오늘날 모바일 운영체제 시장은 iOS와 안드로이드가 시장을 양분하고 있다. 개인적으로 안드로이드보다 iOS 운영체제에서 모바일 애플리케이션 분석을 선호하지만, iOS 보안과 관련된 정보를 수집하는 작업은 마치 백사장에서 바늘을 찾는 것과 같다. 이러한 상황에서 iOS와 macOS의 궁금증을 해소해줄 단비와도 같은 책이 등장했다. 최근 iOS 11의 탈옥 툴인 'LiberiOS'의 제작자이자 온/오프라인으로 iOS 및 macOS에 관련된 양질의 정보를 제공해주던 조나단 레빈이 애플의 운영체제에 대한 심도 있는 내용과 기법을 담아 책을 출간한 것이다.
iOS가 안드로이드보다 안전한 운영체제라는 평을 받게 된 배경에는 애플의 강력한 하드웨어와 소프트웨어의 통제가 있다. 이 책의 전반부에서는 애플의 보안 메커니즘에 대해 상세한 분석을 제공한다. macOS와 iOS는 운영체제에서 많은 부분을 공유하며, 최근 등장한 watchOS도 iOS에서 파생됐기 때문에 이 책을 통해 애플의 운영체제에 적용된 보안 메커니즘을 파악할 수 있을 것이다.
이 책의 후반부에서는 애플의 견고한 보안 강화 조치를 무력화시키고 루트 권한을 획득하는 가장 극적인 해킹인 '탈옥'을 다룬다. 탈옥에 관심을 가졌던 독자라면 익숙한 Evasi0n, TaiG, Pangu의 탈옥 툴과 최근 구글 프로젝트 제로의 이안 비어가 공개한 탈옥 방법까지 다양한 iOS의 취약점과 익스플로잇의 상세한 분석 결과를 볼 수 있다.
책을 읽다 보면 저자의 전문성과 철학을 느낄 수 있을 것이다. 저자는 iOS와 macOS 운영체제의 심층 분석을 주제로 3부작 출간을 계획 중이며, 이 책은 시리즈 중, 마지막인 3권에 해당한다. 이 책은 난이도가 높지만, 상당한 분량을 할당해 내용을 자세하게 다루고 있다. 이 책을 읽고 나면 최신 트렌드를 어렵지 않게 파악할 수 있으며, 더 나아가 훌륭한 보안 연구가로 성장할 수 있을 것이다.
IT 기술을 활용한 금융 서비스가 점점 늘어나면서, 보안 리스크도 확대됐다. 이에 따라 금융 보안 문제는 점점 핵심 과제로 부상하고 있다. 금전적 이득을 목적으로 하는 그룹의 해킹 공격은 갈수록 수준이 고도화되고 은밀해지고 있으며, 개인의 금융 정보를 악용한 사이버 범죄가 발생할 가능성은 점점 높아지고 있다.
이러한 상황에서 이 책이 금융 분야의 사이버 보안 리스크 관리를 처음으로 다루고 있어서 번역했다. 앞으로는 규제 개혁을 바탕으로 혁신적인 금융 서비스가 속속 등장할 것이며, 새롭게 등장하는 금융 분야의 사이버 리스크 대응은 더욱 중요해질 것이다. 이 책이 금융 분야에 종사하고 있는 리스크 관리 담당자, IT 보안 담당자에게 작은 보탬이 되길 바란다.
축구에서 공격수는 화려한 공격 기술과 득점을 통해 대중들의 높은 관심과 사랑을 받는다. 하지만 세간의 이목이 공격수들에게 쏠릴 때에도, 묵묵히 자신의 맡은 바를 다하는 골키퍼와 수비수들이 있음을 잊어서는 안 된다.
정보보호 분야에서도 이와 비슷한 모습을 볼 수 있다. 정보보호 전문 서적을 보더라도 모의해킹 같은 '공격 방법'을 다루는 책들이 대부분이고, '공격', '해킹'이라는 주제가 대중의 주목을 받는다. 하지만 기업 보안 담당자 입장에서 이러한 공격을 방어하고 안전한 인프라를 구축하기 위해 참고할 수 있는 서적을 찾기 힘든 것이 사실이다. 저자는 이 책에서 다양한 정보보호 분야를 블루(방어) 팀의 관점에서 다루고 있어, 정보보호 담당자들이 책상에 꽂아두고 필요할 때마다 참고하기 좋은 내용으로 구성돼 있다.
'잘해야 본전이다'라는 말이 나올 정도로 외롭고 고독한 일을 묵묵히 수행하는 보안담당자들에게 이 책이 작은 도움이 되길 바란다.
