확장메뉴
주요메뉴


소득공제
미리보기 공유하기

Security in Computing

: 컴퓨터 보안 바이블

[ 2018년 대한민국학술원 우수학술도서 선정도서 ] 에이콘출판사- 해킹과 보안 시리즈이동
첫번째 리뷰어가 되어주세요 | 판매지수 48
베스트
네트워크/해킹/보안 top20 1주
정가
50,000
판매가
45,000 (10% 할인)
YES포인트
eBook이 출간되면 알려드립니다. eBook 출간 알림 신청
가방 속 책 한 권이라면 - 굿리더 스트링백/간식 접시 머그/디즈니 미키 타포린 보냉백/타포린백
〈2022 한국 문학의 미래가 될 젊은 작가〉- 투표 참여 회원 전원 1천원 상품권 증정!
8월 얼리리더 주목신간 : 귀여운 방해꾼 배지 증정
월간 개발자 2022년 8월호
박해선 저자의 머신러닝/딥러닝 패스
[단독]『혼자 공부하는 파이썬』 개정판 출간
내일은 개발자! 코딩테스트 대비 도서전
YES24 트윈링 분철 : 인서트라벨/스티커 택1 증정
8월 전사
쇼핑혜택
1 2 3 4 5

품목정보

품목정보
출간일 2017년 06월 30일
쪽수, 무게, 크기 1240쪽 | 2098g | 188*250*51mm
ISBN13 9791161750033

이 상품의 태그

책소개 책소개 보이기/감추기

Security in Computing은 오랫동안 IT 전문가와 보안 전문가, 그리고 이 분야를 공부하는 학생으로부터 사랑을 받아왔다. 5판에서는 고전적인 내용에 더해 현대의 최신 기술, 공격, 표준 및 추세를 반영했다. 현시기에 맞는 사용자, 소프트웨어, 장치, 운영 체제, 네트워크 및 데이터 등 컴퓨터 보안의 모든 측면을 망라한다. 빠르게 진화하는 공격, 대응책, 컴퓨팅 환경을 반영하여 사용자 인증, 악의적인 코드 실행 방지, 암호화 활용, 개인 정보 보호, 방화벽 구현, 침입 탐지 같은 모범 사례를 소개한다. 또한 연습 문제를 통해 심화 학습할 수 있다. 한 권으로 보안 전문가가 최선의 해결 방안과 대응책을 선택할 수 있도록 도와준다.

목차 목차 보이기/감추기

1장. 소개
__1.2 위협
____기밀성
____무결성
____가용성
____위협의 유형
____공격자들의 유형
__1.3 피해
____리스크와 일반 상식
____수단, 기회, 동기
__1.4 취약점
__1.5 통제
__1.6 결론
__1.7 다음에 다룰 것
__1.8 연습문제


2장. 도구 상자: 인증, 접근 제어, 암호화
__2.1 인증
____식별과 인증
____문구와 사실 기반 인증: 사용자가 알아야 하는 것
____생체 정보를 기반으로 한 인증: 사용자가 가진 어떤 것
____토큰을 기반으로 한 인증: 갖고 있는 것
____연합 식별 관리
____다단계 인증
____보안 인증
__2.2 접근 제어
____액세스 정책
____접근 제어의 구현
____절차 지향 접근 제어
____역할 기반 접근 제어
__2.3 암호화
____암호화에 의한 문제 해결
____용어
____DES: 데이터 암호화 표준
____AES: 고급 암호화 표준
____공개 키 암호 작성 방법
____비밀 키를 교환하기 위한 공개 키 암호화
____오류 검출 코드
____신뢰
____Certificates: Trustable Identities and Public Keys
____Digital Signatures?All the Pieces
__2.4 연습문제


