기업과 고객을 파괴하는 해킹과 사이버 보안의 모든 것
기업과 고객을 파괴하는
해킹과 사이버 보안의 모든 것
취약점, 랜섬웨어, 악성코드 위협부터 디지털 포렌식, AI보안까지
안전한 사이버 공간을 위한 올바른 보안 지식
유진 스파포드, 리 메트칼프, 조사이어 다이크스트라 지음 | 김경곤, 장은경, 박기성 옮김
512쪽 | 33,000원 | 2025년 8월 6일 출간 | 185*240*25 | ISBN 9791189909932 (93000)
판매처 | [교보문고] [YES24] [알라딘] [영풍문고] + 전국 교보/영풍문고 매장
전자책 판매처 | [교보문고] [YES24] [알라딘] [리디북스] | 2025년 8월 출간 예정 | PDF 포맷
원서명: Cybersecurity Myths and Misconceptions: Avoiding the Hazards and Pitfalls that Derail Us
정오표: https://www.onlybook.co.kr/entry/cybersecurity-errata (아직 등록된 정오사항이 없습니다)
“왜 우리는 여전히 해킹을 당하는가?”
세상을 뒤흔든 수많은 사이버 침해 사고 사례와
사이버 보안에 관한 175가지 이상의 잘못된 인식과 속설, 그 오해와 진실,
안전한 사이버 공간을 위한 올바른 보안 지식!
기업의 발전을 가로막고 고객을 위험에 빠뜨리는 보안 사고,
조금의 인식만 바꿔도 많은 결과가 달라질 수 있는데
왜 아무것도 하고 있지 않는 것처럼 보일까?
보안 취약점, 랜섬웨어, 악성코드, 사회공학 공격 등의 위협부터,
디지털 포렌식, AI보안, 법 제도와 정책, 도구,
그리고 보안 판단을 그르치는 인간의 사고 오류와 인지 편향, 데이터와 통계까지,
우리의 자산을 안전하게 지키기 위한 사이버 보안의 모든 것!
사이버 보안은 눈에 보이지 않으며 예기치 못한 위험과 어려움으로 가득 차 있다.
우리가 아무리 선한 의도로 행동하려 해도 대중적 통념, 세상에 대한 그릇된 가정, 인간 본연의 편향 등으로 인해, 충분히 피할 수도 있는 온갖 실수와 오류가 생겨난다. 그 결과 보안의 구현과 조사, 연구는 난처한 상황에 놓이기도 한다. 특히 사이버 보안 분야에 처음 입문하는 사람들에게는 수많은 잘못된 관행이 그럴듯해 보이기까지 하므로, 그로 인한 그릇된 인식이나 착각에도 불구하고 침해 사고와 보안 실패가 여전히 반복되고 있다.
이 책에서는 3명의 저명한 보안 업계 선구자들이 보안 현장부터 고위경영진 회의실까지 곳곳에서 벌어지는, 사이버 보안을 그르치는 잘못된 인식과 통념을 총망라하며, 올바른 보안 지식을 갖추고 안전한 사이버 공간을 영위할 수 있는 전문적이고도 실용적인 조언이 가득하다.
사이버 보안 분야에 처음 발을 딛는 초보이든, 이미 잔뼈가 굵은 경력자이든, 이 책은 여러분이 숨겨진 위험을 드러내고, 충분히 피할 수 있는 실수를 미연에 방지하며, 잘못된 가정을 걷어내기 위한 깊은 통찰과 도움을 줄 것이다. 또한 사이버 보안의 예방과 조사, 연구 활동을 저해하는 인간 고유의 뿌리깊은 인지 편향에 맞서 싸우는 데 힘이 되어줄 것이다. 아울러, 이 책에서는 실제 사이버 보안 사건에서 도출된 생생한 사례, 보안 오류를 인식하고 극복하는 데 도움이 되는 구체적인 기법, 그리고 더 안전한 제품과 비즈니스를 구축하기 위한 실질적인 대응책을 제시한다.
| 이 책에서 다루는 내용 |
• 사용자, 기업의 임원진, 보안 전문가들이 자칫 빠져들기 쉬운 175가지 이상의 사이버 보안에 대한 속설이나 오해, 그리고 이를 피하기 위한 실용적인 팁
• 비유와 추상화의 장단점, 보안 도구에 대한 오해, 잘못된 가정이 불러오는 함정
• 사용자, 개발자, 연구자, 임원진의 입장에서 사이버 보안 의사결정의 효과를 높이는 방안
• 통찰을 주기도 하는 통계와 수치가 오해를 불러일으킬 수도 있는 이유
• 보안과 관련한 잘못된 속설이나 인식을 식별하는 능력, 미래의 함정을 피하는 전략, 그리고 보안 위협을 완화하는 기법
| 이 책의 대상 독자 |
기존의 정보보안 전문가는 물론, 개발자, 설계자, 개발자, 분석가, 의사결정자, 경영진, 학생 등 비전문가
-- 초보자라면 오래된 통념을 맥락 속에서 더 깊이 이해하고, 이를 통해 실수를 미연에 방지할 수 있을 것이다.
-- 경험이 풍부한 실무자들에게는 적용 가능한 기법과 접근 방식에 대해 새로운 관점을 제시하고, 무심코 사이버 보안을 약화시키는 함정에 빠지지 않도록 조언해 줄 것이다.
-- 사이버 보안은 기술에 의존하는 모든 사람과 관련된 문제이기에 사이버 보안 분야에 종사하지 않는 사람에게도 유용한 책이다.
-- 의사결정자와 경영진은 기업의 위험을 감수하거나 관리하는 역할을 하므로, 사이버 보안에 대한 정확한 이해가 필요하다.
이 책의 구성
이 책은 일반 보안 지식, 인간 심리, 기술 이슈, 데이터 이슈를 다루는 4개 부로 나뉘어 있으며, 총 175가지 이상의 속설과 편향, 오해를 다룬다. 각 장은 비슷한 주제의 속설들을 묶어 주제별로 구성하고 유기적으로 연결했다. 각 장을 따로 읽어도 좋고, 이어서 읽어도 좋다. 각 장 내의 절 제목은 특정한 속설이나 주제를 나타낸다.
각 절에서는 속설이나 오해를 설명하고 실제 사례를 몇 가지 제시하며 이를 어떻게 피해야 하는지 다룬다. 취약점, 악성코드, 포렌식 등의 기술적인 내용도 다루며, 논리적 오류와 의사소통 등 우리의 사고방식과 의사결정이 사이버 보안에 어떤 영향을 미치는지도 알아본다.
부록 A에는 본문에서 사용된 주요 개념과 용어에 대한 간략한 설명을 수록했다. 따라서 방화벽이나 log4j 취약점 같은 용어가 익숙하지 않다면, 부록에서 간략한 설명을 먼저 참고하기 바란다. 사이버 보안과 컴퓨팅 분야에는 전반적으로 약어가 넘쳐난다. 부록 B에 약어를 정리해 놓았으니, 생소한 약어를 접하면 어떤 용어의 약자인지 찾아보기 바란다.
