보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[추석 보안대작전-1] 6일간의 연휴, 6권의 보안 서적

입력 : 2023-09-27 15:30
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
학생들을 위한 정보보안 인문학부터 웹 해킹 기초와 버그 바운티 방법, CEO를 위한 보안가이드까지

[보안뉴스 원병철 기자] 10월 2일이 임시 공휴일로 지정되면서 무려 6일이라는 긴 추석 연휴가 생겼다. 명절에는 고향에 계신 부모님과 일가친척을 찾아뵙거나 피로에 지친 심신을 달랠 여행을 준비하는 사람들이 늘어나는 건 당연지사. 문제는 길고 긴 이동시간을 어떻게 버티느냐다. 그간 미뤄왔던 미드나 영화를 감상하는 것도 좋지만, 보안 관계자라면 보안과 관련된 책을 한 권 읽는 것은 어떨까? 하루에 1권씩, 보안뉴스가 소개하는 보안 전문 서적을 읽는다면 당신도 보안전문가.

▲제주 이야기로 만나는 정보보안 인문학[자료=제주대학교출판부]

제주 이야기로 만나는 정보보안 인문학
저자 : 최은선·박남제
출판 : 제주대학교출판부

이 책은 제주인들은 물론 전국의 학부모, 교사에게 많은 지지를 받은 ‘제주 문화로 만나는 미래기술 인문학’에 이은 2022년 두 번째 도서로 독자로 하여금 미래 핵심역량으로 대두되는 IT인문학 융복합 역량 향상에 도움이 될 수 있도록 구성됐다.

특히, 이 책에서는 아기자기한 삽화와 함께 신비하고 흥미로운 제주 신화, 문화이야기를 스토리텔링 형식으로 소개하고 미래 최신 정보보안 기술의 핵심 원리에 초점을 맞추어 설명했다. 단순 설명에서 그치는 것이 아니라 제주 이야기에서 나타나는 정보보안기술 포인트를 짚어줌으로써 인문학적 요소를 통해 IT 신기술과 서비스를 바라보는 체험을 할 수 있다. 더불어 기술을 쉽게 이해할 수 있는 놀이와 학습 자료를 풍성하게 제시해 교사나 학부모가 편리하게 활용할 수 있도록 했다.

최근 대두되는 메타버스 가상현실에서 사용되는 보안 기술부터 생체인증, FIDO(Fast IDentity Online, 신속한 온라인 인증), 양자 암호 등의 보안기술과 스푸핑, 워터링 홀, 안티 포렌식, 피싱, 딥페이크, DDoS(디도스, 해킹수법), APT(지능형 지속공격) 등의 공격기술 모두를 다루고 있다. 이 책은 또 설문대할망과 오백장군, 자청비, 가믄장아기 등 제주에 내려오는 전설, 신화, 민담 등의 여러 설화도 담았다.

▲어둠 속의 추적자들[자료=에이콘출판]

어둠 속의 추적자들
저자 : 앤디 그린버그
출판 : 에이콘출판

실크로드, 알파베이, 웰컴투비디오... 모두 마약과 아동 포르노를 밀매하다 적발된 다크웹의 악명 높은 사이트들이다. 비트코인, 암호화폐는 익명을 보장한다는 ‘신화’를 깨고, 블록체인 분석을 통해 익명성 뒤에 숨은 범죄자들을 잡아낸 글로벌 경찰의 놀라운 추적기 ‘어둠 속의 추적자들’이 출간됐다.

이 책은 익명성을 보장한다고 믿었던 비트코인 블록체인의 비밀을 깬 전혀 새로운 차원의 수사관들이 다크웹의 범죄자들을 추적하는 이야기를 담고 있다. 베스트셀러 ‘샌드웜(에이콘, 2021)’으로 화제를 불러일으켰던 민완 언론인 앤디 그린버그(Andy Greenberg)는 한때 익명의 영역으로 남아 있던 돈, 마약 그리고 폭력의 세계를 밝은 빛 속으로 이끌어낸다.