사물인터넷은 다양한 기기가 인터넷으로 연결되는 기술을 말하며, 혁신을 이끌어낼 차세대 기술로 큰 기대를 모으고 있다. 하지만 그동안 경험하지 못한 새로운 보안 문제도 함께 야기하고 있다. 미라이(Mirai) 악성코드가 등장해 보안이 취약한 IoT 기기를 감염시켜 DDoS 공격을 일으켰고, 찰리 밀러(Charlie Miller)는 원격에서 지프 체로키(Jeep Cherokee)차량의 해킹을 선보였다.
이처럼 IoT 시대에는 다양한 공학 분야와 융합되는 새로운 보안 취약점이 등장하고 있다. 대부분의 보안 전문가는 컴퓨터공학 및 네트워크에 강점을 보이지만, 핵심 공학 분야에는 정통하지 않다. 이와 달리, 공학 전문가는 해킹 공격에 대한 경험과 지식이 상대적으로 부족하다. 따라서 다가올 IoT 시대의 보안을 위해서는 다양한 분야를 포괄하는 지식의 습득이 필요하다.
이 책의 저자인 브라이언 러셀과 드류 반 듀란은 IoT 시대에 대비해야 할 다방면의 보안 주제를 명쾌하게 정리했다. 이 책에서는 프로그래밍 코드 한 줄 없이 IoT의 보안공학, 보안 수명주기, 컴플라이언스, 암호학, 인증, 클라우드 보안, 개인정보 보호 등과 같은 핵심 주제를 다룬다. 또한 다양한 주제를 다루면서 동시에 깊이 있는 설명과 사례를 제공하므로 IoT 보안 분야에 관심이 많은 독자에게 훌륭한 안내서가 될 것이다.
기업의 서비스 및 제품을 해킹해 취약점을 찾은 해커에게 포상금을 주는 제도인 '버그 바운티(bug bounty)'의 대표적인 플랫폼으로 해커원(HackerOne.com)이 있다. 해커원에서는 글로벌 기업들과 제휴를 맺고 웹 취약점을 접수해 심사를 거쳐 포상금을 지급하고 있다. 해커원 사이트에 등록된 버그를 살펴보면 수준 높은 웹 해킹 기술로 취약점을 발견한 사례도 있지만, 개발자들이 예상치 못한 허점을 발견해 두둑한 포상금을 챙겨가는 경우도 볼 수 있다. 이러한 버그를 찾는 것은 생각보다 진입 장벽이 있어 버그 헌팅에 입문한 많은 도전자들이 금방 포기하거나 전혀 소득을 올리지 못한다. 버그를 찾기 위해 가장 중요한 것은 바로 실전 경험과 노하우다. 이러한 실전 경험을 습득하기 위해 많은 시간과 노력을 들여 해커원에 등록된 취약점 분석 보고서를 확인해가며 웹 해킹 기법과 노하우를 배워야 한다. 이 책에서는 버그 바운티에 입문하는 화이트 해커를 위해 대표적인 웹 취약점을 유형별로 포상금을 지급한 취약점 보고 사례로 설명한다. 이 책을 통해 다양한 유형의 취약점에 대한 기본 개념과 함께 실제 취약점을 발견하는 방법을 배울 수 있을 것이다.
또한 이 책은 웹 해킹 학습을 위한 연습용 환경을 다루는 것이 아닌, 실제 기업들이 운영하는 홈페이지에서 취약점을 보고해 포상금을 챙긴 사례를 다룬 책이다. 특히 인터넷에 공개된 수많은 취약점에 대한 설명뿐만 아니라, 취약점을 찾는 과정을 자세히 설명한 유일한 서적일 것이다. 이를 통해 여러분은 취약점을 찾는 과정과, 찾은 후 제보하는 과정 및 포상금을 받는 과정까지 습득하며 버그 헌터로서 성장할 수 있는 기본기를 마련할 수 있을 것이다. 실제 홈페이지의 취약점 발견 과정을 배움으로써 실전 웹 해킹 기술을 습득할 때에도 큰 도움을 줄 것이다. 수년간 활동해온 버그 헌터이자 보안전문가로서 버그 헌팅 입문자에게 이 책을 읽어볼 것을 강력히 추천한다.
모의 해킹 분야에 종사하는 사람들 중에서는 의도치 않게 프로그래밍과 멀어지는 사람들도 종종 있다. 인터넷을 통해 오픈소스 기반의 성능 좋은 툴을 손쉽게 구할 수 있어 직접 프로그래밍을 하기보다는 자동화 툴을 구하는 것이 더 편리하기 때문이다. 또, 칼리 리눅스(Kali Linux)와 같이 모의 해킹을 위해 오픈소스 기반의 툴을 모아놓은 리눅스의 등장으로, 더욱 간편하게 자동화 툴을 사용할 수 있게 되었다.