3장. 프로그램과 프로그래밍
__3.1 의도하지 않은(악의 없는) 프로그래밍 실수
____버퍼 오버플로
____불완전 중재
____TOCTTOU
____문서화되지 않는 액세스 포인트
____OBO 오류
____정수 오버플로
____종료되지 않은 널 종료 문자열
____매개변수 길이, 종류와 수량
____안전하지 않은 유틸리티 프로그램
____경쟁 조건
__3.2 악의적인 코드: 멀웨어
____멀웨어: 바이러스, 트로이목마, 웜
____기술적 세부 사항: 악성코드
__3.3 대응책
____사용자를 위한 대응책
____개발자를 위한 대응책
____보안 대책
____작동하지 않는 대응책
____결론
____연습문제


4장. 웹 사용자 가이드
__4.1 브라우저 공격
____브라우저 공격의 종류
____브라우저 공격의 성공 방법: 신원 확인과 인증 실패
__4.2 사용자를 겨냥한 웹 공격
____가짜 또는 유인 콘텐츠
____악성 웹 콘텐츠
____악성 웹 페이지로부터의 보호
__4.3 사용자나 웹사이트의 데이터 얻기
____데이터 내 코드
____웹사이트 데이터, 사용자도 문제
____데이터 공격 저지
__4.4 이메일 공격
____위조 이메일
____스팸 같은 위조 이메일 메시지
____가짜(부정확한) 이메일 헤더 데이터
____이메일 공격으로부터의 보호
__4.5 결론
__4.6 연습문제


5장. 운영체제
__5.1 운영체제의 보안
____배경지식: 운영체제의 구조
____일반적 운영체제의 보안 기능
____운영체제의 역사
____보호된 객체
____보안 기능을 구현하는 운영체제 도구
__5.2 운영체제 설계상의 보안
____단순한 설계
____계층적 설계
____커널화 설계
____참조 모니터
____정확성과 완벽성
____보안 설계의 원칙
____신뢰할 수 있는 시스템
____신뢰할 수 있는 시스템의 기능
____신뢰할 수 있는 시스템 연구 결과
__5.3 루트킷
____전화 루트킷
____루트킷의 탐지 회피
____확인 불가능한 루트킷 동작
____소니 XCP 루트킷
____TDSS 루트킷
____기타 루트킷
__5.4 결론
__5.5 연습 문제


6장. 네트워크
__6.1 네트워크 개념
____배경지식: 네트워크 전송 매개체
____배경지식: 프로토콜 계층
____배경지식: 어드레싱과 라우팅
__1부: 네트워크상의 전쟁: 네트워크 보안 공격
__6.2 네트워크 통신의 위협
____가로채기, 이브스드로핑과 와이어태핑
____위변조: 데이터 파괴
____방해: 서비스의 손실
____포트 스캐닝
____포트 스캐닝의 피해
____취약점 요약
__6.3 무선 네트워크 보안
____와이파이 배경지식
____무선 네트워크의 취약점
____실패 대책: WEP
____더욱 강력한 프로토콜 세트: WPA
__6.4 서비스 거부
____예제: 대규모 에스토니아 웹 장애
____서비스 거부 방법
____플러딩 공격에 관한 상세 설명
____악성코드에 의한 네트워크 플러딩
____자원 소모에 의한 네트워크 플러딩
____접속 실패에 따른 서비스 거부
____트래픽 리다이렉션
____DNS 공격
____알려진 취약점 공격
____물리적 연결 해제
__6.5 분산 서비스 거부
____스크립트된 서비스 거부 공격
____봇
____봇넷
____악성 자율 이동식 에이전트
____자동 이동식 보안 에이전트
__2부: 전략적 방어: 보안 대책
__6.6 네트워크 보안 암호
____네트워크 암호화
____브라우저 암호화
____양파 라우팅
____IPsec
____가상 사설망(VPN)
____시스템 아키텍처
__6.7 방화벽
____방화벽이란?
____방화벽의 설계
___방화벽의 유형
____개인 방화벽
____방화벽 유형의 비교
____방화벽 설정 예
____네트워크 주소 변환(NAT)
____데이터 손실 방지
__6.8 침입 탐지와 방지 시스템
____IDS의 유형
____다른 침입 탐지 기술
____침입 방지 시스템(IPS)
____침입 대응
____침입 탐지 시스템의 목표
____IDS의 장점과 한계
__6.9 네트워크 관리
____서비스 보장을 위한 관리
____보안 정보와 이벤트 관리(SIEM)
__6.10 결론
__6.11 연습 문제


