-
-
이거 불법 아냐? - 일상을 파고드는 해킹 스토리 ㅣ 위키북스 해킹 & 보안 시리즈 1
앤드류 휘테이커 외 지음, 이대엽 옮김 / 위키북스 / 2011년 5월
평점 :
해킹이 이제는 현실 가까이에 많이 퍼져 있다. 몇달전 'XSS 해킹기법의 증가'라는 과학뉴스를 게시한 적이 있는데, 어느 분이 댓글로 해당기술이 아주 오래 전부터 있던 것이라 수정해 주었다. 외국 전문사이트의 기사는 '증가'라는데 초점을 두고 있었는데, 마치 새로운 기술로 보여 이상하게 느끼신거다.
그런 이면에는 내가 기사에 대해 코멘트를 잘못 단것이 가장 큰 문제였다.
조금만 전문적으로 공부하면 아는 것이 이런 분야이고, 반대로 일반인에겐 너무나 신기하기만한 일인 모양이다.
"이거 불법 아냐?"는 이야기 형식으로 8가지 해킹의 예에 대해 기술적 내용까지 포함하여 설명하고 있다. 출판일은 번역판이 2011년이고 영어 원서는 2009년에 이다. 워낙 빠르게 발전하기에 나로서는 기술적 내용이 여전히 유용한지 잘 모르겠다.
(개인적으로 판단할 실력은 못되나, 어려운 기술적 내용은 문맥으로 이해하며 넘어가는 독서법으로 읽었다.)
하지만 부제인 '일상을 파고드는 해킹 스토리'에서 알 수 있듯이, 이 책을 읽으면서 여러 일상 생활상 생기는 보안 문제점을 파악할 수 있었다. 신용카드 도용, 웹사이트 해킹, SNS 해킹, 무선 네트워크 해킹 등 보안이 아주 취약하다는 것을 알았다. 책의 각 장의 마무리에는 보안 조치에 대해 조언하고 있다. 비밀번호와 백신 프로그램과 같은 기초적인 것부터 확인해야겠다.
비밀번호 추출이 쉽다는 것도 알았는데, 한번 당하기 시작하면 방어할 수가 없어 보였다. 하지만 해킹이라는게 컴퓨터 앞에서 전지전능하게 할 수 없다는 것도 알 수 있었다. 고등학생들이 툴 같은 것으로 해커 흉내내는 것은 조금만 보안에 신경쓰면 막을 수 있을 것이다. 대부분의 해킹은 컴퓨터 운영체제의 업데이트를 안하거나 쉬운 비밀번호를 쓰는데서 생기니까. 또한 댓글로 이상한 곳에 링크를 걸어 말웨어를 심게 만드는 것도 대표적 수법이다.
저자는 진짜 해킹은 사회공학적 기법이 포함되어야 한다고 생각하고 있었다. 어찌보면 파일 다운로드나 링크 클릭에 의한 말웨어 심기도 작은 사회공학 기법일지 모른다. 하지만 그전에 해킹 대상에 대한 담당자, 조직도, 전화번호, 네트워크 구조 등 일반적 정보의 수집을 중요시 하고 있었다. 그리고 사람이 직접적이고 불법적인 침투도 뒤따랐다. 이것을 사회공학적 수단이라고 말하고 있었다. 카드기 복사나 불법적인 네트워크 장비 설치 등과 같은 물리적 범죄도 포함되었다.
이후에 일반적으로 알려진 컴퓨터를 이용한 침투나 패스워드 해킹이 따르는데, 저자들은 그런 것들은 아주 기본적이고 쉬운 것으로 보는 것 같았다. 저자들은 이러한 다양한 수단들을 연속적으로 실행한다는 의미에서 원서의 제목을 "Chained exploits (연쇄공격)"으로 지은 것 같았다.
('이거 불법 아냐?'는 보안전문가인 저자들이 책의 내용을 설명하면 주위 사람들이 보이는 반응이다. 물론 책의 내용을 하면 불법이다. 저자들은 허가 받은 상황에서 실행한것들이라 강조하고 있다.)
여전히 해킹과 보안기법은 계속 발전하고 있을 것이다. 운영제제나 사이트의 근본적 헛점에 대해서 일반적 유저는 대응할 방도가 없다. 새로 보안 패치가 나오면 바로 업데이트할 뿐이다. 하지만 보안 장비를 갖추고, 사회학적 보안에도 신경 쓴다면 이러한 위협은 크게 줄어듬은 명확하다. 문자나 메일로 온 동영상이나 링크를 함부로 누르지 말아야한다. 이상한 화일들을 다운로드 받지않고 정식구매를 하는 습관도 길러야한다. 기본적 의식의 변화가 보안 강화의 기본임이 분명하다.