이 책을 출간하는 시점에도 스펙터(Spectre)나 멜트다운(Meltdown)과 같은 새로운 공격 방식이 등장하며 보안 이슈는 끊임없이 사회 전반에 회자되고 있다. 일정 규모 이상의 조직에서는 아웃소싱 여부에 상관없이 IT 리스크 관리를 하기 시작했고, 그 중 하나가 침투 테스트라는 형태로 사용 중인 자산이 잘 보호되고 있는지 보안 전문가들로 하여금 실제 악의적인 공격자를 가장해 해킹을 시도해 보는 점검 방식이다. 하지만 침투 테스터 입장에서는 가능한 한 다수의 취약점을 발견하고 실제 취약점이 공격으로 이어질 가능성을 평가해야 한다. 또한 조치 후 문제가 사라졌는지 재검검도 필요하며, 실제 서비스에 영향을 주지 않고 주기적으로 점검할 수 있다면 더욱 이상적이다.
하지만 사실 이러한 반복적인 작업은 중요하지만 따분해지기 쉽다.
따라서 보안 전문가나 침투 테스터가 자주 사용하는 여러 보안 도구를 활용해 업무를 체계적으로 자동화하는 방법을 도입해야 한다. 이를 위해 저자는 플랫폼에 독립적인 C#이라는 언어를 택했다. C#에 익숙하지 않은 독자를 위해 1장에서 간단히 C# 언어에 대한 속성 과정을 제공한다. 객체지향 언어를 다뤄본 경험이 있다면 어렵지 않게 이해할 수 있을 것이다. 나머지 장에서는 웹 애플리케이션의 대표적인 취약점 XSS와 SQL 인젝션 퍼징, 악성코드 분석에 사용하는 쿠쿠 샌드박스와 ClamAV, 다양한 익스플로잇을 제공하는 메타스플로잇과 연동하는 법 등 실전에 사용할 수 있는 다양한 자동화 방법을 설명한다.
본인에게 필요한 맞춤형 자동화 도구를 개발할 때 책에 나온 코드를 참고한다면 좋은 지침서로 활용할 수 있으리라 믿는다. 나아가 자신만의 자동화 도구를 제작해서 오픈소스로 공개한다면 더욱 의미가 있을 않을까.
아마 IT를 잘 알지 못하는 일반인이라 해도 로그라는 용어를 들어본 적이 있을 것이다. 하드 디스크에 쌓인 로그를 직접 찾아보고 문제점을 파악해 본 경험이 있는 파워 사용자도 있겠지만, 일반 사용자도 컴퓨터를 사용하다 보면 프로그램 업데이트 후의 메시지나 에러 정보를 보여주는 텍스트 파일 등을 본 적이 있을 것이다. 이처럼 개인 컴퓨터에서 네트워킹 장비, 웹/메일/데이터베이스 등 다양한 종류의 서버 장비, 애플리케이션 개발, 보안 장비 등 보이지 않는 곳에서 끊임없이 로그를 생성하고 있다.
매초, 매분, 매시간, 매일 생성되는 로그는 장비와 목적에 따라 차이가 있겠지만, 일반적으로 로그는 타임스탬프를 포함한 여러 유용한 정보를 포함한다. 하지만 이 로그를 제대로 활용해서 핵심적인 문제점을 신속히 파악하고 이를 통해 해결방안을 찾아내는 작업은 생각처럼 쉽지 않으며, 오랜 경험과 관련 지식이 필요하다. 가령 초당 평균 수백 메가의 트래픽이 흐르는 방화벽을 담당하는 보안 담당자가 있다고 가정해 보자. 수백 테라에 달하는 한 달간의 로그에서 특정 엔드포인트의 연결 횟수를 일별로 추출해 이상행위를 탐지해야 한다면, 무슨 도구를 이용해서 어떻게 해야 효율적으로 분석할 수 있을까? 나아가 어떤 형태의 로그를 이상행위로 규정하고 조사해야 할까? 다른 장비의 로그를 연계해서 함께 분석할 필요가 있다면 어떤 방식이 좋을까?
일반적으로 다양한 분야에서 로그를 활용할 수 있지만, 특히 개발자의 경우에는 디버깅 용도로, 운영자의 경우는 다양한 트러블슈팅을 해결하기 위해, 그리고 보안 담당자들은 이상행위를 탐지할 목적으로 로그를 활용하는 경우가 많다. IT를 활용하는 사용자 수가 나날이 급증하면서 로그 생성량은 예전에 비해 기하급수적으로 증가하는 추세이며, 정기적인 로그 분석의 필요성 또한 높아지고 있다. 대규모 로그의 경우 빅데이터를 처리할 수 있는 클라우드 컴퓨팅 기법이나 효율적인 시각화 방식을 통해 더욱 신속하게 문제점을 파악하고 분석하는 능력을 요구할 것이다. 특히 주요 데이터를 다루는 조직이라면, 로그 메시지의 종류나 로그 보관 방법과 주기 등 컴플라이언스 측면에서 필수적으로 로깅을 시행해야 한다. 이 책은 미국 기준으로 PCI DSS, ISO2700x, HIPPA 위주로 설명하고 있지만, 국내에서도 이를 모델로 한 법규 준수사항을 상당수 포함하고 있으므로 각 영역별로 참고한다면 좋은 레퍼런스로 활용할 수 있다.
사실 로그라는 영역은 목적에 따라 매우 다양하게 활용할 수 있고, 딱히 정해진 표준도 없다. 그래서 로그가 중요하다는 사실을 알면서도 정작 로그 자체를 중심으로 다루고 있는 책은 많지 않으며, 더욱이 로그 분석과 관리에 초점을 맞춘 서적은 더욱 드물다. 이 책은 로그를 활용해 분석하는 방법과 알아두면 좋을 일반적인 규칙, 흔히 저지르는 실수, 관리 절차, 로그 분석 시스템 구축 등을 전체적으로 균형있게 다루고 있어 개발자, 운영자, 보안 담당자는 물론 일반 사용자에 이르기까지 활용도가 높다. 따라서 저자가 소개한 여러 분석 방법과 정보를 토대로, 독자가 로그를 적재적소에 활용할 수 있는 힘을 기르고 실무에 응용할 수 있다면, 책을 번역한 역자로서 더할 나위 없는 보람이 아닐까 생각한다.
