한빛출판네트워크

웹 프로그래밍과 서버 관리를 해본 경험이 있는 필자로서 항상 보안에 신경을 써왔다. 특히 해킹을 여러 차례 경험했기 때문에 그 필요성을 절실히 느끼고 있었다. 하지만 체계적인 정보가 부족했었고, 직접 관련 도서를 읽거나 웹 서핑을 통해서 하나씩 몸으로 익혀야 했었다. 지금도 보안에 관련한 책은 두루 읽어보고 있는데, 그러던 중에 마침 해킹 사례로 풀어쓴 웹 보안(Web Security, Privacy & Commerce)을 접하게 되었다.



이 책은 웹 보안에 관심이 있는 사람, 서버 운영자, 웹 프로그래머라면 한번은 꼭 읽어봐야 할 책이다. 각각의 주제에 대해 아주 자세히 다루고 있지는 않지만, 필요한 정보들에 대해 두루 설명하고 있기 때문에 웹 보안 또는 보안의 레퍼런스로 쓰기에 적절할 것이다.



이 책의 구성은 크게 5부분으로 나뉘어져 있다. 각각 웹 기술, 개인 사용자를 위한 프라이버시와 보안, 웹 서버 보안, 컨텐츠 제공자를 위한 보안, 그리고 부록으로 구성되어 있다.



1부 웹 기술에서는 웹의 기원에 대한 기초적인 설명으로 시작해서 암호학에 대해서 이야기를 한다. 그리고 이 암호학이 컴퓨터, 특히 웹에서 어떻게 이용되는가에 대해 설명한다. 여기서 다루는 암호 알고리즘은 대칭키 알고리즘, 공개키 알고리즘, 그리고 메세지 압축 함수(Message Digest Function)이다. 암호에 대해서는 구현에 대한 설명이 기본적인 동작원리와 사용법에 대해서 다룬다. 그리고 기존의 TCP/IP에 SSL을 사용함으로써 어떻게 보다 안전한 네트워킹을 가능하게 할 지에 대해 설명한다. 여기서 아주 자세한 내용은 얻을 수 없지만 SSL, PGP 등을 사용해야 하는 동기를 얻을 수 있을 것이다.



2부 개인 사용자를 위한 프라이버시와 보안에서는 관리자나 개발자의 측면이 아닌 사용자 입장에서의 보안에 대한 이슈에 대해 설명을 한다. 사용자가 알지 못하는 자신의 정보가 어떻게 저장되는지를 보여주고 원하지 않는 정보 제공을 막는 방법에 대해서도 설명을 한다. 서버에 남겨지는 로그에서부터 쿠키, 액티브X, 플러그인, 자바, 플래시 등을 다룬다. 또한 스팸 메일 피하는 법, 비밀번호 잘 정하는 법, 광고 막는 법, 익명 브라우징, 보안 이메일에 대해서도 다룬다.



3부 웹 서버 보안에서는 서버에 대한 보안에 대해서 다룬다. 이 책의 주제가 웹 서버 보안이지만 웹 서버가 서버에서 실행되기 때문에 서버 자체의 보안을 무시할 수도 없는 것이기 때문이다. 컴퓨터 하드웨어에 대한 보안에서부터 시작하여 서버 구성 및 사용상의 문제점, 웹 프로그래밍시 주의해야 할 점, HTTPS 사용하기, DNS 등에 대해서도 다룬다. 특히 16장 웹 애플리케이션 보안은 특히 개발자에게 바로 와 닿을 수 있는 내용이 될 수 있겠다. 어쩌면 너무 뻔한 내용일 수 있고 다른 곳에서 이미 접한 내용일 수도 있지만 이런 내용들을 체계적으로 정리한다는 것이 얼마나 어려운지는 노련한 개발자라면 잘 알 수 있을 것이다. 그리고 HTTP가 아닌 HTTPS를 제공하는 서버를 구성하는 방법에 대해서도 설명을 하고 있지만, 자세히 나오지는 않았다. PHP와 Apache에 대해서 많이 이야기를 하고 있고 IIS에 대해서도 조금은 다루고 있다. 하지만 내용 자체가 특정 환경에 종속적인 것은 아니다.



4부 컨텐츠 제공자를 위한 보안은 사용자 측면이 아닌 정보 제공자, 서버 관리자의 측면에서 보안을 다룬 것이다. 웹 페이지에 제한된 사용자만이 접근할 수 있게 하는 방법에 대해 간략히 다룬다. 그리고 Authenticode와 코드서명에 대해서 다룬다. 코드 서명은 웹에서 다운받는 애플리케이션이나 코드들이 정상적인 코드이고 변경되지 않았다는 것을 신뢰받은 업체로부터 인증받을 수 있게 한 것이다. 그리고 포르노, 필터링 소프트웨어, 검열, 디지털 결제에 대해서도 조금씩 다룬다. 또한 프라이버시 정책, P3P, 지적 재산권에 대한 정책도 다루고 있다.



