Top

산업 제어 시스템 보안 [진화하는 사이버 공격에 대비하기 위한 ICS 보안 가이드]

  • 원서명Industrial Cybersecurity: Efficiently secure critical infrastructure systems (ISBN 9781788395151)
  • 지은이파스칼 애커먼(Pascal Ackerman)
  • 옮긴이김지우, 이대근
  • ISBN : 9791161752389
  • 36,000원
  • 2018년 11월 30일 펴냄
  • 페이퍼백 | 508쪽 | 188*235mm
  • 시리즈 : 해킹과 보안

책 소개

요약

최근 산업계의 발전과 더불어 이를 타겟으로 하는 사이버 공격이 크게 증가했다. 작년, 전 세계를 랜섬웨어의 공포에 밀어넣은 워너크라이(WannaCry) 랜섬웨어, 기반 시설을 대상으로 전력망을 다운시킨 크래쉬 오버라이드(Crash Override), 시스템 다운을 유발하는 낫페트야(NotPetya WiperWorm) 등 이름만 들어도 알만한 유명한 멀웨어들이 실제 산업 제어 시스템을 표적으로 공격했고 많은 기업은 큰 피해를 입었다. 그렇다면 공격자들은 왜 산업 제어 시스템을 노리는 것일까? 그리고 이런 공격들에 우리는 어떻게 대비해야 하는가?
이 책은 실제 산업 제어 시스템의 환경에서 벌어질 수 있는 가상 시나리오를 통해 중요한 인프라 시스템을 보호하는 데 필요한 방법론과 보안 조치를 다루고 있다. 또한 ICS 시스템을 표적으로 하는 사이버 공격에 노출되기 쉬운 내부 환경을 자체 진단하고 이에 따른 문제를 직접적으로 파악해 신속하게 처리할 수 있게 한다.

이 책에서 다루는 내용

■ 산업 사이버 보안, 제어 시스템 및 운영에 대한 이해
■ 보안을 고려한 아키텍처, 네트워크 세분화 및 보안 지원 서비스 설계
■ 이벤트 모니터링 시스템과 멀웨어 방지 응용 프로그램 및 단말 보안 설정
■ ICS 위협, 위협 탐지 및 접근 통제에 대한 지식 습득
■ 패치 관리 및 라이프 사이클 관리에 대한 학습
■ 설계부터 폐기 단계까지의 산업 제어 시스템 보안

이 책의 대상 독자

중요한 인프라 시스템을 보호하기 위한 보안 전문가는 누구든지 이 책을 활용할 수 있다. 사이버 보안 영역에 관심 있는 IT 전문가는 물론 산업 사이버 보안 인증을 받기 원하는 IT 전문가 또한 이 책을 유용하게 활용할 수 있을 것이다.

