IT/모바일
저자: 전순재
해킹이 주는 매력
책의 제목이 한껏 매력적이다. 해킹하면 어렵고 복잡한 기술을 떠올리는데 그 때문에 그 만큼 더 매력이 있다. 처음 책을 읽기 시작할 때는 웹이 어떻게 해킹되는지, 어떻게 불안한지 정말 궁금했다. 웹을 돌아다니다 보면 지뢰밭 같다는 생각이 들곤 하는데, 이 책은 그 막연한 불안감을 해소시켜줄 수 있으리라 생각한다.
그렇지만 이 책의 주 목적이 테크닉은 아니다. 원래 제목인 『Web Security, Privacy & Commerce』에서 볼 수 있듯이, 책의 주요 주제는 개인정보와 상업이다. 해킹 사례들은 보안이라는 주제의식을 환기시켜 주기 위한 용도일 뿐이다. 기술적인 측면으로는 넷상에 떠 돌아 다니는 패킷을 잡아 분석하는 스니핑의 예, 쿠키에 관한 분석, 웹 서버 환경설정 등 많은 실용적인 예제들이 즐비하다. 그러나 이 책은 부정적이고 파괴적인 해킹 테크닉의 세계를 넘어 보다 긍정적이고 생산적인 보안 테크닉이라는 더 수준 높은 세계로 이끌어 준다. 어긋난 기대를 꽉꽉 채우고도 남음이 있다. 더 품격있는 세계를 보았다고 해야할까……
탄생의 배경
웹이 성장하면서 보안의 목표는 데이터에서 프라이버시와 상거래에까지 급격하게 확장되었다. 이제는 단순하게 정적인 정보만 지키는 정도로는 안심할 수 없으며 정보의 흐름에까지 보안이 확보되지 않으면 바로 금전적 법률적 문제에 봉착하는 지경에까지 이르렀다. 이책의 저자인 심슨 가핑켈과 진 스파포드는 "Practical Unix & Security(1996)"의 저자이기도 한데 저자의 말에 의하면 이와 같은 시류를 반영하여 별도로 웹 보안에 관한 부분만 다시 저술하기로 하였고 그 결과가 바로 이 책이다. 그런데 별도로 떼어 낸 장이 자그마치 총 4부 26장에 부록까지 포함하여 1000여쪽에 이른다. 그 만큼 웹이 폭발적으로 성장하였다는 것을 의미하기도 하며 그 만큼 더 보안의 영역이 넓어졌다는 것을 뜻하기도 한다. 또한 각주에 인용한 출처의 상당수가 웹 주소(URL)인 것이 상당히 인상적이다. 이는 이 책이 다루는 주제가 상당히 최신이라는 것을 반증한다.
누구를 위한 책인가?
이 책은 웹에서 보안과 프라이버시, 상거래를 증진시킬수 있는 방법을 다룬 책이다. 평범한 웹 사용자, 웹 기반구조의 운영자, 웹 컨텐츠 제공자를 대상으로 한다. 이 책은 다음과 같은 문제를 제기하고 실용을 목표로 하여 그 해답을 추구한다. 여기에서 다루는 내용은 테크니컬한 문제로 그치지 않고, 그에 따른 법률적 문제까지도 다루고 있다는 점을 주목할 필요가 있다.
웹은 과연 안전한가? 그리고 웹은 신뢰할 수 있는가? 저자는 안전을 확보하기 위한 기술적 문제에서 시작하여 신뢰를 얻기 위한 법률적 문제에 이르기까지 거의 백과사전적으로 모든 분야를 망라하여 웹의 구석구석을 살펴보고 있다. 이 책에 있는 대부분의 예제는 저자 심슨이 캠브리지의 월든가에 실제로 직접 구축한 월든 네트워크를 기반으로 하고 있다. 크게 총론격인 1부 웹기술을 보면 책 전체의 내용을 짐작할 수 있다. 각론격인 나머지 2,3,4부에서 총론에서 다룬 내용을 좀 더 자세하게 다루고 있다.
