메뉴 바로가기 검색 및 카테고리 바로가기 본문 바로가기

한빛출판네트워크

실무자가 말하는 모의해킹

진로 고민부터 실무 투입까지, 모의해킹 업무를 선택한 당신을 위한 조언

한빛미디어

집필서

절판

  • 저자 : 조정원
  • 출간 : 2017-09-11
  • 페이지 : 224 쪽
  • ISBN : 9788968488757
  • 물류코드 :2875
  • 초급 초중급 중급 중고급 고급
4.3점 (3명)
좋아요 : 31

모의해커를 꿈꾸는 후배에게 들려주는 멘토의 현장 에세이

 

모의해킹을 다루는 전문 기술서는 많지만, 국내 모의해킹 분야로의 진출을 꿈꾸는 입문자의 불안과 궁금증을 속 시원하게 해결해주는 입문서는 없다. 보안 분야에 10년 이상 종사한 필자는 이 책에서 ‘모의해킹’이라는 주제에 관한 입문자의 각종 궁금증을 자신의 경험에 비추어 구체적으로 풀어준다. 기술적인 내용은 최소화하고 필요한 경우에는 최대한 알기 쉽게 풀어 설명했다. 모의해킹 업무를 진로로 선택한 학생들과 이제 막 업무를 시작한 직원들은 이 책을 다 읽고 나면 앞으로 맞이할 업무에 관해 더 명확하고 구체적인 그림을 그려볼 수 있을 것이다.

 

모의해킹-상세이미지(733px).jpg

 

조정원 저자

조정원

보안프로젝트(www.boanproject.com) 대표로 후배 양성을 위한 교육 사업을 하고 있다. 에이쓰리시큐리티에서 5년 동안 모의해킹 컨설턴트를 하였으며, 모의해킹 프로젝트 매니저, 웹 애플리케이션, 소스 코드 진단 등 다양한 영역에서 취약점 진단을 수행하였다. 이후 KTH 보안팀에서 모바일 서비스, 클라우드 서비스 보안, 침해사고 대응업무와 KB증권에서 보안파트 업무를 하였다.

주요 저서로는 『안드로이드 모바일 앱 모의해킹』(에이콘출판, 2017), 『비박스를 활용한 웹모의해킹 완벽 실습』(한빛미디어, 2017), 『IT엔지니어의 투잡, 책내기』(비팬북스, 2016), 『파이썬 오픈소스도구를 활용한 악성코드 분석』(에이콘출판, 2016), 『버프스위트를 활용한 웹 모의해킹』(한빛미디어, 2016), 『워드프레스 플러그인 취약점 분석과 모의해킹』(한빛미디어, 2015), 『IT엔지니어로 사는법 1』(비팬북스, 2015), 『안드로이드 모바일 악성코드와 모의해킹 진단』(에이콘출판, 2014), 『모의해킹이란 무엇인가』(위키북스, 2014), 『칼리리눅스를 활용한 모의해킹』(에이콘출판, 2014), 『디지털 포렌식의 세계』(인포더북스, 2014), 『크래커 잡는 명탐정 해커』(성안당, 2010) 등이 있으며, 보안프로젝트 멤버들과 함께 다양한 영역에서 활동하고 있다.

 

 

 

1장. 모의해킹 업무를 이해하는 시간

 

1.1 모의해킹을 해야 하는 이유는 무엇일까?

1.2 버그헌팅 프로그램을 하기 전 ‘윤리’

1.3 버그헌팅과 모의해킹을 왜 다르게 생각할까?

1.4 고객과 협의 미팅을 할 때 꼭 물어봐야 할 것

1.5 환경 분석, 공개된 서비스에서는 어떤 정보가 노출될까?

1.6 서비스를 이해해야 스트레스를 받지 않는다

1.7 프로젝트 진단 완료 후 해야 할 것

1.8 실무에서 취약점 진단 조치는 어떻게 하나?

1.9 모의해커 관점에서 솔루션 검토의 중요성

1.10 무선 AP 취약점에서 봐야 할 큰 포인트

 

2장. 모의해킹 취업 준비 프로젝트를 할 때

 

2.1 해킹 범죄 뉴스에서 시나리오를 생각하자

2.2 꼭 시나리오 기반으로 해야 할까?

