되거나 컴퓨터의 도움을 받고 있으며, 사이버 세상과 우리 일상의 관계는 점점 커져만 가고 있다.

보안 사고의 영향은 단순한 불편함을 넘어 심각한 자산 손실과 국가 차원의 문제를 야기하게 됐다. 해킹은 사이버 위험이 원인으로 널리 알려진 속어로, 짜증을 유발하는 무해한 어린아이들의 장난부터 아주 치명적이고 정교한 국가 및 상급 범죄자들 주도의 표적 공격까지 넓은 영역을 망라한다.

이 책의 이전 판들은 사이버 보안의 토대가 되는 문서로 널리 인정받았으며, IT 보안 전문가, 해커와, 그들의 행위에 관심이 있는 사람들에게 필독서로 손꼽히고 있다. 하지만 저자들은 빠르게 변화하는 IT 보안 영역에서는 민첩함과 시야, 그리고 최신 해킹 활동 및 방법들에 대한 깊은 이해를 필요로 한다는 사실을 잘 알고 있다. 영화 <로빈>에 나온 “일어나고, 또 일어나리라……”라는 명대사야말로 사이버 해커들의 무자비한 공격과 보안 전문가들 사이의 치열한 경주를 가장 잘 나타내는 문구라고 할 수 있다.

이번 7판에서는 지속적으로 이슈가 되는 내용과 함께 지능형 지속 공격APT, 하드웨어, 임베디드 시스템을 소개하는 새로운 장을 추가했다. 저자들은 해커가 어떻게 공격을 하고, 무엇을 목표로 하며, 이들의 공격에 어떻게 대응할 것인지 설명하면서 전반적인 컴퓨터 보안 영역을 소개한다. 모바일 디바이스와 소셜 미디어의 인기에 힘입어 오늘날 누리꾼들은 널리 사용되는 플랫폼에 존재하는 취약점과 문제들에 대한 흥미로운 글들을 쉽게 접할 수 있다.

IT 및 컴퓨터 보안 관련 문제들에 대응하기 위한 가장 큰 준비물은 바로 지식이다. 우선 사용 중인 시스템 아키텍처와 함께 하드웨어와 소프트웨어의 강점과 취약점을 이해해야 한다. 다음으로 공격자들이 누구며, 무엇을 노리고 있는지 알아야 한다. 간단히 말해 대응 방안을 적용하기 전에 감시와 분석을 통해 적들과 위협에 대한 정보를 수집해야 한다. 이 책에서는 사이버 보안을 염려하는 사람들에게 도움이 되는 필수 지식들을 제공한다.

우리가 좀 더 현명해져서 우리 스스로와, 디바이스, 네트워크, 적들을 더 잘 이해한다면 어느새 성공적인 사이버 방어의 길을 걷고 있는 우리 자신을 발견하게 될 것이다. 이제 남은 일은 새로운 기술 및 기법의 등장과 지속적으로 진화하는 위협의 실상을 깨닫는 것이다. 이런 이유로, 우리의 지능을 새롭게 하고 공격에 대한 넓은 시야와 통찰력을 갖추는 노력을 통해 “일어나고 또 일어나서……” 새로운 흐름에 발맞춰 가야 한다.

이 책은 상황을 직시하고 효과적인 대응을 도와주는 길잡이가 돼 줄 것이다. 사이버 보안 분야의 작고 힘없는 양이지만, 결국에는 모든 동물의 왕인 사자로 성장하게 되리라 믿는다.
- 윌리엄 팰런(William J. Fallon)/ 은퇴한 미 해군 제독, 카운터택(CounterTack) 회장

이 책의 목적은 해커들만의 세계와 함께 그들의 생각과 기술을 많은 사람에게 알리는 데 있다. 하지만 반대로 이들을 막을 수 있는 방법을 소개하는 것 또한 주요 목표 중 하나다.

1부, ‘공격 대상 물색’에서는 해커들이 공격 대상을 찾아내는 방법을 소개한다. 이들은 자신들의 공격 대상을 완전히 이해하고 목록화하기 위해 세심한 관심을 기울인다. 우리는 이 기법 뒤에 숨겨진 진실을 폭로한다.

2부, ‘시스템 해킹’에서는 숙련된 해커의 최종 목적을 파헤치기 위해 단말 및 서버 해킹과 새로운 장인 APT를 포함한다.

3부, ‘기반 시설 해킹’에서는 공격자들이 우리의 시스템이 연결된 기반 시설들을 공격하는 방법을 소개한다. 임베디드 시스템을 해킹하는 방법에 관한 내용이 새롭게 추가됐다.

4부, ‘애플리케이션과 데이터 해킹’에서는 모바일 해킹과 함께 웹/데이터베이스 해킹 분야를 다룬다. 4부는 모든 영역에 공통으로 적용되는 대응 방안을 소개하는 장도 포함한다.

