-
-
API 해킹의 모든 것 - REST와 그래프QL 웹 API 기초부터 보안 취약점, 해킹 툴, 퍼징 등 공격 실습까지
코리 볼 지음, 한선용 옮김 / 제이펍 / 2023년 8월
평점 :
제가 해킹에 대해서 관을 갖게 된 이유를 크게 세 가지로 꼽자면, 첫째는 프로젝트를 진행하면서 해킹 공격을 당하는 사례를 보았고, 두 번째는 정보보안을 재미있게 배우기, 셋째는 서비스간 아키텍처 설계(비즈니스 로직) 때문입니다.
저희 상사는 정보보안팀장을 하셨으며, 보안 기사 자격증 및 각종 보안 지식(리눅스, was를 시작으로 보안 솔루션에 대한 이유, 보안 솔루션이 어떻게 진화했고, 왜
진화했지 등), 해킹 지식을 가지고 있으며 1년 반의 근무 기간 동안 다양한 사례를 들을 수 있었습니다. 이것은 앞서 설명한 해킹에 관심을 두게 된 이유 세 가지의 시발점이기도 합니다.
1년 전 대형 인터넷 강의 사이트에서 해킹에 대한 온라인 강의 패키지, 오프라인 강의 패키지 등이 나올 정도로 해킹의 봄이라고 해도 되는 시기가 있었습니다. 저도 해당 패키지를 구매했고요. 그럼에도 불구하고 제이펍의 [API 해킹의 모든 것]에 관심을 가지게 된 것은 웹 어플리케이션 동작에 대한 청사진을 못 그린 것이 큽니다.
API 해킹의 모든 것의 PART1은 웹 애플리케이션 작동에 대한 큰 청사진을 그릴 수 있게 해줍니다. 청사진을 시작으로 해킹에 대한 다양한 공격 법, 실습 환경 구축 등 해킹을 처음 접할 때 부담이 적고, 재미있게 시작하도록 도와줍니다. 단순히 최근 추세뿐만 아니라, 고전 방법도 설명함으로써 보안 정책 및 웹 애플리케이션이 발전한 과정 이유도 가늠할 수 있게 해줍니다.
회사에서 저희 팀원들과 함께 스터지를 진행하였고, 진행하던 중 [초보 해커를 위한 칼리 리눅스 입문]를 먼저 공부하자는 의견 때문에 리뷰가 늦었습니다. 해킹의 근간이 되는 리눅스 운영체제에 대한 중요성 또한 해당 책을 통해 알았기 때문인데요.
[초보 해커를 위한 칼리 리눅스 입문]과 [API 해킹의 모든 것]을 같이 공부한다면 단순 해킹 방법에 대한 이해를 넘어 CS 지식 중 어떤 것을 먼저 공부하고 싶은지를 결정할 수 있을 듯합니다.
또한, 사이드 프로젝트를 진행하면서 인터넷 블로그에서 올라온 방법에 대한 이해도 높아질 것입니다. (왜 이 코드를 사용하는지, 왜 모듈-런타임, 오픈 소스, jdk, 리눅스 등을 포함-이 버전에 따라 사용 방법이 달라졌는지는 잘 안나오더라고요,,,? 제가 덜 찾아본 걸 수도 있지만요...? 아니면 제가 기초 지식이 부족한 편일 수도 있고요....?)
스터디 그룹에는 경력입사자, 신입 입사자, 비전공자, 전공자 등 다양한 배경의 사람들이 있었는데요. 모두의 후기를 모아본 결과 공통점으로 나온 것은 "질문 수준이 전보다 높아졌다는 것"입니다. 근무 중인 회사는 보안이 중요한 고객과 사업을 진행하기 때문에, BTO 사업, 개인 프로젝트에서는 보지 못한(혹은 고려하지 않았던) 비즈니스 로직을 접했다고 합니다. 물론 프로젝트에서 궁금했던 것을 이 책으로 전부 해결할 수는 없지만, 질문 및 검색 수준이 더 높아져 PM과의 질의응답이 좀 더 원활해졌다고 하네요.
현재 chatGPT와 같은 대화형 인공지능 서비스의 출현으로 지식을 얻기 쉬워졌습니다. 그럼에도 제가 책으로 보안 공부를 시작한 이유는 책 한 권에 모든 지식을 담지는 못할 지라도 길잡이 역할 수 할 수 있기 때문입니다. 정보보안을 재미있게 공부하고 싶거나, 보안 공부 시작을 어떻게 해야 할지 모르는 분들께 [초보 해커를 위한 칼리 리눅스 입문]과 [API 해킹의 모든 것]은 아주 괜찮은 길잡이가 될 것 같습니다.