기업과 고객을 파괴하는 해킹과 사이버 보안의 모든 것

사이버 보안은 눈에 보이지 않으며 예기치 못한 위험과 어려움으로 가득 차 있다.
우리가 아무리 선한 의도로 행동하려 해도 대중적 통념, 세상에 대한 그릇된 가정, 인간 본연의 편향 등으로 인해, 충분히 피할 수도 있는 온갖 실수와 오류가 생겨난다. 그 결과 보안의 구현과 조사, 연구는 난처한 상황에 놓이기도 한다. 특히 사이버 보안 분야에 처음 입문하는 사람들에게는 수많은 잘못된 관행이 그럴듯해 보이기까지 하므로, 그로 인한 그릇된 인식이나 착각에도 불구하고 침해 사고와 보안 실패가 여전히 반복되고 있다.

이 책에서는 3명의 저명한 보안 업계 선구자들이 보안 현장부터 고위경영진 회의실까지 곳곳에서 벌어지는, 사이버 보안을 그르치는 잘못된 인식과 통념을 총망라하며, 올바른 보안 지식을 갖추고 안전한 사이버 공간을 영위할 수 있는 전문적이고도 실용적인 조언이 가득하다.

사이버 보안 분야에 처음 발을 딛는 초보이든, 이미 잔뼈가 굵은 경력자이든, 이 책은 여러분이 숨겨진 위험을 드러내고, 충분히 피할 수 있는 실수를 미연에 방지하며, 잘못된 가정을 걷어내기 위한 깊은 통찰과 도움을 줄 것이다. 또한 사이버 보안의 예방과 조사, 연구 활동을 저해하는 인간 고유의 뿌리깊은 인지 편향에 맞서 싸우는 데 힘이 되어줄 것이다. 아울러, 이 책에서는 실제 사이버 보안 사건에서 도출된 생생한 사례, 보안 오류를 인식하고 극복하는 데 도움이 되는 구체적인 기법, 그리고 더 안전한 제품과 비즈니스를 구축하기 위한 실질적인 대응책을 제시한다.

| 이 책에서 다루는 내용 |
ㆍ 사용자, 기업의 임원진, 보안 전문가들이 자칫 빠져들기 쉬운 175가지 이상의 사이버 보안에 대한 속설이나 오해, 그리고 이를 피하기 위한 실용적인 팁
ㆍ 비유와 추상화의 장단점, 보안 도구에 대한 오해, 잘못된 가정이 불러오는 함정
ㆍ 사용자, 개발자, 연구자, 임원진의 입장에서 사이버 보안 의사결정의 효과를 높이는 방안
ㆍ 통찰을 주기도 하는 통계와 수치가 오해를 불러일으킬 수도 있는 이유
ㆍ 보안과 관련한 잘못된 속설이나 인식을 식별하는 능력, 미래의 함정을 피하는 전략, 그리고 보안 위협을 완화하는 기법

| 이 책의 대상 독자 |
기존의 정보보안 전문가는 물론, 개발자, 설계자, 개발자, 분석가, 의사결정자, 경영진, 학생 등 보안 분야에 관심이 많은 비전문가

-- 초보자라면 오래된 통념을 맥락 속에서 더 깊이 이해하고, 이를 통해 실수를 미연에 방지할 수 있을 것이다.
-- 경험이 풍부한 실무자들에게는 적용 가능한 기법과 접근 방식에 대해 새로운 관점을 제시하고, 무심코 사이버 보안을 약화시키는 함정에 빠지지 않도록 조언해 줄 것이다.
-- 사이버 보안은 기술에 의존하는 모든 사람과 관련된 문제이기에 사이버 보안 분야에 종사하지 않는 사람에게도 유용한 책이다.
-- 의사결정자와 경영진은 기업의 위험을 감수하거나 관리하는 역할을 하므로, 사이버 보안에 대한 정확한 이해가 필요하다.

| 이 책의 구성 |
이 책은 일반 보안 지식, 인간 심리, 기술 이슈, 데이터 이슈를 다루는 4개 부로 나뉘어 있으며, 총 175가지 이상의 속설과 편향, 오해를 다룬다. 각 장은 비슷한 주제의 속설들을 묶어 주제별로 구성하고 유기적으로 연결했다. 각 장을 따로 읽어도 좋고, 이어서 읽어도 좋다. 각 장 내의 절 제목은 특정한 속설이나 주제를 나타낸다.

각 절에서는 속설이나 오해를 설명하고 실제 사례를 몇 가지 제시하며 이를 어떻게 피해야 하는지 다룬다. 취약점, 악성코드, 포렌식 등의 기술적인 내용도 다루며, 논리적 오류와 의사소통 등 우리의 사고방식과 의사결정이 사이버 보안에 어떤 영향을 미치는지도 알아본다.

부록 A에는 본문에서 사용된 주요 개념과 용어에 대한 간략한 설명을 수록했다. 따라서 방화벽이나 log4j 취약점 같은 용어가 익숙하지 않다면, 부록에서 간략한 설명을 먼저 참고하기 바란다. 사이버 보안과 컴퓨팅 분야에는 전반적으로 약어가 넘쳐난다. 부록 B에 약어를 정리해 놓았으니, 생소한 약어를 접하면 어떤 용어의 약자인지 찾아보기 바란다.