2.3 항상 시나리오를 고민하자

2.4 체크리스트 기반 인프라 진단의 중요성

2.5 공격 지점으로 알아보는 모의해킹 방법

2.6 가상 이미지를 활용한 테스트 환경 구축 및 활용

2.7 3개월 공부 모임마다 마침표를 찍자

2.8 보안 정보는 어떻게 수집할 수 있을까?

2.9 프로그래밍은 보안 중심으로 필요한 만큼 준비하자

 

3장. 모의해킹 진로를 선택했다면?

 

3.1 진로를 고민할 때 가장 먼저 무엇을 생각해야 할까?

3.2 포트폴리오를 준비하는 자세는?

3.3 연구 결과물 사례를 통한 학습 방법의 이해

3.4 모의해커에게 필요한 3박자: 기술·보고서·발표

3.5 책 안에서 보고서 작성 방법을 익히자

3.6 이력서는 여기저기 막 던지는 게 아니다

3.7 이력서에 학원을 다녔다고 쓰면 탈락할까?

3.8 작은 회사부터 시작해도 대기업/공공 기관에 입사할 기회는 많다

3.9 면접 볼 때 참고하면 좋은 질문지

 

4장. 모의해킹 분야에서 사회 초년생이 되었을 때

 

4.1 사회로 진출하는 후배들에게 해주고 싶은 조언

4.2 실무에서 사용되는 모의해킹 업무들 간의 차이점

4.3 보안 관제에서 모의해킹도 고민하고 싶다면

4.4 업무를 할 때는 작은 것도 소홀히 하지 말자

4.5 자신을 알릴 수 있는 방법을 고민하자

4.6 오랫동안 이 분야에 있고 싶다면 시장을 키워야 한다

★ ‘모의해킹’ 업무로 진로를 선택한 학생, 취업 준비생, 직무 전환자를 위한 가이드

 

보안 업무에만 10년 이상 종사한 조정원 저자는 연간 200회 이상의 온·오프라인 강의를 소화하는 유명 강사이자 십수 권의 저서를 출간한 보안 전문가다. 저자는 이 책에서 자신의 필드 경험을 바탕으로 IT 보안, 특히 모의해킹 업무와 관련한 직무를 고민 중인 이들에게 실질적 도움이 될 이야기를 전달한다.

 

모의해킹이라는 업무가 도대체 무엇인지, 실제 해당 업무를 수행하는 데 필요한 사전 지식이나 마음가짐은 어떤 것이 있는지, 취업 준비를 할 때 유용한 팁은 무엇인지 알려주고 실제 모의해킹 업무를 시작하려는 이들에게 선배로서 해주고 싶은 조언을 차근차근 이야기한다. 특히 다수의 강의를 진행하면서 ‘모의해킹’이라는 주제에 관해 참석자로부터 받았던 질문과 그에 대한 대답을 곳곳에 실어 현장감을 더했다. 

 

효과적인 메시지 전달을 위해 기술적인 내용은 최대한 배제했으며, 있더라도 쉽게 풀어 설명했다. 이 책이 진로를 고민 중인 독자의 결단에 보탬이 되었으면 하는 바람이다. 

 

주요 내용

 - 1장: 모의해킹을 진로로 선택하기에 앞서 고민해봐야 할 내용

 - 2장: 모의해킹 취업 공부에 필요한 환경 설정과 마음가짐 

 - 3장: 진로 선택 뒤 모의해킹을 익힐 때 숙지해야 할 중요 사항

 - 4장: 현재 모의해킹 업무에 종사하는 사회 초년생, 또는 예비자에게 들려주고 싶은 이야기 

 

대상 독자

 - 보안 분야에 관심 있는 일반인, 직장인

 - IT 보안 관련업체 면접을 준비하는 취업 준비생

 - 모의해킹 컨설턴트/관리 업무를 진로로 선택하려는 학생

 - 모의해킹 컨설턴트/관리 업무를 막 시작한 사회 초년생

 - 보안 업무에 분야에 종사하면서 자신의 경험을 나누고 싶은 독자

이 책을 처음 접한건 저자가 운영하는 보안프로젝트 페이스북 그룹에서였습니다. 현재 기설적 보안보다는 관리적 보안에 치중된 보안담당자로 일하고 있어 보안프로젝트에서 좋은 정보를 많이 얻고 있었기 때문에 모의해킹이라는 컨설팅 업무 중 지극히 기술적인 부분에 대해 어떻게 써 내려갔을지 궁금하기도 했습니다.

