알라딘

헤더배너
1/0 photos
신간알리미 신청
 상품평점 help

분류

이름:마크 다우드 (Mark Dowd)

최근작
2014년 1월 <안전한 소프트웨어를 위한 보안 코딩과 평가 세트 - 전3권>

마크 다우드(Mark Dowd)

맥아피(McAfee)의 수석 보안 아키텍트로 근무하고 있으며, 애플리케이션 보안 분야에서 다년간의 경험을 갖고 있다. 인터넷 보안 시스템(ISS)인 엑스포스(X-Force)에서 다년간 수석 연구가로 근무한 경험을 기반으로 유비쿼터스 인터넷 소프트웨어 분야에서 수많은 취약점을 발견했으며, 마이크로소프트의 익스체인지 서버 같은 메일 전송 서비스, OpenSSH, 파이어폭스의 모질라 같은 인터넷 브라우저, VPN, 마이크로소프트의 SSL 같은 분야에서 주소 체계 등의 심각한 문제점을 찾거나 식별하는 데 탁월한 능력을 보여준다. 그의 연구는 산업계의 유명 컨퍼런스인 블랙햇이나 럭스콘(RUXCON)의 주제를 포괄하고 있다.  

대표작
모두보기
저자의 말

<소프트웨어 보안 평가 The Art of Software Security Assessment> - 2013년 12월  더보기

지난 몇 년간 특히 소프트웨어 취약점을 비롯한 컴퓨터 보안 분야에 있어서 놀라운 변화가 있었다. 서점에는 보안성을 고려한 개발(secure development) 및 소프트웨어의 취약점을 공격(exploiting software)하는 방법을 소개하는 책들만 모아놓은 코너도 생겨났다. 애플리케이션 보안을 다루는 책들은 소프트웨어 디자이너나 개발자의 관점으로 애플리케이션에서 소프트웨어 취약점이 발생하지 않게 하는 테크닉에 중점을 둔다. 이런 테크닉은 견고한 보안 설계 원칙과 위협 모델링부터 시작해서 베스트 프랙티스 방어 개발 전략을 구현하는 모든 방법을 설명한다. 이런 책들은 애플리케이션 개발에 대한 방어의 근간을 만드는 데 도움이 되지만, 취약점의 본질은 거의 다루지 않고 어떻게 취약점을 회피하는지에만 초점을 맞춘다. 더욱이 모든 개발이 기본부터 보안 애플리케이션을 고려할 수 있는 것도 아니다. 현실적으로는 이미 공통적으로 사용하는 거대한 코드모음(codebases)이 있고 제한된 시간과 예산을 고려해야 하기 때문이다. 반면 보안 코딩의 목표는 "조금이라도 취약점이 발생할 수 있는 방법은 사용하지 말라!"라고 말한다. 이 사실이 맞기는 하지만, 너무 비용이 많이 들거나 시간을 많이 소모함으로써 합리적이지 않는 경우도 종종 발생하기 때문에 침투 테스트와 윤리적 해킹에 관심을 돌리게 된다. 이런 주제는 시중에서 다양한 범위의 지식을 얻을 수 있고, 소프트웨어 시스템의 생성, 입력, 삭제, 수정 테스트 시 유용하게 이용할 수 있다. 그렇지만 기술적으로 상세한 자료들조차도 취약점의 공격에만 초점을 두고 있을 뿐 취약점이 발견되는 첫 번째 위치를 어떻게 찾아야 하는지에 대해서는 거의 다루지 않는다. 이러한 접근은 현존하는 애플리케이션의 문제점을 어떻게 찾아내며, 합리적인 수준의 소프트웨어 안전을 보장할 수 있는지에 대한 문제점을 남겨둔다. 이는 전문적인 소프트웨어 보안을 평가하는 사람들에게 직면한 문제다. 보안 시스템의 설치, 테스트에 대한 관심은 더욱 증가하고 있지만 취약점을 찾을 수 있는 현실적인 방법을 설명하는 자료는 그리 많지 않다. 결국 취약점을 찾아가는 절차는 복잡한 이슈에 대한 깊이 있는 기술적인 이해가 필요하며, 애플리케이션 분석에도 체계적인 접근이 필요하다. 취약점을 어떻게 찾을 것인가에 대한 공식적인 언급이 없다면 소프트웨어 보안 산업은 소프트웨어 보안 평가의 기준을 확립하거나 다음 세대를 교육할 수 없다. 나는 이런 질문에 답을 찾고, 보안 소프트웨어 개발과 개발 후 심사에서의 차이점을 좁히는 데 도움을 주기 위해 이 책을 썼다. 이 책은 주로 컨설턴트나 보안 전문가를 위해 쓰였으나, 나머지 IT 분야에 종사하는 사람들에게도 도움이 되는 내용을 포함하고 있다. 개발자는 이 책을 통해 언어와 운영체제가 어떻게 동작하며 이런 요소들이 안전해 보이는 애플리케이션에 어떻게 취약점을 유발하는지, 그 차이와 뉘앙스를 이해할 수 있을 것이다. 품질 평가원(Quality Assurance Personnel)은 사내에서 개발한 소프트웨어의 무결성을 확신하거나, 다양한 공격을 받는 애플리케이션의 취약점을 감소시키는 가이드라인으로 이 책을 사용할 수 있을 것이다. 관리자는 네트워크상에서 애플리케이션의 보안 영향력을 평가하는 가이드라인으로 이 책을 사용할 수 있을 것이며, 향후 좀 더 나은 결정과 개발을 계획할 수 있을 것이다. 마지막으로 어떻게 애플리케이션을 평가하는지 관심이 있는 독자는 이 책에서 애플리케이션 보안 검토에 대한 중요한 정보를 얻고, 점검 기술을 향상시키는 데 도움을 받을 수 있을 것이다.

가나다별 l l l l l l l l l l l l l l 기타
국내문학상수상자
국내어린이문학상수상자
해외문학상수상자
해외어린이문학상수상자

(주)알라딘커뮤니케이션

대표이사 최우경 고객정보보호 책임자 최우경 사업자등록 201-81-23094 통신판매업신고 중구01520호 이메일 privacy@aladin.co.kr 호스팅 제공자 알라딘커뮤니케이션 (본사) 서울시 중구 서소문로 89-31
ⓒ Aladin Communication. All Rights Reserved.

고객센터 1544-2514 (발신자 부담)

서울시 마포구 백범로 71 숨도빌딩 7층 Fax 02-6926-2600
1:1 문의 FAQ
중고매장 위치, 영업시간 안내