[옮긴이의 말]
오늘날 사이버 보안은 기업의 생존과 직결되는 문제입니다. 단 한 번의 해킹 사고가 고객 신뢰를 무너뜨리고, 기업의 존립 기반을 송두리째 흔들 수 있는 시대인 것입니다. 보안은 오래된 문제이기도 했으나 여전한 과제이기도 하므로, 더더욱 시의적절하게 출간된 이 책은 오늘날의 현실을 직시하게 만듭니다.
이 책은 보안 실무자뿐만 아니라 경영진, 나아가 일반 독자들까지도 ‘사이버 보안의 본질과 오해’를 다시 생각하게 만드는 강력한 통찰을 담고 있습니다. 원서 『Cybersecurity Myths and Misconceptions: Avoiding the Pitfalls of Security Management』를 처음 접했을 때, 저자들의 관점이 매우 신선하면서도 현실적이라는 점에 큰 매력을 느꼈습니다.
이 책에서는 최신 보안 기술이나 도구를 건조하게 나열하는 대신, 조직이 쉽게 빠지게 되는 잘못된 통념과 함정, 그리고 전략적 맹점을 하나하나 해체합니다. 그리고 보안이 단순한 IT 영역을 넘어 기업의 문화, 경영 전략, 사람들의 인식과 매우 긴밀히 맞물려 있다는 사실을 일깨웁니다. 저는 사우디아라비아 리야드에 위치한 나이프 아랍 안보과학 대학교(NAUSS)에서 교수로 재직하며, 기업·기관과 협력해 다양한 사이버보안 연구와 교육 프로젝트를 진행하고 있습니다. 이 과정에서 깨달은 것은, 보안의 성공과 실패를 가르는 요소로서 기술도 중요하지만 ‘사람의 판단과 조직의 인식’이 무엇보다 중요하다는 점이었습니다. 이 책을 번역하면서 그간 제가 현장에서 마주했던 여러 문제와 이 책을 쓴 저자진의 통찰이 절묘하게 맞닿아 있음을 실감했습니다.
모쪼록 이 책이 기업 보안 책임자, IT 관리자, 사이버 보안에 관심있는 모든 독자에게 보안을 둘러싼 오해와 잘못된 통념을 바로잡고, 보안 실패의 본질을 새롭게 인식하는 계기가 되기를 바랍니다. 보안은 불필요한 비용이 아니라 미래를 지키기 위한 핵심 투자라는 이 책의 메시지가 많은 독자에게 깊이 새겨지기를 마음속 깊이 기대합니다.
- 김경곤

사이버 보안은 끊임없이 변화하는 분야이지만, 여전히 많은 사람들은 오래된 관행이나 검증되지 않은 ‘보안 상식’을 당연하게 받아들이곤 합니다. 이 책은 세간에 퍼져 있는 이러한 잘못된 믿음들을 하나하나 짚어내며, 우리가 보안에 대해 얼마나 많은 오해를 가지고 있었는지를 깨닫게 합니다. 번역을 시작하기 전부터 이 책의 문제의식에 깊이 공감해왔던 차였기에, 책을 옮기면서도 여러 번 고개를 끄덕이며 많은 깨우침을 얻을 수 있었습니다.
또한, 이 책을 번역하면서 일반적으로 사이버 보안 분야에 대해 사용자들이 옳다고 믿었던 보안 방법이 사실은 제대로 검증되지 않은 채 관행으로 이어져 오고 있었다는 사실을 다시 한번 깨닫기도 했습니다. 저 또한 컴퓨터가 작동되지 않고 원인을 찾지 못할 때 마지막 수단으로 컴퓨터를 물리적으로 때려본 적이 있다고 고백하며, 이러한 경험 때문에 책을 번역하며 공감도 많이 됐고 배운 점도 많았습니다.
특히 귀여운 동물 일러스트와 책이 지루하지 않게 종종 나오는 작가의 유머 덕분에 읽는 재미도 가득하므로, 보안에 관심 있는 일반인부터 보안 분야 전문가까지, 그리고 기업을 운영하고 있는 정책 책임자들도 한 번쯤 꼭 읽어볼 만한 책이라고 생각합니다.
- 장은경