 

이 책을 읽고난 후 느끼는 바는 결론부터 말씀드리자면 IT를 처음 접하면서 바로 모의해커를 꿈꾸는 사람이 보기에는 약간 어렵지만  IT를 공부했거나 특히 다른 IT업계에서 벗어나 모의해킹 분야로 가고자 하는 사람의 진로설정에는 엄청난 도움이 되겠다는 것입니다.

 

분명 이 책은 기술서는 아닙니다. 오히려 기술에 대한 내용은 거의 없습니다. 다만, 모의해커로 진출하려는 사람들에게 어떻게 공부를 해야하고 어떻게 취업준비를 해야하는가를 알려주는 책입니다. 기술적인 내용은 책에서도 다른 책을 소개하고 있습니다만 이 책의 저자인 조정원씨의 다른 책이 이미 시중에 많이 나와있습니다. 저 역시도 저자의 책이 공부하는데 많은 도움이 되고 있습니다.

 

책은 크게 4챕터로 구성되어 있습니다.

 

첫번째. 모의해킹 업무를 이해하는 시간.
취업준비를 하는 사람들이라면 가장 지루한 챕터가 아닐까 싶습니다. 나는 당장 취업에 도움되는 얘기를 듣고자 이 책을 샀는데 모의해킹이란 무엇이냐라는 얘기부터 한다면 당연히 와닿지는 않겠죠.. 하지만 컨설턴트를 고용해 ISMS 인증심사를 준비하는 제 입장에서는 상당히 와닿는 챕터가 오히려 첫번째 챕터였습니다.

 

두번째. 모의해킹 취업준비 - 프로젝트를 할 때.
이제 본격적으로 모의해커로서 어떤 식으로 프로젝트를 진행햐아 하는지가 나옵니다. 이 챕터를 잘 보면 어떤 환경을 구축해서 취업 전까지 그리고 취업한 후에도 실 사이트에 모의해킹을 할 수 없기에 어떻게 모의해킹 프로젝트를 할지 고민해 볼 수 있습니다. 물론 대부분의 답은 이미 정해져 있고 책에 있습니다.

 

세번째. 모의해킹 진로를 선택했다면?
정말 취업을 하는 단계입니다. 이직을 원하는 사람보다는 사회에 첫발을 내딛는 사람들에게 훨씬 중요한 챕터입니다. 다만, 그동안 기술만을 만져온 엔지니어나 개발자라면 반드시 필요한 발표와 보고서에 관한 내용이 있으니 건너뛰는 것은 권장하지 않습니다. 물론, 난 발표, 보고서, 문서작성, 이력서 작성은 누구보다 잘 할 수 있다고 하는 사람은 상관 없습니다만 안타깝게도 이 모든것에 기술적 실력까지 갖춘 사람들 본 적은 없는 듯 하네요...

 

네번째. 모의해킹 분야에서 사회 초년생이 되었을 때
사회 진출 후 또는 전직을 하려는 사람들이 봐야 할 챕터입니다. 결국 경력관리 내용인거죠.. 이 챕터는 비단 모의해커 뿐 아니라 컨설턴트, 나가서는 IT를 업으로 하는 모두에게 필요한 내용인 듯 합니다.

개인적으로 저는 모의해커를 꿈꾸는 사람은 아닙니다. 현재 관리적 보안 업무를 하고 있고 이 길을 떠나고 싶은 생각은 없습니다만, 보안업무 중에 컨설턴트를 고용하고 일부 모의해킹은 직접 해야 하는 사람으로서 몇몇 장을 제외한 내용은 엄청 큰 도움이 되는 책입니다.

