-
-
유령처럼 해킹하는 방법 - 클라우드 해킹으로 알아보는 AWS 보안 따라잡기
Sparc Flow 지음, 박찬성 옮김 / 영진.com(영진닷컴) / 2024년 2월
평점 : 
예전에 나온 해킹 서적은 대개 저자의 팁이나 노하우만을 간단하게 정리한 것들이 많았습니다. 책을 보고 따라하면 원하던 결과가 나오기는 하는데, 초보 입장에서는 왜 그렇게 되는지를 모르고 무작정 따라하는 느낌이 있었죠. 물론 해킹에 어떤 심오한 이치 같은 게 있기나 해서 깨달아야 하는 건 아니지만, 독자 입장에서는 기술적 지식 외에 인사이트 같은 걸 따로 얻으면 더 좋겠다는 욕심이 당연히 있습니다. 이 책은 기술적으로 따라하면 그건 그것대로 유익한 지식이 획득되지만, 그 과정에서 보안 기술의 심층적 구조에 대해 어떤 눈이 더 뜨이는 느낌이라서 더 좋았습니다.
책은 굉장히 자세합니다. 다시 말하지만 여태 흔히 보던 해킹책이 아니라, (제목은 저렇게 되었지만) 사실은 보안 관련 교과서 노릇도 하는 교과서, 이론서에 가깝습니다. 평소에 무심히 지나가던 기술적 사항들에 대해서도 저자는 여러 질문을 독자한테 던지며 생각할 거리를 제시합니다. 당연한 걸 당연하게 넘기지 않고 다른 각도에서도 볼 수 있음을 짚는 여러 문장 속에서, 독자는 망과 단말의 보안에 대해 조금이라도 더 큰 눈이 뜨임을 체험할 수 있었습니다.
p24에서 우리는 많은 점을 (새삼) 생각하게 됩니다. 웹에서 우리가 무심히 보던 각종 페이지들은 사실 그 일부가 기능 마비되거나, 모종의 코드에 감염되었을 수 있습니다. "감염된 컴퓨터가 보낸 요청은, 대응되는 백엔드 C2 인스턴스로 즉시 보내지며, 스누핑 분석 등 그 외 남은 요청은 문제없는 웹 페이지로 출력됩니다." 이 대목에서 저자는 백엔드 C2 프레임워크의 의의에 대해 무척 강조하며, "공격 인프라의 핵심, 척추 역할을 한다"고까지 말합니다. "정확히 동일한 설정을 재사용해 신규 C2 백엔드를 만들어낼 수 있어야 합니다." 본래 전쟁의 이치가 이와 같습니다. 강적을 이기는 방법은, 적의 최강점을 정확히 분석하고 따라 배우는 것인데, 북아프리카 전선에서 패튼이 그랬고, 동부 전선에서 주코프가 그랬습니다. 웹 상의 싸움도 다르지 않은데, 이 책 곳곳에서 강조되는 포인트 중 하나가 "튼튼하게 구축된 공격용 서버의 미덕"입니다.
요즘은 어느 분야에서나 컨테이너화가 쓰이는 것 같습니다. 3장 인프라에서도 핵심 중 하나가 효율적인 컨테이너화의 과정이며 역시 최고의 전문가답게 설명이 자세하고 통찰적입니다. p46을 보면 "공용 파일 시스템은 여러 파일 시스템을 병합하여, 일관된 단일 파일 시스템으로 배치할 수 있게 해 줍니다."라는 문장이 있습니다. 이 문장 하나로도, 대체 공용 파일 시스템이라는 게 왜 필요한지에 대해 어떤 근본적인 의문이 해결되는 느낌이 들었습니다. 도커의 특권 모드로 바로 들어가면 독자가 힘들어할까봐, cgroup의 설명과 함께 일단 뒤로 미루는 편제도 마음에 들었습니다.
해킹이건 수학 문제 풀이이건 한순간에 기발한 아이디어가 확 떠올라, 어려운 과제가 한순간에 해결되기도 합니다. 수능의 예를 들면, 4점짜리 킬러문항이라는 것 때문에 몇 달 전 한국도 무척 시끄러웠습니다만 평가원에서 공식적으로 펴낸 모범답안의 답답하고 번잡한 풀이를 훌쩍 뛰어넘는, 밤하늘에 빛나는 별과도 같은 영감어린 착상은 정말 "척추 아래로 찌릿거리는 감각을 보내야 하는(p96)" 그런 쾌감을 우리에게 선사합니다. 해킹 씬도 이와 다르지 않아서 공격이든 방어 측이든 수시로 변화하는 상황에 정말 기민하게 대응해야 합니다. p97을 보십시오. 저자는 마치 본인이 실제 전쟁에서 순식간에 판단을 내리고 과감한 작전을 결행하는 사령관인 듯 가뿐 호흡으로 말합니다. 누차 말하지만, 여태 다른 해킹서들이 마치 단 하나의 진로만을 유일한 정답처럼 (아무 배경 설명 없이) 뼈대만 앙상하게 적는다면, 이 책은 여러 개의 대안을 제시하는 정통 요리서와도 비슷합니다.
페이로드(예를 들어 p136 같은 대목)라는 게 원래는 전문용어가 아니라 미국같이 광대한 나라에서 운송계약에 적용되는 하나의 조건이던 게(그래서 그 조어 과정이나 뉘앙스도 매우 소박합니다) 한국에서는 이쪽 전공자들에게 먼저 "순수(유효) 데이터량"이라는 뜻으로 먼저 전해져 쓰입니다. 이런 것도 영어 본래의 감각이 있다면 무척 재밌어하며 공부할 수 있는 부분인데 영어 네이티브가 아닌 처지니 스트레스를 받는 게 분명 있습니다. 저자는 매우 기술적인 대목을 설명하면서도 감정과 열정, "추임새"를 넣어가며 가르치기에, 능동적으로 보안을 연구하려는 초보자들에게 무척 유익하게 다가옵니다.
*리뷰어스 클럽의 소개로 출판사에서 제공한 도서를 읽고 솔직하게, 주관적으로 작성한 후기입니다.