우리가 쉽게 접하는 수많은 웹사이트나 웹 애플리케이션이 악의적인 사용자에 의해 침해 당하고 있으며, 웹사이트에 있는 취약점을 통해 대량의 개인 정보가 유출되는 사고도 빈번히 발생하고 있다. 그리고 공격을 받은 웹 애플리케이션은 피싱이나 악성 프로그램의 유포지로 활용되는 등 2차적인 공격 용도로 사용되고 있다. 이제는 웹 애플리케이션 침해가 개인의 호기심을 넘어서 범국가적인 사이버 범죄에 활용되는 추세인 반면, 웹 애플리케이션에 대한 보안 대책은 체계적이지 못하고 중구난방 식으로 이뤄지고 있다. 그렇기 때문에 항상 웹 공격에 대한 위험성에 여전히 노출돼 있으며, 최근 발생한 대규모 개인정보 유출 사건처럼 큼직한 사건들이 발생하고 있는 것이 우리가 사용하는 인터넷의 현실이다.
실제 필드에서 일하는 저자들의 다양한 경험과 노하우를 담은 이 책은 지금까지 옮긴이가 접했던 웹 애플리케이션 해킹과 관련된 책 중에서 대표적인 바이블이라고 손꼽을 정도로 방대하고 자세한 내용을 담고 있다. 이 책은 체계적으로 크게 세 부분으로 나뉘어 1, 2, 3장은 현재 웹 애플리케이션의 현황과 앞으로의 전망에 대해 이야기하며, 4장부터 13장까지는 실제 웹 애플리케이션에 자주 발생하는 취약점에 대해 실례와 함께 저자의 노하우가 담긴 팁을 알려준다. 그리고 14장부터 20장까지는 웹 애플리케이션을 공격하기 위해 도움을 주는 툴이나 자동화 기법, 기타 기술들을 설명한다.
이 책을 번역하면서 가장 인상 깊었던 장은 21장, '해커의 공격 방법론'인데, 실제 앞에서 소개한 모든 장에 대해 청사진을 그려서 체계적으로 접근할 수 있게 한다. 이 책을 통해 보안 연구자나 취약점 분석가는 웹 애플리케이션에 존재하는 새로운 취약점을 발견하는 데 좋은 가이드가 될 수 있다. 실제 옮긴이의 후배 중 한 명은 이 책을 통해 국내에서 유명한 웹 보드의 신규 취약점을 찾아내고 애플리케이션 개발자에게 보안 권고문을 전달했다. 보안 관리자나 개발자, 그리고 웹 애플리케이션 설계자는 이 책을 통해 웹 애플리케이션의 보안 취약점을 이해하고 공격자의 공격 패턴을 파악해서 더욱 더 안전한 웹 애플리케이션을 설계하고 개발할 수 있을 것이라고 믿는다. 이 책을 합법적인 영역에서 활용해서 대한민국의 웹 애플리케이션이 더욱 안전한 세상이 되었으면 하는 바람이다.
- 옮긴이의 말
여러분은 매트릭스 영화나 TV 뉴스에서 트리니티나 해커가 시스템에 침투할 때 화려한 그래픽 창이 아닌 뭔가 모를 검은 창에 빠른 속도로 문자를 입력하는 장면을 본 적이 있을 것이다. 컴퓨터를 잘 모르는 사람들은 이 장면을 보면서 뭔가 전문적이라고 생각한다거나 일반인들이 쉽게 접근할 수 없을 것 같은 경외감을 느낄 수 있다. 그러나 실제로는 그저 윈도우 명령 창에 dir 명령을 실행한 것일 뿐인데 말이다!
위와 같은 예에서 보듯이 이 책은 윈도우에 있는 명령 창의 기능을 잘 모르는 사람들이나 명령 창에서 몇 가지 명령을 사용해보기는 했지만 좀 더 고급스러운 명령을 익히려는 사람에게 다양한 예시를 통해 원하는 지식을 알려주고 좀 더 멋지게 작업할 수 있도록 도움을 준다. 전체적으로 상당히 짜임새 있게 구성된 이 책을 통해 윈도우 명령에 대해 상당한 지식을 습득하고 업무상으로나 개인적으로 윈도우를 상당히 효율적으로 사용하는 방법을 익히게 될 것이다.