책 전체를 관통하는 저자의 의도를 나는 가상공간에 실세계를 맵핑하려는 시도라고 생각한다. 나는 이것이 실제로 상업적 웹 서버를 운영하는 사람으로서의 저자의 관점이 투영되어 있기 때문이라고 생각하는데, 프라이버시와 상업의 조화가 과연 어떻게 가능한지 궁금했다.
기술적인 보안의 완성에 궁극적 영향을 미치는 요인에 정치적 법률적 문제가 있다. 저자는 PICS가 실패한 원인이 강력한 법률적 강제의 부재에 있다고 보며 디지털 인증서가 결국 인터넷, 컴퓨팅 그리고 사회 전체에 널리 사용될 것이라고 믿고 있다. 장기적으로 인증서에 대한 인터넷 사용자의 인식은 바뀔 수 있다. 전제주의 정권에서는 신분증을 제시하지 못하면 엄격한 처벌을 받는데, 신분증은 사회와 행위 규범을 강화하며, 책임을 지게 만들고, 신용있는 상거래가 가능하다.
저자는 적절한 인증기관이 서명한 개인키를 가지고 있다는 것(기술)만으로는 자신이 실제로 주장하는 인물이라는 것을 입증할 수 없다(법률)는 사실에 민감하게 반응한다. 저자는 신용카드사에게 신원확인의 의무를 법률로 강제하여야 한다고 생각한다. 저자는 정치적 법률적 강제가 신뢰의 웹을 구축하는데 반드시 필요하다고 믿고 있는 것 같다.
그러나 그저 돈을 위해서만 보안 기술이 발전한다면 이 기술은 법률 그리고 정치와 결합하여 반드시 빅 브라더의 도구가 될지도 모른다. 저자가 여기에서 철학적 반성에 소홀한 것이 좀 아쉽다. "연애 편지의 내용을 들키고 싶지 않은 마음은 죄악이 아니지만, 연애 편지를 엿보는 것은 죄악이다". 이 책의 주제를 벗어나겠지만, 이런 명제에 대한 철학적 반성없이 법률적 강제를 기대하는 것은 문제가 있지 않을까?
정부는 검열을 위해 암호화의 구현에 제한을 하고 있고, 필터링 소프트웨어를 법률로 강제하려고 시도한다. 게다가 강력한 법률은 ISP를 위축시켜 스스로 검열을 행하지 않을 수 없는 상황으로 몰고 갈 수도 있다. DVD를 리눅스에서 실행하는 것이 불법이라니 그저 어안이 벙벙할 따름이다. 보안 기술의 발전에 걸림돌이 되는 정부의 검열과 전통미디어의 딴죽을 언급하면서도, 그 이상을 넘어가는 문제는 변호사에게 넘겨 버리는 것을 보면, 좀 아쉬운 점도 있지만 실용을 주목적으로 한다면 어쩔 수 없는 해결책이라는 생각이 든다.
모바일 코드에 대한 짧은 생각
책의 주흐름은 아니지만 꼭 언급하고 싶은 것이 모바일 코드이다. 윈도우즈는 모바일 코드의 악용가능성을 코드 서명이라는 책임 강제로 해결하려고 한다. 그러나 저자의 꼼꼼한 기술적 분석의 결과로 불안전하다는 결론에 이른다. 나는 차라리 불안전한게 다행이라고 생각하는데, 만약 안전하다는 것이 증명된다면... 코드 서명되지 않는 코드는 배포자체를 불가능하게 만들어 버릴 수 있기 때문이다(배포권 자체마저도 윈도우의 결정권한이 된다!).
