-
-
API 해킹의 모든 것 - REST와 그래프QL 웹 API 기초부터 보안 취약점, 해킹 툴, 퍼징 등 공격 실습까지
코리 볼 지음, 한선용 옮김 / 제이펍 / 2023년 8월
평점 :
최근 제이펍에서 해킹/보안과 관련한 책들이 자주 출시되고 있다.
Corey Ball의 "Hacking APIs: Breaking Web Application Programming Interfaces"는 애플리케이션 프로그래밍 인터페이스(APIs)의 보안 측면을 이해하고 탐구할 필요성을 다루는 안내서이다. 초기 개요에서부터 이 책은 REST, SOAP, 그리고 GraphQL과 같은 일반적인 유형의 웹 API들을 다룰 것이라고 소개한다.
디지털 세상은 웹으로 연결되어 있으므로 이러한 API들에 크게 의존적이다. 따라서 API 사용의 잠재적 취약점을 이해하는 것은 중요하다.
저자인 Corey Ball은 사이버보안 컨설팅 관리자로서의 10년 이상의 경력을 가지고 있기에 그의 저술의 신빙성이 높다. 이 책이 기술적으로 탄탄할 뿐만 아니라 매력적이고 사려 깊게 제시될 것이라는 기대감이 들었다.
저자는 Kali Linux를 사용하여 실습 환경을 구성하고 취약성 탐지, 분석 및 오케스트레이션된 공격을 포함한 포괄적인 시나리오를 알려준다. 그림과 표를 적절히 사용하여 독자의 이해를 돕는다는 점이 장점이다.
특히 퍼즈 테스트로 알려진 프로세스를 통한 고급 자동 취약점 탐지를 알려준다는 점이 눈에 띄었다.
결론적으로 이 책은 특히 현대 웹 환경에서 중요한 API 해킹이라는 복잡한 주제에 초점을 맞추어 탐구를 한다.
한편 이 책이 다루고 있는 내용이 해킹 및 공격적인 전술에 대한 것이므로, 법적 제약 및 윤리적 고려 사항을 다루는 내용을 추가로 포함하면 책의 가치가 높아질 것입니다. 책이 외국에서 출시되었지만 한국에서 적용되는 법률이 또 다르기 때문에 국내법 기준으로라도 이러한 점을 명시하면 더 좋을 것 같다. 이러한 부분은 정보 보안 전문가가 책임감 있게 실무를 담당하도록 하는 길라잡이 역할을 할 책임이 있기 때문에 더 강조되어야 한다고 생각한다.
또한 클라우드 및 서버리스 아키텍처의 보급이 증가함에 따라 향후 이 책의 개정판에는 이러한 동적 환경에서 API를 보호하는 데 필수적인 내용들이 더 포함되어 있으면 도움이 될 것 같다. 끊임없이 진화하는 기술 환경과 이에 상응하는 보안 분야의 대응을 반영한다면 더 좋은 도서가 될 것 같다.