추천의 글
사이버 보안의 세계는 기술로 가득 차 있지만, 정작 우리의 판단을 흐리는 것은 종종 기술이 아니라 ‘믿음’이다. 오래된 통념, 반복되는 오해, 그리고 검증되지 않은 속설은 보안 전략의 설계와 실행을 뒤흔들고, 때로는 가장 숙련된 전문가조차 잘못된 전제 위에 시스템을 구축하게 만든다.
이 책은 바로 그 지점을 정면으로 응시한다. 단순한 오해를 바로잡는 데 그치지 않고, 그러한 속설이 어떻게 형성되고, 어떤 맥락에서 반복되며, 실제 설계와 정책에 어떤 영향을 미치는지를 치밀하게 분석한다. ‘일반적 문제’, ‘인간적 문제’, ‘맥락적 문제’, ‘데이터 문제’라는 4개의 축으로 175가지가 넘는 속설을 분류한 이 책은 독자에게 단순한 지식 전달을 넘어, 사고의 틀 자체를 재정렬하는 경험을 선사한다.
이 책은 다양한 독자층을 아우른다. 이 분야에 입문하는 이들은 자신이 무엇을 모르는지를 깨닫고, 실수를 줄이기 위한 통찰을 얻게 될 것이다. 실무자는 익숙한 관행 속에 숨겨진 취약성을 발견하고, 더욱 깊이 있는 판단과 설계를 위한 시야를 넓힐 수 있을 것이다. 숙련된 전문가라면, 후학을 이끄는 멘토로서 이 책이 제공하는 언어와 논리를 든든한 자산으로 삼을 수 있을 것이다.
무엇보다 이 책이 지닌 신뢰성과 깊이는 저자진의 면면에서 확인할 수 있다. 저자 명단에 유진 스파포드 교수가 이름을 올렸다는 사실 하나만으로도, 이 책이 다루는 주제의 무게와 통찰의 깊이에 대해 더 이상의 설명이 필요하지 않을지도 모른다.
보안은 결국 판단의 문제이며, 올바른 판단은 더 나은 질문에서 비롯된다. 이 책은 그 질문을 새롭게 묻고, 다시 세우게 만든다. 그것이 바로 내가 이 책을 자신 있게 추천하는 이유다.
- 김승주 / 고려대학교 정보보호대학원 교수
나는 IT를 비롯한 사회, 과학 분야에서 세간의 통념이나 속설을 접할 경우, 그 속설이 나오게 된 배경과 과정들을 분석해가면서 그 속설이 결국 거짓 혹은 사실로 판별되어 이르는 과정을 즐긴다. 그러한 행위 자체만으로도 지식과 경험이 쌓여 도움이 되는 경우를 많이 겪어왔기 때문이다(아마도 이것 또한 이 책에서 이야기하는 과신편향일지도 모른다). 이 책은 보안 분야에서 잘못 알려진, 또는 속설로 여겨지는 이야기를 과감하게 제시하고 간결하게 답한다. “보안은 SSL/TLS면, 즉 암호화면 다 되는 것 아닌가?” 같은 잘못된 속설들을 실제와 통계를 기반으로 깔끔하게 설명해준다.
하이브리드 클라우드, 그리고 AI가 보편화되면서 더 복잡한 환경에서 애플리케이션을 개발하고 운영하는 시대로 들어섰다. 각 기업이나 기업의 보안책임자들은 방대한 영역에 걸친 연결성들과 복잡함 때문에, 클라우드에서 제공하는 서비스들만으로는 더 안전한 환경을 만들 수 없다고 생각한다. 그래서 모든 종류의 테스트를 통해서 검증을 하기도 하지만 정작 세팅해야 하는 어떤 설정을 꺼둔다거나 프로그램의 버그로 인해 보안 침해가 발생하기도 한다.
이 책은 이런 복잡한 상황에서 보안에 대한 대처를 할 수 있도록, 잘못 알려진 속설들에 대한 답을 구함으로써 보안을 강화하기 위해 해야 할, 또는 할 수 있는 일을 역설적으로 제안함으로써 지혜롭게 문제를 해결하도록 도와준다. 이 책에서 이야기한 “나쁜 일은 일어나기 마련이다. 그러므로 그에 대비하는 것이 최선이다”라는 말처럼, 그 대비 방안의 하나로 이 책을 읽을 것을 강력히 추천한다.
- 공용준 / KT Cloud 클라우드 본부장
이 책은 단순한 기술 안내서를 넘어, 사이버 보안에 대한 대중적 오해와 잘못된 고정관념을 하나씩 살펴보는 기회를 제공합니다. 실무에서 보안 업무를 수행하다 보면, 많은 사고와 업무가 기술 부족보다는 잘못된 믿음과 인식에서 비롯된다는 사실을 자주 느끼게 됩니다.
이 책에서는 인간 심리, 인지 편향, 조직 문화, 법과 제도의 한계까지 다양한 시각으로, 잘못된 오해와 편견들을 구체적 사례와 함께 짚어주며, 보안에 대해 더욱 근본적으로 고민할 수 있도록 이끌어 줍니다. 아울러, “왜 보안은 실패하는가?”에 대한 깊이 있는 질문을 던지고, 다양한 경험을 통해 얻은 통찰력을 통해 설득력 있는 답을 제시합니다.
보안 실무자, 정책 결정자, 또는 보안에 관심 있는 모든 이에게 큰 도움이 될 책입니다.
- 김현민 / 금융보안원 디지털자산보안팀장
현장에서 다양한 고객의 보안 취약점을 분석하다 보면, “알고 있다”는 무모한 가정에서 문제가 시작되는 경우가 많았다. 안전한 시스템을 위해서는 이와 같은 위험한 통념을 깨부수는 일이 우선적이다. 그런 의미에서 이 책은 취약점과 랜섬웨어, AI보안과 같은 분야에 대해 현실적인 지침들을 제시하며 깨달음을 준다.
사이버 보안의 세계적 권위자 유진 스파포드 교수 등의 명저를 우리글로 훌륭하게 번역해주신 보안 전문가 김경곤 교수님을 비롯해 장은경 님, 박기성 님에게도 감사드린다.
이 책을 보안인의 ‘실전 가이드’로 강력히 추천한다.
- 박찬암 / 스틸리언 대표이사
사우디아라비아 나이프 아랍 안보과학 대학에서 사이버 보안 및 디지털 포렌식 학과장을 맡고 있는 김경곤 교수께서 『Cybersecurity Myths and Misconceptions』의 한국어 번역서를 출간한 것을 진심으로 축하드립니다.
김경곤 교수는 중동 지역에서 사이버보안 전문가로 선구적인 역할을 톡톡히 수행하며, 특히 학술적 통찰과 실무적 경험을 바탕으로 지역 내 보안 수준 향상에 크게 기여해 왔습니다. 이 책은 사이버보안에 대한 흔한 오해를 바로잡고, 실무자와 일반 독자 모두에게 명확한 지침을 제공하는 유익한 내용이 가득합니다. 이에 이 책을 적극 추천드리며, 국내외 정보보호 인식 제고에 널리 활용되기를 기대합니다.