 

저에게 이 책을 누구에게 추천하고 싶냐고 한다면 매일 컨설턴트와 싸우는 기업의 보안담당자나 기술적 보안이 아닌 다른 IT 분야에서 모의해킹으러 전직하려는 사람들을 취업준비생보다 우선으로 두고 싶습니다. 하지만 모의해킹이라는 분야에 관심이 있는 누구에게라도 모의해커에게 필요한 기술적 역량 외의 다른 역량에 대해 고민할 수 있는 길을 마련해 주는 책이기에 이 분야에 관심을 두는 누구라도 그리 많은 시간을 들이지 않고 읽어보기에 좋은 책이 아닌가 싶습니다.

 

회사에서 최근 제품에 대한 검증을 받게 되었다. 그러다 보니 당연히 보안관련해서 모의해킹도 포함이 되었다. 개발하면서 해킹 관련해서 관심이 없었는데 막아야 하는 입장이 되다보니 이것저것 찾아보기 시작했다. 그래서 "나는 리뷰어다" 선정되어서 책을 고를때 이 책이 바로 맘에 들었다. 

 

 

책은 각각의 주제에 대해서 챕터 별로 나눠져 있다. 그리고 그 주제에 대해서 소개 또는 설명을 해주는 형태로 구성이 되어있다. 글 제목에서도 나와있듯이 실제 실무자로 활동한 저자분께서 직접 경험한 이야기와 방법들이 자세히 설명이 되어있다. 내가 이 분야를 많이 알고 있지는 않지만 모의 해킹이라는 내용속에 다양한 사상이 들어있다는 것을 처음 알게 되었다. 내가 생각을 했던 단순히 패킷을 가로채서 정보를 빼내는것 뿐만 아니라 그것을 하기 위해서 생각해야하는 시나리오, 그리고 기술, 또 윤리의식등 생각할게 정말 많은 분야였다. 

 

 

그리고 중간중간 이렇게 질문에 대한 답변 형식으로 Q&A 같은 항목이 있어서 책을 읽으면서 또는 관련된 업무를 하면서 나올수 있는 질문에 대한 답변도 들을 수 있다.

 

 

3, 4 챕터에서는 모의 해킹이라는 진로에 대해서 해볼수 있는 고민들에 대한 내용을 담아주었다. 이 부분은 모의해킹 관련 직업 뿐만 아니라 직장을 들어가려고 준비하는 취업준비생들, 그리고 이제 막 입사한 신입사원들에게 똑같이 도움이 될수 있을것 같다. 아무리 분야가 다르더라도 분명이 똑같은 고민을 하는 사람들이 많고 그 고민을 해결하기 위해서 수많은 사람들이 멘토를 찾는 것처럼 이 책이 그런 조언을 해줄 수 있을 거라 생각이 든다. 

 

 

책 내용 중 이런 내용이 있다.

 

솔루션 업체들이 "이것은 비현실적인 공격인데요?" 라는 질문을 던질 때 '취약점' 이라는 답을 하고 싶다면, 항상 공격자 입장에서 생각하고 영향도를 고민해봐야 한다. 

 

정말 저 말은 내가 검증받을 때 많이 했던 생각이었다. 이런 비현실적 공격이 있을수 있나요 라는.. 하지만 생각해보면 공격자가 정상적인 경로로 공격할리는 없다는 것을 금방 깨달을 수 있다. 결론은 취약점이고 그로 인한 영향이 크고 작건간에 발생할 여지가 생긴다. 저부분을 읽고 어찌나 부끄럽던지 얼굴이 화끈 거렸다. 

 

이책은 일부 기술적인 내용이 포함이 되어있지만 모의 해킹에 대한 기술서적은 아니다. 하지만 모의 해킹에 대해서 알지 못하는 사람들에게 충분히 어떤 분야라는 것을 알려줄 수 있는 책이다. 나 또한 제대로 알지 못하는 사람중 하나였고 이 책 덕분에 좀더 잘 이해할 수 있었다. 

