칼리 리눅스는 가장 널리 사용되는 모의 해킹 플랫폼이다. 최근 배포판에서는 GUI가 많이 개선됐지만 리눅스의 대표 사용자 인터페이스는 여전히 커맨드라인 환경이다. 당연히 리눅스 사용자라면 커맨드라인 환경을 자유자재로 다룰 수 있어야 한다. 사무실 업무 환경을 잘 개인화하면 생산성을 극대화할 수 있듯이 리눅스의 기본 인터페이스 환경을 이해하고 제대로 활용하면 업무 생산성을 크게 향상시킬 수 있다. 워드 프로세서의 키보드 단축키에 능통한 사용자의 업무 처리 속도가 GUI를 주로 이용하는 사용자의 속도보다 훨씬 빠른 것과도 유사하다.
칼리 리눅스의 도구와 사용법을 다룬 책은 다양하지만 정작 도구가 실행되는 '리눅스'와 '커맨드라인 환경'을 친절하고 간결하게 설명한 책은 찾기 어렵다. 또 배시 셸만을 전문적으로 다룬 책은 있지만 보안 전문가가 수백 페이지에 달하는 책을 정독하기는 어렵다. 결과적으로 셸 환경에 대한 이해가 부족한 상황에서 도구 사용법만을 익힌 모의 해킹 수행자가 많을 수밖에 없고, 이는 제한된 업무 생산성을 초래할 수 있다.
이 책이 바로 이런 간극을 메워준다. 배시 셸의 다양한 측면을 다루지만 지나치게 깊이 파고들지는 않으며, 보안 전문가, 특히 모의 해킹 수행자에게 유용한 배시 셸 팁만을 뽑아 이해하기 쉽게 설명한다. 책은 배시 환경을 개인의 요구 사항에 맞게 개인화하는 것부터 배시 스크립팅으로 칼리 리눅스의 강력한도구들을 결합하는 것까지 한 번 익히면 두고두고 활용할 수 있는 팁으로 가득하다. 책의 내용은 간단명료하지만 참고 자료 목록이 풍부하기 때문에 한 주제를 깊게 공부하고자 하는 독자의 욕구도 채워준다.
모의 해킹이나 시스템 관리의 기본도 이해했고 관련 도구의 사용법도 어느 정도 익혔지만 정작 리눅스의 기본 사용자 인터페이스인 셸의 진정한 가치를 아직 경험하지 못했다면 이 책을 읽어보자. 그리고 물리적 업무 환경보다 더 중요할 수도 있는 사이버 업무 환경을 나만의 공간으로 탈바꿈시키고, 다양한 단순 업무를 자동화해보자.
프로그래밍을 공부하고 싶은데 몇 백 쪽에 달하는 전문서를 사기엔 엄두가 나지 않는가? 굳은 결심으로 전문서를 구매했지만 난해한 개념과 예제 코드 때문에 좌절한 적이 있는가? 그렇다면 이 책을 읽어 보자. 이 책은 초등학생부터 문과 출신 대학생이나 일반 직장인까지 어려움 없이 이해할 수 있는 파이썬 프로그래밍 서적이다.
초등학교 고학년 때 C를 공부하고자 세뱃돈으로 500쪽이 넘는 C 프로그래밍 책을 샀던 기억이 있다. 어떻게든 변수와 제어 흐름까지는 이해할 수 있었지만 포인터 부분에서 계속 막혔다. 개념은 어렴풋하게 알 수 있었지만 결국 책의 중반부터는 포인터가 등장하는 예제 코드를 이해할 수 없었다. 요즘 대학교에서 가르치는 자바나 C#, 파이썬 등에는 포인터라는 개념이 존재하지 않기에 이런 어려움이 덜 할 수도 있지만, 많은 초심자가 그 밖의 다양한 프로그래밍 개념에 좌절하고 만다. 그리고 대부분의 프로그램 서적은 여전히 객체 지향, 테스트 주도 개발, 데브옵스 등 뭔지 알 수 용어, 프로그래밍 시작 전에 내려받아 설치하고 설정해야 하는 대규모 프로그램(프로그래밍 초심자는 IDE가 뭔지 알 턱이 없다)과 그 방법을 설명하는 장황한 1장 등 초심자를 당황시키는 내용으로 가득하다. 물론 한 권에 최대한 많은 내용을 담는 게 나쁜 것도 아니고, 저자 나름대로는 흥미와 동기를 부여하고자 다양한 개념과 방법을 소개하기도 하지만, 화면에 "안녕"이라는 메시지를 어떻게 출력하는지 모르는 사람에게 요즘의 이런 책은 소위 "투 머치(Too Much)"다.