이 책의 구성

1장, ‘산업 제어 시스템’에서는 산업 제어 시스템의 다양한 구성 요소와 그 안에 포함된 장비 및 기술에 대해 설명한다. 그리고 Purdue 모델과 Purdue 모델 내 ICS 시스템이 해당되는 위치가 어디인지 살펴보고, 이들 구간 사이의 통신에 사용되는 네트워크 기술 및 프로토콜에 대해 알아본다.
2장, ‘상속에 의한 불확실’에서는 운영, 편의, 신속을 중시하는 산업용 제어 시스템의 특성으로 인해 보안을 고려하기 힘든 상황에 대해 설명하고, 이런 환경에서 ICS 네트워크 컨버전스 지원을 위해 일반적인 전송 매체와 이더넷 구간에서 동작하게 된 배경과 그 의미에 대해 설명한다. 가장 널리 사용되는 산업용 통신 프로토콜과 취약점에 대한 설명도 포함돼 있다.
3장, '산업 제어 시스템 공격 시나리오 분석'에서는 ICS 보안에 취약한 가상의 네트워크 환경을 설정한다(3장에서 생성된 가상 네트워크는 이 책의 전반에 걸친 내용을 설명하는 데 사용된다). 가상의 ICS 네트워크 환경에서 실제 ICS 공격 시나리오를 단계별로 수행하면서 각 단계별로 동기, 목표, 프로세스, 사용 툴 및 현대 산업 제어 시스템에서 벌어지는 공격 및 방어 방법에 대해 자세히 설명한다.
4장, ‘산업 제어 시스템 위험 평가’에서는 3장의 공격 시나리오에서 얻은 지식을 사용해 ICS 위험 평가의 추론을 이해하는 방법을 설명한다. 킬 체인(kill chain) 또는 공격 매트릭스(attack matrix)의 개념과 이들을 사용해 보안을 계획하는 방법을 소개한다. 4장은 3장에서 공격받은 ICS 네트워크의 보안 상태를 평가하기 위해 보안 컨설턴트를 고용한 가상 회사의 스토리와 이어진다.
5장, ‘퍼듀 모델과 CPwE’에서는 ICS 아키텍처와 관련된 Purdue 모델인 Purdue Enterprise Reference Architecture(PERA)에 대해 자세히 설명한다. Purdue 모델은 ICS 네트워크 세분화를 위해 업계에서 널리 채택된 가장 실용적인 개념 모델이며, 보안 전략 및 아키텍처를 설명하는 데 광범위하게 사용된다.
6장, ‘심층 방어 모델’에서는 심층 방어 모델을 설명하고, 이 모델이 CPwE 모델과 어떻게 맞춰지는지 그리고 ICS 보안과 어떤 관련돼 있는지 설명한다. 6장에서는 책의 나머지 부분에 대한 단계를 설정한다.
7장, '산업용 제어 시스템 물리적 보안'에서는 ICS 중심 물리적 보안의 방법론을 논의하고, 방위-무제한 모델에 요약된 모범 사례 기법 및 활동을 적용해 ICS에 대한 물리적 액세스를 제한하는 방법에 대해 설명한다.
8장, ‘산업용 제어 시스템 네트워크 보안’에서는 ICS 중심의 네트워크 보안 방법론을 논의하고, 심층 방어 모델에 설명된 몇 가지 모범 사례 기술 및 활동을 적용해 ICS 네트워크에 대한 접근을 통제하는 방법에 대해 설명한다.
9장, ‘산업용 제어 시스템 컴퓨터 보안’에서는 ICS 중심의 컴퓨터 보안 방법론을 논의하고, 심층 방어 모델에 설명된 몇 가지 모범 사례 기술 및 활동을 적용해 ICS 컴퓨터 시스템을 강화하는 방법에 대해 설명한다.
10장, ‘산업용 제어 시스템 애플리케이션 보안’에서는 애플리케이션 하드닝(hardening)을 통해 애플리케이션의 보안을 향상시키고, ICS 애플리케이션의 생명 주기를 관리하는 방법을 논의한다.
11장, ‘산업용 제어 시스템 장치 보안’에서는 장치 하드닝을 통해 장치 보안을 향상시키고, ICS 장치의 생명 주기를 관리하는 방법을 논의한다. 12장, ‘산업용 제어 시스템 사이버 보안 프로그램 개발 프로세스’에서는 ICS 보안 정책 정의 및 위험 관리를 비롯한 ICS 보안 프로그램 설정과 관련된 활동 및 기능에 대해 설명한다.

저자/역자 소개

지은이의 말

사이버 위협은 끊임없이 진화 중이며, 기업은 이에 대비해 안전을 보장하기 위한 노력을 꾸준히 기울여야 한다. 이 책은 안전한 산업 제어 시스템 구축에 필요한 사이버 보안 및 산업 프로토콜의 이해를 돕기 위해 저술됐다. 실제 시나리오별 예제를 통해 취약점을 이해하고 다양한 종류의 사이버 위협을 예방할 수 있는 기술을 갖추는 데 도움이 될 것이다.

지은이 소개

파스칼 애커먼(Pascal Ackerman)

전기 엔지니어링 분야의 학위를 소지하고 있는 산업 보안 전문가로, 대규모 산업 제어 시 스템 및 다양한 네트워크 유형의 보안 분야에서 15년 이상의 경험을 보유하고 있다.
현장에서 10년 이상 근무 후 2015년 로크웰 오토메이션(Rockwell Automation) 사에 합류해 현재 네트워크 및 보안 서비스 그룹의 산업 사이버 보안 수석 컨설턴트로 근무 중이다. 최근에는 디지털 유목민이 돼 사이버상의 적들과 싸우면서 가족과 함께 세계 여행을 하고 있다.

