최근 회사와 개인 연구의 방향이 맞물려 (간편)결제산업의 공격 방법론과 진단 방법론을 연구하고 있어 참고할만한 가이드가 필요했다. 그러다가 문득 장바구니에 담겨있는 이 책을 보게되었고, 바로 결제하여 내용을 살펴보고 있다.

이 책의 저자 슬라바 곰진은 곰진 블로그 운영자로 금융관련, 신용카드, POS, PA 시스템에 관련된 해킹 연구를 하는 뛰어난 해커이다. 그가 체계적으로 연구한 내용이 이책에 담겨져있다. 물론 국내의 금융거래 환경과 맞지 않은 부분이 많지만, 이 책을 소개할 수 밖에 없는 이유는 체계적인 집필 순서때문이다. 책과 다르게 순서를 정리해보았다.

  • 정보 수집 (결제 환경, 요소, 절차, PA 구조, 산업 형태)
  • 공격 (공략 핵심 요소, 해킹 기술, 침입 위치)
  • 방어 (암호화, 서명체계, 정보 보호, 코드 보호)
  • 부록 (취약성 등급 계산기, 용어 설명)

어떠한가? 침투 테스트 절차와 비슷하지 않은가? 아마 이 책에서 언급하는 순서에 맞게 국내 동향과 데이터들을 연구할 것 같다.

책에서도 설명하고 있다. IT와 관련된 초년생 부터 5년차까지 두루두루 읽으면 좋을 책이라고. 나같이 주제를 접하면 낙하산 또는 탑-다운 방식으로 연구하고 공부하는 입장에서 기본적인 IT를 이해하기에 이만한 책이 없는 것 같다.

특히 일본저자들의 특유의 문체가 더욱 쉽게 와닿는다. 간결하고 이해하기 쉬운 묘사, 단순라면서도 설명할 요소를 모두 놓치지 않는 그림 등 편하게 지하철이나 버스에서 읽기 좋은 책이다. (물론 뒷부분에 난감하게 포괄적인 기술파트가 나오지만서도..)

이 책을 읽을 수 밖에 없게 만든는 요소는 경험적, 감각적으로 이해하는 내용들을 명료하게 설명하고 있는 부분이다. 책 속의 글을 인용하여 이해한 내용을 한번 써보았다.

서버란, 특정 역할에 특화된 것을 의미한다. 이 단어는 레스토랑의 웨이터를 의미하기도 하는데, 웨이터는 주문 접수나 서빙하지만 음식을 만들지는 않는다. 즉, 특정 역할에 특화되어 있다고 볼 수 있다. (serv+ice-서비스, serv+ing-서빙 (서비스 하는 것), serv+er-서버 (서비스 하는 사람))

흔히 우리가 IT에서 서버라 부르는 것은 물리 서버를 의미하는 경우가 많다. 하지만 서버는 물리 서버와 논리 서버로 구성된다. 물리 서버는 PC와 유사하지만 특정 기능에 특화되어 제작된 컴퓨터를 의미한다. 논리 서버는 어떤 행위를 하는 것을 의미하는 것으로 사용자가 인터넷을 통해 서버에 방문하면 HTML을 생성하는 웹 서버, 대량의 데이터를 저장하고 관리하는 DB서버를 예로 들 수 있다.

하나의 물리 서버에 다양한 논리 서버를 구성하는 집약형 아키텍쳐와 하나의 물리 서버에 하나의 논리 서버를 구성한 분할형 아키텍쳐가 존재한다. 각각에는 장단점이 있는데, 집약형의 경우 구성이 간단하며, 안정성이 높고 고성능이다. 하지만 도입 비용과 유지 비용이 높고 확장성에 한계가 있다. 반면, 분할형의 경우 낮은 도입 비용과 확장 용이성을 가지지만 관리가 복잡하고 문제가 발생시 구조적 점검이 필요하다는 단점을 가진다.


보안을 처음 시작할때 가입한 첫 커뮤니티가 보안프로젝트이고, 현재까지 꾸준히 비전을 공유하고 있다. 그래서 이 책의 내용은 이미 내재화 된 내용으로 구성되어 있어 빠르게 읽을 수 있었다.

하지만 다이어트하면 건강해지는 걸 알지만 못하는 것 처럼 행동으로 옮기는데 힘들구나, 조정원 선배는 참 대단한 행동력을 가지고 있구나, 감탄했다.