5부 부록에서는 필자가 운영했던 ISP에 대한 경험담을 재밌게 들려주고 앞에서 자세히 다루지 못했던 SSL/TLS, P3P, PICS에 대해서 좀더 자세히 다룬다.



요약하자면 이 책은 웹 보안 및 보안에 대해서 이슈가 되고 있는 거의 모든 분야에 대해서 다루고 있다. 자세한 구현까지는 다루고 있지 않지만 간단한 작동 원리, 필요성, 해결책에 대해서 다루고 있다. 이 책은 개발자에겐 개발시 고려해야 할 사항들을 말해주고, 사용자에겐 웹이나 컴퓨터를 사용함에 있어 고려해야 할 사항들을 말해주고 있다. 이 책을 읽은 후 좀 더 자세히 알고 싶은 분야가 있다면 해당 분야를 자세히 다룬 책을 읽으면 될 것이다.



처음에는 1000페이지라는 엄청난 양에 두려움을 느낄 수 있지만, 관심 있는 부분부터 읽으면 어느새 다 읽을 수 있을 것이다. 여러 분야를 골고루 다루다 보니 양이 늘어날 수 밖에 없지 않았을까 생각이 든다. 번역은 깔끔한 편이다.

최근 몇 년 사이에 일어난 인터넷 붐을 타고 우리나라의 인터넷 사용자는 기하급수적으로 증가했다. 그리고 이러한 성장의 중심이 되었던 것은 역시나 웹(web) 이었다. 초보자들도 비교적 사용하기 쉬운 인터페이스와 보기 좋은 화면, 다양한 기능들을 무기로 웹은 우리 생활에 깊숙이 자리하게 되었다. 어디서나 편리하고 간단하게 확인할 수 있는 웹 메일에서 온라인 쇼핑에 이르기까지 이제 웹은 일상의 한 부분이 되었다. 필연적으로 이 과정에서는 개인정보를 비롯한 각종 중요 정보가 날아다니게 마련이지만 이 과정에서의 보안에 대해 생각해 본 적이 있는지?



이 책은 개인 사용자뿐 아니라 관리자와 컨텐츠 공급자에게까지 해당되는 광범위한 내용을 포함하고 있다. 크게 5부로 구성되어 있으며, 1부는 웹 기술, 2부는 개인 사용자를 위한 프라이버시와 보안, 3부는 웹 서버 보안, 4부는 컨텐츠 제공자를 위한 보안, 5부는 부록이다.



1부에서는 웹의 역사와 용어를 비롯하여 구조에 대한 자세한 설명과 기초 암호학, 그리고 디지털 신원확인에 대한 내용을 다루고 있다. 설명이 비교적 자세하고 쉬우며 적절한 예제가 포함되어 있어 이런 내용을 처음 접하는 사람도 그다지 어렵지 않게 이해할 수 있을 것이다. 인증기관에 대한 설명도 자세히 되어 있는데 그동안 궁금해하던 부분이라 많은 도움이 되었다. 암호학 부분에서는 각국에서의 각종 규제나 법률에 관련된 내용이 많이 있는데 이 부분이 사실 좀 지루하기는 하다.



2부에서는 개인 사용자에게 실질적으로 도움이 될 만한 내용이 설명되어 있다. 프라이버시 보호 기법, 백업, 도난방지, 모바일 코드를 다루고 있다. 특히 우리나라 웹 사이트들의 대부분이 과도하다 싶을 정도의(필자가 개인적으로 느끼기에) 개인정보를 요구하는 현 상황에선 프라이버시 보호에 사용자 스스로가 많은 노력을 기울여야 하지 않을까 싶다. 또한 플래시, 쇽웨이브 등의 화려한 겉모습에 사용자들은 넋을 잃게 마련인데, 그 이면에서 어떤 일이 일어나고 있는지도 가끔은 관찰해볼 필요가 있을 것으로 보인다.



