• 이거 불법 아냐?
  • 일상을 파고드는 해킹 스토리

  • 앤드류 휘테이커, 키트론 에반스, 잭 보스 지음
  • 이대엽 옮김

  • 보안 & 해킹 시리즈 _ 001
  • ISBN: 9788992939805
  • 22,000원 | 2011년 05월 18일 발행 | 320쪽



누구나 소설처럼 읽을 수 있는 해킹 이야기!

오늘날 각종 보도매체에서 손쉽게 접할 수 있는 보안 사고는 자연재해를 닮아 있다. 즉, 보안 사고는 전혀 예상하지 못했던 지점에서 일어나 엄청난 피해를 입히곤 한다. 하지만 인간이 거스를 수 없는 자연재해와 달리 해킹에 따른 피해는 얼마간의 노력으로 피해 규모를 최소화할 수 있다는 특징이 있다. 그렇다면 우리는 실제 해킹을 누가, 왜, 어떤 방식으로 하는지 알 필요가 있다. <이거 불법 아냐?>에서는 현실 세계에서 일어날 법한 해킹 사례를 각 시나리오별로 실감 나게 풀어헤친다. 이 책의 주인공은 주변에서 흔히 구할 수 있는 해킹 도구와 인간의 마음을 파고드는 수법으로 우리를 손쉽게 불법적인 해킹의 희생양으로 만들 수 있음을 보여준다. 아울러 각 시나리오에서 보여준 해킹 기법에 대한 실무적인 대응책은 해킹 공격으로부터 우리 스스로를 보호하는 데 크나큰 도움이 될 것이다. 독자는 이 책에서 모든 것이 연결돼 있는 오늘날, 누구든, 어떤 조직이든 해킹의 대상이 될 수 있음을 인식하고 앞서 언급한 ‘누가, 왜, 어떤 방식으로’에 대한 해답을 찾을 수 있을 것이다.

오늘날 가장 방어하기 힘든 연쇄 공격의 완벽 지침서: 연쇄 공격의 수행과 예방

오늘날 악질적인 해커가 단 하나의 익스플로잇이나 도구를 쓰는 일은 거의 찾아보기 힘들다. 대신 그들은 목표를 달성하기 위해 다양한 형태의 공격을 연쇄적으로 펼친다. 연쇄 공격은 훨씬 더 복잡다단하고 방어하기 어렵다. 그러한 연쇄 공격을 다루는 보안이나 해킹 서적은 소수에 불과하고 대부분은 아예 다루지도 않는다. 하지만 드디어 오늘날 가장 널리 퍼져 있는 연쇄 공격에 관한 정보를 전부 제공하고 연쇄 공격을 수행하고 예방하는 방법까지 다룬 책이 생긴 것이다.

『이거 불법 아냐?』는 이 같은 고급 해킹 기법을 생생한 사례를 통해 보여준다. 그러한 사례는 현실 세계의 공격 전략을 반영하고 오늘날 가장 널리 활용되는 공격 도구를 사용하며, 신용카드와 의료정보를 비롯한 실제 가치가 대단히 높은 목표물에 집중한다. 이 책은 무선 네트워크부터 물리적인 접근, 사회 공학에 이르기까지 해킹의 모든 측면들을 빈틈없이, 그리고 현실적으로 그려내고 있다.

이 책의 대상 독자는 보안, 네트워크, 기타 IT 전문가이며, 저자들은 각 공격을 단계별로 설명하고 기술적인 면과 인간적인 측면을 모두 아우르는 가장 효과적인 대응책을 소개한다.

★ 이 책에서 다루는 내용 ★

  • 사람들을 속일 만한 새로운 피싱 공격
  • 다른 사용자가 방문한 웹 사이트 파악
  • 무선 네트워크를 통한 IT 보안 침해
  • 경쟁자 웹 사이트 공격
  • 기업 스파이 활동과 예방
  • 보안이 적용된 파일 훼손
  • 비밀 의료정보 획득
  • 소셜 네트워크 사이트의 사용자 공격
  • 익스플로잇 제작
  • 기타 등등

 

뒷표지

피닉스는 눈 앞에 벌어진 일을 도저히 믿을 수 없었다. 은행 고지서가 한 사람에게 줄 수 있는 영향이라고 해야 별거 아니라고 생각하겠지만 이건 달랐다. PDXO 금융은행에서 보낸 고지서에는 자신이 마지막 신용카드 이용대금 상환 기간을 초과해서 이자율을 29퍼센트나 올린다는 내용이 적혀 있었다. 이 정도 이자율이라면 남은 12,000 달러를 갚을 가능성은 없었다. 망연자실한 피닉스는 은행에 이를 되갚아줄 계획을 짜기 시작했다.