세계적으로 유명한 Hacking Exposed 팀이 소개하는 전문가 의견과 방어 전략을 통해 시스템 보안을 강화하고, 사이버 범죄자들의 도구와 기술을 무력화할 수 있다. 사례 연구는 해커의 최신 기만 방법들과 함께 현장에서 검증된 완화 대책들을 소개한다. 기반 시설 해킹을 차단하는 방법과 지능형 지속 공격 위협을 완화하고, 악성코드를 무력화하며, 웹과 데이터베이스 애플리케이션을 안전하게 유지하고, 모바일 디바이스를 보호하며, 유닉스 네트워크를 강화할 수 있는 방법을 알아보자. 이 책은 새로운 로드맵과 함께 종합적인 ‘대응 방안 지침서’를 포함하고 있다.

스튜어트 맥클루어(Stuart McClure)

사일랜스(Cylance) 사의 CEO/회장이자 CNE, CCSE를 역임하고 있다. 사일랜스 사는 글로벌 보안 서비스 및 제품 회사로, 전 세계 주요 회사들이 겪고 있는 가장 어려운 보안 문제들을 해결해주는 일을 한다. 사일랜스 사 이전에 맥아피/인텔(McAfee/Intel)의 글로벌 CTO였고, 거의 30억 명이 넘는 고객과 기업 보안 제품 비즈니스를 책임지는 일을 수행했다. 맥아피 재임 시절에는 모든 맥아피 법인 보안 제품의 운영, 관리, 측정을 수행하는 맥아피/인텍 보안 관리 비즈니스를 총괄하는 일도 병행했다. 이런 직책과 더불어 맥아피 내부에서 TRACE라는 엘리트 해커 팀을 운영하면서 새로운 취약점과 위협들을 발굴했다. 맥아피 사 이전에는 미국의 최대 헬스케어 회사인 카이저 퍼머넌트(Kaiser Permanente)의 보안 업무를 수행했다. 1999년, 2004년에 맥아피에 인수된 글로벌 컨설팅 제품 회사인 파운드스톤(FoundStone) 사를 창립한 바 있다.

25년 넘게 해킹 분야를 선구해 온 『Hacking Exposed』 시리즈의 창시자이자, 핵심 저자이며, 초기 창립자다. 해킹과 공격 기법에 대한 광범위하고 깊은 지식을 인정받아 정보 보안 위험 분야를 주도하는 업계의 리더로 인정받고 있다. 보안에 대한 공신력과 찬사에 힘입어 전 세계의 운영 및 금융 위험 요구 사항을 성공적으로 이끌어 나갈 수 있는 위협들에 대한 깊은 지식을 기반으로 기술 및 경영 분야를 선도하고 있다.

조엘 스캠브레이(Joel Scambray)

1992년에 설립된 선두 소프트웨어 보안 회사인 시지털(Cigital)에서 총괄 이사를 맡고 있다. 15년이 넘는 기간 동안 포춘 500대 기업의 멤버로 새롭게 떠오른 기업들의 정보 보안 도전과 기회들을 다뤘다.

경영자이자, 기술 자문, 기업가 역할을 해 왔다. 2011년, 시지털이 인수한 정보 보안 컨설팅 회사인 콘사이어(Consciere)의 공동 창업자로 회사를 이끈 바 있다. 마이크로소프트 온라인 서비스와 윈도우 보안을 책임지는 부서의 수장이었다. 또한 보안 소프트웨어 및 서비스 스타트업인 파운드스톤 사의 공동 창립자로, 2004년 맥아피의 인수를 주도한 장본인이다. 이전 경력으로는 언스트앤영(Enrst & Young) 사의 매니저, 마이크로소프트 테크넷(TechNet)의 보안 칼럼니스트, 인포월드 매거진(InfoWorld Magazine)의 편집자, 유수의 상업 부동산 회사의 IT 부서 책임을 맡은 경험이 있다.

정보 보안 분야에서 인정받는 저술가이자 연설가로 유명하다. IT와 소프트웨어 보안 분야의 수십 권이 넘는 책들에 기여하거나 공동 저술을 맡아 왔으며, 대부분 책은 전 세계 베스트셀러가 됐다. 블랙햇뿐만 아니라 IANS, CERT, CSI, ISSA, ISACA, SANS, 민간 기업, FBI와 RCMP를 포함한 정부 조직에서 발표한 경력이 있다. 캘리포니아 대학에서 학사 학위를, UCLA에서 석사 학위를 받았으며, CISSP 자격을 갖고 있다.