옮긴이의 말

산업 제어 시스템을 목표로 하는 공격은 최근 나타난 현상이 아니다. 이미 수년 전부터 전 세계적으로 국가의 기반 시설을 겨냥한 사이버 공격들이 수차례 있었으며 이 중에는 이름만 들어도 알 수 있는 공격 기법이 대거 동원됐다. 그렇다면 산업 제어 시스템을 노리는 이유는 무엇일까?
먼저, 일반적인 대외 웹 서비스 공격에 대해 이야기해보자. 외부로부터의 사이버 공격을 이미 수차례 겪으며 심각성을 잘 학습한 대다수의 기업은 자사 네트워크를 보호하기 위한 다양한 보안솔루션 및 백신과 같은 안티 멀웨어 솔루션을 기본적으로 설치하고 있다. 최근에는 인간이 식별할 수 없는 다양한 이상 행위를 빠른 시간 안에 식별해 조치하는 머신 러닝 기반의 보안솔루션과 같이 최신의 IT 기술들을 보안 산업에 적용하고 있다. 중소규모의 기업들은 여건상 아직 보안이 취약한 상태로 운영 중인 곳이 더러 있지만, 최근에는 각국 정부의 주도로 그 추세가 나아지고 있는 실정이다.
국가의 기반 시설을 운영하고 동작을 컨트롤하는 산업 제어 시스템은 대부분 운영상의 안정성과 보안성 때문에 폐쇄망에서 운영된다. 폐쇄망은 대외망과 분리되므로 외부에서 내부 네트워크로의 접근이 어렵다는 보안상의 이점이 있지만 동시에 그 관리하기가 불편하다는 단점이 있다. 외부 네트워크와 직접 연결돼 있지 않은 폐쇄망의 특성으로 인해 운영체제나 기타 소프트웨어 등의 보안 패치를 적용하는 데 시간과 비용이 들고, 문제를 발견한 후에도 산업 제어 시스템은 그 목적상 항시 운영되고 있어서 조치가 쉽지 않다. 결국은 산업 제어 시스템은 ‘보안’보다 ‘서비스 가용성’이 더 중시될 수밖에 없는 것이 사실이다. 더불어, 일반적인 대외 서비스에 비해 접근이 어려워 공격을 덜 받았지만 사이버 공격의 심각성에 대한 학습이 충분하지 못했다.
그렇기에 산업 제어 시스템은 공격자들에게 흥미 있는 먹잇감일 수밖에 없다. 보안 패치가 안 된 무방비 상태의 구버전 임베디드 시스템이 즐비한 공장 내에 최신 기법을 사용한 악성코드 하나에 시스템이 감염되는 경우를 생각해보라. 이 악성 코드를 보안 솔루션이 공격으로 인지하기도 전에 전체 네트워크망을 감염시켜 공장 전체 가동이 중단될 수 있다. 산업 제어 시스템은 아주 작은 기능 하나의 오류로도 큰 문제를 야기할 수 있다. 만약, 공격자가 컨트롤 시스템을 장악해 공장시스템의 가동을 마음대로 조작하면서 감시 시스템의 제어권까지 장악한다면 어떻게 될까. 말도 안 되는 영화 속 시나리오 같지만 실제 ICS망에서 벌어지는 공격의 흔한 레퍼토리다.
산업 제어 시스템의 특수한 환경을 감안해 저자는 실제 산업 제어 시스템의 환경에서 벌어질 수 있는 공격을 예시로 들고 이런 공격으로부터 중요한 인프라 시스템을 보호하는 데 적절한 방법론과 보안 조치에 대하여 설명하고 있다.
제지 공장이라는 가상의 시나리오를 통해 각 보안 단계별로 개념을 자세하게 설명할 뿐만 아니라 각 장 별로 사이버 공격에 노출되기 쉬운 내부 산업 제어망의 환경을 자체 진단하고 문제를 파악해 신속하게 처리할 수 있는 실무적인 방안을 상세하게 기술한다. 보안에 익숙하지 않은 입문자부터 실제 관련 업무에 종사하고 있는 보안 담당자들까지 충분히 유용하게 활용할 수 있는 책이라고 생각한다.

옮긴이 소개

김지우

안랩(AhnLab) CERT에서 보안 엔지니어로 활동했으며, 현재 현대캐피탈에서 해외 법인 정보 보안 업무를 담당하고 있다. 평소 클라우드 보안에 관심이 많아 관련 오픈 소스 커뮤니티에서 활동하고 있으며, 역서로는 에이콘출판사에서 출간한 『구글 해킹 3판』(2017) 등이 있다.