이 책을 공역하면서 흥미로운 경험을 했다. 이 책에서 다루는 문제들이 현실에서 그대로 벌어지는 기이한 현상을 목격한 것이다.
이 책에서는 북한의 해커 조직과 암호화폐 해킹에 대한 흥미로운 얘기들이 나오는데, 마침 지난 2월에는 아랍에미리트 두바이에 본사를 둔 바이비트(ByBit)라는 세계 2~3위권의 암호화폐 거래소에서 북한 조직의 소행으로 추정되는, 피해액이 무려 2조 원이 넘는 해킹 사건이 발생했다. 2조 원이라니…! 북한이 전문 해커 조직을 운영할 만하다는 생각이 들었다. 또한 이 책에는 “대기업이 운영하는 신뢰할 수 있는 사이트나 서비스를 이용하면 해킹에서 안전하다(1장)”고 생각하는 세간의 믿음이 ‘착각’일 수 있다고 강조하는데, 몇 달 전에는 국내 1위 통신사업자에서 대규모로 고객 개인정보가 유출되는 안타까운 사건이 일어났다. 그리고 이 책에서 꽤 비중 있게 다루고 있는 랜섬웨어와 관련해서도, 국내 대표 온라인 서점이 랜섬웨어 공격으로 며칠간 서비스가 마비되는 사태가 일어났다. 나도 자주 이용하는 사이트다 보니 이 사건은 내게도 꽤 충격적으로 다가왔다. 이어서 얼마 지나지 않아, 국내 대형 보증보험 사이트에서도 랜섬웨어 사고가 다시 터졌다. 금융보안원이 악성코드의 결함을 이용해 암호화된 데이터를 절묘하게 풀어내어 무사히 마무리되긴 했지만, 작업 중인 책의 구절 구절을 뉴스 속보로 다시 접하는 건 묘한 기분이었다.
그런 기묘함의 정점은, 책에서 얘기하던 사건들이 바로 내 PC에서 벌어졌을 때였다. 오랜만에 내가 이용하던 암호화폐 거래소를 접속하려고 할 때 웹 브라우저에서 경고 팝업이 떴다. 이전에도 가끔 뜨던 경고 메시지였기 때문에 평상시 같았으면 무시하고 바로 로그인했을지도 모른다. 하지만 보안 책을 번역하면서 이런 대형 사건들을 연이어 목격하다 보니, 예리해진 나의 보안 감수성이 나를 멈춰 세운 것일까? 알고 보니 나도 모르게 내 PC에 설치된 악성코드가 PC의 모든 인터넷 트래픽을 가로채어 프록시 서버로 보내고 있었다. 이 악성코드는 어떤 백신 소프트웨어로도 검색되거나 치료되지 않았고, 더 놀라웠던 점은, 온갖 방법을 동원해서 악성코드로 의심되는 프로세스나 파일을 여러 차례 삭제하려고 시도했지만, 몇 분 지나면 귀신같이 악성코드가 다시 살아나 프록시 서버 연결을 재설정했다. 소름이 끼칠 정도였다. 결국 컴퓨터 전체를 포맷하고 윈도우를 다시 설치해야 했고, 며칠간 PC를 제대로 쓰지 못했다.
내 PC에서 일어났던 일은 바로 이 책에서 자세히 묘사된 프록시 릴레이(7장), 탐지를 회피하는 지능적인 악성코드(12장), 정교한 피싱 기법(10장) 등이 모두 결합된 사례였다. 또한, 개인들이 “자신은 작고 하찮아서 공격 대상이 되지 않을 것”이라는 믿음이 착각이라는(3장) 이 책의 경고가 눈앞에서 현실이 되어 펼쳐지고 있었다. 곰곰이 생각해 보니, 이런 일련의 사건이 단순한 우연의 일치는 아니라는 생각이 들었다. 처음엔 신기한 우연처럼 느껴졌지만, 이제 이런 사이버 공격이 그만큼 빈번해지고 우리의 일상 가까이까지 침투해 있다는 증거가 아닐까. 이 책에서도 지적하듯 AI를 활용하는 공격자들은 더욱 더 지능적이고 위협적이 될 것이다.
이런 경험을 겪고 나니, 보안이 “전문가에게만 맡기면 되는,” 우리의 일상과 동떨어진 문제가 아니라는 사실을 다시금 뼈저리게 깨닫게 됐다. 모든 것이 디지털화되고 인터넷으로 연결된 세상에서 나의 소중한 데이터와 개인정보는 언제든지 탈취될 수 있는 위험에 노출되어 있으며, 그 누군가가 알아서 지켜주지 않는다. 건강이나 돈에 대해서 관심을 가져야 하듯, 누구에게나 보안이라는 교양이 필요한 시대가 됐다고 생각한다.
이 책은 보안에 대한 일종의 ‘인문학적 접근’이라고 할 수 있다. 기술적인 실무 내용까지 다루지 않기 때문에 현대인의 교양으로서 보안에 대해 알고 싶은 누구나에게 도움이 될 수 있는 책이며, 실무 전문가에도 보안에 대한 관성에 젖은 시각을 바로잡을 수 있는 지침서가 될 것이다.
이 책에는 저자들이 보안 분야에서 쌓아온 오랜 인사이트가 가득했지만, 아무래도 전문 저술자들이 아니다 보니 때로는 그 의미를 쉽게 파악하기 어려운 문장들이 많아서 쉽지 않은 번역 작업이었다. 다만, 그 결과 저자들의 날카로운 통찰을 놓치지 않으면서도, 독자들이 훨씬 읽기 싶고 이해하기 쉬운 책이 됐다고 자부한다.
이 책이 독자들의 미래에 닥칠 수 있는 보안 위협을 피할 수 있는 출발점이 되길 바란다.
- 박기성