"한빛미디어 서평단 <나는리뷰어다> 활동을 위해서 책을 협찬 받아 작성된 서평입니다."

“공격을 알아야 방어가 보인다”라는 문구가 딱 맞는 책이다. 이 책은 웹 개발자와 정보보안 입문자가 실무에서 통하는 보안 감각을 빠르게 기를 수 있도록 구성된 실용서다. 단순한 공격 나열이나 도구 사용법에 그치지 않고, 왜 그런 공격이 가능한지(원리)와 프로그램·프레임워크·운영체제·네트워크 관점에서 취약점이 어떻게 연결되는지를 함께 설명하려는 점이 가장 큰 장점이다.

핵심 구성과 장점

기본기부터 실습까지의 자연스러운 흐름

웹 기술의 기초를 다진 뒤, 웹 프록시 등 실습 도구로 직접 공격을 재현해보는 구조라 따라가기가 쉽다. 이론 → 도구 이해 → 실습의 흐름이 학습 곡선을 완만하게 만들어 준다.

핵심 공격 기법의 실전적 접근

SQL 인젝션, OS 커맨드 인젝션, XSS 등 주요 취약점에 대해 단편적 예제가 아니라 실제 환경에서의 재현과 해석을 통해 “왜 취약한가”를 체득하게 한다. 이 때문에 단순히 시그니처만 찾는 수준을 넘어서 구조적·근본적 취약점 식별 능력이 생긴다.

시스템 전반을 보는 시야 확장

코드 수준뿐 아니라 프레임워크, 라이브러리, 운영체제, 네트워크 등 다양한 층(layer)을 연결해 설명해 주므로, 문제를 더 넓게 보는 습관이 생긴다. 이는 보안 실무에서 매우 중요한 능력이다.

아쉬운 점(개선 제안)

초보자에게는 일부 심화 설명이 빠르게 느껴질 수 있다. 기본 개념에 아주 서투른 독자라면 별도의 기초 자료와 병행 학습하면 더 효과적이다.

"한빛미디어 서평단 <나는리뷰어다> 활동을 위해서 책을 협찬 받아 작성된 서평입니다."

이 책은 "어떻게 뚫리는가"가 아니라 “왜 뚫리는가”에 더 무게를 둔다. 초반부에서 웹 기술과 HTTP 같은 기초를 차근차근 다져 주는 구조 덕분에, 이후 챕터에서 다루는 SQL 인젝션, XSS, CSRF 같은 개별 취약점이 단편적인 기법이 아니라 시스템의 작동 원리와 맞물린 결과라는 점이 자연스럽게 이해된다. 정보 수집, 도구 사용법, 공격 실습으로 이어지는 흐름은 단순한 따라 하기에서 끝나지 않고 스스로 원인을 추적하고 가설을 검증하게 만든다.

공격 파트의 실습은 현실감이 있다. whois, theHarvester, Nmap, Burp Suite 같은 도구를 실제로 어떻게 활용하는지 단계별로 보여 주고, 각 취약점별로 공격 경로와 변형 사례를 놓치지 않는다. 특히 SQL 인젝션과 파일 업로드/다운로드 취약점처럼 현장에서도 자주 마주치는 항목들을 단순한 예제가 아니라 여러 변형 공격을 통해 깊이 있게 풀어내기 때문에, 특정 입력만으로 취약점이 재현되는 수준을 넘어 근본 원리를 체득할 수 있다.

무엇보다 인상적인 건 공격/방어 병행 구성이다. 같은 취약점을 공격 관점에서 분석한 뒤, 곧바로 시큐어 코딩 관점에서 대응 방법을 제시한다. 단순한 패턴 차단이나 필터링 요령을 나열하는 데 그치지 않고, 왜 해당 대응이 효과적인지, 그리고 어떤 경우에 회피될 수 있는지도 설명하므로 방어 전략을 설계할 때 현실적인 판단 근거를 제공한다.

실습 중심이라고 해서 도구 사용법만 친절한 건 아니다. 각 장의 끝에 배치된 퀴즈와 마무리 정리는 주요 개념을 곱씹게 해 주고, 워게임 등으로 직접 손에 익히도록 유도하는 구성은 학습 효과를 높인다.

결국 이 책은 원리를 이해해 스스로 문제를 찾아내고 해결할 수 있는 감각을 키워 준다. 해킹 기법을 단순 암기하는 수준을 넘어 서고 싶은 주니어 컨설턴트나 개발자, 그리고 현장에서 개념을 재정리하고 싶은 실무자에게 실용적인 길잡이가 된다. 공격과 방어를 번갈아 경험하면서 얻는 직관은 시험 대비 이상의 가치를 준다. 끝까지 따라 가면 실무에서 통하는 보안 감각을 얻을 수 있다는 원래의 약속을 잘 지키는 책이다.

한빛미디어 서평단 <나는리뷰어다> 활동을 위해서 책을 협찬 받아 작성된 서평입니다.

책은 940여 쪽에 달할 정도로 상당히 두껍습니다. '바이블'이라는 이름처럼 웹 해킹 기초 개념부터 실전 공격/방어 기법까지 주제를 폭넓게 다루고 있습니다. 또한, 파트별로 준비 단계, 공격 단계, 방어 단계 순서로 체계적으로 구성되어 있습니다. 

입문자 입장에서 책의 체계적인 구성 뿐만 아니라 챕터별로 로드맵을 제공해주는 점이 정말 좋았습니다. 많은 지식이 요구되는 보안 분야에서 제공된 로드맵을 참고하면 공부의 방향을 잡아나가는 데 도움이 많이 될 것 같습니다.

조금씩 배워가는 과정임에도 곧바로 실습을 해 볼 수 있어서 공부에 재미를 붙이기에 좋았던 것 같고, 각 챕터 마지막에 있는 퀴즈는 배운 내용을 점검하기에 좋았습니다.

사실, 호기롭게 도전했지만, 아직 모르는 것이 많아 절반 이상 넘어가면서부터는 한계가 느껴졌던 것 같습니다. 기초 지식을 좀 더 튼튼히 한 후에 한 번 더 도전해봐야겠다는 생각이 들었고, 보안 분야가 막연하게 어렵고 방대하다는 느낌을 지우고, 좀 더 가깝게 느껴지면서도 구체적인 밑그림을 그릴 수 있었다는 점에서 좋았습니다. 