- 봉기환 / 한국인터넷진흥원 중동·아프리카 거점사무소 소장
이 책은 제가 지난 22여 년간 보안 분야에서 다양한 회사와 조직을 거치며 경험했던, 보안에 대한 잘못된 인식과 편견을 고르게 담고 있습니다. 저는 이런 왜곡된 인식들을 마주할 때마다 지인들에게 “도시 전설 같은 생각”이라고 말하곤 했습니다. 기술에 익숙한 사람들은 매우 이성적으로 판단할 것 같지만, 실제로는 권위자의 잘못된 경험이나 말 한마디가 조직 전체에 퍼져 고정관념처럼 자리 잡는 경우를 종종 목격했습니다.
이 책에는 제가 현장에서 열변을 토했던 주제, 며칠간 설명 방식을 고민했던 주제, 그리고 저조차도 한때 오해했던 주제까지 포함해 무려 175개가 넘는 다양한 주제가 담겨 있습니다. 리뷰어임을 잊고 과거의 경험을 떠올리며, “저자는 이런 식으로 이 주제를 접근했구나”라고 생각하면서 공감과 재미를 느끼며 읽었습니다.
보안에 막 입문한 분들부터 CISO, CPO 등 의사결정권자까지, 폭넓은 스펙트럼의 분들께 추천드립니다.
- 여성구 / 하이브(HYBE) CISO, CPO, DPO
이 책은 해킹과 방어에 대한 일반적인 오해와 속설을 명쾌하게 파헤치며, 보안에 대한 특별한 기술적 배경이 없는 독자들도 사이버 보안의 본질을 쉽게 이해할 수 있도록 돕는다. 복잡해 보이는 사이버 세상의 위협들이 실제로는 어떻게 작동하며, 우리가 어떻게 현명하게 대처할 수 있을지에 대한 실질적인 통찰도 얻을 수 있다. 디지털 세상에서 현명한 결정을 내리고 싶은 모든 이에게 이 책은 귀중한 지침서가 될 것이다.
- 정성훈 / 숙명여자대학교 인공지능공학부 조교수
최근 한국 사회는 정보 유출, 중요 기업 대상 랜섬웨어 공격 등 잇따른 해킹 사고로 큰 혼란을 겪고 있습니다. 기술적인 사이버 보안 체계도 중요하지만, 기술만으로 모든 것을 지킬 수 없다는 현실을 보여주는 사례이기도 합니다.
이 책은 사이버 보안을 단지 컴퓨터 기술 문제가 아니라, 인간의 결정과 사회적 책임의 문제로 풀어냅니다. 보안 사고는 종종 사람의 실수, 보안 시스템 설계의 한계, 책임 회피에서 비롯됩니다. 따라서 우리는 인간 중심의 시각에서 다시 보안을 새롭게 이해해야 하며, 이 책은 그 출발점이 되어줍니다. 또한 이 책에서는 현장 사례와 분석을 통해 독자는 사이버 보안을 구성하는 진짜 요인들을 하나씩 짚어볼 수 있습니다. 최근 사건들을 떠올리며 이 책을 읽는다면, 더 깊은 통찰과 해결 방향을 발견할 수 있을 것입니다.
기술적 대응에 앞서 근본적인 질문을 던지고 싶은 보안 실무자, 그리고 앞으로 보안을 이끌 학생 모두에게 강력히 추천합니다.
- 조정원 / 보안프로젝트 대표
많은 보안 리더들은 예전부터 견고한 보안 관행을 구축하는 것만큼이나, 보안에 대한 오해를 바로잡는 역할을 맡아 왔다. 보안 관행에 대한 자료는 많이 있었지만, 보안에 대한 잘못된 믿음을 바꾸는 데는 이 책이 최고다.
- 필 베너블스(Phil Venables) / 구글 클라우드 CISO
지금 세계 최대 보안 컨퍼런스 중 하나인 블랙햇Black Hat으로 가는 비행기 안에서 와이파이로 접속해 스마트폰으로 이 글을 작성하고 있다. 이런 일이 가능하다는 사실만 봐도, 지난 수십 년간 사이버 보안 분야에 얼마나 많은 발전이 있었는지 실감할 수 있다. 이제 모두가 볼 수 있도록 그런 발전이 한 권의 책으로 엮어졌다. 이 책을 집필한 현명한 저자들에게 감사드린다. 무엇보다 독자들이 ‘보안에 대한 오해’에서 벗어나기를 진심으로 바란다.
- 웬디 네이더(Wendy Nather) / 시스코 CISO 어드바이저 헤드
정말 놀라운 책이다. 지금껏 그 어떤 책에 대해서도 이렇게 평해본 적이 없는데, 진정한 역작이다. 관점 자체를 뒤바꾼 시도는 천재적인 발상이다. 이 책은 늘 손이 닿는 가까운 책장에 꽂혀 있을 것이다. 이 책에서 제시한 날카로우면서도 유연한 기술적 관점을 통해, 배우고 되새기며 새롭게 이해한 것의 가치는 헤아릴 수 없을 정도다. 이 책은 보안의 이론과 실무에 대한 깊이 있고 역사적인 집대성으로서 평가받아 마땅하다. 브라보!
- 윈 슈워타우(Winn Schwartau) / 시큐리티 어웨어니스 컴퍼니창립자 및 CVO
이 책에 담긴 핵심 주장, 즉 문제 소지가 있는 속설이 사이버 보안에 만연하다는 주장을 전폭적으로 지지합니다. 점점 더 복잡해지는 세상을 인간의 두뇌로 이해하려다 보니, 결국 잘못된 속설이 만들어진다. 저자들이 말하듯이, 한때 사실로 여겨졌던 것들조차 변화를 거치면서 이내 속설이 되어버린다. 따라서, 속설에 대한 분별력을 습득하는 것은 사이버 보안 실무자에게 그 무엇보다 귀중한 자산이다. 모든 보안 엔지니어링의 궁극적인 목표는 감지되지 않는 조용한 실패를 방지No Silent Failure하는 것이다. 그러나 잘못된 속설은 이런 실패를 방치하거나, 오히려 만들어 내기도 한다. 보안이 이뤄진 상태란 대처할 수 없는 예기치 못한 위험이 없는 상태를 말하는데, 잘못된 속설 때문에 문제를 감지하지 못하면 대응 자체가 불가능해지기 때문이다. 속설은 우리를 현실에서 멀어지게 만든다. 속설을 모르는 것이 면죄부가 될 수는 없다. 이 책은 일종의 백신과도 같다.
- 댄 기어(Dan Geer) / 인큐텔 CISO
모든 수준의 독자들이 재미있게 읽을 만한 책이다. 저자들의 빠른 전개, 그리고 온갖 속설에 대한 폭넓은 통찰이 마음에 든다. 사이버 보안 산업을 더 나은 방향으로 변화시킬 책이다.