이 책은 가장 간단한 형태로 프로그래밍의 정수만을 다룬다. 정말 이해하기 쉬운 예와 예제 코드를 읽다 보면 프로그래밍에 필요한 다양한 개념을 자연스럽게 익힐 수 있다. 책의 마지막 부분에서는 이렇게 익힌 개념은 총동원할 수 있는 하나의 완전한 프로그램도 개발하게 된다. 말 그대로 하루 이틀 안에 프로그래밍의 기초를 제대로 배울 수 있다는 말이다.
머릿속에 앱 아이디어는 가득한데 프로그래밍을 시작할 엄두가 나지 않는다면, 이 책을 통해 파이썬과 프로그래밍의 기초부터 완성하자. 책의 프로젝트를 완수하고 나면 여러분의 아이디어를 멋진 앱으로 만드는 데 실제로 필요한 게 뭔지, 또 앱을 어떻게 구현하면 될지 알 수 있을 것이다.
보안 실무자와 모의 해킹 전문가가 바로 활용할 수 있는 최신 기술이 담긴 책!
웹 보안의 개념과 실전 예제가 모두 담긴 책!
웹 보안이 보안 분야의 화두가 된 후 웹 해킹과 웹 보안을 다룬 책이 많이 나왔습니다. 그렇기에 2010년에 웹 보안 책이 왜 다시 나왔는지 궁금할 수도 있습니다. 하지만 해킹 기술, 특히 웹 해킹 기술은 1년이 다르게 급변하고 있습니다. 트위터, 레딧(reddit), 해커 포럼 등 다양한 곳에서 저마다 신기술이 소개되는 요즘에 보안 실무자에게 가장 중요한 건 최신 기술을 빨리 습득하고 이해하는 것입니다.
그러나 세상은 특정 기술에 집중해서 귀 기울일 수 없을 정도로 빨리 돌아가며, 당장 해결해야 할 업무는 넘쳐나고 공부할 것도 많은 게 현실입니다. 이런 의미에서 최신 기술을 모은 책을 펴내는 건 아주 가치 있는 일이라 생각합니다. 특히 XSS, SQL 인젝션 등과 같이 오래된 공격 기술의 최신 구현을 소개하는 건 대부분의 웹 보안 입문서가 간과하는 부분입니다. 예를 들어 웹 보안 입문서에는 XSS를 다룰 때 가장 간단한 형태의 구현 예제인 정도만 소개하는 게 보통입니다. 실질적으로 보안 실무자나 보안을 공부하려는 사람에게 필요한 건 이미 대부분의 애플리케이션 방화벽이 차단하는 기본적인 XSS 구현이 아니라 요즘에도 통하는(어느 정도 수준의 방화벽도 우회할 수 있는) 최신 XSS의 예입니다. 그래야 실제로 발생하는 웹 해킹 시도를 차단할 수도 있고 모의 해킹도 잘 수행할 수 있기 때문입니다.