이 책은 웹 해킹 및 보안 입문자를 대상으로 한 책으로, 방대한 내용을 체계적으로 다루고 있지만 공격 기법의 고급 기술, 심화/응용 기술은 다루지 않고 있다고 합니다. 입문자 중에서도 기초 배경 지식이 있으신 분들은 더 재밌게 보실 수 있을 것 같습니다.

저자의 인프런 강의도 있던데, 저는 책만으로 안 되면 강의도 고려해봐야 할 것 같습니다. 

"한빛미디어 서평단 <나는리뷰어다> 활동을 위해서 책을 협찬 받아 작성된 서평입니다."

이번 10월에 접한 도서는 나의 직무인 사이버 보안 분야의 도서이다. 도서 제목과 같이 웹 해킹에 대해 다룬 도서인데, 처음 도서를 받아보고 900페이지가 넘는 분량에 상당히 압도되었었다. 그렇지만, 현재 회사에서 웹 애플리케이션 점검 업무를 직간접적으로 수행하고 있다보니 전체적인 내용에 대해서 어느 정도 이해를 하고 있는 상황이어서 조금씩 읽어 가며 웹 보안의 A to Z에 대해 복습을 한다는 느낌으로 기본 지식들을 탄탄히 하는 유용한 시간으로 활용할 수 있었다.

참고로, 얼마 전 베타리딩을 수행했었던 "0과 1사이 (원제: Binary Hacks Rebooted)"라는 깊이 있는 시스템 해킹을 다룬 도서도 최근 출간이 되었는데, 올해 국내 대형 통신사 등 굵직굵직한 보안 사고들로 인해 보안이 너무나 핫한 상황에서 이러한 보안 관련 도서들이 속속 출간되고 있는 것이 개인적으로 너무 반갑다.

저자는 "공격을 알아야 방어가 보인다"는 핵심 철학을 바탕으로, 웹 해킹의 기본 원리부터 실전 공격 기법과 방어(시큐어코딩)까지 체계적으로 다루고 있는데, 저자분이 한국 분이시고 실제 다수의 모의해킹 경험을 기반으로 집필한 도서인만큼 전체적으로 내용을 실제 활용할 수 있도록 구체적으로 설명하고 있어 좋았던 것 같다.

도서를 읽어가며 아주 오래전 KISA 아카데미에서 K-Shield 과정과 SW 보안약점 진단원 교육을 듣던 때가 떠올랐다. 웹 해킹은 사실 기본 과정 정도는 보안 업무 수행자라면 모두 반드시 습득해야 하는 필수 분야가 아닌가 싶다. 특히 요새처럼 거의 모든 서비스들이 웹을 통해 이루어지는게 일반적인 상황에서 더더욱 그런 것 같다.

도서는 총 3개의 파트로 구성되어 있다. 첫번째 파트에서는 웹 해킹을 수행하는데 있어 필요한 사전 지식들을 설명하고 있으며, 두번째 파트에서는 공격자의 입장에서 8개의 대표적인 웹 해킹 취약점에 대한 개념과 실습을 다루고 있다. 마지막 세번째 파트에서는 앞서 파트2에서 다룬 8개의 취약점이 발생되지 않도록 사전에 조치를 수행하는 시큐어코딩 방안에 대한 내용을 다루고 있다.

먼저 파트1의 경우, 모두 웹 해킹을 입문하는 분들에게 유용하지만, 그 중에서 개인적으로 HTTP 프로토콜에서 사용하는 메시지 헤더 부분, 그리고 쿠키와 세션 부분이 초심자들에게 유용하다는 생각이 들었다. 웹 해킹에 있어 Body에 대한 수정과 파라미터 변조 부분도 물론 너무 중요하지만, 실제 웹 해킹 시 HTTP 헤더 부분을 많이 활용하는 만큼 정확하게 이해하고 있는 것이 중요하다고 생각하기 때문이다.

또한, 도서에 대룬 SQL 문법에 대한 설명도 꽤나 유용하다고 생각된다. 최근 웹 애플리케이션 개발 시 Spring Boot 등의 웹 프레임워크를 많이 사용하고 있고, 그러한 최신 프레임워크에서 SQL 인젝션 방어 기능을 많이 지원해 주긴 하지만, 여전히 존재하는 기존 Legacy 시스템(예: JSP를 바로 구현하던 시절에 개발된 시스템)이나 프레임워크를 올바르게 하지 않은 경우 등에서는 SQL 인젝션 공격이 여전히 유효하기 때문에 SQL 문법은 기본적으로 알아두는 것이 좋다. 참고로 SQL 인젝션은 파트2와 파트3에서 가장 먼저 다루고 있는 취약점이기도 하다.

그리고, 파트2의 첫번째 chapter에서 다루고 있는 정보 수집이라는 주제도 개인적으로 OSINT(Open Source INTelligence)에 관심이 많아 재미있게 읽은 부분이다. 회사에서 OSINT 관련 업무를 하고 있지는 않지만, 휴일 등 집에 있는 시간을 활용해서 종종 취약점 정보 검색의 향연(?)을 즐기곤 하는데, 책에서 다룬 Netcraft와 theHarvester는 향후 추가적인 참고 자료로 활용될 것 같다. 참고로, 도서에 Shodan과 Censys와 같은 IoT 디바이스 검색 엔진이나 URLscan나 Qualys SSL Labs와 같은 웹 사이트 분석 사이트에 대한 소개는 빠져 있는데, 보안 업계에서 많이 사용되는 만큼 이 부분도 추후 2판에서 보강되면 좋을 것 같다는 생각이 든다.

본 도서의 핵심은 뭐니뭐니해도 파트2와 파트3에서 다루고 있는 8개의 취약점에 대해서이다. 이 부분만 거의 500페이지 이상 할애하고 있을 정도로 원리와 실습 방법에 대해 자세하게 다루고 있는데, 특히 SQL 인젝션에 대해서만 200페이지 분량을 사용하고 있을 정도로 SQL 인젝션에 대해 상당히 자세하게 다루고 있다. 그도 그럴 것이 SQL 인젝션은 Blind SQL 인젝션 등 워낙에 다양한 케이스와 기법들이 존재하고 있어서(예전에 SQL 인젝션만 다룬 별도 책이 있었던 것도 기억이 난다.) 저자분께서 실무적인 경험을 바탕으로 최대한 많은 지식을 독자들에게 전달하고 싶으셨던 정성을 엿볼 수 있다. ^^ 그 외에도 XSS, CSRF 등 웹 애플리케이션 점검 시 활용되는 대표적인 유용한 기법들에 대한 소개와 실습 내용을 담고 있어, 웹 보안 실무에 대한 입문자들에게 상당히 유용하다. 한 가지 아쉬운 점이라면 실습 환경이 Apache Tomcat 기반의 JSP 환경인데, 요즘 많이 사용되는 Spring이나 Node.js와 같은 최신 웹 프레임워크 환경이었다면 어땠을까하는 점이다. 물론 취약점 자체를 이해하기에는 현재 도서에서 다루고 있는 JSP 기반으로도 문제는 전혀 없다.