이 책은 크게 5부로 나뉘어 체계적으로 구성되어 있다. 1부에 소개된 내용에서 윈도우 명령과 친해질 기회를 얻을 것이다. 2부에서는 파일과 하드디스크 관리 등을 통해 윈도우 명령으로 파일과 하드디스크를 효율적으로 관리하는 방법을 배우게 될 것이고, 3부에서는 윈도우 명령으로 시스템에서 제공하고 있는 서비스를 조사하고 살펴볼 기회를 갖게 될 것이다. 4부에서는 윈도우 관리에서 가장 중요한 부분 중 하나이며 실제 기업에서 많이 사용하고 있는 액티브 디렉터리 서비스를 자세하게 살펴보고 윈도우 명령으로 관리할 수 있는 방법을 배우게 될 것이다. 마지막 5부에서는 윈도우 명령으로 네트워크를 관리하는 방법과 윈도우 XP와 윈도우 2003에서 사용할 수 있는 유용한 명령에 대한 지식을 얻을 수 있다.
윈도우 시스템 관리자 등 윈도우 프로그래머가 이 책을 읽고 나면 누가 봐도 더욱 멋지고 전문가다운 작업을 윈도우에서 수행할 수 있게 될 것이다.
2000년 초반에 인터넷이 급속도로 발달하면서 기업들은 수많은 웹사이트를 만들어 자사의 서비스를 홍보하기 시작했다. 기업의 비즈니스가 확장됨에 따라 좀 더 IT 시스템은 복잡해지고 거대해졌으며, 이에 따른 다양한 해킹 위협이 증가하고 있다. 해킹 위협은 웹 시스템뿐만 아니라, 무선 네트워크, 모바일, SCADA, IoT 등의 기술이 발달함에 따라 해킹 공격 기술도 함께 발전 중이다. 특히 모바일과 IoT 등 신규 기술에 대한 보안 위협은 좀 더 복잡하고 다양해지고 있다.
기업의 보안 수준을 측정하기에 가장 확실한 방법은 실질적인 침투 테스트를 통해 기업의 정보 시스템이 안전한지 확인하는 것이다. 기업이 사용하는 IT 시스템이 발달함에 따라 해커들의 무대도 확장되기 시작했다. 과거에는 주로 시스템 위주의 해킹이었으나, 이제는 웹은 기본이고, 모바일과 무선, 임베디드까지 해커의 공격 대상 영역이 되고 있다. 하지만 불과 15년 전만 해도 주로 securityfocus나 bugtraq 등 시스템의 취약점을 악용한 공격 코드(Exploite)를 구하거나, 직접 만들어서 개별 시스템들을 공격했다. 이 당시에는 별다른 공격 프레임워크라고 할 만한 것이 없었으며, 개별적으로 툴을 구하거나 작성해 취약점을 진단했다.
해커들은 침투 테스트를 위해 개별적인 공격 도구들을 하나의 툴셋으로 구성하기 시작했고, 점차적으로 침투 테스트를 위한 프레임워크를 만들기 시작했다. 그 결과 포트스캐닝, 취약점 스캐닝, 익스플로잇 코드 등 다양한 툴들을 한곳으로 모은 백트랙(Backtrack)이라는 전문 침투 테스트용 운영체제가 만들어졌다. 백트랙이 점차 발전하면서 좀 더 정교화된 툴들을 모으기 시작했고, 우분투 기반의 백트랙 5 R3 버전까지 나온 이후에 데비안 기반의 칼리 리눅스(Kali Linux)가 공개됐다.
칼리 리눅스는 침투 테스트를 하기 위한 매우 유용한 툴들이 체계적으로 정리돼 있다. 이 책은 전문 침투 테스트를 하기 위한 절차를 단계적으로 상세히 설명한다. 또한 단계별로 칼리 리눅스를 활용해 좀 더 효과적으로 대상 네트워크와 정보 시스템에 대한 침투 테스트를 수행할 수 있도록 한다.
이 책은 크게 12장으로 구성돼 있으며, 1장에서는 칼리 리눅스에 대한 소개, 2장에서는 모의침투 테스트 방법론에 대해 소개, 3장에서는 침투 테스트를 위한 요구 사항 분석 및 범위 설정 작업 등 사전 단계에 대한 배경 지식을 다룬다. 4장부터 11장까지는 정보 수집, 실질적인 침투 테스트 기법 등을 다룬다. 마지막 12장에서는 침투 테스트의 마무리인 문서와 보고서 작업에 대한 가이드를 제공한다. 이 책을 통해 독자들은 침투 테스트에 대한 전체적인 흐름을 배울 수 있을 것이며, 모의 테스팅 과정에서 칼리 리눅스라는 매우 유용한 친구의 도움을 받으며 효과적으로 침투 테스트와 보안 진단을 수행할 수 있을 것이다.