- 마이클 시코르스키(Michael Sikorski) / 팔로알토 네트워크의 유닛42연구소 CTO
여는 글
유진 스파포드가 이 책의 서문을 작성해 달라고 요청했을 때, 나는 책을 일부라도 먼저 보여 달라고 했다. 먼저 목차를 살펴보며, 우리를 잘못된 방향으로 이끄는 보안에 대한 잘못된 인식과 속설을 소개하는 저자들의 재치 있는 집필 방식에 푹 빠져들고 흥미를 느꼈다. 그리고 책 제목을 『사이버 보안의 속설과 오해(Cybersecurity Mythconceptions)』로 바꾸면 어떨까 하는 생각도 들었다. 이 책의 ‘들어가며’ 절은 놀라울 정도로 명료하고 솔직한 화법으로 쓰여 있으며, 자조적이면서도 친근한 문체는 독자들이 그간 잘못된 속설이나 오해(mythunderstanding)에 속아왔을 가능성을 기꺼이 받아들이는 데 도움을 준다.
한마디로 이 책은 매우 중요한 책이다. 많은 경우, 사이버 보안이란 우리가 사용할 소프트웨어와 따라야 하는 관행, 중시해야 할 보안 신념에 대한 결정과 선택에 관한 문제다. 저자들은 사람들이 사이버 보안에 대해 어떻게 오해하는지 명확히 설명함으로써 이 책의 효용 가치를 높였다. 저자들이 사이버 보안에 대한 속설을 하나씩 밝혀낼 때마다, 독자들은 “이런 바보 같은 생각을 믿는 사람들이 있다니, 어이없네!”라고 생각하며 우월감을 느끼게 된다. 마치 자신은 이런 믿음에 절대 속지 않을 것 같은 기분이 들고, 그래서인지 각 사례가 더욱 기억에 남게 된다.
이 책의 스타일은 C.S. 루이스의 유명한 작품 『스크루테이프의 편지』(홍성사, 2020)를 떠올리게 한다. 이 소설에서 한 고참 악마 유혹자 스크루테이프는 그의 젊은 제자인 웜우드에게 인간을 선량함에서 멀어지게 하고 자신의 행동을 합리화하는 방법을 가르친다. 네트워크의 안전은 매우 중요한 문제다. 인터넷을 비롯해 프로그래밍 가능한 모든 객체들이 포함된, 더 광범위한 개념인 ‘사이버 공간’은 의도적이고 악의적인 행위뿐만 아니라, 프로그래머나 네트워크 운영자 등 다양한 주체들이 저지르는 실수로 위험에 처할 수 있다.
나는 오랫동안 책임감과 주체성이 온라인 사이버 환경의 보안에 가장 핵심이라고 생각해왔다. 악의적인 행위자를 식별하고 그들에게 책임을 물을 수 있어야 한다. 이를 위해 익명성의 장막을 걷어낼 수 있는 역량과 국제적인 협력이 필요하다. 인터넷과 마찬가지로 사이버 공간은 일상적인 운영 과정에서 국가 간의 경계를 넘나들기 때문이다. 주체성은 필수적이다. 사이버 공간의 참여자들은 자신을 보호할 수 있는 도구를 갖추어야 하며, 여기에는 해로운 행위나 범죄 행위에 관여한 사람들을 추적할 수 있는 법적 구조와 협약이 포함된다.
가장 강력한 방어 도구 중 하나는 비판적 사고다. 이 책의 내용은 모두 사이버 공간의 위험성에 대해 더 비판적으로 사고하는 방법을 익히기 위한 것이다. 이런 사고는 많은 노력을 필요로 하며, 거저 얻어지지 않는다. 악의적인 공격자들은 인간으로서 우리의 약점을 노린다. 안타깝게도, 이런 약점에는 어려운 처지에 놓인 사람들을 도우려는 우리 인간의 본성까지 포함된다. 이러한 선의를 비롯해 긍정적인 사회적 감정들이 수많은 사기 행위에 악용된다. 이 책은 우리에게 이러한 속임수를 간파하는 능력을 길러준다. 또한, 2단계 인증이나 다중 인증, 암호화, 백업, 이중화 등 더 안전한 관행으로 우리를 무장시켜준다. 21세기의 복잡한 사이버 공간에서는 다양한 양상으로 문제가 발생할 수 있다. 이러한 위험에 대응하려면 개인, 기업 및 정부 차원의 실천이 함께 이뤄져야 한다. 늘 그렇듯이, 미리 알면 대비할 수 있다.
이 책을 읽으며 마음껏 웃고, 배운 내용을 실천해보자. 후회하지 않을 것이다.
- 빈트 서프(Vint Cerf) / 인터넷 파이오니어
지은이 유진 스파포드 Eugene H. Spafford
사이버 보안 분야에서 가장 오랜 경력을 지닌 학자 중 한 명이다. 컴퓨팅 분야에서 40년 넘는 경력을 가진 그는 퍼듀 대학교 교수로 35여 년간 재직하며 정보 보증 및 보호 교육 연구 센터(CERIAS)를 설립했다. 스파프(Spaf)라는 이름으로 널리 알려져 있으며, 개인정보보호, 공공정책, 사법기관, 정보기관, 소프트웨어 공학, 교육, 소셜 네트워크, 운영체제 및 사이버 보안 분야의 문제를 연구해왔다. 또한 침입 탐지, 사고 대응, 방화벽, 무결성 관리, 포렌식 조사 분야에서 핵심 기술을 개발해왔다.
미국 예술과학 아카데미, 과학진흥협회, ACM, IEEE, (ISC)2의 펠로우이자 국제정보시스템보안협회(ISSA)의 특별 펠로우이자 사이버 보안 명예의전당 회원으로서, 이 모든 영예를 동시에 보유한 유일한 인물이다. 2012년 퍼듀 대학교에서 초대 모릴 교수로 선정됐는데, 이는 학문, 교육, 봉사 활동에 대한 종합적인 업적을 인정하는 이 대학 최고의 상이다. 2016년에는 인디애나 주에서 민간인에게 수여하는 최고의 영예인 ‘와바시의 세이거모어’라는 칭호를 받았다.
지은이 리 메트칼프 Leigh Metcalf
카네기멜론 대학교 소프트웨어 공학 연구소의 사이버 보안(CERT) 부문에서 선임 네트워크 보안 연구 분석가로 활동하고 있다. CERT는 다양한 연구원, 소프트웨어 엔지니어 및 보안 분석가로 구성된 조직으로, 사이버 보안 실무 관행을 개선하기 위한 최첨단 정보와 교육 자료를 개발하고 있다. CERT에 합류하기 전에는 업계에서 10년 이상 시스템 엔지니어, 아키텍트, 보안 전문가 등으로 활동했다.
수많은 학회에서 연구 결과를 발표해왔으며, 윌리엄 케이시와 『사이버 보안과 응용 수학』을, 조나단 스프링과는 『사이버 보안에서 과학 활용』을 공저했다. 또한 아룬 라코티아와 함께 ACM 저널 「디지털 위협: 연구와 실무(DTRAP)」의 공동 편집장도 맡고 있다.
지은이 조사이어 다이크스트라 Josiah Dykstra
경험이 풍부한 사이버 보안 전문가이자 연구자, 저자, 강사다. 미국 국가안보국(NSA) 사이버 보안 협력 센터의 고위 리더이자 디자이너 시큐리티 LLC의 소유주다. 컴퓨터 과학 박사 학위를 취득했으며, 이전에 사이버 운영자와 연구원으로 활동했다. 사이버 보안 과학에 관심이 많으며, 특히 인간과 기술이 만나는 접점에 주목한다. 해킹으로 인한 스트레스, 사고 대응 과정에서의 행동 편향, 위협 정보 공유의 가치와 비용 간의 경제성에 대해 연구했다.