 

http://blusky10.tistory.com/315

연예인들은 화려해 보인다. 그러나 그 뒤에 나름 치열하고 힘든 면이 있듯이 세상의 모든 일은 밖에서 보는 것과 안에서 겪는 현실이 다르다. 마찬가지로 모의해킹을 한다고 하면 뭔가 멋있어 보인다. 그것은 그동안 내 인식 속의 모의해킹이 '침투 테스트를 하는 것'으로 막연히 정의하고 있었기 때문이다. 침투에 성공하면 얼마나 신나고 멋진 일인가? 하지만 모의해킹을 직업으로 가질 때도 항상 신나고 멋진 일만 있을까? 저자는 모의해킹의 개념적 정의보다 '직업으로서의 모의해킹'이 무엇인지를 말하고 싶었던 것 같다. 즉 이 바닥의 현실이 어떠한지를 잘 설명하고 싶었던 것 같다.

 

따라서 이 책은 모의해킹 업무에 관심이 많은 자에게 우선 적합하다. 특히 이 바닥에 발을 담그고자 하는 취업 준비생들이나 학생, 보안인들이 읽으면 좋을 것 같다. 모의해킹이 무엇인지 이해하는 것도 좋지만 실제로 무슨 일을 하는지 이해하고 준비하는 것이 더 중요하기 때문이다. 평소 머릿속에서 상상하고 있는 모의해킹이 아닐 수도 있고 미처 생각지 못한 많은 부수적 업무들과 변수들이 존재하기 때문이다.

 

가령 모의해킹을 컨설턴트의 역할로서 수행해야 하는 현실, 고객과의 협의의 중요성, 중요한만큼 쉽지 않은 고객과의 대화, 모의해킹 과정 중 고객 시스템의 가용성을 해칠 가능성, 제한된 모의해킹 범위와 한계, 내세울 만한 취약점을 찾지 못했을 때의 스트레스, 모의해킹 이후 잘못된 뒤처리로 인한 위험 부담, 모의해킹 이후 과도한 보고서 작성의 부담감, 새로운 취약점을 공부하고 찾고 연구해야 하는 끊임 없는 자기계발의 숙명, 그러나 자기계발의 시간이 주어지기 힘든 현실 등 이곳에 다 나열하기도 힘든 수많은 현실적 이슈들이 나온다.

 

공부하던 학생 시절에는 그저 침투하는 재미에 빠져 즐겁게 공부했을지 모른다. 그러나 사회에 진출하여 모의해킹이 '업무'가 되었을 때는 고려해야 할 것이 산더미 같다는 것을 알게 될 것이다. 그 외에 모의해킹 및 보안컨설팅과 관련된 산업 자체가 단가 후려치기로 인해 겪는 구조적 어려움. 그 안에서 쉽지 않은 연봉인상과 인력관리 등 다양한 현실적 이슈들을 풀어내고 있다. 

 

이렇게 이 바닥의 현실을 잘 풀어낼 수 있는 것은 저자가 오랜 기간 모의해킹 업무를 했기 때문으로 보인다. 뭐든지 한 분야에서 오랜 기간 있으면 그동안 해온 업무패턴과 조직문화에 매몰되어 화석과 같이 경직되고, 모든 잘못된 일도 당연한 것으로 여길 수 있다. 그러나 저자는 끊임 없는 자기계발을 하면서 이 현실적인 문제들을 극복하고, 그 과정에서 모의해킹 업무를 더 효율적으로, 효과적으로 발전시켰던 것으로 보인다. 한편의 자기계발서라고 해도 과언이 아닐 정도로 자기계발의 대한 조언이 많고, 모의해킹 업무를 어떻게 효과적, 효율적으로 할 수 있는지도 배울 수 있다.

 

또한 이 바닥을 객관적으로 서술 할 수 있는 것은 아무래도 지금 저자가 모의해킹 업무를 하지 않고 있기 떄문인 것으로 보인다. 오랜 기간 모의해킹을 하다가 관리직군에서 근무하는 등 이후 다양한 경험을 했기 때문이 아닐까 싶다. 자신이 경험했던 것을 외부에서 바라볼 때, 혹은 미래에서 과거를 돌아볼 때 객관성을 갖을 수 있기 떄문이다. 