Practical & Friendly
역자의 서문이 두 개인 것이 조금 마음에 걸린다. 역자가 둘이지만 독자가 느끼기에는 한 사람인 것처럼 느끼게 해주는게 바람직할 것 같다. 번역의 질 차이가 느껴지며, 편집자의 통합노력이 좀 더 필요한 듯 하다. (예를 들어 "메시지 압축(DIGEST) 함수"와 "요약(COMPACT) 정책", 그리고 부록에서 사용된 "압축(COMPACT) 정책", 이 세 어구사이에 혼란이 있다.) 읽다 보면 내가 어디쯤 와 있는지 궁금할 때가 있다. 오른쪽 페이지 머리말에 장 제목이 있지만 왼쪽 페이지 머리말이 전부 책 제목으로 되어 있다. 이 부분에는 부 제목을 배치하면 좋을 것 같다. 여백도 적절하고 이해를 돕는 그림도 적당히 잘 배치되어 있어서 읽기가 편하다.
이 책은 전체적으로 보안의 목적을 실용에 두고 있다. 세부적인 논리와 전문적인 지식에 초점을 맞추기 보다는 각 개념사이의 관계를 독자에게 친절하게 전달하는데 중점을 두었다. 자칫하면 깊게 들어가야 할 개념도 아주 쉬운 문체로 여러 장에서 두루 번갈아 가며 반복해서 상기시켜 주므로 편안하게 읽어 갈 수 있다. 각 장에서 서로 중첩되면서 흐름이 이어지므로 흥미를 잃지 않고 연속해서 읽을 수 있으며, 관심이 있는 각 장을 따로 따로 읽어도 전체적인 윤곽이 드러나도록 유기적으로 잘 구성되어 있다. 한마디로 말해서 왕초보라도 겁먹을 필요 없이 아주 쉽게 웹 보안의 전반을 읽을 수 있다는 뜻이다.
해킹이 주는 매력
책의 제목이 한껏 매력적이다. 해킹하면 어렵고 복잡한 기술을 떠올리는데 그 때문에 그 만큼 더 매력이 있다. 처음 책을 읽기 시작할 때는 웹이 어떻게 해킹되는지, 어떻게 불안한지 정말 궁금했다. 웹을 돌아다니다 보면 지뢰밭 같다는 생각이 들곤 하는데, 이 책은 그 막연한 불안감을 해소시켜줄 수 있으리라 생각한다.
그렇지만 이 책의 주 목적이 테크닉은 아니다. 원래 제목인 『Web Security, Privacy & Commerce』에서 볼 수 있듯이, 책의 주요 주제는 개인정보와 상업이다. 해킹 사례들은 보안이라는 주제의식을 환기시켜 주기 위한 용도일 뿐이다. 기술적인 측면으로는 넷상에 떠 돌아 다니는 패킷을 잡아 분석하는 스니핑의 예, 쿠키에 관한 분석, 웹 서버 환경설정 등 많은 실용적인 예제들이 즐비하다. 그러나 이 책은 부정적이고 파괴적인 해킹 테크닉의 세계를 넘어 보다 긍정적이고 생산적인 보안 테크닉이라는 더 수준 높은 세계로 이끌어 준다. 어긋난 기대를 꽉꽉 채우고도 남음이 있다. 더 품격있는 세계를 보았다고 해야할까……
탄생의 배경
웹이 성장하면서 보안의 목표는 데이터에서 프라이버시와 상거래에까지 급격하게 확장되었다. 이제는 단순하게 정적인 정보만 지키는 정도로는 안심할 수 없으며 정보의 흐름에까지 보안이 확보되지 않으면 바로 금전적 법률적 문제에 봉착하는 지경에까지 이르렀다. 이책의 저자인 심슨 가핑켈과 진 스파포드는 "Practical Unix & Security(1996)"의 저자이기도 한데 저자의 말에 의하면 이와 같은 시류를 반영하여 별도로 웹 보안에 관한 부분만 다시 저술하기로 하였고 그 결과가 바로 이 책이다. 그런데 별도로 떼어 낸 장이 자그마치 총 4부 26장에 부록까지 포함하여 1000여쪽에 이른다. 그 만큼 웹이 폭발적으로 성장하였다는 것을 의미하기도 하며 그 만큼 더 보안의 영역이 넓어졌다는 것을 뜻하기도 한다. 또한 각주에 인용한 출처의 상당수가 웹 주소(URL)인 것이 상당히 인상적이다. 이는 이 책이 다루는 주제가 상당히 최신이라는 것을 반증한다.
