아직은 국내에 생소할 수 있는 침투 테스트를 닌자(Ninja)의 역사와 기술을 활용해 쉽게 설명한 책이다. 최근 심심치 않게 발생하는 대규모 해킹 사건과 개인 대상의 피싱 등을 사전에 탐지할 수 있는 침투 테스트를 해외에서 발생한 실제 사례와 고전적인 닌자의 기법을 활용해 구체적이고 사실적으로 설명한다. 침투 테스팅을 비롯해 해킹의 전반적인 기초를 공부하려는 독자들에게 풍부한 사례와 일화가 가득한 입문서로 활용 가능할 것이다.

■ 실제 상황에서 악의적인 공격자가 사용하는 기술
■ 구체적인 변칙 침투 테스트 기술
■ 하드웨어와 물리적 공격을 위한 새로운 전술을 비롯한 현재의 침투 테스트 방법론

이 책은 침투 테스터와 보안 관련 직종에 종사하는 사람들, 그리고 네트워크와 시스템 관리자에게 유용한 정보를 제공해준다. 기존과 사뭇 다른 공격 기법들을 알아봄으로써, 이런 유형의 공격이 발생했을 때의 대비책을 마련할 수 있을 뿐만 아니라, 침투 테스트에 대한 새로운 시각도 제공해줄 것이다.
관리직에 있는 사람들에게도 그들 조직의 전반적인 방어 전략을 새롭게 고민하게 만든다는 측면에서 유용할 것이다. 보안 관련 프로젝트와 정책에 이 책에서 논의된 개념들을 활용할 수 있으며, 이를 통해 좀 더 심각한 문제들을 완화하고 개선할 수 있을 것이다.

이 책은 총 17개 장으로 구성되어 있으며, 크게 여섯 부분으로 나뉜다.

■ 닌자와 해킹(1장, 2장)
■ 전술(3장, 4장)
■ 변장과 위장술(5장, 6장, 7장)
■ 잠행과 침투 기법(8장, 9장, 10장, 11장)
■ 스파이 활동(12장, 13장, 14장, 15장, 16장)
■ 탈출과 은닉(17장)

책의 내용이나 주제 간의 관계를 고려할 때 굳이 앞에서부터 차근차근 읽어나갈 필요는 없으며, 특정한 순서를 따를 필요도 없다. 다른 장에서 설명한 정보를 언급하는 부분에서는 해당 정보를 어디에서 더 자세하게 찾아볼 수 있는지 알려주고자 노력했다.

이 책은 사실 사람들이 ‘해킹’에 관련된 책을 집어 들었을 때 기대했던 내용을 담고 있는 것은 아니다. 사람들에게 네트워크와 시스템을 대상으로 어떻게 전통적인 침투 테스트를 수행하는지 보여주는 대신, 우리는 조금 다른 여정을 떠나기로 마음먹었다. 독자들의 사고의 폭을 넓혀주고 기존과는 완전히 다른 관점에서 시스템과 네트워크 보안을 생각할 수 있게 하려고 마음먹은 것이다.

이 책은 독자들에게 독특한 관점에서 컴퓨팅 네트워크를 대상으로 특이한 공격을 수행하는 것에 대해 설명한다. 여기에는 변장, 첩보, 잠행, 은폐 등의 기법이 사용된다. 지금까지 수많은 책에서 목표가 된 기업의 네트워크와 시스템에서 정보를 수집하는 전통적인 방법에 대해 논의해왔다. 이런 전통적인 방법들 외에, 기존의 틀에 얽매이지 않으면서 목표로 삼은 네트워크에 접속할 수 있는 침투 기법들이 다수 존재한다. 중세 일본 닌자들의 사례를 현대의 해킹 방법과 혼합해, 추가적인 공격 벡터를 만들어낼 수 있는 것이다.

이 책에서는 역사 속의 인술에 대해 살펴보고 이와 관련된 현대의 침투 테스트와 해킹 기법을 알아볼 것이다. 목표가 된 네트워크를 은밀하게 공격하려는 보안 전문가가 가져야 할 마음가짐, 도구, 그리고 정보를 수집하는 방법 등을 닌자와 연관지어 살펴볼 것이다.

이 책을 연구하고 집필한 과정은 우리 저자들에게 커다란 모험이었다. 그 최종 결과물을 독자들이 마음껏 즐기길 바란다. 이 책이 변칙적인 공격의 변화와 가능성을 모두 담아내진 못했지만, 독자들의 무기고를 확장하고 이런 유형의 공격을 실행하거나 방어할 때도 많은 도움이 될 것이다. 마지막으로, 여러분이 노력할 때 항상 이 말을 기억했으면 한다. “고생 끝에 낙이 온다.-이시노우에니모산넨(石の上にも３年)”

토마스 빌헬름(Thomas Wilhelm)

1990년부터 정보 보안 분야에서 일해왔으며, 미 육군에서 신호 정보 분석가/러시아어 통역/암호 해독가로 8년간 복무했다. 데프콘(DefCon), HOPE, CSI 같은 미국 전역에 걸친 보안 컨퍼런스의 발표자로 활동했고, 포춘 지 100대 기업에서 위험 평가, 외부 및 내부 침투 테스트의 리드 역할 그리고 정보 시스템 보안 프로젝트를 관리하며 일해왔다.