3부에서는 웹 서버 보안에 대해서 이야기하고 있다. 물리적인 보안에서부터 시작하여 서버의 OS 에서 발생할 수 있는 보안 문제들, 웹 애플리케이션 보안, SSL, 컴퓨터 범죄에 대한 법적 조치에 대해 다루고 있다. 전자상거래의 규모가 점점 더 늘어나고 인터넷 하면 WWW을 떠올릴 정도로 웹으로 많은 기능이 집중되고 중요성이 점점 더 부각되고 있는 현재로서는 그 심장부라 할 수 있는 서버의 안정적인 운영이 무엇보다 중요하다. 여러 가지 공격 기법을 제시하고 원인을 분석함으로써 서버 관리에 실질적인 도움을 얻을 수 있을 것으로 보인다. 또한 다른 책에서 잘 다루지 않는 법률에 대한 내용도 간단하게 다루고 있어서 컴퓨터가 침입을 당했을 때 해야 할 기초적인 법적 대응에 대한 지식도 얻을 수 있다.



4부에서는 컨텐츠 제공자를 위한 보안을 다루고 있다. 웹 컨텐츠에 대한 접근 제어, 클라이언트측 디지털 인증서, 코드 서명과 마이크로소프트 Authenticode, 포르노, 필터링 소프트웨어, 검열, 프라이버시 정책, 디지털 결제, 저작권과 소송을 제기할 수 있는 컨텐츠 등이 주요 내용이다. 컨텐츠 제공자로서는 이용료를 지불한 사용자에게 안정된 서비스를 제공해야 하는데, 컨텐츠에 대한 적절한 접근 제어가 이루어지지 않는다면 수익을 올리기도 힘들고 불법 무료사용자로 인한 유료 사용자의 피해도 막기 어려울 것이다. 따라서 정확한 접근 제어는 가장 컨텐츠 제공자로서의 기본적인 사항중 하나라고 볼 수 있을 것이다. 또한 성인물이 미성년자에게 노출되지 않도록 하는 것도 이에 포함된다고 할 수 있을 것이다. 그리고 소중한 고객들의 프라이버시를 잘 지키는 것도 컨텐츠 제공자로서의 의무이다. 이 모든 것들에 대한 내용을 실제 예제를 통해 자세히 설명하고 있다.



오랜만에 보는 정말 괜찮은 책이 아닌가 싶다. 예제를 통해서 쉽게 따라해 볼 수 있는 것도 장점이고, 내용 자체도 설명이 아주 자세하고 충실하다. 다만 책의 범위가 너무 광범위하다보니(개인사용자, 서버관리자, 컨텐츠 사업자) 책이 너무 두껍고(부록까지 1000페이지), 독자에 따라서는 필요없는 부분도 있겠다는 생각이 들었다. 필자야 서버관리를 맡고 있으니 전체 파트가 대부분 도움이 되는 것이었지만, 정말 이런 것들과 관련 없는 개인 사용자의 경우는 아무래도 앞부분만 읽고 그만둘 것 같은데, 책을 주제별로 나누었어도 괜찮을 것 같다. 다른 외부적인 요인이 어떻든 책 자체의 내용은 아주 충실하고 맘에 든다. 번역서 구입을 망설이게 만드는 번역상태도 괜찮은 편이다. 제목 그대로 웹 보안에 관심이 있는 분이라면 한권쯤 책장에 꽂아두면 앞으로 많은 도움이 될 것 같다.

IDC 업체에서 진행한 보안세미나에 참석했을 때 일이다. 강사는 몇 마디 인사를 건네고는 다음과 같은 말을 꺼냈다. "서버를 누가 와서 들고 갈 수 있다는 것도 잊어서는 안됩니다!!" 이후 몇 시간에 걸친 기술 강의 보다는 이 한마디가 아직까지 가장 기억에 남는 이유는 아마도 내가 전에 갖고 있던 보안에 대한 인식을 많이 바꾸어 놓았기 때문이 아닐까 생각된다.



실제로 회사에서 여러 서버를 관리해 오면서 건물 바닥 물청소 하는 날 전기가 합선되어 서버가 다운되기도 하고, 메일서버로 사용되고 있던 시스템에서 서핑을 마친 직원이 너무도 친절한 나머지 윈도우 종료버튼을 눌러버리는 일 등을 겪어왔던 것만으로도 물리적인 보안에 대해 누구보다 절실하게 느껴야 했다. 그러나 머리 속으로는 언제나 해킹이라는 것은 어느 정도 보안 설정이나 방화벽 등이 잘 구성되어 있는 시스템에 임의로 원격 침입하여, 기록을 삭제하거나 서버를 망가트리거나, 개인정보를 빼내는 것으로 생각해 왔던 것이다.