조지 커츠(George Kurtz)

민간 기업 및 정부 기관의 민감한 지적 재산과 국가 보안 정보 보호를 돕기 위한 빅 데이터 보안 기술 회사인 크라우드스트라이크(CrowdStrike)의 CEO이자 공동 창립자로, CISSP, CISA, CPA를 보유한 전문가다. 또한 전 세계적으로 인정받는 보안 전문가, 저자, 기업가, 발표자로 잘 알려져 있다. 보안 영역에서 20년이 넘는 경력을 보유하고 있으며, 전 세계에 산재한 기업과 정부 기관들의 수백 건이 넘는 힘든 보안 문제들을 해결하는 데 앞장서 왔다. 사업적 배경과 새로운 기술을 상업화하는 능력은 시장의 흐름을 파악하고 고객과의 소통을 통해 경력 전반에 걸쳐 혁신을 주도할 수 있게 해줬고, 그가 운영하는 비즈니스의 빠른 성장을 가능하게 만들었다. 2011년, 맥아피의 글로벌 최고 기술 책임자 역할을 창업자에게 넘긴 뒤 2,600만 달러를 들여 벤처 회사인 크라우드스트라이크를 설립했다. 맥아피의 CTO로 일하던 시절에는 전반적인 맥아피 서비스에 걸쳐 통합 보안 아키텍처와 플랫폼을 운영하는 역할을 총괄했다. 또한 2007년, 10억 달러였던 맥아피의 매출을 전략적으로 끌어 올려 2001년에 무려 25억 달러의 매출을 달성할 수 있게 기여했다. 2011년에 있었던 역사적인 대규모 M&A에서 인텔(INTC)은 맥아피를 거의 80억 달러에 인수했다. 맥아피 이전에는 2004년 8월에 맥아피에 인수된 파운드스톤 사의 최고 경영자이자 공동 창립자였다. 트위터 @george_kurtz 또는 블로그 securitybattlefield.com에서 소식을 찾아볼 수 있다.

APT라는 단어는 작년 한 해 보안 시장에 가장 큰 이슈가 됐던 키워드 중 하나다. 고도화된 공격 기법을 사용해 목표를 달성할 때까지 집요하고 정교한 공격을 감행하는 이 기법을 단순한 트렌드로 치부하기에는 무언가 부족하다. APT는 네트워크 보안 장비 및 소프트웨어들의 진화와 함께 발전하는 지능화 공격의 양상을 가장 잘 표현해주는 단어이자, 작금의 보안 생태계를 가장 잘 보여주는 상징이라고 생각한다.

악의적인 크래커들은 공격 대상을 가리지 않는다. 그들에게는 웹, 데이터베이스, 네트워크, 시스템, 하드웨어 등 전기적 신호를 처리하는 모든 매체가 달콤한 먹잇감에 불과하다. 어쩌면 공격자들의 행동을 예측해 위협을 사전에 차단하려는 우리들의 시도가 잘못된 것이었을지도 모른다. 그들의 행동반경은 너무나 넓고 예측하기 힘들다. 우리에게 남은 한 가지 방법은 ‘그들’의 머릿속으로 들어가 보는 것이다. 머릿속으로 들어가는 것이 꼭 공상 과학 영화에 나오는 대단한 방법일 필요는 없다. 단지 그들의 생태계와 습성을 이해하고, 그에 맞는 대응책을 수립하는 것만으로 방어 능력을 한층 강화할 수 있다.

이 책은 광범위한 영역의 보안 공격 기법들을 소개한다. 한 가지 주목해야 할 점은, 모든 공격 기법 설명 이후에는 반드시 그에 상응하는 대응 방안을 제시한다는 점이다. 바로 이 부분이 이 책이 갖는 가장 큰 강점이라고 생각한다. 보안 담당자라고 해서 모든 보안 영역에서 전문가일 수는 없다. 조직에 필요한 보안 정책을 적재적소에 배치하고, 새로운 위협 트렌드에 선제적으로 대응하며, 알려지지 않은 시스템 취약점을 자체적으로 패치해 서비스 가용성을 보장하며, 직접 보안 장비를 설계할 수 있다면 더 이상 보안 담당자가 아닌 ‘신’이라는 명칭이 적절할 것이다.

모든 분야에서 전문가일 필요는 없다. 사실 그것은 불가능한 일이다. 하지만 효과적인 방어 대책을 구축하기 위해선 최소한 공격자들의 역량과 수준을 이해하고, 그들의 무기를 분석하는 과정이 필요하다. 이 책에서 소개하는 다양한 공격 유형과 대응 방안을 통해 보안 기술 수준을 한 단계 높이고, 조직의 보안 강화에 필요한 전략을 수립하는 데 도움이 되었으면 하는 바람이다.

서준석

한국정보보호교육센터를 거쳐 현재는 고려대학교 정보보호대학원에 재학 중이다. 온라인 보안 기술 커뮤니티인 보안프로젝트에서는 메타스플로잇 분석, 취약점 분석 부문 연구를 담당한다. 다양한 시스템에 존재하는 취약점 연구에 많은 관심을 갖고 있으며, 재미있는 분야가 있으면 언제라도 몸을 사리지 않고 뛰어들 자세가 돼 있다. 에이콘출판사에서 출간한 『엔맵 NSE를 활용한 보안 취약점 진단』(2013년)을 공저했으며, 『해킹의 꽃 디스어셈블링 Hacker Disassembling Uncovered』(2013년)을 번역했다.