‘어둠 속의 추적자들’은 그 유례를 찾아볼 수 없는 범죄와 그런 범죄를 추적하는 이야기다. 베테랑 사이버 보안 기자인 앤디 그린버그는 비트코인 범죄 수사에 관여한 연방 수사요원들과 관련업계 인사들을 광범위하게 취재한 결과를 바탕으로 거대한 범죄 제국들의 흥망사를 자못 흥미진진하게 펼쳐 보인다. 통념과 현상 유지를 참지 못하고 비트코인의 신세계에 뛰어든 국세청(IRS)의 범죄 수사 요원, 비트코인의 흐름을 끈질기게 추적하는 네덜란드의 벤처 기업가, 그리고 암호화폐의 암시장 깊숙이 침투하는 다채롭고 개성 넘치는 연방 수사관들. 이들이 서로 공조하며 펼치는 작전은 부패한 경찰, 마약 시장, 인신매매 조직 등이 뒤얽히는 국제 규모의 스릴러를 방불케 하며, 인터넷 역사상 최대 규모의 온라인 마약 시장을 폐쇄하는 개가로 이어진다.

▲누구나 쉽게 따라 하며 배우는 웹 해킹 첫걸음[자료=비제이퍼블릭]

누구나 쉽게 따라 하며 배우는 웹 해킹 첫걸음
저자 : 권현준
출판 : 비제이퍼블릭

이 책을 읽기 위해 미리 알아야 할 IT 지식은 없다. 먼저 반드시 알아야 할 웹 보안 필수 기초 지식을 먼저 익히고, 서버 인프라를 구축하여 프런트엔드, 백엔드 개발을 실습한다. 그리고 여러 해킹 기술을 익히면서 보안 테스트 능력을 향상시키고 보안과 해킹에 대해 전반적으로 이해한다.

이 책의 가장 큰 장점은 바로 ‘비전공자도 바로 읽을 수 있는 입문서’라는 점이다. 그리고 이미 웹 보안 공부에 지친 학습자들에게는 ‘향후 정보보안 분야 학습 방법과 다양한 레퍼런스를 소개하는 훌륭한 지침서’가 될 것이다. 보안이라는 분야는 분명 쉽지 않다. 하지만 제대로 공부하는 법을 알게 된다면 그 어떤 분야보다도 새롭고 흥미로운 분야다. 보안이라는 분야를 공부해 보고 싶지만 어떻게 시작해야 할지 두렵다면 이 책과 함께 첫발을 내디뎌 보기 바란다.

저자 권현준은 선린인터넷고등학교 졸업 이후 곧바로 하나금융그룹 하나금융티아이(구 하나아이앤에스)에서 보안관제 업무를 맡으며 만 18세의 어린 나이에 보안업계에 뛰어들었다. 현재는 배달의민족 애플리케이션의 개발사인 우아한형제들에서 취약점 진단/모의 해킹 업무를 수행하고 있다. sGen Club, Best of the Best, K-shield 등 다양한 프로그램에 선발되었으며, 2021년 HDCON에서 클라우드 보안 아키텍처 설계 및 운영 방안 수립 부문에서 대상을 수상했다. 또한, 2017년부터 ‘비전공자를 위한 웹 해킹 입문’이라는 주제로 한양대학교 ERICA캠퍼스, 영남대학교, 단국대학 교 부속 소프트웨어 고등학교 등에서 강의를 진행해 왔으며, 현재는 탈잉 및 CLASS101에서 강의를 진행하고 있다.

▲실전 버그 바운티[자료=에이콘출판]

실전 버그 바운티
저자 : 피터 야로스키
출판 : 에이콘출판

취약점을 발견해 제보하고 포상금을 받는 제도인 버그 바운티(bug bounty)에 관한 책이다. 버그 바운티로 기업은 효율적으로 취약점을 찾을 수 있고, 해커는 금전적인 보상을 받을 수 있어 기업과 해커가 상생할 수 있다. 입문자는 실제 기업이 운영하는 서비스를 대상으로 버그를 발견하는 기술적인 경험이 부족할 수 있다. 버그 헌팅 경력자 또한 시간적 제약과 제한된 자료로 인해 다른 제보자들이 신고했던 버그와 관련된 정보를 얻기 쉽지 않다. 이러한 요구를 만족할 수 있도록 다양한 실전 버그 바운티 사례를 소개하는 한편, 취약점을 발견하고 기업에 제보하는 일련의 과정을 알려준다. 기업의 보안 담당자뿐만 아니라, 버그 바운티에 참여하는 화이트해커 모두에게 도움이 될 것이다.