누구를 위한 책인가?
이 책은 웹에서 보안과 프라이버시, 상거래를 증진시킬수 있는 방법을 다룬 책이다. 평범한 웹 사용자, 웹 기반구조의 운영자, 웹 컨텐츠 제공자를 대상으로 한다. 이 책은 다음과 같은 문제를 제기하고 실용을 목표로 하여 그 해답을 추구한다. 여기에서 다루는 내용은 테크니컬한 문제로 그치지 않고, 그에 따른 법률적 문제까지도 다루고 있다는 점을 주목할 필요가 있다.
- 개인 사용자는 프라이버시를 보호하기 위해 어떤 조치를 취할 수 있는가?
- 서버 운영자는 호스트를 어떻게 보호하고 보안이 유지된 웹 서비스를 할 수 있는가?
- 컨텐츠 제공자는 어떻게 법률적 문제를 피해서 안전하게 컨텐츠를 보호하고 결제를 받을 수 있는가?
웹은 과연 안전한가? 그리고 웹은 신뢰할 수 있는가? 저자는 안전을 확보하기 위한 기술적 문제에서 시작하여 신뢰를 얻기 위한 법률적 문제에 이르기까지 거의 백과사전적으로 모든 분야를 망라하여 웹의 구석구석을 살펴보고 있다. 이 책에 있는 대부분의 예제는 저자 심슨이 캠브리지의 월든가에 실제로 직접 구축한 월든 네트워크를 기반으로 하고 있다. 크게 총론격인 1부 웹기술을 보면 책 전체의 내용을 짐작할 수 있다. 각론격인 나머지 2,3,4부에서 총론에서 다룬 내용을 좀 더 자세하게 다루고 있다.
- 제 1부( 1장- 7장): 이 부분만 보면 책 한 권을 다 보았다고 할 수 있다. 전체 책의 줄거리는 어떻게 웹의 구조와 암호학의 기초가 SSL과 디지털 신원확인으로 연결되는가이다.
해킹 사례로 풀어쓴 웹 보안, 개정판 - 제 2부( 9장-13장): 프라이버시를 지키기 위한 여러 기술적 조치(광고막기, 쿠키 부수기, 익명 브라우징, 보안 이메일)들을 살펴 보고 있는데 특이한 것은 12장(플러그인, 액티브 X, 비주얼 베이직)과 13장(자바,자바스크립트, 플래시, 쇽웨이브)에서 모바일 코드의 위험성을 심층적으로 다루었다는 것이다.
- 제 3부(14장-19장): 웹 서버를 안전하게 운영하기 위한 방법들을 다룬다. 특히 16장 웹 애플리케션 보안과 17장 SSL 인증서 배치는 상당히 기술적이다. 18장에서 다룬 안전한 웹 서비스를 위한 중복 보호와 DNS 보호 그리고 도메인 등록 보호는 서버 운영자라면 반드시 읽어 보아야 하리라고 생각한다.
- 제 4부(20장-26장): 컨텐츠 제공자를 위해서, 디지털 인증서와 디지털 결제, 프라이버시 정책(P3P)과 필터링(검열) 문제를 다루고 있다. 본질적으로 모든 문제는 법률적 문제와 연관된다. 소송이라는 문제에 말려 들지 않기 위해 26장에서 지적 재산권과 특허 문제를 다루고 있다.
- 부록: 실제로 Vineyard.NET를 운영한 경험은 본문보다 더 재미있다. 외딴 섬에서 외부와 연락하기 위한 시도로 시작한 Vineyard.NET가 IT 붐을 타고 거대하게 성장했다가 다시 몰락하여 현실로 돌아오는 이야기는 정말 흥미진진하다. 나머지 부록은 본문에서 좀 미진했다 싶은 기술적 명세를 보강하기 위해 SSL/TLS 프로토콜, P3P, PICS 명세를 실어 두었다.