7장. 데이터베이스
__7.1 데이터베이스 소개
____데이터베이스 개념
____데이터베이스 컴포넌트
____데이터베이스 활용 장점
__7.2 데이터베이스의 필수 보안 요소
____데이터베이스의 무결성
____엘리먼트 무결성
____감사 추적성
____접근 제어
____사용자 인증
____유용성
____무결성/기밀성/유용성
__7.3 신뢰성과 무결성
____운영체제로부터의 기능 보호
____두 단계 업데이트
____중복 해소와 내부 일관성
____복구
____동시성/일관성
__7.4 데이터베이스 노출
____민감한 데이터
____누출의 종류
____데이터 노출 방지: 데이터 은폐와 수정
____보안성과 정확성
__7.5 데이터 마이닝과 빅데이터
____데이터 마이닝
____빅데이터
__7.6 결론
____연습문제


8장. 클라우드 컴퓨팅
__8.1 클라우드 컴퓨팅 개념
____서비스 모델
____배포 모델
__8.2 클라우드로 이동
____위험 분석
____클라우드 공급업체 평가
____클라우드 공급업체 변경
____보안 도구로서의 클라우드
__8.3 클라우드 보안 도구와 기술
____클라우드의 데이터 보호
__8.4 클라우드 ID 관리
____SAML
____OAuth
____인증을 위한 OAuth
__8.5 보안 IaaS
____공용 IaaS와 사설 네트워크의 보안성 비교
__8.6 요약
____관련 연구 분야
____읽을거리
__8.7 연습문제


9장. 프라이버시 보호
__9.1 프라이버시 보호의 개념
____정보 프라이버시의 측면
____컴퓨터와 관계된 프라이버시 문제
__9.2 프라이버시 원칙과 정책
____공정 정보 규정
____미국 개인정보 보호법
____미국 정부 웹사이트의 통제
____상용 웹사이트의 통제
____미국 외 지역의 프라이버시 원칙
____프라이버시를 위한 개인의 노력
____정부와 개인정보 보호
____신원 도용
__9.3인증과 프라이버시
____인증의 의미
____결론
__9.4 데이터 마이닝
____정부의 데이터 마이닝
____프라이버시를 보호한 데이터 마이닝
__9.5 웹에서의 프라이버시
____온라인 환경의 이해
____웹상의 결제
____사이트와 포털의 규제
____누구의 페이지인가?
____웹 서핑 시 주의할 점
____스파이웨어
____인터넷 쇼핑
__9.6 이메일 보안
____이메일은 어디로 가며,누가 접근할 수 있는가?
____이메일 가로채기
____이메일 모니터링
____익명, 가명, 사라지는 이메일
____스푸핑과 스패밍
____요약
__9.7 새로 부상하는 기술에 대한 프라이버시의 영향
____무선 주파수 식별
____전자 투표
____VoIP와 스카이프
____클라우드에서의 프라이버시
____떠오르는 기술 분야에 대한 결론
__9.8 보안 분야의 나아갈 길
__9.9 결론
__9.10 연습 문제


10장. 관리와 장애
__10.1 보안 계획
____조직과 보안 계획
____보안 계획의 내용
____보안 계획 팀 구성원
____보안 계획 수행 합의
__10.2 비즈니스 지속 계획
____비즈니스 영향 평가
____전략 수립
____계획 수립
__10.3 장애 처리
____장애 대응 계획
____장애 대응 팀
__10.4 리스크 분석
____리스크의 본질
____리스크 분석의 단계
____리스크 분석 반대 논거
__10.5 재해 처리
____자연재해
____단전
____사람의 기물 파손
____민감 정보 탈취
____긴급 사태 대책
____물리 보안 정리
__10.6 결론
__10.7 연습문제