여러 권의 책을 저술했으며, 블랙햇(Black Hat)과 RSA 컨퍼런스 등 다양한 행사에서 발표에 나서고 있다. 사이버코어(CyberCorps®) 서비스 장학 프로그램(SFS) 펠로우십을 수여받았으며, SFS 명예의전당 6인에 이름을 올렸다. 2017년에는 당시 대통령 버락 오바마로부터 과학자 및 엔지니어를 위한 대통령 신진 연구자상(PECASE)을 수상했다. 다이크스트라 박사는 미국 법과학 아카데미의 펠로우이자 ACM의 특별 회원이다. 다수의 연구 논문과 『필수 사이버 보안 과학』을 저술했다.
이 책은 잘못된 속설을 타파하는 것을 다루지만, 그렇다고 그런 속설이 완전히 세상에서 사라지지는 않을 것이다. 인간에게는 자신의 경험을 설명하기 위해 속설을 만들어 내는 경향이 있기 때문이다. 특히, 우리는 정보를 빠르게 처리하도록 진화해왔기 때문에, 즉각적인 설명이 불가능할 때는 스스로 답을 만들어내려고 한다.
앞으로 잘못된 속설은 더 흔해지고, 더 바로잡기 어려워질 가능성이 크다. 점점 더 많은 정보에 접근하게 되면서, 사람들은 그만큼 잘못된 정보에 더 많이 노출된다. 우리는 비행기가 남긴 구름이나 백신 소프트웨어를 둘러싼 음모론, 그리고 외계인이 정부에 침투했다는 둥 황당하고 때로는 파괴적인 속설이 확산되는 현상을 목격해왔다. 무엇이 진실이고 신뢰할 수 있는지 판단하기가 점점 어려워지고 있다. 이런 이유로 사이버 보안에서든 다른 영역에서든, 잘못된 속설이 등장하는 즉시 이를 빠르게 식별하고 바로잡을 수 있는 역량이 우리 모두에게 필요하다.
우리 저자 3인은 학계, 산업계, 정부에서 근무하며, 모두 사이버 보안과 컴퓨터 과학을 연구하고 저술활동을 해왔다. 과학은 표준화된 방법을 사용하고 검증된 증거를 제공함으로써, 사이버 보안의 속설을 수정하거나 검증하며 타파할 수 있다. 공학은 과학을 활용해 더 견고하고 신뢰할 수 있는 산출물을 만들 수 있다. 저자들은 사이버 보안의 설계와 연구에서부터 사건 대응과 포렌식 등의 분야에 이르기까지 전부 합쳐 100년에 가까운 경력을 자랑한다. 과학과 공학 분야에서 일해온 우리는 그간 사이버 보안 분야에서 속설과 오해를 가진 탓에 충분히 피할 수 있었던 실수를 반복하는 사람들을 많이 목격했다. 이 책의 목적 중 하나는 학생과 실무자 교육이다. 우리는 이 책이 이런 정보를 체계적으로 정리한 최초의 책이라고 믿는다.
옮긴이 김경곤
나이프 아랍 안보과학 대학교에서 교수로 근무하며 사이버보안 및 디지털 포렌식 학과장을 맡고 있다. 차세대 보안리더 양성 프로그램(BoB)에서는 컨설팅 트랙의 책임 멘토로 사이버 보안 인재를 육성하고 있다. 2016년부터 2020년까지는 고려대학교 정보보호대학원에서 산학협력 중점교수로서 기초 해킹, 고급 해킹, 사이버 보안 실무를 강의했으며, 3년 연속 석탑 강의상을 수상한 바 있다.
학계로 오기 전에는 글로벌 컨설팅 회사 딜로이트에서 사이버 리스크 부서의 시니어 매니저로 기술 기반 컨설팅과 전략 기반 컨설팅을 담당했으며, PwC(삼일회계법인)와 SK인포섹, A3시큐리티 컨설팅에서 130여 개 기업을 대상으로 모의해킹과 보안 컨설팅을 수행했다. 제1회 해킹 방어 대회에서 대상을 받아 정보통신부 장관상을 수상했으며, 2007년 세계 해킹 컨퍼런스인 데프콘에 아시아에서 유일하게 한국 팀멤버로 참가하기도 했다. 현재 유엔 마약범죄사무소UNODC의 정의를 위한 교육 이니셔티브(Education for Justice Initiative) 멤버로 활동하고 있으며 2022년 UNODC의 사이버범죄 총회에 정부 간 국제기구 전문가로 참여했다.
저서로 『인터넷 해킹과 보안 개정4판』(한빛아카데미)이 있으며, 번역서로는 『정보보안 이론과 실제』(한빛아카데미), 『사이버 보안과 국가 안보 전략』(이하 에이콘출판), 『웹 해킹 & 보안 완벽 가이드』, 『와이어샤크를 활용한 실전 패킷 분석』 등이 있다.
오늘날 사이버 보안은 기업의 생존과 직결되는 문제입니다. 단 한 번의 해킹 사고가 고객 신뢰를 무너뜨리고, 기업의 존립 기반을 송두리째 흔들 수 있는 시대인 것입니다. 보안은 오래된 문제이기도 했으나 여전한 과제이기도 하므로, 더더욱 시의적절하게 출간된 이 책은 오늘날의 현실을 직시하게 만듭니다.
이 책은 보안 실무자뿐만 아니라 경영진, 나아가 일반 독자들까지도 ‘사이버 보안의 본질과 오해’를 다시 생각하게 만드는 강력한 통찰을 담고 있습니다. 원서 『Cybersecurity Myths and Misconceptions: Avoiding the Pitfalls of Security Management』를 처음 접했을 때, 저자들의 관점이 매우 신선하면서도 현실적이라는 점에 큰 매력을 느꼈습니다.
이 책에서는 최신 보안 기술이나 도구를 건조하게 나열하는 대신, 조직이 쉽게 빠지게 되는 잘못된 통념과 함정, 그리고 전략적 맹점을 하나하나 해체합니다. 그리고 보안이 단순한 IT 영역을 넘어 기업의 문화, 경영 전략, 사람들의 인식과 매우 긴밀히 맞물려 있다는 사실을 일깨웁니다. 저는 사우디아라비아 리야드에 위치한 나이프 아랍 안보과학 대학교(NAUSS)에서 교수로 재직하며, 기업·기관과 협력해 다양한 사이버보안 연구와 교육 프로젝트를 진행하고 있습니다. 이 과정에서 깨달은 것은, 보안의 성공과 실패를 가르는 요소로서 기술도 중요하지만 ‘사람의 판단과 조직의 인식’이 무엇보다 중요하다는 점이었습니다. 이 책을 번역하면서 그간 제가 현장에서 마주했던 여러 문제와 이 책을 쓴 저자진의 통찰이 절묘하게 맞닿아 있음을 실감했습니다.