『해킹 초보를 위한 웹 공격과 방어』는 이런 부분을 시원하게 긁어 줍니다. 최신 웹 보안 신기술을 소개하는 동시에 웹 보안의 기본 개념과 최신 구현 방법도 다뤘습니다. 이 책의 백미는 기존 책에서 찾아볼 수 없는 최신 웹 보안 동향과, 바로 적용할 수 있는 실질적인 예제라고 할 수 있습니다. 웹 보안 실무자와 학생에게 꼭 필요한 필독서로 누구나 부담 없이 읽을 수 있는 분량이지만 최근까지의 웹 보안 핵심이 모두 담겨있습니다. 웹 보안의 최신 사례나 웹 해킹과 웹 보안의 기본을 익히고 싶은 사람 모두 이 책을 읽으면 대부분의 궁금증을 해소할 수 있으리라 생각합니다.
『파이썬 해킹 프로그래밍』(원서명: Gray Hat Python)(에이콘출판, 2010)의 저자가 새 책을 낸다는 소식에 기뻤다. 제목이 『Black Hat Python』이라는 사실을 알았을 때는 흥분을 감출 수 없었다. 다른 이들도 많이 기다렸던지 신간이 출간되자마자 아마존 해킹 분야에서 1위에 올랐다(나도 바로 한 권 구매했다). 이 글을 쓰는 2015년 4월 현재에도 바이러스 분야에서는 자격증 책 몇 권과 (아마도 제목 때문에) 분야가 잘못 분류된 코딩 인터뷰 책에 이어 4위를 기록 중이며, 해킹 분야에서는 독보적인 1위를 차지하고 있다.
다양한 설명이 가능하겠지만 내가 생각하는 이 책의 분명한 강점은 세 가지다. 우선 해커들이 가장 많이 사용하는 언어인 파이썬은 스크립트 언어기 때문에 다양한 모듈을 갖다 붙이는 방식으로 새로운 작업 흐름이나 프로그램을 쉽게 작성할 수 있다. 이 책에서는 쉽게 모듈화할 수 있는 공격용 도구를 파이썬으로 구현한다. 모의 침투나 취약점 점검 업무 시 '제대로' 동작하는 도구를 '즉석으로' 만드는 방법을 설명하기 때문에 고급 예외 처리처럼 (상용 소프트웨어가 아닌 공격용 도구 제작 관점에서 볼 때) 다소 불필요한 주제는 과감하게 다루지는 않는다. 한마디로, 공격용 파이썬 프로그래밍을 제대로 다룬 책이라 할 수 있다.
두 번째로 이 책은 처음부터 끝까지 양질의 트릭으로 가득 차 있다. 인터넷에서 엄청난 양의 정보를 구할 수 있고 블랙햇, HITB, CCC 등 유명 해커 컨퍼런스의 발표도 어렵지 않게 볼 수 있지만, 사실 발표자의 비기는 발표 현장 혹은 커피 브레이크나 파티 때 나누는 대화를 통해 얻을 수 있는 경우가 많다. 이 책은 기본적으로 이런 수준의 멋진 팁만 집중해서 다룬다. 본문만으로는 230여 쪽이 좀 넘는 책에 얼마나 다양한 내용을 담을 수 있겠냐는 의구심이 든다면, 일단 읽어보자(말 그대로 230쪽 정도밖에 안 되는 책이지 않은가?). 보안 전문가라 하더라도 이 책을 읽다 보면 해킹 기술에 대한 사고의 폭을 넓힐 수 있으리라 확신한다.
끝으로, 이 책은 참 재미있다. 해킹 도구 사용법을 설명하는 쉬운 책이 아니라 도구를 구현하는 프로그래밍 책임에도 불구하고 독자가 재미를 잃지 않도록 이론과 실제, 그리고 데모를 잘 배치해뒀다. 책에서 제시하는 과제마저도 흥미로우며 이를 해결하다 보면 자신이 보유한 보안과 프로그래밍 기술에 깊이를 더할 수 있다.
책의 다양한 공격 시나리오를 직접 구현하고 테스트해봄으로써, 남이 만든 도구만 쓰는 스크립트 키디에서 벗어나 필요한 도구는 직접 개발하는 고급 보안 전문가로 발돋움해보자.