처음엔 은행을 해킹해서 신용카드 빚을 없앨까 생각했다. 하지만 이렇게 하는 것은 너무 눈에 잘 띄고 의심을 받을지도 모른다. 대신 시스템이 침해된 것처럼 보이지 않게 하면서 신용카드 빚을 모두 청산할 다른 방법을 찾아야 했다. 고민 끝에 피닉스는 완벽한 계획을 생각해 냈다.

앤드류 휘테이커(Andrew Whitaker)

앤드류 휘테이커는 자연 과학부 석사를 수료하고 CISSP, CEI, LPT, ECSA, CHFI, CEH, CCSP, CCNP, CCVP, CCDP, CCNA, CCDA, CCENT, MCSE, MCTS, CNE, A , Network , Convergence , Security , CTP, EMCPA와 같은 관련 자격증을 보유하고 있다. 그는 공인된 전문가이자 강사이며, 침투 테스트와 보안 대응 분야에서 저자로 활동하고 있다. Enterprise InfoSec and Networking에서 근무하고 있으며 트레이닝 캠프에서 윤리적 해킹 과정의 전임 강사를 맡고 있다. 지난 몇 년 동안 윤리적 해킹 과정에서 수백 명에 달하는 세계 곳곳의 보안 전문가를 지도해왔다. 또한 그 과정은 월스트리트 저널, 비즈니스 위크, 샌프란시스코 게이트 등의 주목을 받기도 했다.

키트론 에반스(Keatron Evans)

키트론 에반스는 선임 침투 테스터이자 일리노이 주 시카고에 소재한 Blink Digital Security의 대표다. 침투 테스트, 취약점 평가, 사이버 포렌식 분야에서 11년 넘게 경험을 쌓았으며, 정기적으로 컨설팅 업무를 하고 이따금 네트워크 침투, SCADA 보안, 기타 관련 국가적인 규모의 인프라 보안을 주제로 여러 정부기관과 기업을 대상으로 교육하기도 한다. CISSP, CSSA, CEH, CHFI, LPT, CCSP, MCSE:Security, MCT, Security 등을 비롯한 다수의 정보 보안 자격증을 보유하고 있다. 침투 테스트를 하지 않을 때는 트레이닝 캠프와 그 밖의 보안 교육기관에서 윤리적 해킹과 사이버 포렌식 강의를 진행한다.

잭 보스(Jack Voth)

잭 보스는 24년 동안 정보 기술 분야에서 활동해왔다. 그는 CISSP, MCSE, LPT, CEH, CHFI, ECSA, CTP, Security , ACA, MCT, CEI, CCNA를 비롯해 수많은 관련 산업의 자격증을 보유하고 있다. 전문 분야로는 침투 테스트, 취약점 평가, 경계 보안, 음성/데이터 네트워크 아키텍처가 있다. The Client Server, Inc.의 공동 소유자이자 선임 엔지니어이며, 마이크로소프트, TIA(Telecommunications Industry Association, 미국통신산업협회), EC-Council, ISC/2, CompTIA를 비롯해 주요 조직을 대상으로 6년 넘게 강의를 해오고 있다.

이대엽

현재 책 만드는 일을 하고 있으며, 이따금 IT 관련 서적을 번역하기도 한다. 좋은 책을 펴내거나 직접 우리말로 옮겨 독자에게 전하는 데 크나큰 즐거움을 느끼며, 옮긴 책으로 『자율학습! 안드로이드 프로그래밍』, 『하이버네이트 완벽 가이드』, 『개념을 잡아주는 프로그래밍 정석』이 있다.

 

옮긴이 글

며칠 전 미용실에서 들러 머리를 깎다가 텔레비전으로 흘러나오는 뉴스를 듣다 보니 한 고등학생이 수천 대에 달하는 좀비 PC를 만들어 각종 인터넷 사이트를 공격, 사이트가 다운되거나 장애를 겪게 한 혐의로 검거됐다는 소식이 전해졌다. 그 학생이 중국에서 만들어진 DDoS 공격 프로그램을 이용해 각종 사이트에 피해를 입힌 이유는 단지 인터넷 모임 회원들에게 해킹 능력을 과시하기 위해서였다고 한다.

이제 고교생 해커라는 말은 뉴스에서 심심찮게 들을 수 있는 표현이 돼버렸다. 이는 과거처럼 시스템을 해킹하는 데 수준 높은 관련 지식이 필요한 것이 아니라 이제는 해킹을 돕는 각종 도구를 누구나 손쉽게 구해서 쓸 수 있기 때문이다. 해킹에 필요한 지식의 수준은 점점 더 낮아지고 피해의 심각도는 점점 더 높아지고 있으며, 해킹 사건/사고의 발생 빈도는 점점 더 잦아지고 피해의 규모는 점점 더 커지고 있다. 하지만 이러한 추세를 비웃기라도 하듯 일반 대중의 보안의식은 여전히 제자리걸음이다.

