[책 리뷰] 팀장부터 CEO까지 알아야 할 기업 정보보안 가이드

팀장부터 CEO까지 알아야 할 기업 정보보안 가이드
강은성 지음 / 한빛미디어 / 2022년 1월

이 리뷰는 한빛미디어 <나는 리뷰어다> 활동을 위해서 책을 제공받아 작성된 서평입니다.

기업에서 서비스를 하면서 가장 중요하면서도 효율적인 이유 때문에 간과하는 부분중에 하나가 정보보안적인 요소이다. 물론 최근에는 시큐어 코딩을 주로 다루고 있고 많은 서비스에서 보안을 중요하게 여기면서 조금은 달라졌을 지도 모른다. 이 책에서는 이런 보안적인 요소를 한국의 법에 맞게 해석하고 행동해야 하는지 다루고 있다.

특히나 최근에 작성자의 경우 회사에서 ISMS 인증을 받으면서 이것저것 수행했던 것들이 하나의 책으로 요약되어 있는 것 같아서 신기하기도 했다. 컨설팅을 받기 전에 이 책을 한번 훝어봤으면 컨설팅시에 많은 시너지를 낼 수 있었을 것 같았다.

책 자체는 이전에 읽었던 핸즈온 실습이 아니라 실제로 기업에서 어떻게 정보보호 조직을 꾸려야 하는지, 정보보호를 위한 인프라는 어떤 식으로 구축해야 하는지, 정보보호 법은 어떤 것들이 존재하는지, 위기관리나 이에대한 대응은 어떤 식으로 처리해야 하는지에 대해 실무적이면서도 이론적인 부분에 대해서 알려준다. 즉, 직접적인 실습은 없지만 실제로 정보보호 조직을 만들고 정보보호 시스템을 구축함에 있어서 어떤 방식으로 해야 하는지에 대해서 설명해 주는 책이다.

첫 장에서는 모든 정보보호 조직의 기초인 CISO 의 임명과 책임에 대한 이야기를 하고 있다. 그러면서 CPO 와 비교하면서 그 외에 다른 보안관련 책임자들에 대해서 이야기해준다. 그 이후에는 정보보호 거버넌스에 대해서 이야기하며 정보보호 팀은 어떻게 꾸려야 하며, 정보보호를 위해 다른 팀과는 어떤 역할을 나눠가져야하는지에 대해서 이야기해주면서 이러한 정보보호 체계가 없을 시 어떤 손해를 볼 수 있는지에 대해서 설명해준다. 

개인적으로 가장 흥미로웠던 장은 다음장인 관리체계와 중요자산 보호 챕터였는데 아무래도 개발자(정보보호담당자)로써 실제로 수행하는 일이고 정보보호 체계를 위해 이것저것 솔루션을 알아보고 구축하고 했었던 일이였기 때문이다. 즉, 이 챕터에서는 정보보호를 위해 어떤 문화를 만들어야 하는지, 어떤 정보보호 시스템을 구축해야 하는지 등에 대해서 설명한다.

다음 챕터는 위기관리인데 정보보호 업무를 하면 모의실습 훈련등을 하고, 실제로 위기시에 어떻게 대응해야 하는지를 알려준다. 즉, 위기시에는 어떤 프로세스를 진행해야 하는지, 어떤 프로세스를 정립해야 하는지에 대해서 설명해준다. 이 다음 챕터도 나름 흥미로웠는데 정보보안에 대한 법률에 대해서 나열해주고 실제 사례를 예시로 들면서 어떻게 법을 지켜야 하는지 설명해준다. 마지막 챕터는 간단하게 역량에 대해서 설명하는 부분이다.

이 책의 가장 큰 특징이라면 실무자가 아니더라도 쉽게 책을 읽어나갈 수 있다는 점에 있다. 그리고 한국 정보보안에 맞게 쓰여져 있기 때문에 실제로 정보보호 팀을 꾸려야 하는 조직이라면 한번쯤 읽어보는 것도 좋을 듯 싶다.

