[북리뷰] 핸즈온 해킹

이번달 한빛출판사의 '나는 리뷰어다' 프로그램에서 선정된 도서는 <핸즈온 해킹> 입니다.

제목에서 말하듯이 체험할 수 있고 따라할 수 있는 다양한 해킹 기술을 익히고자 하는 사람에게 길잡이가 되어주는 책입니다.

 

책 구성은 다음과 같습니다.

총 15장으로 구성되어 있습니다.

1장 기업에 해커가 필요한 이유와 2장 윤리적이고 합법적인 해킹에서는 기업에 위협이 될만한 공격으로부터 자산을 보호하기 위해 해커가 필요한 이유와 구성방식 그리고 이러한 악의적이 아닌 기업의 자산 보호를 위해 일하는 해커가 어떤 자세로 해킹에 임해야 하는지에 대한 어찌보면 해커가 가야할 길에 대한 가이드가 되는 장입니다.

3장 가상 해킹 환경 구축에서는 이후 책을 보면서 실습할 환경을 구축하는 단계입니다. 이 장에서 구성한 가상 환경을 이후 계속해서 사용하기 때문에 이 장에서 하라는 그대로 따라해야 실습이 훨씬 쉬워집니다.

4장 공개출처 정보 수집은 구글을 비롯해 공개된 사이트에서 노출되는 정보를 탐색하는 방법입니다. 요즘 악의적인 해킹 뿐 아니라 OSINT도 상당히 중요하게 다뤄지고 SECON이나 ISEC, PGE 등 정보보호 컨퍼런스에서도 계속해서 발제 주제로 나오는 만큼 여기에서 나오는 방법을 업무중에 적용시켜 봐도 좋을 것 같습니다.

5장 DNS, 6장 이메일, 7장 웹 서버 취약점, 8장 가상사설망, 9장 파일과 파일공유, 10장 유닉스, 11장 데이터베이스, 12장 웹앱, 13장 마이크로소프트 윈도우, 14장 패스워드까지는 모두 해당 장에서 얘기하고자 하는 시스템을 설명하고 실제 실습을 해볼 수 있도록 가이드를 하고 있습니다. 개인적으로 모의해킹에 관한 책도 여러번 봤고 실습도 여러번 해본 입장에서 보자면 이 책이 그동안 본 다른 책보다 좋다고 느끼는 가장 큰 부분은 설명에 관한 부분이었습니다. 예를 들어 5장 DNS를 보면 DNS 구동원리나 그 밖에 원리 등 해당 서비스에 관한 이론을 충분히 습득시킨 후 DNS 공격에 대해 실습을 해볼 수 있도록 구성이 되어 이론적인 기반을 쌓고 실질적인 해킹 방법으로 넘어가도록 하고 있어 이론적 지식과 이를 활용할 수 있는 실질적인 경험을 기를 수 있다는 점이 다른 모의해킹 도서와 차별점을 갖는 가장 좋은 점이라는 생각이 들었습니다.

마지막장인 보고서 작성에서는 기업의 자산 보호를 위해 해킹을 수행하는 해커라면 반드시 필요한 스킬인 보고서 작성에 대해 얘기하고 있습니다. 물론 현장에서는 템플릿을 갖고있는 경우도 많기는 하지만 기술적인 업무를 수행하는 사람들이 상당히 어려워하는 보고서에 대해 어떻게 작성해야 하는지를 가이드하고 있기 때문에 필요없다고 생각하고 넘기지 말고 꼭 모의해커가 봐야하는 부분이라고 생각하고 실습까지 꼭 병행해 보라고 권하고 싶습니다.

리뷰어 프로그램을 통해 받은 책이기 때문에 한정된 시간 안에 이 책을 모두 읽어야 했고 모든 실습을 다 해보면 시간이 너무나 오래 걸리기 때문에 모든 실습을 수행하지는 못했습니다만 너무나 쉽게 따라할 수 있게 구성이 된 만큼 시간을 두고 테스트 환경에서의 실습과 이를 기반으로 회사의 개발환경을 대상으로 실습하고 취약점을 찾아내게 된다면 시간을 쪼개 책을 본 보람은 충분하지 않을까 싶습니다.

 "한빛미디어 <나는 리뷰어다> 활동을 위해서 책을 제공받아 작성된 서평입니다."