또한, 파트3에서의 시큐어코딩을 통한 취약점 대응 방법의 경우도 JSP 기반의 Java 언어로 실습을 하고 있는데, 시큐어코딩 기반의 취약점 대응의 핵심은 웹 브라우저 등 클라이언트로부터 전달 받은 사용자의 입력 값에 대한 사전 검증 및 sanitizing(불필요한 문자 제거)이고, 이러한 처리 방식 자체만 이해한다면 어떠한 개발 언어에라도 쉽게 응용하여 적용이 가능할 것이라 생각된다.

결론적으로, 본 도서는 다음과 같은 분들이 읽으면 좋을 것 같다.

• 웹 해킹에 대한 공부를 하고 싶은 보안 입문자
• 해킹에 강인한 웹 애플리케이션을 개발하고자 하는 개발자
• 웹 애플리케이션 보안을 담당하고 있는 현업 보안 담당자
• 웹 취약점에 대한 원리를 습득하고 이를 방어하기 위한 시큐어코딩 방법에 대한 공부를 하고자 하는 모든 분들

본 도서는 분량만큼이나 웹 보안의 핵심을 꽉 채워 담은 유용한 실무서이다. 취약점에 대한 상세한 설명과 이를 실제 실행해 볼 수 있는 실습 예제를 제공하고 있으며, 무엇보다 실제 보안 실무를 담당했던 국내 보안 전문가 분께서 직접 저술한 국내 도서인 점이 다른 번역서들과 차별되는 장점이라 생각되며, '바이블'이라는 이름처럼 보안 담당자라면 한번쯤은 꼭 읽어볼만한 필독서이나 소장 가치가 있는 참고서가 아닌가 하는 생각이 든다.

여담인데, 본 도서에서도 언급한 "가장 심각한 웹 애플리케이션 취약점을 일컫는 OWASP Top 10"이 현재 2017버전인데, 곧 최신 버전인 2025가 다음 달 초에 발표된다고 하니, 최신의 취약점 트랜드가 반영되는만큼 발표 이후 기존 2017 버전에서 본 도서에서 다루고 있는 취약점들의 순위가 어떻게 변경되었는지, 그리고 전에 없던 새로운 취약점이 추가된 것은 없는지 전체적인 순위를 살표보는 것도 웹 보안 분야의 재미있는 포인트라 생각된다.

"한빛미디어 서평단 <나는리뷰어다> 활동을 위해서 책을 협찬 받아 작성된 서평입니다."

사실 책을 처음 받고나서 굉장히 두꺼워서 놀랐습니다. 900페이지가 좀 넘어요. 무겁기도 하고,  진짜 꼼꼼히 들어있나보다.. 라는 생각이 들었습니다. 정직한 전공서적은 항상 두꺼운 것 같아요.? 목차를 살펴보니 왜인지 알겠더라구요. 이론에 치우치지도, 가벼운 실습에만 치우쳐져있지도 않고, 조화롭게 구성되어 있습니다. 보안을 자세히는 모르는 제가봐도 한 번 해볼 수 있겠다는 생각이 들었어요. 꼭 필요한 핵심 이론이 간단히 다시 기술되어있는 것도 좋았습니다. 조금 더 자세히 보자면, 초반 구성은 기초 이해 위주이고, 취약점 별로 이론과 시큐어 코딩 실습으로 구성되어있습니다. 적당히 혼자 공부해보기 좋은 구성인 것 같아요.

"한빛미디어 서평단 <나는리뷰어다> 활동을 위해서 책을 협찬받아 작성된 서평입니다."

대학생 때 어느 선배가 “신기한 거 하나 보여준다”며 어떤 홈페이지에 접속하더니, 게시판의 아이디 칸에 임의의 아이디를 입력하고 비밀번호 칸에는 단순히 하이픈 두 개 -- 만 입력하자마자 로그인되어 버리는 모습을 보여준 적이 있습니다. 

당시에는 그저 신기하고 요상한 버그처럼 보였는데, 그 선배는 나중에 웹마스터에게 취약점을 알려주는 것을 취미 삼아 하는 ‘화이트해커’가 되었고, 단순한 취약점으로부터 시작해 점차 더 고도화된 공격 기법을 공부하게 되었다고 합니다. 요즘은 그렇게 단순한 일로 계정 탈취가 일어나진 않지만, 그만큼 공격 기법도 정교해지고 다층적이라는 점을 실감하게 합니다.

“최선의 방어는 공격”이라는 말은 IT뿐 아니라 어디서든 통용되는 경구처럼 들립니다. 공격과 방어는 서로 완전히 분리된 영역이 아니라, 서로를 알아야만 제대로 맞설 수 있는 한 쌍이라는 생각이 듭니다. 손바닥도 서로 마주쳐야 소리가 나듯, 해커의 시각을 모르고서는 실효성 있는 방어를 설계하기 어렵습니다. 그래서 보안을 공부한다는 것은 곧 해킹 기법을 이해한다는 말과 동의어일 때가 많고, 반대로 해킹을 배우는 과정 자체가 곧 안전한 시스템 설계로 이어지기도 합니다. 공격자의 사고방식을 이해하면 어떤 정책이 왜 필요한지, 어떤 설정이 취약점을 만드는지를 더 명확히 파악할 수 있으니까요.

이 책은 그런 맥락에서 초심자와 실무자 모두에게 유용한 ‘교과서적이면서도 실무적인’ 지침을 많이 담고 있습니다. 특히 구글해킹(특정 키워드와 검색 연산자를 이용해 취약한 정보나 환경을 탐지하는 기법)에 대한 다양한 검색법을 도우미처럼 정리해 두어, 단순히 이론을 읽는 것을 넘어서 실제로 어떤 검색식을 써야 유의미한 정보를 얻을 수 있는지 단계별로 따라 해볼 수 있게 만든 점이 인상적입니다. 구글이라는 공용 자원을 통해 의도치 않게 노출된 정보들을 찾아내고, 이를 통해 서비스 보안의 빈틈을 점검하는 흐름을 잘 설명하고 있습니다.