[책 리뷰] 몽고DB 완벽 가이드

MongoDB 완벽 가이드 - 실전 예제로 배우는 NoSQL 데이터베이스 기초부터 활용까지, 3판
크리스티나 초도로우 외 지음, 김인범 옮김 / 한빛미디어 / 2021년 3월

이 리뷰는 한빛미디어 <나는 리뷰어다> 활동을 위해서 책을 제공받아 작성된 서평입니다.

가장 유명한 Nosql 이라고 하면 MongoDB 혹은 redis 를 떠올리는 분들이 많을 것이다. 그 중에서도 이 책은 완벽 가이드란 타이틀에 mongo db 에 대해서 자세히 설명하고 있다. 

아무래도 데이터베이스 책이 대부분 그러하듯 이 책 또한 mongodb 의 변수, CRUD 방식, 쿼리 방식, 복제, 샤딩 등에 대해 자세히 설명해주고 있다. 다만 책 중간중간에 특정 기능을 설명하면서 "이 기능을 사용할 수 있지만 스키마 설계를 다르게 하면 다른 방식으로 쓰는게 성능적으로 낫다" 라는 등의 팁들이 곳곳에 적혀 있는 것이 특징이다. 예를 들어 "$size" 를 사용하기 보다는 스키마 내에 size 필드를 넣어라 등의 이야기를 해준다. 또한 이 책의 특징이라고 한다면 Nosql 의 가장 큰 장점인 복제, 분산 등의 기능에 대해 많은 페이지를 할애했다는 것이다. 

책은 mongodb 의 기본으로 시작한다. mongodb shell 에서 기본적인 타입인 ObjectId, 숫자, 문자 등에 대해서 설명하고, 그 뒤에는 docuement 의 생성, 갱신, 삭제에 대해서 설명해준다. 그리고 데이터베이스에서 가장 잘 일어나는 쿼리에 대허서 설명하면서 다양한 제약, 연산자 등에 대해서 설명해준다. 이 챕터에서는 단순히 사용법을 알려주고 있어서 크게 어려운 부분들을 느끼지는 못했다. 

그 뒤에는 데이터베이스에서 필수적으로 사용해야 하는 인덱싱에 대해서 설명한다. 단일 인덱싱, 복합인덱싱을 포함해서 인덱싱이 있을 때 쿼리플랜 방식, 커버링 인덱스 등 다양한 방식의 인덱싱에 대해서 설명해준다. 또한 TTL 인덱싱, geo location 관련 인덱싱 등 특수한 인덱싱 방식에 대해서 설명한다. 그 이후에는 자주 사용되는 집계 프레임워크에 대해서 알려주고 짧게나마 mongodb 트랜잭션에 대해서 설명한다. 9장이 조금 특이하기도 했는데 많은 스키마 페턴들을 설명하고 간단하게나마 예시를 들어주면서 설계하는 방법에 대해서 알려준다.

그 뒤부터는 복제와 샤딩에 대한 이야기를 이어나간다. mongob 를 사용하는 가장 큰 이유중에 하나인 분산환경에 대한 이야기이다. 물론 클라우드를 사용하면 이 기능을 자동으로 제공해주기도 하지만 어떤 식으로 복제가 구성되는지, 샤딩을 어떻게 설계해야 하는지 등에 대해서 자세히 알려주고 있어 나중에 도움이 될 수 있을 것 같았다. 개인적으로는 아직 사용해본 경험이 없지만 그래도 이해하기 어렵지는 않았다.

마지막 파트에서는 슬로우 쿼리 찾는 방법이나, 모니터링, 보안 등에 대한 이야기로 짧게 설명하고 끝이 난다.

몽고db 에 대한 레퍼런스로 하나정도 원한다면 이 책이 괜찮을 것 같다는 생각이 든다.