이대근

IBM Korea와 유럽 본부의 Compliance 팀에서 근무했으며, 현재 아마존 웹 서비스(Amazon Web Services)에서 Compliance 업무를 담당하고 있다. 정보 보안 관련 규정에 관심이 많아 산업이 발전함에 따라 국내외의 다양한 규정이 어떻게 변화하는지 흥미롭게 연구하고 있다.

목차

목차
  • 1장. 산업 제어 시스템
    • 산업 제어 시스템 개요
      • 뷰 기능
      • 감시 기능
      • 제어 기능
    • 산업 제어 시스템 구조
      • 프로그래머블 로직 컨트롤러
      • 휴먼 머신 인터페이스
      • 감시 제어 및 데이터 취득
      • 분산 제어 시스템
      • 안전 계측 시스템
    • 퍼듀 모델
      • 엔터프라이즈 영역
      • 인더스트리얼 비무장 영역
      • 인더스트리얼 영역
    • 산업 제어 시스템 통신 매체와 프로토콜
      • 일반적인 정보 기술 네트워크 프로토콜
      • 공정 자동화 프로토콜
      • 산업 제어 시스템 프로토콜
      • 빌딩 자동화 프로토콜
      • 원격 검침 프로토콜
    • 마무리

  • 2장. 상속에 의한 불확실
    • 산업 제어 시스템의 역사
    • 모드버스와 모드버스 TCP/IP
      • 모드버스 깨기
      • 파이썬과 스캐피를 사용해 모드버스로 통신하기
      • 캡처한 모드버스 패킷 재생하기
    • 프로피넷
      • 프로피넷 패킷 재생 공격
      • S7 통신과 stop CPU 취약점
      • 이더넷/IP와 CIP
      • 쇼단: 인터넷에서 가장 무서운 검색 엔진
    • 산업 제어 시스템에서 발견되는 일반적인 IT 프로토콜
      • HTTP
      • 파일 전송 프로토콜
      • 텔넷
      • 주소 결정 프로토콜
      • 인터넷 제어 메시지 프로토콜 에코 요청
    • 마무리

  • 3장. 산업 제어 시스템 공격 시나리오 분석
    • 무대 설정
    • 슬럼버타운 제지 공장
    • 낙원에서 발생한 문제
      • 가상 테스트 망 구축
      • 다시 시나리오 속으로
    • 공격자는 액세스 권한으로 무엇을 할 수 있는가?
    • 사이버 킬 체인
    • 슬럼버타운 제지 공장 산업용 제어 시스템 공격 2단계
    • 다른 공격 시나리오
    • 마무리

  • 4장. 산업 제어 시스템 위험 평가
    • 공격, 목표 그리고 결과
    • 위험 평가
    • 위험 평가의 예
    • 마무리

  • 5장. 퍼듀 모델과 CPwE
    • 퍼듀 엔터프라이즈 참조 아키텍처
      • CPwE
      • 세이프티 영역
      • 셀/구역 영역
      • 인더스트리얼 영역
      • 엔터프라이즈 영역
      • CPwE 산업용 네트워크 보안 프레임워크
    • 마무리

  • 6장. 심층 방어 모델
    • 산업 제어 시스템 보안 관련 제약 사항
    • 산업 제어 시스템을 어떻게 방어해야 하는가?
    • 산업용 보호 시스템은 매우 보호하기 쉽다
    • 심층 방어 모델
      • 물리적 보안
      • 네트워크 보안
      • 컴퓨터 보안
      • 애플리케이션 보안
      • 장치 보안
      • 정책, 절차 그리고 인식
    • 마무리

  • 7장. 산업용 제어 시스템 물리적 보안
    • 산업 제어 시스템 보안 버블 유추법
    • 분리 훈련
    • 물리적 보안의 영역으로
    • 마무리

  • 8장. 산업 제어 시스템 네트워크 보안
    • 보안을 고려한 네트워크 아키텍처 디자인하기
      • 네트워크 분리
      • 탄력성과 이중화
      • 아키텍처 개요
      • 방화벽
      • 보안 모니터링과 로깅
      • 네트워크 패킷 캡처하기
      • 이벤트 로깅
      • 보안 정보 및 이벤트 관리
    • 마무리

  • 9장. 산업 제어 시스템 컴퓨터 보안
    • 단말 보안 강화
    • 설정 및 변경 관리
    • 패치 관리
    • 윈도우 업데이트 서버 설정 – 인더스트리얼 영역
    • 엔드포인트 보안 소프트웨어
      • 호스트 기반 방화벽
      • 백신 프로그램
      • 애플리케이션 화이트리스트
    • 마무리