또한 여러 도구들을 폭넓게 소개하는데, 단순히 nmap 같은 유명 툴만 언급하는 데 그치지 않고, theHarvester 같은 전문적인 정보 수집 도구까지 자세히 다뤄서 실전 탐지 능력을 키우기 좋습니다. 각 도구의 설치법, 기본 사용법, 옵션별 효과, 실제 시나리오에서의 활용 예시까지 단계적으로 제시되어 있어 따라 하기 편합니다. 도구별 특징을 비교하면서 어떤 상황에 어떤 툴이 적합한지 판단할 수 있도록 구성된 점도 큰 장점입니다.

이 책이 특히 빛나는 부분은 ‘원리’에 대한 설명입니다. 많은 보안 입문자들이 매뉴얼대로 정책을 적용하긴 하지만, 그 정책이 왜 그렇게 작동하는지, 어떤 원리로 공격을 차단하거나 우회할 수 있는지를 잘 이해하지 못하는 경우가 많습니다. 이 책은 그런 사람들에게 정확한 원리와 배경 지식을 체계적으로 제공하여, 기존에 적용해놓은 보안 설정을 단순한 체크리스트가 아니라 ‘왜 이 설정이 필요한지’ 아는 상태로 바꿔 줍니다. 결과적으로 보안 정책을 더 합리적으로 설계하고, 필요할 때는 맞춤형으로 조정할 수 있는 통찰을 제공합니다.

다만 아쉬운 점도 하나 있습니다. 책이 다루는 대상 환경이 Tomcat + Java + MySQL이라는, 전통적이고 보편적인 스택에 치중되어 있어 모던 웹 환경 — 예를 들어 Python 기반 프레임워크, Node.js, 그리고 NoSQL DB(예: MongoDB, Redis 등)에서의 보안 이슈나 실전 사례까지 폭넓게 다루었다면 더 실무에 직접적으로 도움이 되었을 것 같습니다. 현대 웹 개발에서 파이썬과 Node.js, NoSQL을 쓰는 경우가 많은 만큼, 그쪽 환경에서 흔히 발생하는 취약점 패턴과 대응법이 추가되었다면 초심자뿐 아니라 현업 개발자들에게도 더 큰 가치를 제공했을 것 같습니다.

종합적으로 보면, 웹과 조금이라도 관련이 있는 사람이라면 반드시 한 번쯤 읽어볼 만한 책입니다. 기본 개념부터 실전 도구 사용법, 취약점 원리까지 폭넓게 다루고 있어서 보안에 대한 시야를 넓히고 싶은 입문자나 실무 초년생에게 특히 유용합니다. 단, 모던 스택의 사례를 더 바란다면 보완적으로 최신 환경을 다룬 자료나 공식 문서를 함께 병행해 읽으면 좋습니다. 웹을 다루는 모든 사람에게 자신 있게 추천합니다.

해당 도서를 선택하게 된 이유는 웹에 대해서 조금 더 공부하고 싶어진 것도 있지만 예전부터 해킹이라는 세계에 대해 궁금함이 컸었다.

우선 도서에는 웹 기반의 해킹에 관련된 내용들을 기준으로 작성되었다.

처음에는 웹에 대한 기본적인 구조 설명이 되어있고(이 부분이 가장 많은 도움이 되었다) 그 이후에는 해킹(공격)에 대한 부분과 보안(방어)에 대해 정리되어 있었다.

먼저 상세 목차 부터 보자.

PART 01 웹 해킹 공격과 방어를 위한 기본적인 지식들
chapter 01 웹 해킹에 대한 이해
chapter 02 반드시 알아야 할 웹 해킹 기본 지식

PART 02 공격 단계: 공격에 대한 이해와 공격 실습
chapter 03 정보 수집
chapter 04 SQL 인젝션 취약점
chapter 05 OS 커맨드 인젝션 취약점
chapter 06 XSS 취약점
chapter 07 CSRF 취약점
chapter 08 파일 다운로드 취약점
chapter 09 파일 업로드 취약점
chapter 10 파라미터 변조 취약점
chapter 11 URL 접근 제한 미흡 취약점

PART 03 방어 단계: 방어에 대한 이해와 방어 실습
chapter 12 SQL 인젝션 취약점
chapter 13 OS 커맨드 인젝션 취약점
chapter 14 XSS 취약점
chapter 15 CSRF 취약점
chapter 16 파일 다운로드 취약점
chapter 17 파일 업로드 취약점
chapter 18 파라미터 변조 취약점
chapter 19 URL 접근 제한 미흡 취약점

목차를 보면 앞서 말했듯이 웹에 대한 기본 지식과 공격과 방어 순으로 정리된 것을 볼 수 있다. 이게 내가 해당 도서를 고른 이유이다.

다른 일반 책을 읽으면 되는 것인데 굳이 해당 책을 읽는 이유는 웹에 대한 이해를 더 깊게 가져갈 수 있다는 생각을 했다.

그래서 먼저 웹에 대한 이해인 Part1 을 살펴보면 웹 url 파라미터에 대한 아주 기본적인 내용부터 나온다.

하지만 이러한 기본 내용이라도 중요한 포인트였던게 part2 에 들어가면 취약점 분석을 하게 되는데 이러한 취약점 분석의 포인트 중 가장 기초 적인것이 바로 url을 파라미터로 지정해서 볼 수 있게 하는 구조를 지칭한다.

그렇기에 해당 기초 부분을 꼭 읽고 가길 바란다.

넘어가서 공격 부분에서 sql injection, csrf 등 대 부분 이름만 들어본 개념들이 많았다.

해당 도서에는 이러한 일반적인 개념부터 실제로 어떻게 보안이 이루어지는 지에 대해서도 자세히 나와있다.

만약 보안 담당자나 화이트해커를 꿈꾼다거나 웹에 대한 분석을 제대로 하고 싶다면 해당 도서를 추천한다.

"한빛미디어 서평단 <나는리뷰어다> 활동을 위해서 책을 협찬 받아 작성된 서평입니다."