책 전체를 관통하는 저자의 의도를 나는 가상공간에 실세계를 맵핑하려는 시도라고 생각한다. 나는 이것이 실제로 상업적 웹 서버를 운영하는 사람으로서의 저자의 관점이 투영되어 있기 때문이라고 생각하는데, 프라이버시와 상업의 조화가 과연 어떻게 가능한지 궁금했다.
"인터넷과 웹의 급격한 성공은 마케팅이나 적절한 타이밍 때문에 가능했던 것이 아니다. 그것의 설계 구조는 경쟁시스템보다 우월했고, 개발자에게 열려 있었으며, 사용하기 쉬웠고, 무료로 배포되었기 때문에 성공할 수 있었다."웹 보안: 운은 다했는가?, 돌아올 수 없는 강을 건너다! 웹은 공개와 무료라는 두 축의 큰 역할 덕분에 웹보안 없이 급격하게 성장하여 버렸다. 어떤 보안도 완전한 것은 없다. 그저 확률적 보안에 불과할 뿐이다. 믿을 수 있는 것은 아직 아무것도 없다. 브라우저에도 버그가 있고, 모바일 코드도 위험하며 심지어 자바와 자바스크립트에도 보안 위험이 있다. 메시지 축약, 코드 서명, 심지어 디지털 서명도 악용될 수 있다. 계속해서 패치가 나오고 버그가 다시 발견된다. 끊임없는 근면과 성실로 막는 방법말고는 없다. 그렇지 않으면 당신은 법률적 문제와 금전적 손해에 봉착한다. 저자가 주는 숨은 메시지가 이것이 아니었을까
"인터넷에서는 아무도 네가 개인지 몰라"모든 보안 기술은 개인정보의 보호가 아니라 상거래와 유료 컨텐츠의 신뢰 확보를 중심으로 개발된다. 디지털 인증서와 공개 키 기반구조(PKI)는 디지털 서명에 정확한 신원정보를 연결하기 위한 시도이다. 암호통신과 디지털 서명은 신용거래의 핵심이다. 프라이버시를 지키기 위한 필 짐머만의 "신뢰의 웹"과 상거래를 위한 익스플로러의 "인증경로", 그리고 봉인제도를 자세하게 다루고 있지만 그 어느 것도 완벽한 것은 없다.
기술적인 보안의 완성에 궁극적 영향을 미치는 요인에 정치적 법률적 문제가 있다. 저자는 PICS가 실패한 원인이 강력한 법률적 강제의 부재에 있다고 보며 디지털 인증서가 결국 인터넷, 컴퓨팅 그리고 사회 전체에 널리 사용될 것이라고 믿고 있다. 장기적으로 인증서에 대한 인터넷 사용자의 인식은 바뀔 수 있다. 전제주의 정권에서는 신분증을 제시하지 못하면 엄격한 처벌을 받는데, 신분증은 사회와 행위 규범을 강화하며, 책임을 지게 만들고, 신용있는 상거래가 가능하다.
저자는 적절한 인증기관이 서명한 개인키를 가지고 있다는 것(기술)만으로는 자신이 실제로 주장하는 인물이라는 것을 입증할 수 없다(법률)는 사실에 민감하게 반응한다. 저자는 신용카드사에게 신원확인의 의무를 법률로 강제하여야 한다고 생각한다. 저자는 정치적 법률적 강제가 신뢰의 웹을 구축하는데 반드시 필요하다고 믿고 있는 것 같다.
그러나 그저 돈을 위해서만 보안 기술이 발전한다면 이 기술은 법률 그리고 정치와 결합하여 반드시 빅 브라더의 도구가 될지도 모른다. 저자가 여기에서 철학적 반성에 소홀한 것이 좀 아쉽다. "연애 편지의 내용을 들키고 싶지 않은 마음은 죄악이 아니지만, 연애 편지를 엿보는 것은 죄악이다". 이 책의 주제를 벗어나겠지만, 이런 명제에 대한 철학적 반성없이 법률적 강제를 기대하는 것은 문제가 있지 않을까?