11장. 법적 문제와 윤리
__11.1 프로그램과 데이터 보호
____저작권
____지적재산권의 정의
____특허권
____영업비밀
____소송건
__11.2 정보와 법
____객체로서의 정보
____정보와 관련된 법적 이슈
____전자 출판
____법적 체계
____컴퓨터 저작물 보호 요약
__11.3 고용인과 피고용인의 권리
____제품의 소유권
____고용 계약
__11.4 소프트웨어 오류 보상
____양질의 소프트웨어 판매
____소프트웨어 결함 발표
__11.5 컴퓨터 범죄
____컴퓨터 범죄라는 새로운 카테고리를 필요로 하는 이유
____정의하기 어려운 컴퓨터 범죄
____기소하기 힘든 컴퓨터 범죄
____법령의 예
____국제적인 측면
____붙잡기 어려운 컴퓨터 범죄
____아직 다루지 못한 컴퓨터 범죄
____컴퓨터 보안의 법적 이슈 요약
__11.6 컴퓨터 보안 관련 윤리 문제
____법과 윤리의 차이
____윤리학 연구
____윤리적인 추론
__11.7 프로그램과 데이터 보호
____상황 1: 컴퓨터 서비스의 이용
____상황 2: 사생활 관련 권리
____상황 3: 서비스 거부
____상황 4: 프로그램의 소유권
____상황 5: 전매 자원
____상황 6: 사기
____상황 7: 정보의 정확성
____상황 8: 해킹이나 크래킹을 할 때의 윤리학
__상황 9: 진실된 표현
____컴퓨터 윤리의 결론
____정리
____연습문제


12장. 암호화 심화 학습
__12.1 암호학
____복호화
____암호의 기본
____통계학적 분석
____암호화 알고리즘을 안전하게 만드는 것
__12.2 대칭 암호화 알고리즘
____DES
____AES
____RC2, RC4, RC5, RC6
__12.3 RSA를 이용한 비대칭 암호
____RSA 알고리즘
____RSA 알고리즘의 강점
__12.4 메시지 다이제스트
____해시 함수
____메시지 다이제스트
__12.5 전자서명
____타원 곡선 암호화 시스템
____엘 가멜과 디지털 서명 알고리즘
____2012년 NSA 암호화 논의
__12.6 양자 암호화
____양자 물리학
____광자 수용
____광자 암호화
____적용
__12.7 결론


13장. 새로 떠오르는 주제
__13.1 사물 인터넷
____의료 기기
____휴대폰
____사물 인터넷 보안
__13.2 경제
____사업 계획 수립
____정량적 보안
____현재까지의 연구와 앞으로의 방향
__13.3 전자 투표
____전자 투표란?
____공정한 선거란?
____심각한 이슈에는 무엇이 있는가?
__13.4 사이버전
____사이버전이란?
____가능한 사이버전의 예
____중요한 이슈
__13.5 결론

저자 소개 관련자료 보이기/감추기

저 자 소 개
찰스 플리거(Charles P. Pfleenger)
세계적으로 저명한 컴퓨터와 통신 보안 전문가다. 테네시 대학의 교수로 재직하다가 교단을 떠나 TIS와 아카 시스템즈 등 컴퓨터 보안 연구와 컨설팅 회사에 몸담았다. TIS에서는 유럽 운영 이사 겸 시니어 컨설턴트로 근무했다. 케이블 & 와이어리스에서는 연구 담당 이사이자 최고 보안 담당자로 일했다. IEEE 컴퓨터 소사이어티의 보안과 프라이버시 기술 위원회 의장직에도 있었다.

샤리 로렌스 플리거(Shari Lawrence Pfleenger)
소프트웨어 엔지니어링과 컴퓨터 보안 연구가로 잘 알려진 인물이며, 최근에는 랜드 연구소의 시니어 컴퓨터 과학자이자 정보 인프라 보호 협회의 연구 이사로 근무했다. 현재 IEEE 보안 및 프라이버시 잡지의 편집장을 맡고 있다.