어린 시절 영화와 뉴스에서, 누군가 키보드를 두드리며 시스템의 허점을 파고드는 장면을 보고 가슴이 뛰었다. 그 장면과 더불어 인상적이었던 점 또한 그 허점을 찾아내고 되레 막아내는 화이트 해커들의 차분한 노력과 결단이었다. 문제를 발견해 폭로하는 것과, 그것과 반대로 기술로 안전을 지켜내는 행위가 영웅처럼 느껴졌다. 그때부터 나도 ‘문제를 찾아내고 고쳐내는 기술자’가 되고 싶다는 생각을 품게 되었다. 전자공학을 전공해 주로 하드웨어와 펌웨어를 다뤄왔기에 웹 분야와는 다소 거리가 있었지만, 언젠가는 꼭 이 영역도 한번 깊이 들여다보고 싶다는 생각을 늘 품고 있었다.

웹 해킹을 처음 배우는 사람의 눈으로 이 책을 펼쳤다. 이 분야는 ‘배워야 할 것이 너무 많은 미로’처럼 평소 느껴졌었다. 웹 기술 자체가 여러 단계로 쌓여 있고(클라이언트·서버·네트워크·데이터베이스·인증·세션·권한 등), 각 층에서 발생하는 문제들이 서로 얽혀 있기 때문이다. 그래서 단순한 이론만으로는 실제 취약점이 왜 발생하는지, 또 왜 같은 취약점이 다른 시스템에서 다르게 나타나는지는 미지의 영역이었다. 실무 지향적이고 실습 중심인 이 한 권이 바로 이 궁금증을 채워주었다.

전체적으로 실무 지향적이고 실습 중심의 구성으로 웹 해킹 입문자에게 매우 유용한 안내서가 될것 같다는 느낌이 들었다. 제목에서 약속한 것처럼 공격 기법부터 방어(시큐어 코딩)까지 한 권으로 흐름을 따라가며 배울 수 있도록 짜여 있다. 초급 수준 학습자가 읽기 좋도록 중요한 개념을 차근차근 설명하고, 각 챕터마다 실습과 퀴즈로 이해도를 점검할 수 있게 설계되어 있어 학습 효과가 높았다.

책의 첫 파트는 웹 해킹의 전반적 맥락과 기초 지식을 다룬다. 웹 기술과 HTTP, 데이터 처리 방식, 웹 아키텍처 분석, 환경 구축 같은 기본기가 탄탄하게 정리되어 있어 공격 기법을 배우기 전에 필수적으로 알아야 할 배경을 충실히 제공하는데, 특히 웹 프록시와 Burp Suite 같은 툴의 기본 사용법을 실습 위주로 소개해 초급자가 직접 손으로 따라 해보며 감을 잡기 쉬웠다.

공격 파트는 정보 수집, SQL 인젝션, OS 커맨드 인젝션, XSS, CSRF, 파일 업/다운로드 취약점, 파라미터 변조, URL 접근 제한 미흡 등 실무에서 자주 마주치는 취약점을 폭넓게 다룬다. 각 취약점에 대해 ‘무엇인지’(개념), ‘어떻게 공격하는지’(방법론), 마지막으로 실습이나 마무리로 정리하는 흐름이 일관되게 유지되어 있어 학습의 흐름이 자연스럽다. SQL 인젝션과 XSS 같은 핵심 주제는 초급자가 이해하기 쉽도록 공격 유형과 예시를 단순명료하게 설명했다.

방어 파트는 공격에서 다룬 각 취약점 별로 발생 원인과 대응 방안을 이론적으로 설명한 뒤, 시큐어 코딩 실습을 통해 직접 방어 코드를 작성해보도록 구성되어 있다. 공격과 방어를 동일한 틀로 대칭적으로 배치한 점은 보안 교육에서 매우 효과적이다. 실무 진단 시 주의사항이나 체크리스트 형태의 조언들도 포함되어 있어 실제 업무에 적용하기 좋을것 같다.

​

초급 수준인 나같은 독자에게 특히 도움이 되는 부분은 아래와 같다.

첫째, HTTP와 웹 아키텍처 같은 기초 개념을 충실히 다뤄 혼동을 줄여준다.

둘째, Burp Suite 등 필수 도구를 실습 중심으로 설명해 실전 감각을 빨리 익힐 수 있다.

셋째, 각 챕터의 퀴즈와 마무리 섹션이 내용 점검에 유용하다.

​

이 책은 웹 해킹의 기본을 체계적으로 배우고자 하는 개발자나 보안 입문자에게 실용적이고 실습 중심의 교과서 역할을 충실히 할것 같다. 웹 해킹 초급자에게 실무 지향적·실습 중심의 책이 필요한 이유는 명확하다. 복잡한 웹 생태계를 이해하려면 직접 손으로 실험해 보고, 도구를 익히고, 공격과 방어를 대칭적으로 경험해야 실무에서 즉시 쓸 수 있는 능력이 생길것이다. 그런 과정을 하나의 흐름으로 설계한 이 책은 초급자가 ‘혼자서도 문제를 찾아 해결할 수 있는’ 자립 역량을 만드는 가장 빠른 비법서 같았다.

 

"한빛미디어 서평단 <나는리뷰어다> 활동을 위해서 책을 협찬 받아 작성된 서평입니다."

크리핵티브의 한 권으로 끝내는 웹 해킹 바이블

소문난 명강의 시리즈이다.

나는 정보보안기사를 공부한다고 보안에 대해서 공부했었다. 이 공부는 소프트웨어를 바라보는 관점에 많은 영향을 줬다.

보안이라는 것은 각 기술의 원리를 알아야하기 때문에 기초지식에 많은 영향을 끼쳤다.

보안을 처음 접하는 입장에서 차근차근 자세히 알려주는 것이 많이 없었는데, 이 책이 있었다면 수월했을 것 같다.

알아두면 좋은 지식들이 참 많기 때문에 자격증을 공부하지 않더라도 읽어보면 좋겠다.

책은 차근차근 기초적인 지식부터 하나씩 쌓아간다.

요청, 응답 메시지

기초적이라고 할지라도 개념적인 것, 실제로 기록되는 것들을 보여주니 직접 실행해보지 않아도 좋았다.

여기서 소개한 내용들이 일반적으로 알아두면 좋은 것들이 많아서 한번 읽어봤으면 좋겠다.

보안 사고 사례

단순히 설명으로 끝나지 않고, 실무적 관점이나 사례들을 들어준다.