 

이처럼 이 책은 절대로 기술서가 아니다. 저자의 인생 경험이 담긴 에세이다. 물론 그 인생 경험은 보안 직군에서 한해서 다루고 있다. 당연히 청년시절이나 가족사 같은건 없으니 걱정하지 않아도 된다. 사회에 나갔을 때 겪게 되는 어려움, 현실과 이상의 괴리감은 사실 어떤 직장인이나 다 겪는 공통적인 현상이다. 그러나 그 사회의 현실을 누구도 현실을 구체적으로 이야기해주는 사람은 없다. 

 

이 책을 읽고 든 느낌은 마치 친한 정보보안 동아리 선배가 술자리에서 아끼는 후배를 위해서 하는 진심어린 조언과 같은 느낌이다. 기술적인 내용은 거의 없으니 비교적 편안한게 읽을 수 있었다. 개인적으로 이 책을 읽었으면 하는 또 다른 사람들이 있는데, 바로 모의해킹 및 취약점진단을 의뢰하는 고객사들의 실무자들이다. 그들도 나름 정보보안을 담당하는 사람들인데 정작 모의해킹이나 취약점진단에 대한 지식이 많지 않고, 또 이 직군의 현실을 잘 몰라 모의해킹을 하는 컨설턴트들과 의사소통이 쉽지 않을 것 같아 보였기 때문이다. 

 

모든 보안 직군은 정보보호와 가용성 극대화라는 동일한 목표를 갖고 있다. 정보보호 서비는 다양하지만 그 어느 것 하나라도 소홀하게 다룰 수 없고 모의해킹 역시 마찬가지다. 모의해킹 및 취약점 진단은 감사의 역할을 하고, 동시에 좋은 예방통제의 수단이기도 한다. 고객사 실무자들이 모의해킹 업무를 어느정도 이해하고 있고, 그에 맞춰 협조를 잘 해워야지만 모의해킹 및 취약점진단도 효과적으로 수행될 수 있을 것으로 생각하게 되었다.

결제하기
• 문화비 소득공제 가능
• 배송료 : 2,000원배송료란?

배송료 안내

  • 20,000원 이상 구매시 도서 배송 무료
  • 브론즈, 실버, 골드회원이 주문하신 경우 무료배송

무료배송 상품을 포함하여 주문하신 경우에는 구매금액에 관계없이 무료로 배송해 드립니다.

닫기

리뷰쓰기

닫기
* 도서명 :
실무자가 말하는 모의해킹
* 제목 :
* 별점평가
* 내용 :

* 리뷰 작성시 유의사항

글이나 이미지/사진 저작권 등 다른 사람의 권리를 침해하거나 명예를 훼손하는 게시물은 이용약관 및 관련법률에 의해 제재를 받을 수 있습니다.

1. 특히 뉴스/언론사 기사를 전문 또는 부분적으로 '허락없이' 갖고 와서는 안됩니다 (출처를 밝히는 경우에도 안됨).
2. 저작권자의 허락을 받지 않은 콘텐츠의 무단 사용은 저작권자의 권리를 침해하는 행위로, 이에 대한 법적 책임을 지게 될 수 있습니다.

오탈자 등록

닫기
* 도서명 :
실무자가 말하는 모의해킹
* 구분 :
* 상품 버전
종이책 PDF ePub
* 페이지 :
* 위치정보 :
* 내용 :

도서 인증

닫기
도서명*
실무자가 말하는 모의해킹
구입처*
구입일*
부가기호*
부가기호 안내

* 온라인 또는 오프라인 서점에서 구입한 도서를 인증하면 마일리지 500점을 드립니다.

* 도서인증은 일 3권, 월 10권, 년 50권으로 제한되며 절판도서, eBook 등 일부 도서는 인증이 제한됩니다.

* 구입하지 않고, 허위로 도서 인증을 한 것으로 판단되면 웹사이트 이용이 제한될 수 있습니다.

닫기

해당 상품을 장바구니에 담았습니다.이미 장바구니에 추가된 상품입니다.
장바구니로 이동하시겠습니까?

자료실