[책 리뷰] 소프트웨어 아키텍처 101

소프트웨어 아키텍처 101 - 엔지니어링 접근 방식으로 배우는 소프트웨어 아키텍처 기초
마크 리처즈.닐 포드 지음, 이일웅 옮김 / 한빛미디어 / 2021년 11월

이 리뷰는 한빛미디어 <나는 리뷰어다> 활동을 위해서 책을 제공받아 작성된 서평입니다.

어느 회사에서나 개발하기 전에 아키텍팅 작업을 진행하게 된다. 대부분의 개발자들이 별 생각없이 진행하는 layered "Arhitecture" 또한 아키텍처 패턴중 하나이다. 이 책에서는 이러한 아키텍처 스타일들을 설명하고 더 나아가 아키텍트가 해야하는 업무 등에 대해 쓰여져 있는 책이다.

아키텍처 관련된 책이라 실습을 위주로 진행하는 책이 아니라서 조금은 부담없이 읽을 수 있다. 하지만 아키텍팅 작업이 여러 기술과 패턴이 조합되어 있기 때문에 특정 디자인 패턴이나, 특정 기술(queue, topic)들에 대한 용어가 나오게 되는데 따로 설명이 들어가거나 하지는 않아서 이러한 부분들에 대한 이해가 없다면 조금 어려울 수도 있지 않을까 싶다. 그래도 대부분의 개발자라면 알고 있을만한 내용들이라 이러한 부분때문에 읽을 수 없을 것 같지는 않다.

책은 짧은 호흡으로 읽을 수 있도록 여러 챕터로 구성되어 있다. 초반에는 소프트웨어 아키텍처가 무엇인지, 그리고 아키텍트는 어떤 작업을 수행해야 하는지에 대해서 알려준다. 특히나 최신 트랜드에 맞게 아키텍트와 개발자간 일방향성이 아니라 상호 보완적인 관계를 중요하게 생각하는 점이 특징이다. 그러면서 아키텍트는 개발자와는 다르게 어떤 생각을 가져야 하는지에 대해서도 알려준다. 그 후에는 아키텍처 특성들을 설명해주면서 아키텍팅을 하기 위해서 알아야할 개념들에 대해서 설명해준다. "아키텍처 카타" 라는 개념과 이를 활용한 예시를 드는 것도 흥미로웠다.

두번째 챕터부터는 우리가 흔히 아키텍처라고 불리는 layered 아키텍처, 파이프라인 아키텍처, 마이크로 커널 아키텍처, 이벤트 기반 아키텍처 등에 대해서 설명해준다. 하지만 이 책의 특이한 점은 1장에서 설명한 개념을 가지고 각챕터의 마지막에 아키텍처 특성 등급을 설명해준다는 것이다. 퀀텀수, 배포성, 탄력성 등에 대해 별점을 매기고 장단점에 대해서 정리해준다. 예를 들어 이벤트 기반 아키텍처는 내고장성이나 확장성에는 뛰어나지만 테스트가 어렵고 단순하지 않고 복잡하다는 단점이 존재한다.

세번째 챕터에서는 이러한 두번째 챕터의 아키텍처 스타일을 바탕으로 아키텍처를 결정하고 리스크를 분석하고 팀을 운영하는 방안에 대해서 설명한다. 재밌는 점은 프레젠테이션이 들어가 있다는 점인데 다이어그램을 그리고 도식화하고 애니메이션을 삽입해서 이해하기 쉽게 만들어야 한다는 점을 꼽고 있다. 마지막에는 개발을 주로 하지 않게되는 아키텍트 특성상 커리어가 고민이 들게 될텐데 이러한 부분들에 대해서 어떻게 커리어패스를 유지하고 개발해야하는지 알려준다.