조나단 매굴리스(Jonathan Margulies)
사이버 보안 컨설팅 펌인 큐물로스의 CTO이다. 코널 대학교에서 컴퓨터과학 석사학위를 취득한 후 매굴리스는 샌디아 국립연구소에서 9년간 날로 커지는 지속적 위협으로부터 국가 보안과 중요 인프라 시스템 보호를 위한 솔루션을 연구 개발하는 데 매진했다. 그 후 NIST의 국립 사이버 보안 최상 기관(National Cybersecurity Center of Excellence)으로 이직, 중요한 여러 인프라 기업들과 함께 업계 표준의 보안 아키텍처를 만들었다. 여가 시간에는 IEEE 〈보안 및 프라이버시〉 잡지의 ‘내부 보안 구성(Building Security In)’ 섹션을 편집한다.
역 자 소 개
고은혜
동국대학교에서 영어영문학을 전공했다. 졸업 후, 서구권 TV 애니메이션 제작사에서 통번역을 담당하면서 미디어 콘텐츠 분야의 경력을 쌓았다. 이후 게임 개발/퍼블리셔 웹젠(Webzen)을 시작으로 게임 분야로 자리를 옮겨, 미국의 게임 개발사 라이엇 게임즈(Riot Games)에서는 인기 온라인 게임 『리그 오브 레전드(League of Legends)』의 한글화를 담당했다. 현재 독립 IT 기술자의 번역/저술/강연 상호부호 네트워크 GoDev(www.godev.kr)의 멤버로 IT 서적을 번역하고 있다.

유호석
SW 기술 기획 및 기술 경영/정책 전문가로, 삼성SDS 개발자, IT 기획, 삼성전자 정보 전략, KT 올레TV 콘텐츠 관리 및 데이터 분석을 거쳐 소프트웨어 정책 연구소에서 연구원으로 재직 중이다. 독립 IT 기술자의 번역/저술/강연 상호부호 네트워크 GoDev의 멤버로 활동하고 있다.

이지은
웹 페이지 개발에 대한 관심으로 컴퓨터 공학을 전공하고 , 피처폰용 모바일 브라우저 개발을 시작으로 개발자의 세계에 발을 디뎠다. 이후 안드로이드 앱 개발 프로젝트에 참여했고, 모바일 앱 및 웹에 지속적으로 관심을 갖고 있다. 독립 IT 기술자의 번역/저술/강연 상호부호 네트워크 GoDev의 멤버로 활동하고 있다.

여동준
8년째 ktds에 몸담고 있으며,솔루션 개발과 그룹웨어 운영 관리에 주력하고 있다. 오픈소스 개발과 모바일에 깊은 관심을 갖고 관련 분야 전문성을 높이는 데 열중하고 있다. 독립 IT 기술자의 번역/저술/강연 상호부호 네트워크 GoDev의 객원 멤버다.

김지훈
동국대학교 컴퓨터 공학과에서 학사를 홍익대학교 컴퓨터 공학과에서 , 석사 과정을 밟았다. LG CNS SW 아키텍처 팀 아키텍트와 KT DS ICT 연구소를 거쳐 현재는 정보기술 감리원 수석 컨설턴트로 일하고 있다. 독립 IT 기술자의 번역/저술/강연 상호부호 네트워크 GoDev의 멤버로 활동하고 있다.

장혜림
마이크로소프트웨어 기자를 거쳐 현재 온라인 IT 미디어 아웃스탠딩에서 외신 전문기자로 일하고 있으며, 국내외 스타트업 관련 기사를 쓰고 있다. 독립 IT 기술자의 번역/저술/강연 상호부호 네트워크 GoDev의 객원 멤버로 활동하고 있다.

정예원
3년 넘게 우리 에프아이에스 보안 전문가로, 네트워크 보안장비 운영 팀에서 방화벽, WIPS 및 웹 콘텐츠 필터링 장비를 담당했다. 현재 필립모리스 IPG(Information Protection & Governance) Cluster의 로컬 정보 보안 담당자로서 재직 중이다. 독립 IT 기술자의 번역/저술/강연 상호부호 네트워크 GoDev의 객원 멤버로 활동하고 있다.