시스템 관리자 입장에서 볼 때 나타나는 결과는 늘 단순하다. 메일 서버를 통해 메일을 보내거나 받을 수 없게 되고, 어제까지 잘 들어가지던 회사 홈페이지가 갑자기 사라진다. 하지만 문제는 그 원인이 생각보다 그리 단순하지 않다는 것에 있다. 『해킹사례로 풀어쓴 웹 보안, 개정판』은 그런 해킹의 개념과 그 방어에 대한 개괄적인 부분에 관해 독자로 하여금 그 인지범위를 넓히도록 소개한다는 점에서 가치 있는 책이다.



이 책은 크게 4부로 나누어져 있다.



1부 “웹기술”은 책의 개괄에 해당하는 장으로써 웹 보안의 근본적인 목표를 다음과 같이 정의하고 있다. “컴퓨터 보안의 근본적인 목표는 뜻밖의 사고를 줄이고 컴퓨터가 기대했던 대로 정확히 동작하게 만드는 것이다.” 보안 기술은 시스템을 제 목적에 맞게 운영되도록 유지/관리하는 것이라는 대주제를 기본으로 보안상의 위험 요소에는 어떠한 것들이 있으며, 웹 보안을 위해서 꼭 짚고 넘어가야 할 웹의 구조, 암호학 소개, 웹에서 이용되고 있는 암호의 알고리즘, SSl(Secure Sockets Layer)과 TSL(Trasport Layer Security), 디지털 신원확인에 대한 개요에 대해 설명하고 있다. 이 1부를 읽어보는 것만으로도 이 책값은 충분히 뽑는다고 본다. 보안 개념을 통한 “습관화”는 곧 시간의 진행에 따라 다양해지는 해킹과 보안에 관해 필요한 기술들을 적용할 준비가 되었다는 것이기 때문이다.



2부부터 4부까지는 보안에 관한 이슈가 주제별로 묶여 소개되고 있기 때문에, 관심 있고 필요한 부분에 대해 그때그때 참조하면 될 것 같다. 특히 책 전반에 걸친 저자의 풍부한 경험(그리 달지만은 않은), 그리고 한때 뉴스의 헤드라인을 장식하던 해킹 이슈를 바탕으로 한 이야기들은 소속 그룹에서 보안에 대해 누구보다 먼저 생각해야 하는 위치의 독자라면 자신이 주인공이 될 수 있을뻔한 한 편의 공포소설을 읽는다는 느낌의 서늘한 교훈이 되어줄 것이다.



책에 대한 한가지 아쉬운 점이 있다면(장점일 수도 있지만) O’REILLY 책이라는 것이다.

때로는 몇 페이지의 설명 보다는 한 컷의 도표나 그림이 더욱 이해를 도울 수 있음에도 불구하고 오라일리는 표지의 동물그림 외에는 신경을 쓰지 않는 것 같다. 오라일리 책은 주로 컴퓨터 앞에서가 아니라 무겁지만 가지고 다니며 소설책을 읽듯이 하는 버릇이 생겼는데, 그 이유도 바로 도표나 그림보다는 설명이 많다는데 있는 것 같다. 즉 보는 책이 아니라 어느 정도 읽어야 진의가 파악되는 책이라는 점에서… 여러 책을 정독하기 어려운 요즘의 바쁜 현실을 감안할 때 조금은 읽기가 두려워 지는 책이다. ^.^;; 각 사용자, 관리자 등의 역할별, 또는 서비스나 시스템별 보안 점검 프로세스 같은 것이라도 정리해서 도표화 시켜 부록으로 끼워 준다면 파티션에 덕지덕지 붙어있는 메모지를 큰맘 먹고 한번 정리해야 할 필요성을 느낄 것도 같은데…



메일 서버 겸 서핑용으로 사용하는 PC를 위협하는 것은, 베일에 가려진 코드명 XXX를 사용하는 천재 해커가 아니라, 바로 온라인 게임 플러그인을 잘못 설치하여 시스템을 다운시키는 회사 동료임을 알아야 한다. 이 책은 이러한 점을 한번 더 생각하게 해 준다.

요즘 유행하는 문장이 아닌가 싶군요.

역시 요즘 독자들도 보안에 많은 관심은 많이 있지만, 독자들의 기대와 관심에 부합할만큼 좋은 책은 그리 많지가 않다고 생각합니다. 하지만 여러분에게 소개할 이 책은 요즘 보기 드물게 훌륭한 보안서라는 생각이 듭니다.



인터넷의 출현과 더불어 시작된 것이 보안이 아닐까? 생각합니다.

수많은 보안 방법과 솔루션들이 개발되고 있는 이 시점에서 독자들은 특히 보안에 관심 있는 독자는 그 분야에서 일하지 않고서는 보안과 관련된 사례나 지식을 쉽게 접하기 어렵다고 생각했습니다. 하지만 이와 같은 생각은 이 책을 보기 전까지의 생각이었습니다.