컴퓨터 과학과 관리 석사학위를 갖고 있고, 정보 기술의 박사과정 학생이기도 하다. 콜로라도 기술 대학교의 부교수로 활동하면서, 잡지와 책을 비롯한 여러 출판물에도 기고하고 있다. 최근에는 Heorot.net을 통해 민간과 정부 직원을 대상으로 보안 트레이닝 코스를 운영 중이며, SISMP, CISSP, SCSECA, SCNA 같은 보안 자격증을 보유하고 있다.

제이슨 안드레스(Jason Andress)

이론과 실무 모두에 경험이 풍부한 보안 전문가다. 현재 소프트웨어 대기업에서 글로벌 정보 보안 감독과 침투 테스트, 위험 평가 수행, 그리고 회사 자산 보호를 보장하는 규정 준수 기능 등을 제공하고 있다.

2005년부터 학부와 대학원에서 보안 과정을 가르치고 있으며, 컴퓨터 과학 박사학위를 취득했다. 연구 분야는 데이터 보호이고, 데이터 보안, 네트워크 보안, 디지털 포렌식 등의 주제로 글을 쓰며 여러 출판물에 기고해왔다. ISSAP, CISSP, GISP, GSEC, CEH, Security+ 같은 보안 자격증을 보유하고 있다.

전문적인 보안 종사자나 해커가 아닌 이상 해킹이란 단어는 익숙하면서도 몸으로 체감하기는 힘든 단어다. IT에 종사하는 사람들뿐만 아니라 누구나 흔하게 해킹을 이야기하고 언론이나 미디어에서도 다양한 형태로 해킹을 다루어왔지만, 실제 삶 속에서 해킹이란 금융권에서 발생하는 개인 정보의 유출을 걱정할 때나 연상되는 단어였다.

처음 이 책을 접할 당시, 흥미가 느껴지면서도 동시에 생소했던 부분은 책의 전반에 걸쳐 닌자에 대한 설명에 꽤 상당한 부분을 할애했다는 점이었다. 어릴 적부터 영화와 애니메이션에 등장하는 닌자를 많이 접해왔지만 사실 실제 역사에서 그들이 어떤 신분이었으며 어떤 일을 해왔는지에는 큰 관심이 없었다.

이 책에서는 다른 책에서 찾아보기 힘든 역사 속의 닌자가 실제로 어떤 기술을 활용해 어떤 임무를 수행했는지, 왜 그들이 스스로를 검은 옷으로 감싸고 은밀한 잠입과 첩보 활동을 해야 했는지를 역사적인 사실에 기반해 자세히 설명해준다.

더욱 흥미로운 것은 이런 닌자의 기술들이 어떻게 오늘날 침투 테스트의 기법으로 활용될 수 있는지를 보여주는 부분이다. 이 책은 기술적으로 복잡하고 어려운 해킹 기법이 아닌 심리와 습관을 활용하는 간단한 위장과 변조 같은 기법으로 침투 테스트를 수행할 수 있는 방법에 대해 설명한다.

이 책에서 소개하는 내용은 침투 테스트를 효율적으로 수행할 수 있는 방법임과 동시에 실제 이런 기법을 활용한 해킹을 미연에 방지하고자 하는 목적을 갖고 있다. 내 경우에도 이 책을 번역하는 동안 해외에서 발송된 위장 메일을 몇 번 받은 적이 있는데, 이전과는 확실히 다른 감흥에 빠질 수밖에 없었다. 독자 여러분에게도 이 책이 침투 테스트에 대한 흥미로운 첫발을 내딛는 계기가 될 수 있기를 기대한다.

진석준

(주)큐로드에서 QA를 맡고 있다. 게임 QA를 업으로 하며, 관련된 해외 아티클을 번역해 국내에 소개하는 일에 관심이 많다. 개인 블로그 ‘The Life is REAL’을 운영하며 팀 블로그 ‘누가바닷컴’과 기술 전문가 그룹 GoDev에 멤버로 참가하고 있다. 『뷰티풀 테스트』를 공역했다.

이정현

오픈소스를 활용한 다수의 IT 프로젝트에서 개발과 아키텍트 업무를 주로 수행했으며, 현재는 국내 통신사 IoT 플랫폼 개발에 참여하고 있다. 평소 다양한 IT 분야의 신기술에 관심이 많아 기술 전문가 그룹 GoDev에서 소프트웨어 엔지니어로도 활동 중이다.