웹 로그에 찍힌 GET 방식으로 전송된 민감한 정보가 있어서, POST 방식으로 수정했다는 이야기가 나온다.

이런 취약점을 개선했지만, 취약점이 있을 당시의 로그에 기록이 남아있어서 무단 접근을 허용했었다는 사례도 소개해준다.

단순히 하나의 취약점이 있다고 수정할 것이 아니라, 그 이전의 취약점으로 인해 생겼던 다양한 문제들을 고려해봐야함을 상기시켜줬다.

Base64

웹 강의 들을 때, Base64 인코딩을 왜 하지 궁금했어서 오랫동안 찾아봤던 기억이 있다.

이 책이 정말 명확하게 잘 설명해놓았다는 생각이든다.

간단히 설명하면, 시스템마다 지원하는 인코딩이 다를 수 있지만, 현대의 시스템에서는 ASCII 문자는 거의다 호환이 된다. 그러므로 ASCII 로 데이터를 변환하는 것이다.

책의 저자는 기술의 단점과 장점에 대해 말을 많이한다.

xx가 단점이지만, 그 단점보다 이 장점이 중요하기 때문에 사용한다.

Base64 를 소개할 때는,  Base64 가 원본의 길이보다 늘어나는데 왜 쓰는 것일까? (단점) 거의 모든 시스템과 호환되는 ASCII 가 활용되기 때문에 데이터가 안전하게 전달되기 때문이다.(장점)

다른 챕터의 기술들에 대해서 무조건적인 찬양은 없다. A 기술은 보안이 뛰어나지만, 사용성 및 관리의 측면에서 단점이 있다.

그래서 균형있게 기술을 알아갈 수 있었던것 같다.

BurpSuite

다양한 툴들에 대해서도 소개해준다. 여기서는 BurpSuite 를 소개해주는데, 설치부터 설정, 수행, 결과까지 모든 한단계씩 알려줘서 프로그램을 안깔아봐도 따라갈 정도였다.

구글 검색 팁

정보수집에서 구글 검색 팁도 소개되는데, 일상적인 정보수집이 아니다보니 좋은 팁들이 많았다.

nmap

보안 공부할 때 정말 많이 나오는 nmap 에 대해서도 길게 설명해주니 읽어보면 좋겠다.

보안 공부한 뒤에 가끔 유튜브를 보면 nmap 을 정말 많이 사용하더라.

nmap 을 사용하기 위해서는 약간의 TCP 지식등이 필요한데, 툴 사용하면서 공부해보면 좋겠다.

해킹 공격

해킹방법에 대해서 알려줄 때, 여기어때가 공격당했던 사례에 대해서도 나왔다.

다양한 사례들이 있고, 내가 보안공부할 때도 들어보지 못한 실무자 입장에서의 내용들이 담겨있으니 읽어보면 좋겠다.

(제가 보안을 업으로 하지않아서 못들은 것일수도 있습니다)

책이 아주 두꺼워서 언제 읽지 했지만, 각 내용들이 알찼다.

두꺼운 만큼 실습도 자세하고, 설명도 자세했다.

단순히 개념이나 실습을 넘어서 사례나 작가의 생각이나 팁들을 제공해주면 정말 좋은 책이라고 생각한다.

그런 의미에서 이 책을 읽어봤으면 한다.

이번 책 리뷰는 한빛미디어 서평단 <나는리뷰어다> 활동을 위해서 책을 협찬 받아 작성된 서평입니다.

무려 3만명 수강생이 열광한 강의를 '한 권의 책'에 담았다고 하여 이 책, <크리핵티브의 한 권으로 끝내는 웹 해킹 바이블>을 꼭 읽고 싶었다.

책을 보내주신 감사함을 담아 반듯하게 세워놓고 기념촬영(?)을 마친 이 책의 모습이 위 사진이다.

책 타이틀 상단에 '소문난 명강의'라는 문구가 보이고 하단에는 '이론과 실습으로 익히는 완벽 웹 해킹 가이드'라는 문구에 주목되었다.

그럼 이 책의 저자 님부터 소개하면서 리뷰를 시작하겠습니다.

1. 저자

책날개 안쪽에 이 책의 저자 '하동민' 님에 대한 소개가 나왔다.

저자께서는 정보보안 업체에서 다년간 수많은 웹사이트를 대상으로 모의 해킹 프로젝트를 수행하셨고, 이에 따른 기술들을 알려주시다가 정보보안 교육을 하게 되셨다고 한다.

지금은 보안 실무자들에게 모의 해킹 훈련을 시켜주시면서 웹 해킹 인기 강사로 활동 중이라고 하신다.

2. 머리말과 책의 특징

 사진은 생략했지만 '추천사'에 이어 머리말(저자의 말)이 시작되었다. 

"2010년, 정보보안 공부를 처음 시작할 당시에는 관련 정보가 매우 부족해 많은 어려움을 겪었습니다. 해외 사이트를 이곳저곳 돌아다니며 단편적인 정보들은 얻을 수 있었지만 ... (중략) ..."

이렇게 시작된 머리말에서 저자께서는 십수년 전 본인이 정보보안 분야를 배울 당시의 어려움을 이야기 하시면서, 개발관련 책들은 수시로 나오는데 비해 보안관련 참고서가 너무 안나와서 이 분야의 바이블처럼 제대로 된 책을 직접 써야겠다고 다짐하게 되었다고 하셨다.

아울러 해킹 기법에만 너무 치중하지 말고, 이 책을 통해 탄탄한 기본기를 익히는 것이 더 중요하다고 강조하셨다.

위 사진은 '이 책의 특징' 중 일부 모습으로, 이 책이 목적하는 독자대상은 누구인지와 크게 세 파트로 나눈 이 책의 특징에 대해 찬찬히 설명해주셨다.

그리고 깃허브 사이트와 더 심화된 인프런 강의 사이트에 대해서도 안내해주셨다.

3. 목차 

위 사진은 이 책의 목차 중 첫페이지 일부 모습인데, 웹 해킹 바이블이라는 책 타이틀 답게 목차 페이지만 여섯 쪽에 달할 정도로 상세했다.

'웹 해킹 공격과 방어를 위한 기본적인 지식들' 로부터 '방어에 대한 이해와 실습'까지 총 3개 Part로 되어 있었고, 장(chapter)으로는 총 13개 Chapters로 구성되어 있었다.

