정보 보안 분야는 모든 IT 기술과 정책이 녹아 있는 복잡하고 까다로운 분야다. 체계와 기준, 기술과 전략이 오랜 기간 동안 지속적으로 발전해 온 소프트웨어 공학 분야와 달리, 정보 보안 분야는 역사가 깊지 않다. 정보 보안 실패로 인한 기업 가치 하락과 국가 안보 위협 사건이 몇 차례 발생하면서, 미국에서는 국가 차원에서 사이버 보안 전략을 수립해 행정 명령으로 발동한 전례도 있다. 이러한 관심에도 보안 사고가 끊임없이 발생하는 이유가 무엇일까? 보편적인 체계의 미흡과 성과 측정 기준의 모호함이 가장 큰 원인이라고 생각한다. 흔히 보안을 밑 빠진 독에 물 붓기로 표현한다. 다시 말해 인력과 자원을 투자한 만큼 눈에 보이는 결과가 확실치 않다는 말이다. 이러한 상황에서 이 책의 사이버 보안 공학 방법론은 조직의 현재 수준을 정확히 파악하고, 적재적소에 자원을 배치해 조직의 보안 수준을 높일 수 있는 아이디어를 제시해 주는 훌륭한 가이드라인이 되어 줄 것이다.
최근 몇 년간 발생했던 대형 보안 사고를 시작으로 보안 전문가에 대한 관심이 높아지고 있다. 사고 재발을 방지하기 위한 국가와 기업의 지원에 힘입어 많은 인재들이 보안 분야에 뛰어들고 있다. 하지만 보안 기술은 다른 분야와 달리 쉽게 접근하기 힘들 뿐만 아니라 기술 패러다임의 변화가 빨라 그 흐름을 따라가기가 어려운 편이다.
시대가 변하고 법의 기준이 달라져도 쉽게 바뀌지 않는 근본 철학이 있듯이 진정한 해커로 거듭나기 위해 반드시 거쳐야 하는 관문이 있다. 바로 분석 능력을 갖추는 것이다. 특히 디스어셈블링과 디버깅 기술은 가장 기본적이면서도 심도 있게 다가갈수록 해커를 힘들게 하는 가장 큰 장애물이라 할 수 있다. 특히 커널 분석의 경우 혈기 넘치는 초급 해커들의 발길조차 돌리게 만드는 넘기 힘든 큰 산과 같다.
처음 번역에 착수할 때만 해도 이 책을 잘 정리된 '분석 지침서' 정도로만 생각했다. 하지만 번역을 진행할수록 이 책이 단순한 지침서를 넘어 분석 교과서로 불릴 수 있겠다는 생각이 들었다. 이 책에서는 심도 있는 원리 설명과 실습 예제를 통해 기초부터 고급 기술까지 방대하게 다룬다. 책의 뒷부분으로 갈수록 고급 분석 내용이 많이 포함돼 보안 분석에 익숙하지 않은 독자가 책을 읽어나가는 데 약간 힘들 수도 있다. 특히 커널과 관련된 내용은 해당 주제에 익숙하지 않은 독자에게 힘든 난관이 될 수 있다. 원활한 이해를 원하는 독자는 관련 서적을 참고할 것을 적극 권장한다.
원서가 출판된 시점은 2007년으로, 오랜 시간이 지나서야 정식 번역서로 한국 독자들에게 소개하게 됐다. 하지만 책에 포함된 분석 기법과 기본 원리는 6년이라는 시간이 무색할 만큼 잘 정리된 하나의 교과서 같은 느낌을 준다. 안타깝게도 책에 포함된 실습 수행에 필요한 분석 도구와 참고 사이트 링크가 소실된 경우가 많았다. 시간이 지나면서 대체된 도구나 변경된 다운로드 링크들을 찾기 위해 노력했다. 대부분 복구할 수 있었지만, 더 이상 찾을 수 없는 링크가 존재할 수 있음을 양해 바란다.
책에서 소개한 모든 분석 도구와 실습 예제가 최신 기술에 부응하지는 않지만, 분석을 통해 문제를 해결해 나가는 과정은 고급 해커로 성장하는 데 큰 밑거름이 될 수 있을 것이다. 이 책이 지식을 갈구하는 많은 사람의 갈증을 해소시켜 줄 수 있는 훌륭한 연구 도우미로 자리 잡을 수 있기를 바란다.
APT라는 단어는 작년 한 해 보안 시장에 가장 큰 이슈가 됐던 키워드 중 하나다. 고도화된 공격 기법을 사용해 목표를 달성할 때까지 집요하고 정교한 공격을 감행하는 이 기법을 단순한 트렌드로 치부하기에는 무언가 부족하다. APT는 네트워크 보안 장비 및 소프트웨어들의 진화와 함께 발전하는 지능화 공격의 양상을 가장 잘 표현해주는 단어이자, 작금의 보안 생태계를 가장 잘 보여주는 상징이라고 생각한다.
악의적인 크래커들은 공격 대상을 가리지 않는다. 그들에게는 웹, 데이터베이스, 네트워크, 시스템, 하드웨어 등 전기적 신호를 처리하는 모든 매체가 달콤한 먹잇감에 불과하다. 어쩌면 공격자들의 행동을 예측해 위협을 사전에 차단하려는 우리들의 시도가 잘못된 것이었을지도 모른다. 그들의 행동반경은 너무나 넓고 예측하기 힘들다. 우리에게 남은 한 가지 방법은 '그들'의 머릿속으로 들어가 보는 것이다. 머릿속으로 들어가는 것이 꼭 공상 과학 영화에 나오는 대단한 방법일 필요는 없다. 단지 그들의 생태계와 습성을 이해하고, 그에 맞는 대응책을 수립하는 것만으로 방어 능력을 한층 강화할 수 있다.
이 책은 광범위한 영역의 보안 공격 기법들을 소개한다. 한 가지 주목해야 할 점은, 모든 공격 기법 설명 이후에는 반드시 그에 상응하는 대응 방안을 제시한다는 점이다. 바로 이 부분이 이 책이 갖는 가장 큰 강점이라고 생각한다. 보안 담당자라고 해서 모든 보안 영역에서 전문가일 수는 없다. 조직에 필요한 보안 정책을 적재적소에 배치하고, 새로운 위협 트렌드에 선제적으로 대응하며, 알려지지 않은 시스템 취약점을 자체적으로 패치해 서비스 가용성을 보장하며, 직접 보안 장비를 설계할 수 있다면 더 이상 보안 담당자가 아닌 '신'이라는 명칭이 적절할 것이다.
모든 분야에서 전문가일 필요는 없다. 사실 그것은 불가능한 일이다. 하지만 효과적인 방어 대책을 구축하기 위해선 최소한 공격자들의 역량과 수준을 이해하고, 그들의 무기를 분석하는 과정이 필요하다. 이 책에서 소개하는 다양한 공격 유형과 대응 방안을 통해 보안 기술 수준을 한 단계 높이고, 조직의 보안 강화에 필요한 전략을 수립하는 데 도움이 되었으면 하는 바람이다.
