-
-
해킹 사례로 풀어쓴 웹 보안 - 개정판
심슨 가핀켈 & 진 스파포드 지음, 노태영 외 옮김 / 한빛미디어 / 2002년 7월
평점 :
절판
IDC 업체에서 진행한 보안세미나에 참석했을 때 일이다. 강사는 몇 마디 인사를 건네고는 다음과 같은 말을 꺼냈다. '서버를 누가 와서 들고 갈 수 있다는 것도 잊어서는 안됩니다!!' 이후 몇 시간에 걸친 기술 강의 보다는 이 한마디가 아직까지 가장 기억에 남는 이유는 아마도 내가 전에 갖고 있던 보안에 대한 인식을 많이 바꾸어 놓았기 때문이 아닐까 생각된다.
시스템 관리자 입장에서 볼 때 나타나는 결과는 늘 단순하다. 메일 서버를 통해 메일을 보내거나 받을 수 없게 되고, 어제까지 잘 들어가지던 회사 홈페이지가 갑자기 사라진다. 하지만 문제는 그 원인이 생각보다 그리 단순하지 않다는 것에 있다. 『해킹사례로 풀어쓴 웹 보안, 개정판』은 그런 해킹의 개념과 그 방어에 대한 개괄적인 부분에 관해 독자로 하여금 그 인지범위를 넓히도록 소개한다는 점에서 가치 있는 책이다.
이 책은 크게 4부로 나누어져 있다. 1부 “웹기술”은 책의 개괄에 해당하는 장으로써 웹 보안의 근본적인 목표를 다음과 같이 정의하고 있다. “컴퓨터 보안의 근본적인 목표는 뜻밖의 사고를 줄이고 컴퓨터가 기대했던 대로 정확히 동작하게 만드는 것이다.” 보안 기술은 시스템을 제 목적에 맞게 운영되도록 유지/관리하는 것이라는 대주제를 기본으로 보안상의 위험 요소에는 어떠한 것들이 있으며, 웹 보안을 위해서 꼭 짚고 넘어가야 할 웹의 구조, 암호학 소개, 웹에서 이용되고 있는 암호의 알고리즘, SSl(Secure Sockets Layer)과 TSL(Trasport Layer Security), 디지털 신원확인에 대한 개요에 대해 설명하고 있다. 이 1부를 읽어보는 것만으로도 이 책값은 충분히 뽑는다고 본다. 보안 개념을 통한 “습관화”는 곧 시간의 진행에 따라 다양해지는 해킹과 보안에 관해 필요한 기술들을 적용할 준비가 되었다는 것이기 때문이다.
2부부터 4부까지는 보안에 관한 이슈가 주제별로 묶여 소개되고 있기 때문에, 관심 있고 필요한 부분에 대해 그때그때 참조하면 될 것 같다. 특히 책 전반에 걸친 저자의 풍부한 경험(그리 달지만은 않은), 그리고 한때 뉴스의 헤드라인을 장식하던 해킹 이슈를 바탕으로 한 이야기들은 소속 그룹에서 보안에 대해 누구보다 먼저 생각해야 하는 위치의 독자라면 자신이 주인공이 될 수 있을뻔한 한 편의 공포소설을 읽는다는 느낌의 서늘한 교훈이 되어줄 것이다.
책에 대한 한가지 아쉬운 점이 있다면(장점일 수도 있지만) O’REILLY 책이라는 것이다.
때로는 몇 페이지의 설명 보다는 한 컷의 도표나 그림이 더욱 이해를 도울 수 있음에도 불구하고 오라일리는 표지의 동물그림 외에는 신경을 쓰지 않는 것 같다. 오라일리 책은 주로 컴퓨터 앞에서가 아니라 무겁지만 가지고 다니며 소설책을 읽듯이 하는 버릇이 생겼는데, 그 이유도 바로 도표나 그림보다는 설명이 많다는데 있는 것 같다. 즉 보는 책이 아니라 어느 정도 읽어야 진의가 파악되는 책이라는 점에서… 여러 책을 정독하기 어려운 요즘의 바쁜 현실을 감안할 때 조금은 읽기가 두려워 지는 책이다. ^.^;; 각 사용자, 관리자 등의 역할별, 또는 서비스나 시스템별 보안 점검 프로세스 같은 것이라도 정리해서 도표화 시켜 부록으로 끼워 준다면 파티션에 덕지덕지 붙어있는 메모지를 큰맘 먹고 한번 정리해야 할 필요성을 느낄 것도 같은데…
메일 서버 겸 서핑용으로 사용하는 PC를 위협하는 것은, 베일에 가려진 코드명 XXX를 사용하는 천재 해커가 아니라, 바로 온라인 게임 플러그인을 잘못 설치하여 시스템을 다운시키는 회사 동료임을 알아야 한다. 이 책은 이러한 점을 한번 더 생각하게 해 준다.