모쪼록 이 책이 기업 보안 책임자, IT 관리자, 사이버 보안에 관심있는 모든 독자에게 보안을 둘러싼 오해와 잘못된 통념을 바로잡고, 보안 실패의 본질을 새롭게 인식하는 계기가 되기를 바랍니다. 보안은 불필요한 비용이 아니라 미래를 지키기 위한 핵심 투자라는 이 책의 메시지가 많은 독자에게 깊이 새겨지기를 마음속 깊이 기대합니다.
옮긴이 장은경
영어교육학을 전공했으며 현재 영국 선더랜드 대학교에서 사이버보안 석사 과정을 수학하고 있다. 2001년에 개최된 제1회 여성 해킹대회 본선에 진출하기도 했다. IT 분야에서도 활동해왔으며, 현재는 원시큐리티라는 사이버보안 회사를 운영하고 있다. 번역한 책으로 『정보보안 이론과 실제』(한빛아카데미), 『웹 해킹 & 보안 완벽 가이드』(이하 에이콘출판), 『와이어샤크를 활용한 실전 패킷 분석』 등이 있다.
사이버 보안은 끊임없이 변화하는 분야이지만, 여전히 많은 사람들은 오래된 관행이나 검증되지 않은 ‘보안 상식’을 당연하게 받아들이곤 합니다. 이 책은 세간에 퍼져 있는 이러한 잘못된 믿음들을 하나하나 짚어내며, 우리가 보안에 대해 얼마나 많은 오해를 가지고 있었는지를 깨닫게 합니다. 번역을 시작하기 전부터 이 책의 문제의식에 깊이 공감해왔던 차였기에, 책을 옮기면서도 여러 번 고개를 끄덕이며 많은 깨우침을 얻을 수 있었습니다.
또한, 이 책을 번역하면서 일반적으로 사이버 보안 분야에 대해 사용자들이 옳다고 믿었던 보안 방법이 사실은 제대로 검증되지 않은 채 관행으로 이어져 오고 있었다는 사실을 다시 한번 깨닫기도 했습니다. 저 또한 컴퓨터가 작동되지 않고 원인을 찾지 못할 때 마지막 수단으로 컴퓨터를 물리적으로 때려본 적이 있다고 고백하며, 이러한 경험 때문에 책을 번역하며 공감도 많이 됐고 배운 점도 많았습니다.
특히 귀여운 동물 일러스트와 책이 지루하지 않게 종종 나오는 작가의 유머 덕분에 읽는 재미도 가득하므로, 보안에 관심 있는 일반인부터 보안 분야 전문가까지, 그리고 기업을 운영하고 있는 정책 책임자들도 한 번쯤 꼭 읽어볼 만한 책이라고 생각합니다.
옮긴이 박기성
IT 업계와 게임업계에서 기획자, 설계자, PD, 개발총괄 임원, 창업자, 대표이사로서 오랜 기간 활동하며 다양한 프로젝트를 수행했다. SK㈜를 거쳐, 직접 창업하고 대표이사를 맡았던 엔플레이 등에서 근무했으며, 가장 최근에는 게임빌, 컴투스의 개발 담당 임원으로 일했다.
게임 외에도 IT 업계에 대한 다양한 관심을 바탕으로 경력 중간 틈틈이 (때로는 필명으로 활약하며) 20여 권에 달하는 게임 및 IT 분야 도서를 번역해 왔다. 대표 번역서로는 『모두를 위한 소프트웨어 보안 설계와 구현』(책만), 『알고리즘으로 세상을 지배하라』(이하 에이콘출판), 『닌텐도는 어떻게 세계를 정복했는가』가 있으며 『인 더 플렉스: 0과 1로 세상을 바꾸는 구글』을 번역 감수했다.
이 책을 공역하면서 흥미로운 경험을 했다. 이 책에서 다루는 문제들이 현실에서 그대로 벌어지는 기이한 현상을 목격한 것이다.
이 책에서는 북한의 해커 조직과 암호화폐 해킹에 대한 흥미로운 얘기들이 나오는데, 마침 지난 2월에는 아랍에미리트 두바이에 본사를 둔 바이비트(ByBit)라는 세계 2~3위권의 암호화폐 거래소에서 북한 조직의 소행으로 추정되는, 피해액이 무려 2조 원이 넘는 해킹 사건이 발생했다. 2조 원이라니…! 북한이 전문 해커 조직을 운영할 만하다는 생각이 들었다. 또한 이 책에는 “대기업이 운영하는 신뢰할 수 있는 사이트나 서비스를 이용하면 해킹에서 안전하다(1장)”고 생각하는 세간의 믿음이 ‘착각’일 수 있다고 강조하는데, 몇 달 전에는 국내 1위 통신사업자에서 대규모로 고객 개인정보가 유출되는 안타까운 사건이 일어났다. 그리고 이 책에서 꽤 비중 있게 다루고 있는 랜섬웨어와 관련해서도, 국내 대표 온라인 서점이 랜섬웨어 공격으로 며칠간 서비스가 마비되는 사태가 일어났다. 나도 자주 이용하는 사이트다 보니 이 사건은 내게도 꽤 충격적으로 다가왔다. 이어서 얼마 지나지 않아, 국내 대형 보증보험 사이트에서도 랜섬웨어 사고가 다시 터졌다. 금융보안원이 악성코드의 결함을 이용해 암호화된 데이터를 절묘하게 풀어내어 무사히 마무리되긴 했지만, 작업 중인 책의 구절 구절을 뉴스 속보로 다시 접하는 건 묘한 기분이었다.
그런 기묘함의 정점은, 책에서 얘기하던 사건들이 바로 내 PC에서 벌어졌을 때였다. 오랜만에 내가 이용하던 암호화폐 거래소를 접속하려고 할 때 웹 브라우저에서 경고 팝업이 떴다. 이전에도 가끔 뜨던 경고 메시지였기 때문에 평상시 같았으면 무시하고 바로 로그인했을지도 모른다. 하지만 보안 책을 번역하면서 이런 대형 사건들을 연이어 목격하다 보니, 예리해진 나의 보안 감수성이 나를 멈춰 세운 것일까? 알고 보니 나도 모르게 내 PC에 설치된 악성코드가 PC의 모든 인터넷 트래픽을 가로채어 프록시 서버로 보내고 있었다. 이 악성코드는 어떤 백신 소프트웨어로도 검색되거나 치료되지 않았고, 더 놀라웠던 점은, 온갖 방법을 동원해서 악성코드로 의심되는 프로세스나 파일을 여러 차례 삭제하려고 시도했지만, 몇 분 지나면 귀신같이 악성코드가 다시 살아나 프록시 서버 연결을 재설정했다. 소름이 끼칠 정도였다. 결국 컴퓨터 전체를 포맷하고 윈도우를 다시 설치해야 했고, 며칠간 PC를 제대로 쓰지 못했다.
내 PC에서 일어났던 일은 바로 이 책에서 자세히 묘사된 프록시 릴레이(7장), 탐지를 회피하는 지능적인 악성코드(12장), 정교한 피싱 기법(10장) 등이 모두 결합된 사례였다. 또한, 개인들이 “자신은 작고 하찮아서 공격 대상이 되지 않을 것”이라는 믿음이 착각이라는(3장) 이 책의 경고가 눈앞에서 현실이 되어 펼쳐지고 있었다. 곰곰이 생각해 보니, 이런 일련의 사건이 단순한 우연의 일치는 아니라는 생각이 들었다. 처음엔 신기한 우연처럼 느껴졌지만, 이제 이런 사이버 공격이 그만큼 빈번해지고 우리의 일상 가까이까지 침투해 있다는 증거가 아닐까. 이 책에서도 지적하듯 AI를 활용하는 공격자들은 더욱 더 지능적이고 위협적이 될 것이다.