해킹 사례로 풀어쓴 웹 보안이라는 이 책은 초보자들도 어렵지 않게 읽을 수 있으며, 각 챕터별로 관심 있는 부분만 따로 읽을 수 있도록 배려한 것이 이 책의 장점이 아닌가 싶습니다. 그리고 이것보다 더 중요한 것이 바로 이 책의 내용이 아닐까 합니다. 이 책을 보아야 할 주 독자는 암호학, SSL,디지털 서명에 관심있는 초보 독자를 비롯하여 PHP, P3P, 코드서명, PICS, 악성 모바일 코드 등 전문적인 보안 관리자들입니다(보안에 관심 있는 독자나 보안 전문가들에게 추천할 수 있는 책).



처음 차례를 보게 되면 웹 전반에 대한 내용이 기술되어 있습니다. 이 부분은 전문가는 그냥 넘어가도 좋은 초보적인 내용을 다루고 있습니다. 1부의 내용을 다 읽었다면, 다음에는 개인사용자를 위한 프라이버시와 보안이라는 부분이 나옵니다. 여기서는 관리자나 개인 사용자들에게 유익한 내용을 많이 다루고 있습니다. 여러 애플리케이션이라든지 응용프로그램 등등 상세한 보안 분야에 대해 다루고 있기 때문에 어떤 부분이든 관심 있는 챕터만 발췌하여 볼 수도 있습니다. 그 다음은 웹 서버 보안 부분과 웹 컨텐츠 부분의 보안에 대한 이야기입니다. 이쪽은 사실 보안 관리자나 전문가들이 보아야 할 부분이지만, 관심 있는 독자가 있다면 이 부분도 좋은 내용이 많으므로 추천해 드립니다.



이 책은 물론 웹 보안을 중요 타켓으로 했지만 어떤 하나의 솔루션을 제공하는 책이 아니라 보안의 전반적인 내용을 다루고 있어 중?고급 독자에게 어울리는 책이라고 생각합니다. 번역도 다른 책보다 매끄럽게 잘 되어 있고, 나름대로 정리가 잘 되어 있다고 생각됩니다. 아쉬운 점은 책이 두꺼워서 독자들이 쉽게 질려버리지 않을까 생각은 되지만, 관심 있는 부분을 체크하면서 읽는다면 괜찮으리라 생각됩니다.

아니 책이 이렇게 두꺼울 수가……

책을 보기에 앞서 겁부터 났다. 이 많은 분량을 언제 다 볼까…… 생각에는 회사업무 후 틈틈히 시간을 내어서 보려고 했는데 “아 페이지수를 확인하지 못했구나!” 그렇지만 분량이 많은 만큼 내용이 충실하리라는 기대와 함께 첫 페이지를 열어보게 되었다. 평소 보안쪽에 관심이 많아 선택하게 된 책인만큼 책의 내용도 나름대로 웹 보안에 충실한 것처럼 보였다.



요즘 거의 왠만한 거래들은 주로 웹상에서 이루어진다. 인터넷 쇼핑몰, 인터넷뱅킹, 사이버 트레이딩, 각종 조회, 항공권/기차표/고속버스 예약, 각종 공연 및 영화 예약, 인터넷 전화 등등 거의 생활의 전부라고 할 수 있는 모든 것들이 웹상에서 이루어지는 만큼 개인정보가 인터넷상에 떠돌아 다닌다고 볼 수 있다. 따라서 이런 추세에서 보안문제가 대두되는 것은 당연지사라고 볼 수 있으며 특히, 이 분야에 지식이 있다면 개인정보도용을 통한 사고방지에 많은 도움이 되리라 생각한다. 그런 의미에서 이 책은 내게 적지않은 도움을 주고 있다. 직접 책을 보면 더 확실해지겠지만 초보자뿐만 아니라 보안쪽에 종사하는 거의 모든 엔지니어에게도 많은 도움이 될 만한 책인 듯 하다. 그만큼 내용이 충실하고 맘에 든다는 얘기다.



책의 구성은 크게 5부로 구성되는데 1부에서는 웹 구조와 암호화 기법을 다루는 웹 기술에 대한 전반적인 내용을 다루고 있다. 2부에서는 개인 웹 사용자에게 유용한 프라이버시와 보안에 대한 내용을 다루고 있다. 특히 200페이지정도에 달하는 이 챕터는 바로 보고 사용해 볼 수 있는 살아있는 정보들이다. 3부는 웹 서버쪽 보안내용으로 웹 마스터들에게 유용한 부분이라고 생각된다. 특히 소호와 같은 개인적인 서버관리자에게 유용하다고 본다. 4부에서는 컨텐츠와 관련된 보안쪽으로 개인적으로는 관심도가 조금 낮은 부분이다. 5부는 부록부분으로 본론에서 다루기 힘들었던 부분들과 그 외 필요하다고 판단한 내용들을 다루고 있다.