정부는 검열을 위해 암호화의 구현에 제한을 하고 있고, 필터링 소프트웨어를 법률로 강제하려고 시도한다. 게다가 강력한 법률은 ISP를 위축시켜 스스로 검열을 행하지 않을 수 없는 상황으로 몰고 갈 수도 있다. DVD를 리눅스에서 실행하는 것이 불법이라니 그저 어안이 벙벙할 따름이다. 보안 기술의 발전에 걸림돌이 되는 정부의 검열과 전통미디어의 딴죽을 언급하면서도, 그 이상을 넘어가는 문제는 변호사에게 넘겨 버리는 것을 보면, 좀 아쉬운 점도 있지만 실용을 주목적으로 한다면 어쩔 수 없는 해결책이라는 생각이 든다.
모바일 코드에 대한 짧은 생각
책의 주흐름은 아니지만 꼭 언급하고 싶은 것이 모바일 코드이다. 윈도우즈는 모바일 코드의 악용가능성을 코드 서명이라는 책임 강제로 해결하려고 한다. 그러나 저자의 꼼꼼한 기술적 분석의 결과로 불안전하다는 결론에 이른다. 나는 차라리 불안전한게 다행이라고 생각하는데, 만약 안전하다는 것이 증명된다면... 코드 서명되지 않는 코드는 배포자체를 불가능하게 만들어 버릴 수 있기 때문이다(배포권 자체마저도 윈도우의 결정권한이 된다!).
Practical & Friendly
역자의 서문이 두 개인 것이 조금 마음에 걸린다. 역자가 둘이지만 독자가 느끼기에는 한 사람인 것처럼 느끼게 해주는게 바람직할 것 같다. 번역의 질 차이가 느껴지며, 편집자의 통합노력이 좀 더 필요한 듯 하다. (예를 들어 "메시지 압축(DIGEST) 함수"와 "요약(COMPACT) 정책", 그리고 부록에서 사용된 "압축(COMPACT) 정책", 이 세 어구사이에 혼란이 있다.) 읽다 보면 내가 어디쯤 와 있는지 궁금할 때가 있다. 오른쪽 페이지 머리말에 장 제목이 있지만 왼쪽 페이지 머리말이 전부 책 제목으로 되어 있다. 이 부분에는 부 제목을 배치하면 좋을 것 같다. 여백도 적절하고 이해를 돕는 그림도 적당히 잘 배치되어 있어서 읽기가 편하다.
이 책은 전체적으로 보안의 목적을 실용에 두고 있다. 세부적인 논리와 전문적인 지식에 초점을 맞추기 보다는 각 개념사이의 관계를 독자에게 친절하게 전달하는데 중점을 두었다. 자칫하면 깊게 들어가야 할 개념도 아주 쉬운 문체로 여러 장에서 두루 번갈아 가며 반복해서 상기시켜 주므로 편안하게 읽어 갈 수 있다. 각 장에서 서로 중첩되면서 흐름이 이어지므로 흥미를 잃지 않고 연속해서 읽을 수 있으며, 관심이 있는 각 장을 따로 따로 읽어도 전체적인 윤곽이 드러나도록 유기적으로 잘 구성되어 있다. 한마디로 말해서 왕초보라도 겁먹을 필요 없이 아주 쉽게 웹 보안의 전반을 읽을 수 있다는 뜻이다.
본문에서 미진한 기술적인 명세서를 부록에 달면서 저자는 "구현하기에는 부족하지만 이해하기에는 충분할 것"이라고 말한다.이러한 저자의 저술의도는 책 전체에 걸쳐서 "실용적이고" 그리고 "친절하다"는 느낌으로 차분하게 반영되어 있다. 글을 잘 쓴다는게 아마 이런게 아닐까 한다. 웹 보안에 관심있는 사람이라면 누구나 읽어 보야야 할 "백과사전적 교과서"라고 평가한다. 이 책은 보다 전문적인 보안영역으로 가는 훌륭한 길잡이가 되어줄 것이다.
TAG :
이전 글 : 보안 경보 트로이안 네트워킹 도구
다음 글 : Hello ASP.NET !!
최신 콘텐츠