이제 본문 중 일부를 보여드리겠습니다!

4. 본문 중에서

완벽 가이드 책 답게 183*235 사이즈에 950쪽 가까운 내용을 다 보여드릴 수는 없지만, 목차 순서에 맞추어 몇 곳을 보여드리면서 리뷰하겠습니다.

본문 리뷰는 쓴 내용이 너무 많아서 제 블로그에 자세하게 쓴 곳으로 링크를 달아드리겠습니다. 아래 링크를 눌러서 읽어주십시오.

https://blog.naver.com/zapaks/224052280292

​

위 링크를 눌러서 읽으셨으리라 감안하고, 이제 ‘일독을 마친 소감’을 간단히 쓰고 마치겠습니다.

5. 일독을 마치며

이 두꺼운 책을 약 2주 조금 넘는 기간에 일독 했습니다. 물론 이 방대한 내용을 다 익힌 건 아니고, 전체 흐름과 책의 가치는 충분히 발견한 시간이었습니다.

이 책 <웹 해킹 바이블>은 한마디로 높은 소장가치를 지닌 책이라 할 수 있겠습니다. 손에 잡힐 만한 위치에 두고 오랜 시간 저와 함께 할 것 같습니다.

보안에 관한 지식과 기술의 입문자부터 중급 이상자까지 갖고 있으면 좋을 책으로 추천드리고 싶습니다. <끝>

"한빛미디어 서평단 <나는리뷰어다> 활동을 위해서 책을 협찬 받아 작성된 서평입니다."

요즘 국내 유수의 대기업들이 해킹당했다는 뉴스가 심심찮게 들려오는데

나도 사실 보안에 크게 관심을 가지지 않고 있었다.

서버 백업도 제대로 안하고

SQL 인젝션이라던가 파일 업로드 취약점 점검이라던가

보안과 관련된 작업들을 제대로 하지 않고 있었다.

그러던차에

소문난 명강의 크리핵티브의 한권으로 끝내는 웹 해킹 바이블

이라는 책을 리뷰하게 되었다.

사실 책 제목이 신뢰성을 많이 떨어뜨리는 것 같지만

책 내용은 상당히 만족스러웠다.

요즘 개발 도서들은 환경 셋팅하는데 책의 상당한 분량을 할애하는데

이 책은 웹 구조와 해킹 방법들부터 소개하면서 시작한다.

물론 환경 셋팅도 하긴 하는데 그리 길지 않아서 좋았다.

해킹과 관련된 정보는 얻기가 상당히 어려운데

이렇게 책으로 강의형태로 접할 수 있다는게 상당한 장점이었고

웹 구조를 예시로 들어가면서 해킹 방법을 설명해준다는게 상당히 매력적이었다.

또한 보안 업체에서 일하게 될 경우에 대한 사례도 중간중간 언급해서 더 만족스러웠다.

웹 해킹에 대해 공부해보고 싶다면

유튜브나 인강도 좋지만 이렇게 바이블 형태로 정리해둔 책을 읽어보는 것도 추천한다.



SK그룹사에 보안 사고가 또 터졌다. 해킹과 보안에 관련된 이 책을 읽고 있는 와중에 이 사건이 터지니 감회가 새로웠다. 좀 더 현실적으로 다가오는 공포와 현실이 무섭기도 하다. 이 책을 읽고 나니 웹 해킹을 ‘기술 모음집’으로만 보던 시선이 바뀐다. 화면 뒤에서 웹이 어떻게 움직이는지, 물이 파이프를 타고 흐르듯 요청과 응답이 오가는 구조부터 차근차근 보여준다. 기본 개념을 먼저 튼튼히 깔아 주고, 그 다음에 공격과 방어를 연결해 이해시키는 흐름이라서, 처음 접하는 학생에게도 부담이 적을 것이다. 설명은 쉽지만 얕지 않다. 원리를 이해한 뒤 손으로 따라 해보게 하는 구성이어서 머리에만 남는 게 아니라 몸에도 익는다.

입문자에게는 친절한 안내서이고, 실무자에게는 흐트러진 개념을 다시 정리하게 하는 참고서이다. 저자는 “왜 이런 취약점이 생기는가”를 먼저 짚는다. 데이터가 들어오고 나가는 지점, 검증이 빠지는 순간, 권한이 엉키는 경로 같은 근본 원인을 집요하게 보여 준다. 그래서 단순히 눈앞의 허점을 찾는 데서 끝나지 않고, 코드와 시스템 레벨에서 위험을 줄이는 방향으로 사고가 확장된다. 이런 접근은 현장에서 바로 통한다. 실무 감각을 키워 주는 책이라고 평할 수 있다.

책의 전반부는 웹 기술의 기초와 웹 프록시 사용법으로 바탕을 다진다. 요청을 캡처해서 살펴보는 과정이 마치 경기 영상을 슬로모션으로 돌려보는 느낌이라 현장감이 살아 있다. 그다음에는 대표 취약점들을 원리 중심으로 다룬다. 예를 들어 입력값이 제대로 걸러지지 않을 때 어떤 위험이 생기는지, 브라우저가 스크립트를 어떻게 다루는지, 사용자의 의도와 다른 요청이 왜 문제인지 같은 맥락을 천천히 풀어 준다다. 파일 업로드, 다운로드, 파라미터 변조, 접근 통제 미흡처럼 실무에서 자주 만나는 주제들도 빼놓지 않는다. 각각의 장이 이론과 실습을 나란히 달리기 하듯 배치되어 있어 학습 흐름이 자연스럽다.

책의 내용은 차분하지만 현장 경험이 묻어난다. 단순한 정의 나열이 아니라, 실제 업무에서 마주칠 장면을 떠올리게 만드는 예시가 자주 등장한다. “이런 식으로 입력이 들어오면 서버는 이렇게 오해합니다”, “여기서 한 번만 검증이 새면 다음 단계에서 이런 일이 벌어집니다”처럼 사건의 앞뒤가 분명하게 연결된다. 덕분에 독자는 결과가 아니라 과정을 기억하게 된다. 이해가 되면 응용이 쉬워지고, 응용이 되면 방어도 빨라진다. 학습서로서의 완성도가 높은 책이라고 할 수 있다.