1000페이지가 넘는 방대한 분량 중 내게 있어 특히 유익했던 파트는 1부와 2부의 내용이다. 암호학, SSL, 공개 키 기반구조, 디지털 서명 등의 웹 기술쪽은 어렴풋이 알고 있던 지식을 좀 더 확실하게 해주는데 많은 도움이 된 것 같다. 또한 평소 익스플로러를 통해 웹 서핑을 하고 웹상에서 많은 작업을 하는 내게 있어 2부는 바로 적용해 볼 수 있는 부분들로 이루어져 있어 정말 살아있는 정보라 많은 도움이 된 것 같다.



대형서점을 직접 찾아가 보고 인터넷에서 수많은 보안관련 한글판 서적을 찾아보는 등… 시중에 보안과 관련된 책들이 많이 있기는 하지만 그렇게 만족할 만한 책은 없었다. 이 책을 받아들고 처음에는 두께에 한번 놀라고 다음엔 그 내용에 또 한번 놀랄 정도로 속이 꽉 찬 괜찮은 책이라는 확신이 든다. 이 정도의 충실한 내용이라면 웹 보안분야의 바이블이 되지 않을까 조심스레 예측해 본다.

최근 보안에 대한 관심이 부쩍 늘어나고 있다. 대부분의 가정에 PC가 1대씩 놓이고, 인터넷이 활성화 되면서, 보안문제는 새로운 국면으로 접어들고 있다. 기존의 보안문제가 보안전문가가 전문해커의 칩입을 막는 구조였다면, 이제는 아무것도 모르는 일반인의 PC를 아마추어 해커가 공격하는 형태로 변해가고 있는 것이다. 이것은 생각보다 심각한 문제이다. 인터넷에 대한 신뢰가 급격히 무너져 내린다면, 인터넷은 그 빠른 성장만큼이나 급격한 몰락을 맞이하게 될지도 모르기 때문이다.



최근 보안관련 업체들이 주목을 받고 있는 것도 이러한 분위기의 영향일 것이다. 하지만, 보안이라는 분야는 만만한 분야가 아니다. 해커나 보안전문가가 되려면 컴퓨터의 기본적인 구조부터 네트워크, 프로그래밍등 컴퓨터 전반에 대한 충분한 지식이 필요하기 때문이다. 게다가 보안분야는 너무 급격하게 변하는데다가 폭넓은 지식이 필요하기 때문에 관련서적도 다른 분야에 비해서 빈약한 편이고, 그나마 이미 옛날이야기가 되어버린 책들이 대부분이다. 하지만 프로그래밍 언어는 바뀌어도 알고리즘은 바뀌지 않듯이, 보안분야에도 모든 기술의 기본이 되는 부분은 존재한다.



바로 그러한 기본을 알려주는 책이 바로 "해킹 사례로 풀어쓴 웹 보안(Web Security, Privacy & Commerce)"이다. 이 책은 유행지난 바이러스 코드를 분석해주거나, 윈도우나 IE의 최신 보안 헛점이나 알려주는 책이 아니다. 혹시 아마추어 해커를 꿈꾸고 있다면 이 책은 좋은 선택이 아니다(그런면에서 이 책의 한글판 제목은 좀 문제가 있다고 생각한다. 이 제목은 "Hacking Exposed"에나 어울리는 제목이 아닐지.) 이 책을 필요로 하는 사람은 보안전문가 혹은 자신의 프로그램이 안전하기를 바라는 프로그래머이다. 이 책은 단행본 보다는 오히려 해킹전반에 대한 연구논문에 가깝다. 특히 이 책과 함께 제시되는 참고서적들(너무 많기는 하지만.)을 꼼꼼히 읽어본다면 보안전반에 관한 방대한 지식을 얻을 수 있을 것이다.