이런 경험을 겪고 나니, 보안이 “전문가에게만 맡기면 되는,” 우리의 일상과 동떨어진 문제가 아니라는 사실을 다시금 뼈저리게 깨닫게 됐다. 모든 것이 디지털화되고 인터넷으로 연결된 세상에서 나의 소중한 데이터와 개인정보는 언제든지 탈취될 수 있는 위험에 노출되어 있으며, 그 누군가가 알아서 지켜주지 않는다. 건강이나 돈에 대해서 관심을 가져야 하듯, 누구에게나 보안이라는 교양이 필요한 시대가 됐다고 생각한다.
이 책은 보안에 대한 일종의 ‘인문학적 접근’이라고 할 수 있다. 기술적인 실무 내용까지 다루지 않기 때문에 현대인의 교양으로서 보안에 대해 알고 싶은 누구나에게 도움이 될 수 있는 책이며, 실무 전문가에도 보안에 대한 관성에 젖은 시각을 바로잡을 수 있는 지침서가 될 것이다.
이 책에는 저자들이 보안 분야에서 쌓아온 오랜 인사이트가 가득했지만, 아무래도 전문 저술자들이 아니다 보니 때로는 그 의미를 쉽게 파악하기 어려운 문장들이 많아서 쉽지 않은 번역 작업이었다. 다만, 그 결과 저자들의 날카로운 통찰을 놓치지 않으면서도, 독자들이 훨씬 읽기 싶고 이해하기 쉬운 책이 됐다고 자부한다.
이 책이 독자들의 미래에 닥칠 수 있는 보안 위협을 피할 수 있는 출발점이 되길 바란다.
차례
[1부] 우리가 알던 사이버 보안 지식은 모두 틀렸다
1장 사이버 보안, 잘 안다는 착각
모두가 ‘사이버 보안’의 의미를 알고 있다
시스템이 얼마나 안전한지 측정 가능하다
__신뢰와 위험
__위협
__보안 정책
__결국…
추구해야 할 최우선 목표는 보안이다
사이버 보안은 명백한 위험에 관한 것이다
사이버 위협 정보가 많이 공유될수록 상황은 더 나아진다
우리에게 중요한 것은 모두에게 중요하다
제품 ◯◯는 반드시 우리를 안전하게 만들어 줄 것이다
PC보다 안전한 맥, 윈도우보다 안전한 리눅스
오픈소스 소프트웨어는 폐쇄형 소프트웨어보다 안전하다
기술 ◯◯가 보안을 보장해줄 것이다
프로세스 ◯◯가 보안을 보장해 줄 것이다
오래된 아이디어를 새것으로 만들 마법의 요정가루가 있다
비밀번호는 자주 바꿔야 한다
해킹 데모는 모두 믿고 두려워하라
사이버 공격은 방어보다 쉽다
운영 기술(OT)은 취약하지 않다
시스템을 뚫는 것은 나 자신을 입증하는 최고의 방법이다
할 수 있다면 해야 한다
보안이 강화될수록 개인정보보호는 약화된다
더 읽을거리
2장 보안 관점에서 다시 바라보는 ‘인터넷’
‘인터넷’이 무엇인지 모두 잘 안다
IP 주소는 고유한 기기를 식별한다
인터넷은 중앙기관에 의해 관리되고 통제된다
인터넷은 대체로 정적이다
네트워크는 정적이다
__여러분은 핵심 자산이 무엇이며 어디에 있는지를 잘 안다
이메일은 사적인 것이다
암호화폐는 추적이 불가능하다
모든 것이 블록체인으로 해결될 수 있다
인터넷은 마치 빙산과 같다
__다크웹은 오직 범죄 활동을 위한 것이다
__다크웹 활동은 추적 불가능하다
VPN은 사용자를 익명으로 만들어준다
방화벽 하나면 충분하다
더 읽을거리
[2부] 인간 심리로 풀어보는 사이버 보안과 침해 사고
3장 위협을 불러들이는 잘못된 믿음과 과도한 기대
인간은 합리적으로 행동할 것이다, 그러니 저 사용자 탓이다!
우리는 사이버 보안에 대해 알아야 할 모든 것을 알고 있다
규정 준수는 (완전한) 보안과 같다
인증은 기밀성을 보장한다
절대 안전해질 수 없는데 왜 애써야 할까
나는 너무 작고 하찮아서 공격 대상이 되지 않을 것이다
모두가 나를 노리고 있다
신뢰할 수 있는 웹사이트만 이용하므로 내 데이터는 안전하다
모호성에 의한 보안은 어느 정도 안전하다
가시성과 통제에 대한 환상
사이버 보안의 핵심은 5개의 9다
모두가 최첨단 기술을 갖추고 있다
미래의 위협을 예측할 수 있다
보안 담당자는 보안 결과를 통제할 수 있다
모든 나쁜 결과는 잘못된 결정의 결과다
보안은 강화될수록 무조건 좋다
모범사례는 언제나 최선이다
온라인에 있으니 반드시 진실이거나 정확할 것이다
더 읽을거리
4장 보안 판단을 그르치는 20가지 사고 오류
잘못된 인과의 오류: 상관관계는 인과관계다
증거의 부재는 부재의 증거다
허수아비 해커의 오류
인신공격의 오류
성급한 일반화의 오류
회귀 오류
기저율 오류
도박꾼의 오류
이상징후의 오류
블랙스완에 대한 무지
결합 오류와 분리 오류
낙관적 편향 효과
소유 효과
매몰비용 오류
그 밖의 오류들
__외부에 대한 호소 오류
__의심스러운 증거 인용 오류
__유도 질문 오류
__거짓 선택지 오류
__투 쿠오퀘 오류
__질문 재정의 오류
더 읽을거리
5장 보안의 빈틈을 노리는 24가지 인지 편향
행동 편향
부작위 편향
생존 편향
확증 편향
선택 확증 편향
사후 편향
가용성 편향
사회적 증거 편향
과신 편향
제로 리스크 편향
빈도 편향
그 밖의 편향
__결과 편향
__할인 편향
__근접성 편향
__액면가 편향
__부인 편향
__후광 편향
__원 업맨십 편향: 우월 경쟁 의식
__앵커링 편향
__점화 효과
__지식 편향
__현상유지 편향
__이즘 편향
__자기 본위적 편향
더 읽을거리
6장 보안을 위협하는 왜곡된 상벌 체계와 인센티브
보안 업체의 목표는 고객을 안전하게 지키는 것이다
내가 내린 사이버 보안 결정은 나에게만 영향을 미친다
버그 바운티 프로그램은 공격용 취약점을 사라지게 한다
사이버 보안 보험 덕분에 사람들이 감수할 위험이 줄어든다
벌금과 벌칙은 사람들이 위험을 덜 감수하게 만든다
보복 공격은 사이버 범죄를 막는 데 도움이 될 것이다
혁신은 보안 및 개인정보 유출 사고를 증가시킨다
더 읽을거리
7장 문제와 해결책: 이분법의 함정
사이버 보안에서 실패는 선택사항이 아니다
모든 문제는 해결책이 있다
__빅데이터로 모든 문제를 해결할 수 있다
__올바른 해결책은 세상에서 오직 단 하나뿐이다
__주어진 사이버 보안 문제는 모두가 동일한 방식으로 해결해야 한다
개인적인 경험은 사이버 보안 솔루션의 좋은 출발점이 될 수 있다
'나쁜 것'을 더 많이 감지하니 새로운 시스템이 더 나은 것이다
모든 보안 프로세스는 자동화돼야 한다
전문 자격증은 쓸모없다
__사이버 보안 분야에서 일하려면 컴퓨터 관련 학위가 필수다
__사이버 보안 자격증은 가치가 있다
__사이버 보안 인력은 부족하다
__학문과 실무 사이에는 괴리가 있다
더 읽을거리
[3부] 현실과 상황을 고려한 보안 관련 기술 이슈
8장 사이버 공간에 관한 비유와 추상화
사이버 공간은 현실 세계와 같다
__사이버 보안은 성곽 방어와 같다
__디지털 절도는 물리적 절도와 같다
__사용자는 ‘가장 약한 고리’다
사이버 보안은 의학이나 생물학과 같다
사이버 보안은 마치 전쟁과 같다
__사이버 진주만
__사이버 무기
__사이버 테러
사이버 보안의 법은 물리적 세계의 법과 같다
비유와 추상화를 위한 팁
더 읽을거리
9장 사이버 공간의 법과 제도, 정책
사이버 보안의 법은 현실 세계의 법에서 유사하다
그곳의 법은 내가 있는 곳에선 적용되지 않는다
그건 내 수정헌법 제1조 권리를 침해한다!