방어 관점이 균형 있게 다뤄지는 점도 장점이다. 취약점을 발견하는 눈을 키우는 동시에, 안전한 코드 작성과 설정 방법을 함께 익히게 한다. 입력 검증, 권한 분리, 세션 처리, 파일 처리, 접근 통제 같은 핵심 주제가 서로 얽혀 있다는 사실을 여러 각도에서 확인한다. 공격의 ‘트릭’을 외우는 대신, 시스템의 ‘약한 연결고리’를 식별하는 습관을 들이게 한다. 이는 장기적으로 훨씬 강력한 역량이 될 것이라고 확신한다.

보안은 신뢰를 지키는 일이다. 본서는 학습 목적의 실습을 권장하며, 실제 환경에서는 합법과 윤리를 철저히 지킬 것을 강조한다. 이런 태도가 책 전반에 흐르고 있어 학습의 방향이 건강하다.

결론적으로, 이 책은 웹 해킹의 기초부터 실전 감각까지 한 권으로 잇는 ‘단단한 길잡이’이다. 원리를 중심으로 사고하게 만들고, 실습으로 손을 움직이게 하며, 방어로 마무리하게 한다. 입문자는 길을 잃지 않고, 실무자는 시야를 넓힌다. 보안 학습자의 책장에 오래 남을 책이라고 자부한다. ㅋㅋㅋ 웹 취약점 진단을 막 시작한 사람에게도, 다양한 접근 방식을 찾는 현업자에게도 유효한 내용이다. 모의 침투와 정보보안에 관심 있는 모든 분께 자신 있게 권한다. 이 책을 끝까지 따라가면, 현장에서 통하는 보안 감각이 자연스럽게 자랄 것이다.

이번 SK쉴더스 해킹 사태를 통해 해킹과 보안에 대해서 조금 더 철저하고 고급스러운 기술의 IT 문화가 정착하기를 바라며 이 글을 마친다.



"한빛미디어 서평단 <나는리뷰어다> 활동을 위해서 책을 협찬 받아 작성된 서평입니다."

크리핵티브의 한 권으로 끝내는 웹 해킹 바이블

- SQL 인젝션부터 시큐어 코딩까지 이론과 실습으로 익히는 완벽 웹 해킹 가이드

무려 947 페이지나 되는 두께로 정말 바이블 같은 책이다.

Ch1 웹해킹에 대한 이해

Ch2 반드시 알아야 할 웹 해킹 기본지식

HTTP 기본구조 뿐만아니라 버프 스위트 사용방법까지 친절하게 설명한다.

특히 중요한 정보를 전송할때 일반적으로 Get 대신 Post 메서드를 사용한다고 설명한 부분은 굉장히 친절하다. 왜 문제가 발생할 수 있는지, Get을 쓰고 있다가 Post로 바꿨을 때 놓칠 수 있는 부분(로그 파일 점검)까지 설명한다.

Ch3 정보 수집

OSINT, WHOIS, 구글 해킹 등 꼭 필요한 정보들 위주로 구성되어있다.

구글 해킹 부분은 검색을 잘 하기 위한 방법으로도 활용할 수 있다.

Ch4 부터 본격적으로 취약점을 다룬다.

SQL 인젝션의 동작원리 부터 공격목표, 관련사례

해당 취약점의 발생 원인과 원리

취약점의 분석방법, 공격종류와 방법론까지

모두 상세한 캡쳐와 이미지 설명으로 정말 바이블이란 타이틀에 어울리는 설명을 해준다.

SQL 인젝션에 대한 내용만 240페이지를 차지할 정도로 비중있게 다루었다.

Ch4 SQL 인젝션 취약점

Ch5 커맨드 인젝션 취약점

Ch6 XSS 취약점

Ch7 CSRF 취약점

Ch8 파일 다운로드 취약점

Ch9 파일 업로드 취약점

Ch10 파라미터 변조 취약점

Ch11 URL 접근제한 미흡 취약점

각각의 취약점에 대해 공격단계와 방어단계를 구분지어 실습할 수 있게 설명하고 있다.

파일 업로드 취약점을 자세히 살펴보자

파일을 업로드할 경우 요청 메시지는 POST방식과 전혀 다르게 전송된다.

Content-Disposition과 Content-Type 부분에서 어떤 파일을 어떤 형식으로 업로드 하는지 확인할 수 있다.

웹셸 업로드를 위해서 첫번째 단계에서 업로드 기능을 찾아야 한다. 게시판과 같은 게시글 작성 페이지를 우선 살펴본다. “페이지 소스보기” 메뉴로 자바스크립트 코드가 작성된 부분을 확인하고 cheditor.js 를 통해 CHEditor를 사용한다는 것을 알 수 있다.

두번째 단계는 업로드 경로찾기다. 업로드 시 URL을 반환하는 경우와 그렇지 않은 경우를 구분해서 방식을 알려준다. 업로드 할때 URL이 반환되지 않는다면, 다운로드 기능에서 전달받는 데이터를 보는 방법이 있다.

세번째 단계는 실제 파일명 찾기다. 서버측에서 생성한 임의의 파일명으로 업로드 되는 경우 실제 파일명을 프록시 도구를 통해서 추론할 수 있다.

그리고 파일 검증 우회를 한다. 파일 확장자별 블랙리스트와 화이트리스트 방법이 있고 각각을 우회하는 기법을 설명한다. 확장자 뒤에 마침표나 공백을 넣으면 우회되는 경우가 있다.

그 밖에 유추가 어려운 웹셸 파일명을 사용하는 방법부터 테스트 전후 유의사항도 설명해준다.

Ch17에 파일 업로드 취약점을 방어하는 방법에 대한 설명이 있다.

확장자 검증, 서버측 파일명 생성, 올바른 업로드 경로 설정, 경로 조작방지

4가지 방법을 코드와 함꼐 설명하고 시큐어코딩 실습을 할 수 있도록 도와준다.

이 책을 통해 공격자의 뷰에서 시스템을 바라볼 수 있어서 좋았다.

확장자 제어와 실행방지만으로도 충분한 방어가 될 것이라고 생각했는데, 역시 보안은 다단계 방어가 최선이다. 방어자 관점에서 취약점 분석 가이드 들은 많이 봤지만, 역시 최고의 방어는 공격방식 분석 부터이다.

화이트해커를 꿈꾸거나, 보안관제, 취약점 담당자들에게도 깊이 있는 인사이트를 주는 바이블이 맞다!

오늘도 보안을 고민하고 계신 모든 분들이 참고할만한 책이다.