『오픈소스 도구를 활용한 웹 모의해킹과 침해대응』은 웹 취약점 점검 도구의 기능을 알아보고 스캔에 사용된 패턴을 확인하는 과정을 다룬다. 실습에 활용할 도구는 공개용 웹 취약점 점검 도구인 OWASP-ZAP이다. ZAP은 웹 취약점 점검 도구에 필요한 모든 기능을 갖추고 있고 오픈소스로 제공되며 무료이므로 가격 부담 없이 실습할 수 있고 업무에 활용할 수 있다. ZAP의 기능을 활용할 웹 서버도 무료로 배포되는 메타스플로이터블 2(Metasploitable 2)를 사용한다.
웹 모의해킹을 공부하면서 많이 놓치고 어려워하는 부분의 하나가 침해 탐지 영역이다. 대부분 웹 취약점 점검 도구 또는 직접 공격을 수행한 후 발견된 취약점 결과에만 관심을 두고 어떤 이벤트가 탐지되는지는 신경 쓰지 않는다. 모의해킹을 통해 취약점을 찾는 것도 중요하지만, 악의적인 해커가 동일하게 공격하였을 때 방어자 입장에서 어떻게 탐지하고 보완할 수 있는지 역시 중요하다. 그래서 이 책은 가장 오랜 시간 동안 침입 탐지 역할을 한 스노트(Snort)에 대해서도 설명한다. 스노트만 설치하여 침입 탐지를 분석해도 되지만, 다양한 오픈소스 도구를 연동하여 구축한 NSM(Network and Security Manager)과 IDS(Intrusion Detection System) 장비인 시큐리티 어니언(Security Onion)을 활용하여 실무처럼 이벤트를 분석한다.
이 책에서는 오픈소스로 제공되는 도구나 장비를 활용하여 웹 취약점 진단부터 스노트 탐지까지 분석한다. 물론 오픈소스라서 상용화 도구보다 기능이 제한적이고 성능이 낮을 수 있다. 하지만 무료라는 장점 때문에 부담 없이 이용할 수 있고, 이 책에서 제시한 실무와 비슷한 환경에서 실습을 진행할 수 있다.
'보안프로젝트(www.boanproject.com)' 대표로 활동하고 있다. 에이쓰리시큐리티에서 5년 동안 모의해킹 컨설턴트를 담당했고, 모의해킹 프로젝트 매니저, 웹 애플리케이션, 소스코드 진단 등 다양한 영역에서 취약점 진단을 수행했다. 이후 KTH 보안 팀에서 모바일 서비스, 클라우드 서비스 보안, 침해 사고 대응 업무를 수행했고, KB투자증권에서 보안 업무를 담당했다.
IT 비전공자로 늦은 나이에 아이티뱅크 학원에서 보안 공부를 시작하였다. 처음에는 네트워크 엔지니어로 1년 근무하였고 지금은 웹 보안 검증 업무를 하고 있다. 아이티뱅크에서 주관하는 보안콘퍼런스에서 우수상을 받았으며, 보안프로젝트 오프라인스터디 모의해킹실무 5기로 활동하였다.