__법에 대한 무지
__관할권의 차이
컴퓨터 코드는 법적 코드보다 우선한다
__법은 컴퓨터 코드로 단순하게 변환될 수 있다
__입법자, 규제 당국, 법원은 기술을 규제할 만큼 충분히 알고 있다
__법과 법원은 개발자들을 부당하게 제약한다
사법기관은 사이버 범죄에 절대로 대응하지 않는다
소송을 통해 언제든지 정보를 숨길 수 있다
데이터 유출 사고를 은폐하려면 소송이 최선의 대응이다
이용약관은 중요치 않다
법은 내 편이므로 걱정할 필요가 없다
더 읽을거리
10장 보안 도구, 과연 제대로 사용하고 있을까
도구는 많을수록 좋다
__새로운 위협마다 새로운 도구가 필요하다
기본 구성은 항상 안전하다
도구 하나로 모든 나쁜 것을 막을 수 있다
도구를 보면 의도를 파악할 수 있다
보안 도구는 본질적으로 안전하며 신뢰할 수 있다
아무것도 탐지하지 못했음은 곧 모든 것이 괜찮다는 뜻이다
__스캐너가 아무것도 탐지하지 못했음은 곧 우리가 안전하다는 뜻이다
__알람이 없다는 것은 안전하다는 뜻이다
__취약점 보고가 없다는 것은 취약점이 없다는 뜻이다
더 읽을거리
11장 소프트웨어 취약점과 사회공학 공격
우리는 취약점에 대해 알아야 할 모든 것을 알고 있다
취약점은 드물다
공격자들은 점점 더 능숙해지고 있다
제로데이 취약점이 가장 중요하다
__제로데이가 가장 무섭다
__제로데이는 지속성을 의미한다
모든 공격은 취약점에 의존한다
익스플로잇 공격 도구와 개념증명은 나쁜 것이다
취약점은 복잡한 코드에서만 발생한다
선발주자는 보안을 희생해야 한다
패치는 항상 완벽하고 적용 가능하다
방어 조치는 시간이 지나면 보안 취약점이 될 수도 있다
모든 취약점은 수정될 수 있다
취약점 평가 시스템은 쉽고 잘 알려져 있다
할 수 있으면 해야 한다 [취약점 편]
취약점의 이름은 그 중요성을 반영한다
더 읽을거리
12장 진화하는 악성코드와 랜섬웨어의 위협
샌드박스를 사용하면 필요한 모든 것을 알 수 있다
리버스 엔지니어링을 사용하면 필요한 모든 것을 알 수 있다
악성코드는 지리적 위치와 관련이 없다
언제든지 누가 악성코드를 만들고 나를 공격했는지 알아낼 수 있다
악성코드는 항상 복잡하며 이해하기도 어려운 프로그램이다
무료 악성코드 보호 기능이면 충분하다
악성코드는 수상한 웹사이트에서만 감염될 것이다
할 수 있으니 해야 한다 [악성코드 편]
랜섬웨어는 전혀 새로운 종류의 악성코드다
서명된 소프트웨어는 항상 신뢰할 수 있다
악성코드의 이름은 중요성을 반영한다
더 읽을거리
13장 실패하지 않는 디지털 포렌식과 사고 대응
영화와 TV는 사이버 세계의 현실을 그대로 반영한다
사이버 사고는 발생 즉시 발견된다
사이버 침해 사고는 개별적이고 독립적이다
모든 사이버 사고의 심각성은 동일하다
표준 사고 대응 기법만으로 충분히 랜섬웨어에 대응할 수 있다
사고 대응팀이 스위치 몇 개만 누르면 모든 것이 마법처럼 해결된다
공격자의 신원은 항상 규명할 수 있다
공격자의 신원은 반드시 규명해야 한다
대부분의 공격과 데이터 유출은 조직 외부에서 시작된다
트로이 목마 방어 논리는 끝났다
엔드포인트 데이터만으로 사고 탐지에 충분하다
사고 복구는 단순하고 선형적인 과정이다
더 읽을거리
[4부] 데이터 없는 보안, 과연 안전할까?
14장 거짓말, 새빨간 거짓말, 그리고 통계
운이 좋으면 사이버 공격을 피할 수 있다
숫자만으로 모든 것이 설명된다
확률은 확실성이다
통계는 법이다
__맥락이 필요하다
__통계를 이용한 추론 예측
__상관관계는 인과관계를 의미한다
__분류 오류는 중요하지 않다
데이터는 통계에서 중요하지 않다
AI와 머신러닝만 있으면 모든 사이버 보안 문제를 해결할 수 있다
더 읽을거리
15장 이미지, 데이터 시각화, 그리고 착각
시각화와 대시보드는 본래 보편적으로 유용하다
사이버 보안 데이터는 시각화하기 쉽다
__인터넷 지리적 위치 정보 시각화는 유용하다
__IP와 포트의 시각화는 명확하고 이해하기 쉽다
더 읽을거리
16장 그래도 희망은 있다
속설에 덜 휘둘리는 세상을 위해
문서화는 중요하다
속설의 공통 패턴과 권고사항
__속설의 공통 패턴
__공통 권고사항
또 다른 미래의 함정을 피하자
마치면서
부록 A 주요 용어 개념 정리
부록 B 보안 용어 약어집