개인적으로는 회사에 개발자가 부족해 스스로 아키텍팅을 하고 개발을 해야 해서 관심이 많이 있던 분야 중 하나였다. 사실 대부분의 개발자들이 아키텍처를 공부한다기 보단 경험으로 이렇게 하면 괜찮은 것 같다, 혹은 컨퍼런스에서 그렇게 하더라 이정도로 넘어가게 될텐데 이렇게 한번쯤은 직접적으로 책을 읽고 공부해보는 것도 괜찮은 것 같다.

책 내용이 어렵고 기술적으로 복잡한 내용이 아니기 때문에 대부분의 개발자들이 읽을만한 책이여서 다들 한번쯤 읽어보면 좋을 것 같다.

[책 리뷰] 핸즈온 해킹

핸즈온 해킹 - 침투 테스트의 전 과정을 알려주는 모의 해킹 완벽 가이드
매슈 히키.제니퍼 아커리 지음, 류광 옮김 / 한빛미디어 / 2021년 9월

이 리뷰는 한빛미디어 <나는 리뷰어다> 활동을 위해서 책을 제공받아 작성된 서평입니다.

초기 회사에서 개발하다보면 잘 지켜지지 않는 부분이 보안적인 부분일 것이다. 하지만 보안은 비즈니스에서 매우 중요한 요소라는 것은 틀림없다. 이 책은 보안에 관련된 내용 중 직접적으로 모의해킹을 해보면서 어떻게 회사 인프라를 지켜야 하는지 알려주고 있다. 특히나 처음에 보안에 입문하는 사람들이 읽기 편하게 쉽게 쓰여져 있는 것이 장점이라고 할 수 있다.

앞에서 이야기 했지만 내용과 실습은 조금 쉽게 느껴질 수 있다. 하지만 보안을 전문적으로 하지 않는 일반적인 개발자의 눈높이에는 적당히 맞는 느낌이였다. 이 책은 직접적으로 하나씩 실습해보면서 그동안 모의해킹을 어떻게 해야하는지 막막했었는데 궁금했었던 부분들이 해결되게끔 도와줄 수 있다. 특히나 실습을 하기 전에 개념들을 설명해주고 이 플랫폼에서 어떤 취약점을 조심해야 하는지 알려주는부분이 마음에 들었다. 개인적으로는 최근에 VPN 관련해서 이것저것 알아보고 있었는데 이 부분에서 어떤 부분을 조심해야 하는지 알 수 있었다.

책의 1,2 장은 간단하게 책의 도입부분이다. 왜 해커가 필요한지 CISO 의 역할은 무엇인지, 회사에서 왜 보안을 중요시여겨야 하는지에 대해서 알려주고 2장에서는 함부로 해킹하면 안되고 법률에 맞게 진행해야 한다는 것을 이야기한다. 3장에서는 4장부터 시작할 실습환경을 세팅하는 과정이다. 이제 4장부터 모의해킹을 시작한다. 4장에서는 공개되어 있는 문서, 파일 등을 수집하면서 정보를 얻는 과정을 보여준다. 여기서 SNS 에서 개인정보를 수집할 수 있다는 것을 보고 놀랍기도 했다. 5장에서는 DNS 정보를 이용해서 장애를 유발시키거나 취약한 도메인을 확인하거나 하는 부분들을 보여준다. 특히나 패킷을 캡쳐할 수 있는 wireshark 를 이용해서 실습하는 부분이 재미있었다.

6장에서는 우리가 흔히 접할 수 있는 메일서버를 해킹한다. 이 때 대부분의 스타트업들은 gmail 을 흔히 쓰고 있을텐데 이 부분도 충분히 해킹당할 수 있음을 보여주는 장면이 인상적이였다. 7장에서는 가장 흔히 알려져 있는 웹서버 해킹에 대한 이야기이다. nginx, apache, php 취약점 등에 대해서 설명해준다. 8장에서는 VPN 에 관련된 내용이다. 특히나 가장 흔한 OpenVPN 을 이용해서 설명해준다. 이런식으로 책은 계속해서 어떤 한 부분에 대해서 이론 및 실습을 하면서 하나씩 해나갈 수 있도록 구성되어 있다.