이 책은 피닉스라는 가상의 인물의 행적을 토대로 현실세계에서 일어날 법한 해킹 사례를 실감나게 보여준다. ‘현실세계에서 일어날 법한’이라고 했지만 이 책에서 보여주는 여러 단계에 걸친 해킹 공격, 즉 연쇄 공격은 오히려 비현실적일 만큼 정교하고 교묘하다. 이는 뉴스에 나온 고교생 해킹의 사례처럼 단지 해킹 능력을 과시하기 위해 좀비 PC를 만들어 웹 사이트를 공격하는 차원이 아니라 개인적인 보복이나 금전적인 이득을 목적으로 여러 단계에 걸쳐 특정 목표물을 계획적으로 공격하기 때문이다. 아울러 시나리오에 나오는 상황 설정과 해킹 수법을 전개할 때 보이는 우리네 보안의식과 환경들은 무참할 정도로 허술하기 그지없다.

이 책의 저자들도 언급했지만 보안은 단순히 보안 장비를 조직에 도입한다고 해서 저절로 보장되지 않는다. 각 시나리오에 등장하는 사회공학 기법들은 사람이라는 약한 고리에 의해 조직의 보안체계가 일순간에 허무하게 무너질 수 있음을 잘 보여준다. 치밀하게 준비해서 감행하는 해킹 수법보다 세 치 혀로 인간의 약점을 교묘히 농락하는 사회공학 기법을 보면 ‘설마 이렇게 쉽게 당할라고?’라고 생각할지도 모르지만 여전히 보이스 피싱과 같은 수법이 기승을 부리는 것을 보면 그렇지도 않은 듯하다.

아울러 이 책에서 발생하는 각종 보안사고는 아주 복잡하거나 심층적인 기술이나 기법을 통해 일어나지 않는다. 대신 가장 기본적인 보안 수칙을 따르지 않아서 일어나는 것들이 대부분이다. 각종 매체에서 떠들썩하게 다루는 보안사고가 나와는 무관한 일이라 생각할지도 모르지만 보안의식을 견지하지 않고 보안사고가 나와는 전혀 무관한 일이라 치부하는 순간 언제든 책에서 소개하는 시나리오의 희생양이 될 수 있다.

보안사고는 피해의 흔적을 실제로 체감하기가 어려운 까닭에 자칫 간과할 가능성이 높고 피해의 심각성을 따지자면 여느 자연재해로 말미암은 피해규모와 맞먹거나 오히려 능가하기도 한다. 결국 보안사고를 예방하려면 인적/기술적인 측면은 물론이고 개인적인 차원과 조직적인 차원에서 다면적으로 노력해야 한다. 이 책의 각 장에서 소개하는 대응책이 이 같은 보안사고 예방에 도움됐으면 한다.