  • 10장. 산업 제어 시스템 애플리케이션 보안
    • 애플리케이션 보안
      • 입력 검증 취약점
      • 소프트웨어 변조
      • 인증 취약점
      • 인가 취약점
      • 안전하지 않은 설정 취약점
      • 세션 관리 취약점
      • 매개변수 변조 취약점
    • 애플리케이션 보안 검사
      • OpenVAS 보안 스캔
    • 산업 제어 시스템 애플리케이션 패치
    • 산업 제어 시스템의 안전한 SDLC
      • 안전한 SDLC의 정의
    • 마무리

  • 11장. 산업 제어 시스템 장치 보안
    • 산업 제어 시스템 장치 하드닝
    • 산업 제어 시스템 장치 패치
    • 산업 제어 시스템 장치 생명 주기
      • 구매 단계
      • 설치 과정
      • 운영 단계
      • 해체/폐기 단계
    • 마무리

  • 12장. 산업 제어 시스템 사이버 보안 프로그램 개발 프로세스
    • 산업 제어 시스템 보안을 위한 NIST 가이드
      • 상위 관리자 투자 얻기
      • 복합 기능 팀의 구성 및 교육
      • 헌장 및 범위 규정
      • 산업 제어 시스템에 특화된 보안 정책 및 절차 규정
      • 산업 제어 시스템 보안 위험 관리 프레임워크 구현
    • 산업 제어 시스템 보안 프로그램 개발 프로세스
      • 보안 정책, 표준, 가이드라인 그리고 절차
      • 산업 제어 시스템에 특화된 보안 정책, 표준, 절차 정의하기
      • 산업 제어 시스템 자산의 정의 및 목록화하기
      • 탐지된 산업 제어 시스템 자산에 대한 최초 위험 평가 수행하기
      • 완화 조치 작업 정의 및 우선순위 정하기

관련 블로그 글

산업 제어 시스템의 시대, 우리의 일상이 위협받을 수 있다.

산업 제어 시스템(Industry Control System, ISC)을 들어본 적 있는


아침에 출근길을 나서면서 마주하는 신호등은 빨간불에서 초록불로 바뀌고
지하철은 서로 부딪히지 않도록 충돌 방지 시스템이 돌아간다.
그리고 모니터 화면에서 이 글이 문제 없이 보이도록 전력통신 시스템이 돌아가고 있다.
우리 일상 전반에서 사용하는 제품과 서비스가 문제 없이 진행될 수 있도록 관여하고 하고 있는 것산업 제어 시스템이다. 






산업 제어 시스템은 <산업 제어 시스템 보안(Industrial Cybersecurity)>에서 설명하는 것처럼 
제품 생산이나 서비스 제공과 같은 ‘공통 목표’를 위해  
생산 및 공정 기술에 사용하는 다양한 제어 시스템 및 관련 계측기를 통칭해 일컫는 용어다.





그런데 최근 이 산업 제어 시스템(ICS)를 타깃으로 하는 사이버 공격이 크게 증가했다.
보안 패치가 되지 않은 임베디드 시스템으로 이뤄진 공장에
최신 악성 코드 하나로 시스템 모두를 감염시키고, 
이 악성 코드가 있다는 것을 인지하기도 전에 전체 네트워크망이 감염돼 공장 전체가 가동되지 않는 경우가 있다. 

가동되지 않는 것을 넘어 공격자가 감시 시스템도 제멋대로 작동한다면 
작은 기업뿐만 아니라, 우리의 생활에 어떤 위험이 닥칠지 예상할 수 없다.


이 산업 제어 시스템이 붕괴된다면 우리의 일상도 지금 같지 않을 것이다. 
사이버 위협은 끊임없이 진화하고 있고, 
우리는 이에 대비한 노력을 꾸준히 기울여야 한다.

<산업 제어 시스템 보안>의 저자 파스칼 애커먼(Pascal Ackerman)는 
안전한 산업 제어 시스템을 구축할 수 있는 방법론과 보안 조치에 대해 집필하기 시작했다.
집필하는 중에도 세계적으로 큰 이슈가 된 보안 사고들이 발생했다. 





발생한 주요 보안 사고 세 가지는 다음과 같다.