이 책은 부록을 제외하고 크게 4부분으로 나누어져 있다. 먼저 1부에서는 웹 보안 전반에 대한 개략적인 설명을 해주고 있다. 1부에서부터 이 책의 성격은 명확하게 드러나는데, 명확한 용어정리, 네트워크나 암호학의 가장 기본적인 내용에서부터 최근의 동향까지를 아우르는 꼼꼼한 설명, 그리고 기술적인 내용뿐만 아니라 실제의 적용에서의 문제점까지 지적해주는 세심함은 기존에 체계없이 해킹이나 보안에 대해 공부해왔던 사람들에게 큰 도움이 될 것이다. 특히 정확한 지식없이 경험이나 다른 곳에서 들은 얘기만으로 보안을 적용하던 사람들에게, 다양한 암호화 알고리즘과 프로토콜들이 어떤 성격을 가지고 있으며, 각각의 장단점이 무엇인지, 그리고 어떤 식의 공격이 가능한지 등을 제대로 가르쳐주고 있다. 게다가 암호학에 관련된 국제협정이나, 최신의 생체인식 기술등에 대해서도 다루고 있는 등, 실제 적용에 관련된 문제점이나, 최신의 기술등도 충분히 다루고 있다.



2부에서부터 4부까지는 좀 더 실제적인 이야기를 다루고 있는데, 먼저 2부는 인터넷을 이용하는 개인사용자들이 직면할 수 있는 보안관련 문제들을 다루고 있다. 사실 2부는 이 책에 담기에는 좀 어색한 내용이기는 하지만, 대기업등에서 보안당담자가 사원교육을 시키는 등의 상황도 있을 수 있고, 온라인 쇼핑업체의 완벽한 보안도 사용자의 무지나 실수로 인해 한순간에 무용지물이 될 수도 있으므로, 그런 의미에서 2부의 내용을 포함시킨것 같다. 또한 보안전문가가 되려면 일단 자신의 PC부터 안전하게 관리해야 하기 때문이기도 하다(메인서버의 암호를 저장해둔 관리자의 PC가 해킹당하거나 도난당한다면?). 2부에서는 광고제거나 안전한 이메일 서비스의 선택 등의 가벼운 주제에서부터 컴퓨터의 물리적인 도난, 바이러스등의 주제들까지 폭넓게 다루고 있다.



3부의 웹서버 보안은 아마 이 책의 독자들이 가장 관심있어할 내용일텐데, 이 책의 성격에 맞게 존재가능한 거의 모든 위험에 대해서 꼼꼼히 다뤄주고 있다. 특히 물리적인 보안에 관해서 한장을 할애하여 해킹이나 바이러스등의 네트워크 공격에만 민감한 보안관리자들에게 폭넓은 시야를 제공하고 있다. 다른 보안관련 서적의 중심내용인 웹 로그, 바이러스, 방화벽, SSL 등에 대한 내용도 충실한편이고, 좀 더 안전한 스크립트나 HTML페이지를 생성하기 위한 다양한 팁들도 제공되고 있다. 특히 19장의 컴퓨터 범죄는 이 책이 실제 보안업무를 맡고 있는 실무자를 대상으로 하고 있다는 것을 명확하게 보여주고 있는데, 단순히 외부의 침입자를 막는 문제뿐 아니라, 침입이 일어난 이후의 법적인 조치나, 기타 여러가지 상황에 대한 범죄에 대한 사례를 제시해 주고 있다.



4부는 관리자 보다는 프로그래머를 위한 내용으로 구성되어 있다. 특히 22장의 코드 서명부분이나, 25장의 디지털 결제, 26장의 저작권, 상표권 관련 부분은 인터넷 프로그래밍을 하는 프로그래머들에게 상당히 유용한 내용일 것이다. 특히 25장은 전자상개래와 관련된 다양한 시스템에 대해 자세히 설명해주고 있어서 최근 급격히 성장하고 있지만 여전히 대부분의 사이트들이 보안쪽에 커다란 허점을 드러내고 있다는 것을 생각해보면, 아주 유용한 내용이 될 수 있을 것이라고 생각한다.



1000페이지에 달하는 방대한 분량에 걸맞게 이 책은 정말 다양한 내용을 수록하고 있다. 특히 별 쓸모도 없는 바이러스 코드 분석 같은 내용 대신, 보안에 문제가 생길 수 있는 다양한 가능성들을 분석해주고, 실제 업무에 적용할때 조심해야 될 내용들을 체크해주고, 법률적인 문제가 물리적인 문제, 인간의 심리에 대한 분석까지 다른 책에서는 찾을 수 없는 내용들로 가득차 있다. 하지만, 한사람이 2부와 3부, 4부의 내용을 모두 알아야 하는 경우는 별로 없을 것이란 것을 생각해보면, 각각 따로 3권의 책으로 나와야 할 내용이 한권에 묶여 있는 것은 아닌지? 하는 생각도 든다(특히 1000페이지에 달하는 책의 두께가 독자의 의욕을 상당부분 꺽어 놓는 다는 것을 고려해 보면 더욱 그렇다.). 하지만, 진정한 보안 전문가가 되려면 흥미위주의 해킹서적보다는 좀 지루하기는 하겠지만, 이 책을 읽는 것이 앞으로의 미래를 위한 현명한 투자가 될 것이다. 그리고 부록E의 참고문헌들은 대부분 정말 훌륭한 명저들 이므로, 시간이 허락한다면 관심있는 분야의 참고문헌들을 몇 권 더 읽어보는 것이 좋을 것이다. 이 책이 워낙 방대한 내용을 다루고 있기 때문에 보안에 대한 개념을 잡는 데에는 도움이 되지만 세부적인 사항들에 대한 설명은 충분하지 않다.