의외인 점은 기술자가 글쓸때 고질병인 연결어미의 주된 사용을 이 책에선 보기 힘들다. 소설가들이 상황묘사할 때처럼. 또 한번 도전하시고 또 다시 레벨업 하신 것 같다. 다시 한번 감탄한다.


  1. Favicon of https://zoahaza.net BlogIcon 조아하자 2016.11.27 02:26 신고

    전 블로그 쓸 때에도 이 저자처럼 글을 잘 쓰지 못하는데 정말 대단하신 것 같습니다.

오랜만에 혼자 카페에서 "모르면 털린다, 주대준"을 훑어보았다. 저자를 간단하게 소개하자면, 청와대 전산실 창설 멤버이자 프로그램 개발 팀장이셨고, 카이스트 전산학과 교수로 부임해 '사이버보안연구센터'를 설립, '정보보호대학원'을 개설하였다. 또한 한국 사이버보안 컨버전스 학회장, 국정원 및 국방부 사이버 안보 정책위원으로 활동하고 있다. 현재는 새누리당 광명 당원협의회 위원장으로 지내고 있다.

책의 내용은 기초적인 공격과 방어에 대한 설명이 포함되어 있는데, 주 독자층이 정보보안을 잘 모르는 사람을 위해 쓰여진 책이다. 물론 기반지식 없이 읽기에는 정보보안 특성상 살짝 어려운 부분이 있다. 하지만 일상에서 만날 수 있는 시나리오 기반에 작성된 다양한 공격 형태들, 시나리오를 만화로 표현한 방법 등이 쉽게 설명하려는 저자의 노력을 볼 수 있었다. 처음 정보보안을 접하시는 분들께 추천한다.

2012년 카이섹이라는 학원에 다니면서 처음 보안으로 접하기 시작했을때, 다양한 공격과 방어 기술들을 습득하고 있었죠. 그때 저를 가장 매력적으로 이끌었던 과목이 리버싱이었습니다. 어셈블리어를 스텝 바이 스템으로 실행하며 분석하는 것은 담배피러 가는 시간이 길어질 정도로 집중력을 높여줬었죠.

보통 보안에서 리버싱이라 하면 악성코드 분석으로 연결이 되어 집니다. 그래서 그때 악성코드 분석가가 되기 위해 처음 읽었던 악성코드 관련 책이에요. 이 책은 악성코드 분석가로써 다년간 경험한 내용이 수필 형태로 되어 있고, 의외로 기술적인 용어들이 적게 느껴지거나 앞 뒤 문맥상 이해되는 단어들로 구성되어 있어 쉽게 읽을 수 있었습니다. 특히 번역본이 아니라 국내 정서가 잘 녹아있어요. 그래서 우수학술도서로 선정된 것 같아요.

이 책을 읽으면서 일찍이 보안에 뛰어 들었으면 이 많은 경험들이 나에게도 쌓이지 않았을까 아쉬운 감도 있지만, 그래도 책으로라도 가질 수 있어 기쁩니다. 각 분야에 많은 분들이 수필형태로 경험담을 공유하는 것도 좋지 않을까요?

2005년에 나온 책이고, 현재 절판되었습니다. 이 책은 저에게 추억이 있죠. 군대 갔다오고 대학 2학년 초 뭔가 뜬금없이 해킹에 대해 관심을 가지게 되었고 인생 처음 샀던 보안 서적입니다. 케빈 미트닉이 얼마나 유명한지도 몰랐고, 특히 이 책을 완독하지도 못했어요. 어려워서. 비록 그의 일대기를 소설로 풀어 쓴것이지만 생소한 단어들이 많았죠. 왜 그땐 생소한 단어들을 찾아볼 생각을 안했을까요.

이 책은 케빈 미트닉의 이야기를 소설로 담았습니다. 소설이라는건 허구죠. 그의 삶을 재조명하는 과정과 좀 더 독자를 위해 윌리엄 사이먼이 소설로 쓴 것입니다. 이 책을 편하게 읽으신다면 컴퓨터가 대중화 되지 않았을 때 전화 시스템을 해킹하는 이야기와 흥미진진한 사회공학기법을 읽으실 수 있습니다.

케빈 미트닉의 또 다른 소설은 "네트워크를 훔쳐라"가 있고, 최근에 나온 "킹핀"도 있습니다. 함께 참고해 보시면 좋을 것 같네요.

집필자로 참여하여 Cuckoo Sandbox와 Viper 부분을 집필한 책입니다. 