하지만 모의 해킹을 할 때, 이러한 자동화 툴들을 활용할 경우 아쉽게도 원하는 결과를 얻지 못하는 경우가 종종 있다. 이렇게 2%가 아쉬운 상황에서 간단한 프로그램을 직접 작성하여 원하는 결과를 얻으려고 할 때 파이썬이 제격이다. 파이썬은 간결하고 직관적이며, 강력한 기능을 제공하기 때문에 모의 해킹 분야에서 사용할 프로그래밍 언어로 각광을 받고 있다. 실제로 sqlmap과 같이 다수의 유명한 오픈소스 툴들이 파이썬으로 개발되었다.
국내에도 이미 파이썬을 활용한 다양한 보안 관련 책들이 많이 소개되었다. 하지만 모의 해킹 분야에 파이썬을 활용하는 방법에 대해 소개한 책은 많지 않다. 모의 해킹에서 필요한 모의 해킹 업무를 주로 실시하는 화이트 해커가 파이썬을 활용하려고 할 때, 이 책은 훌륭한 안내서가 되어 줄 것이다. 1장에서 4장까지 파이썬과 함께 네트워킹의 기본을 탐구하고, 정보 수집과 공격을 포함한 네트워크와 무선 침투 테스팅을 알려준다. 그 뒤로, 5장부터 7장에서는 애플리케이션 계층 해킹을 다루는데, 웹 사이트의 정보 수집부터 파라미터 조작(parameter tampering), DDOS, XSS, SQL 인젝션과 같은 웹 사이트 해킹까지 파이썬을 이용해 침투 테스트를 수행하는 방법을 배우게 된다. 여러분들은 이 책을 통해 파이썬을 모의 해킹에 활용하는 방법을 배울 수 있을 것이며, 파이썬으로 개발된 오픈소스 툴에 대한 이해도를 높일 수 있을 것이다.
최근 클라우드는 IT 분야의 변화를 이끌어내고 있다. 저렴한 비용에 다양한 편의 기능을 제공하는 클라우드 환경이 등장하면서 기업들은 기존 서버에서 클라우드로 점차 이전하는 등 활발하게 클라우드를 활용하는 추세다. 이에 따라 시장 점유율이 가장 높은 아마존(AWS)을 비롯해 마이크로소프트 애저(Microsoft Azure), 구글 클라우드(Google Cloud) 등 클라우드 시장에서 빅테크 기업 사이의 경쟁은 점차 치열해지고 있으며, 자연스럽게 클라우드 보안에 관한 관심 또한 높아지고 있다.
이 책은 대중적으로 가장 많이 사용되는 AWS 클라우드의 보안을 다룬다. AWS에서 제공하는 대표적인 서비스에 대한 소개와 함께, 칼리 리눅스를 활용해 실제로 서비스를 대상으로 침투 테스트를 실습하면서 AWS 보안을 학습할 수 있도록 구성돼 있다. 기초적인 침투 테스트 환경 구성부터 심화된 AWS 서비스 보안 관련 내용 등 다양한 주제를 다룬다. 이 책은 침투 테스트 입문자부터 안전하게 AWS 서비스를 관리하려는 보안 담당자에 이르기까지 다양한 사람들에게 도움을 줄 수 있을 것이다.
iOS는 안드로이드와 더불어 모바일 운영체제 생태계를 양분하고 있다. 애플리케이션 진단 시 안드로이드와 iOS 기반의 앱을 동시에 진단해야 하지만, 상대적으로 정보를 얻기 쉬운 안드로이드와는 달리 iOS 보안과 관련된 정보를 얻기 어렵다. iOS 보안과 관련된 서적을 찾던 도중, 저자 데이비드 틸(David Thiel)이 iOS 앱 보안 점검을 위한 블랙박스 테스팅 방법과 근본적인 취약점을 해결하기 위한 시큐어 코딩 내용을 담은 본 책을 발견해 번역을 진행하였다.
이 책은 블랙박스 기반의 테스팅 기법과 시큐어코딩, iOS 보안체계 전반을 다루고 있기 때문에, 기업보안 담당자와 개발자, 취약점 분석평가자 모두의 요구를 충족할 수 있을 것이다. 원서는 출판 시점의 버전인 iOS 9을 다루고 있지만, 본 번역서에서는 저자와 이메일을 연락을 주고받으며 iOS 10의 업데이트에 따른 수정사항까지 반영했다. iOS의 기초부터 블랙박스 테스팅, 시큐어코딩까지 iOS 보안과 관련된 폭넓은 주제를 깊이 있게 다루는 이 책은 iOS 보안과 관련 실무담당자에게 훌륭한 안내서가 될 것이다.