첫 번째, 워너크라이(WannaCry)의 랜섬웨어

2017년 5월 워너크라이의 랜섬웨어로 미국 국립보건서비스가 환자의 건강 기록 자료를 열람하지 못했다. 
그리고 워너크라이는 2018년 1월에 영국 국민건강서비스 네트워크를 공격했다.
이로 인해 영국 16개 병원이 폐쇄하고 1만 9,000건의 예약이 랜섬웨어 공격에 영향 받았다고 한다.  
그저 당일의 병원 진료를 받지 못하는 불편함으로 끝나는 것이 아니다. 
건강 기록에 있는 정보가 유출되면 이 정보로 대출을 받고 보험을 청구하고, 신용카드를 신청하는 등의 범죄로 이어질 수 있다. 


두 번째, 크래시 오버라이드(Crash Override) 멀웨어

일렉트럼(ELECTRUM)은 오직 전력망을 겨냥해 크래시 오버라이드 멀웨어 공격을 했다. 
이 멀웨어는 산업 제어 시스템에 사용되는 특정 통신 프로토콜을 이용해서 
망 운영을 설계, 조준, 공격하기 위해 설계됐다. 
2015년에는 우크라이나의 전력망을 다운시킨 적이 있어 
20만명이 넘는 사람들이 피해를 입었고, 아직도 전 세계에 정전 위협이 되는 존재다. 






세 번째, 낫페트야(NotPetya)(파괴형 와이퍼 멀웨어)

오레오 과자 제조사로 유명한 멘델레즈(Mondelez), 제약 회사 머크(Merck), 혼다(Honda)의 공통점이 있다.
하나같이 낫페트야가 공격해 시스템 다운타임을 트리거해, 세 회사는 막대한 금전 피해를 입었다.  
2017년 7월에 발생한 공격의 피해는 최근까지도 이어져, 2018년 3월에는 낫페트야로 인한 총 피해액은 약 1억 달러로 집계된다. 
블리핑컴퓨터에서는 "낫페트야는 랜섬웨어가 아니라 사이버무기(Cyber-Weapon)"라고 보도하기도 했다.

이외 국내에서도
산업 제어 시스템의 대부분이 10년~20년이 지난 노후한 장비여서 
랜섬웨어 공격 등의 신종 바이러스에 취약한 것으로 보여지고, 
조선해양 산업에서도 사이버 공격에 긴장하고 있다.






저자 파스칼 애커먼은 산업 제어 시스템의 사이버 공격을 미리 막고자, 
다년간 경험한 보안 사건을 바탕으로 ICS 보안의 모범 사례와 기술을 적용한 ICS 보안 프로세스를 알려준다. 

ICS란 무엇인지, 어떻게 구성돼 있는지부터 시작해
ICS 공격 시나리오를 가정해 실제 어떤 문제가 발생할 수 있는지에 알아 본다. 





재밌는 것은 가상의 회사 ‘제지 공장’의 프로세스를 제어하는 
ICS를 바탕으로 사이버 보안 및 산업 프로토콜의 이해를 돕는다. 

제지 공장에 근무하는 직원의 행동을 따라 공격과 침투가 진행되며, 
이 과정에서 발견되는 취약점익스플로잇공격 등에 관해 자세히 알아 본다. 

실제 산업 제어 시스템의 환경에서 벌어질 수 있는 시나리오별 예제를 통해 취약점을 이해하고 
다양한 종류의 사이버 위협을 예방할 수 있는 기술을 갖추는 데 도움이 될 것이다.



CC

크리에이티브 커먼즈 라이센스 이 저작물은 크리에이티브 커먼즈 코리아 저작자표시 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

도서 오류 신고

도서 오류 신고

에이콘출판사에 관심을 가져 주셔서 고맙습니다. 도서의 오탈자 정보를 알려주시면 다음 개정판 인쇄 시 반영하겠습니다.

오탈자 정보는 다음과 같이 입력해 주시면 됩니다.

(예시) p.100 아래에서 3행 : '몇일'동안 -> 며칠동안

정오표

정오표

[p.14, 23, 47, 57, 200]
상속에 의한 불확실
->
타고난 불안전성

[p.449 아래에서 4행]
메타스플로잇은
->
메타스플로잇터블은

[p.450 박스]
메타스플로잇 가상 머신은 안전하지 않은 네트워크에 절대 노출하지 않는다.
->
이 가상 머신(VM)은 안전하지 않은 네트워크에 노출되지 않는다.