공개된 취약점 보고서를 읽고 일부 해커가 수령하는 포상금을 보면 해킹이 쉽고 빠르게 부자가 되는 방법이라고 생각할 수 있다. 하지만 현실은 그렇지 않다. 버그 바운티에서의 해킹은 보람이 있을 수 있지만, 그 과정에서의 실패를 다룬 이야기는 찾기 힘들다(이 책에서는 예외적으로 개인적인 굉장히 난처했던 경험을 공유할 것이다). 해킹에 성공한 것은 대부분 들을 수 있기 때문에, 해킹에 관해 비현실적인 기대를 품을 수 있다.

여러분은 굉장히 빠르게 성공할 수도 있다. 그러나 버그를 발견하는 것은 굉장히 어렵기 때문에 계속해서 발견하려고 시도하자. 개발자는 항상 새로운 코드를 작성하며 버그는 항상 프로덕션 환경으로 전달될 것이다. 많이 시도할수록 버그를 탐색하는 과정은 더욱 쉬워질 것이다.

▲보이지 않은 위협[자료=한빛미디어]

보이지 않은 위협
저자 : 김홍선
출판 : 한빛미디어

최근의 사이버 위협은 우리 삶의 일거수일투족에 관여되고 있다. 사이버 세상과 현실을 오가며 일어나는 각종 사건은 민주주의 체제를 흔들기도 하고, 기업 간 공정한 경쟁을 방해하기도 하며 국가 안보까지 위협한다. 사이버 공간에서 일어난 행위가 사회 안전과 신뢰까지 뒤흔들고 있는 셈이다.

이런 현실을 반영해 ‘보이지 않는 위협’은 김홍선 저자가 9년간, 전 직원에게 배포했던 ‘CISO 메시지’를 바탕으로 쓴 책이다. 보안이 익숙하지 않은 이들을 위해 어려운 기술 용어보다 일상의 언어를 사용한 것이 특징이다.

우크라이나 전쟁, 포드 vs. 페라리, 봉준호, BTS 같은 널리 알려진 이야기부터, 다이어트 습관에 이르기까지 우리에게 친숙한 사례로 사이버 보안의 지정학적 관계와 역사적 맥락을 다룬다. 더불어 리더의 역할, 사이버 위협의 근원, 사이버 보안의 비즈니스와 리스크 등 현재와 미래에 대한 고민을 나누고 나아갈 길을 제시하며 울림을 전한다.

▲팀장부터 CEO까지 알아야 할 기업 정보보안 가이드[자료=한빛미디어]

팀장부터 CEO까지 알아야 할 기업 정보보안 가이드
저자 : 강은성
출판 : 한빛미디어

정보(데이터)가 수익으로 직결되는 IT 산업 특성상 고객/기업 정보 관리는 아무리 강조해도 지나침이 없다. 이 책은 급변하는 IT 환경 속에서 기업 각 부서의 관리자와 보안 담당자에게 정보보안 관리를 위한 실질적인 가이드를 제공한다.

이 책은 30년 넘게 정보보안 분야에서 근무한 저자의 경험과 연구 결과가 녹아 있다. 개인정보보호 등의 정보보안 특히 기업 차원에서 대응이 필요한 요즘 시점에 필요한 책으로, 거듭하여 되새겨보길 바란다. 정보보안 관련 임무와 업무를 기술하고, 기업 보안의 근간인 정보보호 거버넌스를 실제 기업의 관점에서 다룬다. 또한, 관리 체계와 중요 자산 보호 업무에 관한 내용으로 보안 위험 관리, 정보보호 대책의 수립과 이행, 협업관리, 인력관리 등 정보보안 업무의 핵심적인 관리 포인트를 짚는다. 정보보안 사고 발생 전후의 모의훈련, 위기관리 업무를 상세하게 서술하고 강화된 법적 규제를 기업입장에서 대응하기 위한 구체적인 방법을 기술한다. 책을 따라 정보보안의 A to Z를 살피게 되면 막연하고 실체가 느껴지지 않았던 정보보안의 업무가 가닥이 잡히고 위험 대응을 위한 모든 절차가 눈에 그려질 것이다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)