제목을 볼때는 기술에 관한 책이라 생각되었는데, 막상 보고 나니 웹 보안의 개요부터 지적 재산권의 법률까지를 두루 다루고 있는 책이었습니다. 프라이버시, 시스템, 네트워크를 보호할 때 사용할 수 있는 테크닉과 기술을 기본적으로 설명하였으며, 제목 그대로 해킹사례들을 제시하여 보안의 중요성을 일깨우고 있었습니다.



이 책에서 가장 흥미있는 점은 구체적인 사례를 직접 인용하였기 때문에 이해하기 쉬웠고, 기본적 웹 보안의 모든 부분을 다루고 있기 때문에 레퍼런스로도 두고두고 사용하기 좋은 책이라는 점입니다. 개인적으로 가장 중요한 점이라 생각되는 것은 번역의 매끄러움이라 생각하는데... 나름대로 번역이 잘 되어 읽기 편했습니다.



다만 책 내용 중에 웹의 구조라던지, 암호학의 기초 부분은 자세한 설명 없이 나열식으로만 되어있어 약간의 보안이 필요한 듯 했습니다. 또한 ‘현대사회에서 신원확인의 필요성’ 이라든지 ‘생체정보’, ‘컴퓨터 하드웨어 보호 중 화재, 연기, 벼락’ 부분 등은 컴퓨터 보안에 관한 내용이라기보다 그냥 일상생활 속의 일반적 보안 문제에 대한 내용인 것 같아 조금 아쉬움이 남았습니다.



이 책을 읽으면서 쿠키, DNS 로그, 캐시 파일등의 중요성에 대해 다시 한번 더 깨닫게 되었고, 암호학, SSL 스팸, 웹 로그, 웹 버그, 개인 신원 정보, 신원 도용, 플러그인에 존재하는 악성 모바일 코드, 액티브X 컨트롤, 자바 애플릿, 자바스크립트, 플래시, 쇽웨이브 프로그램의 보안 등에 대해서도 다시 한 번 생각할 수 있었습니다.



기술적인 부분에 대해서도 많이 다뤘는데, 기술적인 부분에서는 CGI, PHP, SSL 인증서 등에 대해 구체적인 소스와 따라하기 예제가 있어 쉽게 이해할 수 있었습니다. 또한 리눅스의 아파치, 윈도우즈의 IIS 등의 서버 보안도 모두 다루고 있기 때문에 보안에 대한 바이블이라고 할 수 있겠다는 생각도 들었습니다. 이것 말고도 조금 생소한 PICS 에 대해서도 다뤄 PICS의 원리와 검열에 대해 자세히 알 수 있었습니다.



이 책의 마지막에서는 지적 재산권, 법적 문제 등도 다뤄 프로그래머들이 쉽게 관과할 수 있는 인터넷 보안 법률에 대해서도 일깨워 주고 있습니다.



개인적인 생각을 마지막으로 덧붙이자면 웹 사이트를 운영하고 책임지고 있는 사람이라면 누구나 반드시 읽어야 할 책인 것 같습니다. 보안을 쉽게 보고 쉽게 생각해 여러 가지 중요 문제들을 간과하는 우리나라 서버 관리자님들, 프로그래머들, 심지어 일반 PC 활용자들까지 보안의 중요성을 깨달을 수 있고 효과적인 보안 정책을 세울 이론과 원리를 배울 수 있으리라 생각 됩니다. 이 ‘해킹 사례로 풀어쓴 웹 보안’ 이라는 책은 여러 보안 기술에 대한 (심지어 보안 기술의 역사까지도!) 설명과 해결책, 보안의 개요와 법률, 제도, 보안 (심지어 물리적 도난까지도!)에 관한 내용을 쓴 보안의 ‘바이블’ 이라고 감히 말할 수 있는 책이라 할 수 있겠습니다.