해마다 개인정보 유출 횟수는 늘어가고 보안을 강화해야 한다는 목소리는 높아진다. 그럼에도 불구하고 얼마전 인터파크 해킹 사태에선 1030만명의 개인정보가 유출되었다. 비밀번호나 주민번호는 암호화되어 유출되지 않았다고 하지만, 유출된 전화번호나 메일을 이용해 피싱이나 스미싱 등 발생할 가능성이 있어 앞으로의 피해가 우려된다. 피해가 발생할때마다 해킹과 정보 유출에 대한 대책을 마련함에도 불구하고 유출 횟수가 줄지 않는 것은 갈수록 지능화되는 수법을 앞서는 대책이 마련되지 못하는 구조상의 문제 때문이 아닐까 싶다. 나날이 발전하는 해커들의 전략을 따라가기에 앞서 해킹이 어떤 식으로 이루어지는지를 알고, 중요 정보의 암호화 기법에 대한 이해는 IT 종사자에게는 반드시 필요한 상식으로 여겨진다.

1장 간단한 암호 도구 만들기
2장 대칭키 암호
3장 공개키 암호
4장 해킹이란
5장 해킹 기법 구현하기

책은 위의 순서로 구성되어 있다. 정보의 암호화가 보안의 핵심인 까닭에 책의 시작은 암호화를 어떻게 적용하는지 암호화 된 정보는 어떻게 복호화하는지 등에 관한 기본적인 설명이 1장에서 다루어진다. 암호화와 복호화 이론을 실습하기 위한 도구로 파이썬이라는 스크립트 언어를 사용하고 있고,  책에선 활용되는 문법 위주로 설명하고 있다. 파이썬이란 언어는 처음 접하는데 다른 언어들에 비해 유연하고 사용하기 쉬워 보인다. 하지만 변수 선언을 자료 타입에 따라 명시적으로 하지 않고, 묵시적으로 내부 처리되는 방식이 많아 깔끔하고 간단한데, 익숙하지 않으니 당황스럽기도 하다. 자바나 C 언어를 사용하던 개발자들은 사용하는 키워드들이 유사한게 많아 어렵지 않게 접근할 수 있어 보인다. 

1장에서 파이썬 설치 후 간단한 문법설명이 있고, 르그랑 암호 도구를 만드는 예제를 통해 암호화와 복호화에 대한 기본개념을 설명한다. 암호화를 어떤 방법으로 하느냐에 따라 시저암호, 아핀암호, 전치암호, 공개키암호 등 다양한 암호화 방식이 소개되었고, 코딩부분에선 암호화, 복호화 구현하는 알고리즘 부분에 대한 설명도 상세히 다루어지고 있다. 처음엔 예제를 직접 입력했는데 결국 소스는 출판사 홈피 자료실에서 다운받아 쉽게 수행해볼 수 있었다.

우리가 흔히 사용하는 공인인증서는 디지털 인증서와 개인키 정보를 가지고 있어 보안이 보장되지 않는 네트워크 상에서 키 전달 문제를 해결하고 보안통신을 가능하게 하는 대표적인 보안방법이다. 공개키 암호 알고리즘 중 RSA 공개키 암호 구현 예제도 수록되어 있어 흥미롭게 실습해볼 수 있다. 그리고 가장 흥미로운 마지막 5장의 해킹 기법을 직접 구현하는 부분에선 암호 공격, 패스워드 크래킹, 스니핑, 스푸핑, 웹 해킹, 트로이 목마 등을 직접 구현해보는 실습을 할 수 있어 해킹의 원리를 눈으로 확인해볼 수 있을 것이다.

해킹의 대상이 되는 영역은 넓다. 비밀번호를 알아내는 것 부터, 시스템에 접근 권한을 획득하는 것, 중요 정보를 추출하는 것 등이 대부분이지만 해킹기법 중 바이러스나 웜 같은 경우는 컴퓨터에 치명적인 손상을 줘서 부팅이 안되는 경우도 발생한다. 버퍼 오버플로우와 같이 메모리의 버퍼 사용이 넘쳐서 정상적인 프로그램 복귀가 되지 않고, 공격자가 원하는 복귀주소를 넣어두어 특정 코드를 실행하게 할 수 있는 방법이다. 스니핑, 키로깅, 스푸핑 등 생소한 용어들도 자세히 설명되어 있어 개념을 정리하기에 용이했다.

WEB이 정보의 중심이 되다보니 WEB의 취약점을 노린 해킹이 많이 시도된다. 특히 GET 방식과 쿠키는 정보를 읽기 용이해 조금의 지식만 있어서 입력값을 알아낼 수 있기 때문이다. 편리해진 만큼 위험에 노출되는 빈도수는 높아지니 사용자들의 주의도 반드시 필요하다. 

이 책은 IT 보안전문가를 꿈꾸는 사람들에게 안내서로 손색이 없다. 하지만 파이썬에 대한 부분은 따로 공부를 하면 더 좋을 듯 싶다. 연장을 능숙하게 사용할 줄 알아야 무엇이든 만들 수 있을테니까. 그리고 모두가 보안전문가가 될 필요는 없지만 IT 종사자라면 기본개념은 알고 있어야 한다는 생각이 들게 해준 책이었다.