작성자의 경우 최근들어 회사에서 보안적인 부분을 많이 맡고 있어서 재미있게 볼 수 있었던 것 같다. 작성자처럼 처음부터 보안을 하지 않고 사내에서 해야하는 경우에 빨리 뭔가 봐야겠다면 이 책을 추천하고 싶다.

[책 리뷰] 클라우드 네이티브를 위한 데이터 센터 네트워크 구축

클라우드 네이티브를 위한 데이터 센터 네트워크 구축 - 데이터 센터 네트워킹을 위한 아키텍처, 프로토콜, 도구
디네시 G. 더트 지음, 정기훈 옮김 / 한빛미디어 / 2021년 8월

이 리뷰는 한빛미디어 <나는 리뷰어다> 활동을 위해서 책을 제공받아 작성된 서평입니다.

사내 인프라를 구축하다 보면 자주 맞닥뜨리게되는 것이 네트워크 관련된 내용이다. 하지만 대부분의 서비스 기업들은 클라우드 내에서 이미 갖춰진 네트워크를 사용하기 때문에 이러한 내용들을 모르고 넘어가곤 한다. 하지만 이러한 블랙박스부분이 궁금한 분들도 있을텐데 이 책이 그러한 분들에게 클라우드 네트워크는 어떻게 구성되어 있는지 가려운 부분을 긁어 줄 수 있는 것 같다.

만약 네트워크 지식이 부족한 분들이시라면 어렵게 느껴지는 책일 것이다. 실제로 작성자의 경우도 네트워크와 관련해서 기초적인 지식밖에 없었기 때문에 책을 읽어나감에 있어 용어적인 부분부터 헷갈리기 시작했었다. 하지만 1장, 2장, 3장 정도를 이해하고 나면 그 이후 부분은 계속 응용된 개념들이 나오기 때문에 그나마 다행이였던 부분이였다. 그래서 작성자와 같이 어플리케이션을 위주로 개발하시는 분이시라면 1,2 장 정도를 읽어보고 이해가 된다면 책을 구매하는 걸 추천하고 싶다.

책의 1장에서는 모던 네트워크 구성이 아니라 기존 레거시 네트워크 구조는를 설명해주고 2장에서 어떤 방식으로 현재 발전했는지를 알려준다. 그리고 3장부터는 2장에서 설명한 클로스 토폴로지 방식의 네트워크 구성을 점점 발전시켜 나가면서 하나씩 설명해준다. 그 사이에 대부분의 회사에서 사용하는 도커 컨테이너 네트워크도 살짝 설명하기도 하며 개인적으로 관심있었던 네트워크 자동화 부분도 앤서블을 사용해서 설명해준다.

작성자의 경우 이런 네트워크를 직접적으로 다뤄본 적이 없기 때문에 공감가는 부분이 적어 책을 읽는데 더 어려움을 느끼기도 했다. 또한 네트워크와 관련된 이야기라서 그런지 코드보다는 대부분 글과 그림으로 표현되어 있기 때문에 조금 더 읽기 힘들었던 부분도 있었다. 하지만 책에 쓰여져 있는 내용 자체는 어려운 내용은 아니라 익숙하지 않은 내용이라는 생각이 들었다. 그래서 만약 네트워크에 조금 더 관심이 있거나 직접 네트워크를 구성해본 경험이 있는 사람이라면 재밌게 읽을 수 있지 않을까 싶다.

개인적으로는 읽는 데 시간이 오래 걸린 책 중에 하나였지만 새로운 지식을 얻을 수 있어서 만족스러웠던 책이였다. 앞에서 이야기한 대로 클라우드 네트워크를 구성하면서 블랙박스였던 부분을 조금은 이해할 수 있었다. 

대상 독자 자체가 네트워크 아키텍트, 네트워크 운영자, 등등인 것과 같이 어느정도 네트워크에 대한 지식이 있는 분들이 읽으면 좋을 것 같다.