이 책을 읽는 사용자는 적어도 중급 이상의 이해도를 가질 필요가 할 것 같습니다. 기본적인 악성코드 분석 스킬과 파이썬 코드에 대한 이해, 그리고 오픈소스 도구들이 대부분 리눅스 기반에서 동작하기에 리눅스 운영체제에 대한 숙련도도 필요할 것 같아요. 특히 Cuckoo Sandbox 쪽은 시스템 사양에 크게 좌우하여 실습이 어려울 수 있어요.

집필을 하면 늘 아쉬운건 "아 좀 더 칼같이 다듬을걸" 같은 후회가 밀려와요. 다음 내용은 불피요한 부분, 추가해야할 부분을 표시했습니다.

304p 하단 그림 하나 삭제, 중복되어 들어갔네요.

310p 홈 디렉터리로 돌아가기 위해 ~ 표시가 들어가야 합니다. 따라서 cd ~ 로 쓰시면 됩니다.

311p vi 에디터로 수정했으니 sudo apt-get update 명령이 아닌 :wq 명령을 쓰시는게 맞겠죠? 페이지 하단에 sudo apt-get update 명령이 따로 언급되어 있습니다.

p314 집필 당시 작성한 파이썬 라이브러리로 설치하면 운영 되었는데, 최근 Cuckoo Sandbox 1.2 버전의 내용이 수정되어 dpkt 라이브러리도 필요합니다. 따라서 sudo pip install dpkt 를 추가해서 사용하시면 오류없이 Cuckoo Sandbox를 운영하실 수 있을꺼에요.

그렇게 검토 했음에도 오류가 늘 발견되네요. 책을 보시다가 잘못된 부분이나 오탈자, 의문점 등을 댓글에 달아주시면 이 페이지를 업데이트 하는 형태로 수정하여 알려드릴께요. 감사합니다.

한국전자통신원 부설연구소에서 지은 일주일에 끝내는 사이버보안 이라는 책입니다. 월요일부터 토요일까지 하루하루 읽을 수 있도록 챕터가 구성되어 있어요.

  • 월요일 - 사이버보안

  • 화요일 - 공격과 관련된 기술

  • 수요일 - 방어와 관련된 기술

  • 목요일 - 암호학 활용

  • 금요일 - 암호학 기술

  • 토요일 - 유비쿼터스와 개인정보

매일 한챕터씩 읽는 재미와, 사이버 보안과 관련없는 일상 생활과의 비교형태로 쉽게 이해시키려는 노력이 엿보이는 책이에요. 하지만 암호학 비중이 큰것이 단점으로 다가오네요. 저라면 사이버보안, 서버 공격 기술, 사용자 공격 기술, 서버 방어 기술, 사용자 방어 기술, 암호학 으로 분류할 것 같아요. 아니면 기술의 양을 줄이고 컨설팅, 컴플라이언스 등 정책쪽을 언급하는 것도 나쁘진 않을 것 같아요.

그녀는 예뻤다 라는 2015년 드라마에서 김혜진(황정음)이 패션-잡지사에서 일하는 상황이 나와요. 그때 김혜진이 처음 일할 때 알지도 못하는 단어들로 일을 시켜 투덜대다가 룸메이트인 민하리(고준희)가 그들이 만든 울타리에 들어가기 위해 어떤 노력을 했는가라고 말합니다. 그 후 김혜진은 밤새 패션 용어들과 뷰티 용어들을 외우는 장면이 나왔죠.

언어학적으로 방언은 지역적 방언과 사회적 방언으로 나눠집니다. 지역적 방언은 말 그대로 경상도, 경기도, 충청도 등 지역적으로 구분된 방언이고, 사회적 방언은 은어나 통신언어가 포함될 수 있습니다. 독특하게도 기술 용어들을 포함하여 대화하는 경우도 사회적 방언에 해당합니다.

그렇다면 이미 많은 경력이 있는 조직의 사람들이 전문용어로 대화하는 것에 익숙해 지려면 그들의 사회적 방언에 뛰어들 필요가 있죠. 그래서 이 책을 추천드리는 이유는 여기서 언급하는 용어들을 어느정도 익숙해 지시는 것이 좀 더 빨리 적응 할 수 있지 않을까 싶네요. 짧게 짧게 언급하고 있기에 버스나 지하철 같은 짜투리 시간에 읽어 보는 것을 추천드립니다.

+ Recent posts