  • 1장 신용카드 도용
    • 상황 설정
    • 접근법
    • 연쇄 공격
      • PDXO 웹사이트 목록화
      • 신용카드 데이터베이스 목록화
      • 웹사이트에서 신용카드 정보 빼내기
      • 암시장에 신용카드 정보 판매하기
      • PDXO 웹사이트 해킹하기
      • 연쇄 공격 정리
    • 대응책
      • 기본 HTTP 응답 헤더를 변경한다
      • 개발자 사이트를 외부에서 접근 가능하지 못하게 한다
      • SQL Server를 IIS와 같은 장비에 설치하지 않는다
      • 웹 폼의 입력 내용을 대상으로 정상성 점검을 한다
      • 기본 위치에 IIS를 설치하지 않는다
      • 웹사이트를 읽기 전용으로 만든다
      • SQL 데이터베이스에서 불필요한 저장 프로시저를 제거한다
      • 데이터베이스에 기본 사용자명과 비밀번호를 쓰지 않는다
      • 고객을 위한 대응책
    • 결론
    •  
  • 2장 인터넷 사용 기록 감청
    • 상황 설정
    • 접근법
    • 세부 정보
    • 연쇄 공격
      • 피싱 사기
      • 실행파일 설치
      • 피싱 사이트 준비
      • 미누샤 씨에게 이메일 보내기
      • 상사의 컴퓨터 찾아내기
      • 상사의 컴퓨터에 연결하기
      • WINPCAP
      • 패킷 캡처 분석
      • 이미지 재구성
      • 그 밖의 가능성
      • 연쇄 공격 정리
    • 대응책
      • 피싱 사기에 대한 대응책
      • 트로이 목마 애플리케이션에 대한 대응책
      • 패킷 캡처 소프트웨어에 대한 대응책
    • 결론
    •  
  • 3장 경쟁사 웹사이트 해킹
    • 상황 설정
    • 접근법
    • 상세 정보
    • 연쇄 공격
      • 공격 #1: 테스트
      • 공격 #2: 유효한 공격 방법
      • 인질 웹사이트에 접근하기
      • 모의 해킹 실험
      • 인질 웹사이트 수정하기
      • 그 밖의 가능성
      • 연쇄 공격 정리
    • 대응책
      • 자사에 관한 정보를 수동적으로 찾아보는 해커에 대한
      • 대응책
      • ICMP를 통한 DDoS 공격에 대한 대응책
      • HTTP와 기타 프로토콜을 통한 DDoS 공격에 대한 대응책
      • 허가되지 않은 사이트 수정에 대한 대응책
      • 내부 직원에 의한 침해에 대한 대응책
    • 결론
    •  
  • 4장 기업 스파이
    • 상황 설정
    • 접근법
    • 연쇄 공격
      • 사전 조사
      • 물리적인 접근
      • 해킹 수행
      • 병원 공격하기
      • 그 밖의 가능성
      • 연쇄 공격 정리
    • 대응책
      • 물리적인 보안 및 접근 시스템 침해에 대한 대응책
      • 스캔 공격에 대한 대응책
      • 사회공학 기법에 대한 대응책
      • 운영체제 공격에 대한 대응책
      • 데이터 도난에 대한 대응책
    • 결론
    •  
  • 5장 서로 연결된 기업
    • 상황 설정
    • 접근법
    • 연쇄 공격
      • 사전조사
      • 사회공학 공격
      • 심층적인 사전조사
      • 적극적인 사전조사
      • 익스플로잇 기반 구축
      • 익스플로잇 테스트
      • 핵 실행
      • 루트킷 제작
      • 연쇄 공격 종료: 최종 결과
      • 그 밖의 가능성
      • 연쇄 공격 요약
    • 대응책
      • 회사에 관한 정보를 광범위하게 수집하는 해커에 대한 대응책
      • 비주얼 IQ의 사회공학 공격에 대한 대응책
      • 비주얼 IQ 소프트웨어의 침입에 대한 대응책
      • 퀴지 홈 네트워크의 와이파이 공격에 대한 대응책
      • 키로거 공격에 대한 대응책
    • 결론
    •  
  • 6장 의료기록 유출
    • 상황 설정
    • 접근법
    • 상세 정보
    • 연쇄 공격
      • 사회공학 기법 및 편승 기법
      • 물리적으로 접근하기
      • 크노픽스를 이용한 윈도우 계정 탈취
      • 개인 식별 정보나 보호 의료 정보 변경
      • 연쇄 공격 정리
    • 대응책
      • 사회공학 기법 및 편승 기법
      • 자물쇠 따기
      • 생체인식 기기 무력화
      • PC에 침투하기
    • 결론
    •  
  • 7장 소셜 네트워크 사이트 공격
    • 상황 설정
    • 접근법
    • 연쇄 공격
      • 가짜 마이스페이스 웹사이트 제작
      • 재지정 웹사이트 제작
      • 마이스페이스 페이지 생성
      • 댓글 달기
      • 계정 공격하기
      • 해킹한 계정에 로그인하기
      • 결과 확인
      • 연쇄 공격 정리
    • 대응책
      • 소셜 네트워크 사이트를 이용하지 않는다
      • 비공개 프로필을 사용한다
      • 링크 클릭을 조심한다
      • 나를 친구로 등록한 사람에게 내 성과 이메일 주소를
      • 물어본다
      • 너무 많은 정보를 올리지 않는다
      • 사용자명과 비밀번호를 입력할 때 주의한다
      • 강력한 비밀번호를 사용한다
      • 비밀번호를 자주 변경한다
      • 피싱 방지 툴을 사용한다
    • 결론
    •  
  • 8장 무선 네트워크 해킹
    • 상황 설정
    • 접근법
    • 상세 정보
      • 액세스 포인트를 통한 네트워크 접근
    • 연쇄 공격
      • 액세스 포인트에 접속하기
      • 마이크로소프트 커베로스 사전인증 공격 수행하기
      • 레인보우크랙을 이용한 비밀번호 크랙
      • 컨트리 클럽 자료 훔쳐내기
      • 연쇄 공격 정리
    • 대응책
      • 안전한 액세스 포인트
      • 적절한 액티브 디렉터리 구성
      • 침입 방지 시스템이나 침입 탐지 시스템을 사용한다
      • 주기적으로 백신 소프트웨어를 업데이트한다
      • 컴퓨터 네트워크 보안 점검 목록
    • 결론

도서 소개자료

관련 글