진정원
IT 기업에서 경험한 임베디드, 모바일, 서버 프로그래밍까지 다양한 실무 경험을 바탕으로 현재 오픈소스 스택을 활용한 스타트업 솔루션 지원 업체 ‘미티어 스타트업’을 창업 및 운영 중이다. 독립 IT 기술자의 번역/저술/강연 상호부호 네트워크 GoDev의 객원 멤버로 활동하고 있다.

최재형
외국계 글로벌 기업의 아시아 지역 IT 책임자로 ERP, BPM, IT 거버넌스(governance) 관리자이면서 PMP, CISSP 자격과 함께 IT PM(Project Management)으로 영역을 확장하고 있다. 별도로 마이크로소프트 공인강사(MCT)이자 MVP며, Microsoft Visio, Project를 기반으로 Visualization, PMI(Project Management Institute) PBL(Project-Based Learning), BPMN 관련 강연 및 저술, 그리고 PMBOK(Project Management Body of Knowledge) 번역 검증 위원으로 활동하고 있다. 독립 IT 기술자의 번역/저술/강연 상호부호 네트워크 GoDev의 멤버로 활동 중이다.

출판사 리뷰 출판사 리뷰 보이기/감추기

★ 이 책에서 다루는 내용 ★

■ 클라우드 환경 보안과 클라우드만의 특정 리스크 관리
■ 사용자와 웹의 상호작용에 관련된 보안 이슈
■ 사물 인터넷 보안에 관련한 리스크와 기술
■ 프라이버시 위협과 방어법에 대한 새로운 지침
■ 컴퓨터와 사이버전에 대한 평가: 최근의 공격과 리스크
■ 전자 투표 시스템에 관련된 보안 결함과 리스크


★ 이 책의 구성 ★

1장. '소개'에서는 많은 다른 책들과 마찬가지로 기본 바탕부터 시작한다. 용어와 그 정의를 소개하고, 이런 용어가 어떻게 쓰이는지 예를 통해 알아본다.
2장. '도구 상자: 인증, 접근, 제어, 암호화'에서는 컴퓨터 보안에 활용되는 많은 방어책들의 기본 개념인 세 가지 개념, 즉 식별과 인증, 접근 통제, 암호화를 소개하며 이 분야를 본격적으로 파헤치기 시작한다.
3장. '프로그램과 프로그래밍'에서는 당신이 작성하고 당신만 사용하는 개인 프로그램으로 시작한다. 이는 잠재적 공격의 대상이 될 수 있기 때문에 이런 공격의 특성을 알아보고 어떻게 막을 수 있는지 검토해본다.
4장. '웹 사용자 가이드'에서는 오늘날 대부분의 사용자가 익숙하게 쓰고 있는 인터넷 사용의 통로인 브라우저라는 유형의 프로그램을 살펴본다. 4장의 초점은 공격이 이동하는 네트워크 인프라가 아니라 원격에서 감행되는 공격의 피해에 맞춰져 있다.
5장. '운영체제'에서는 사용자와 공격자 사이에 강력한 방어선을 구축해주는 운영체제에 대해 고찰한다. 또한 운영체제 자체의 힘을 약화시키는 방법 역시 알아본다.
6장. '네트워크'에서는 네트워크의 아키텍처와 네트워크상에서만 일어날 수 있는 서비스 거부 공격을 포함한 기술을 살펴본다.
7장. '데이터베이스'에서 다루는 데이터와 데이터 수집, 그리고 보호라는 주제에서는 데이터베이스 관리 시스템과 빅데이터 애플리케이션을 알아본다.
8장. '클라우드 컴퓨팅'에서는 컴퓨팅에 있어 비교적 최신 기술인 클라우드 컴퓨팅의 취약성과 보호책을 살펴본다.
9장. '프라이버시 보호'에서는 프로그램으로부터 클라우드까지 6개 영역 대부분에 연관되는 친숙한 주제인 프라이버시를 알아본다.
10장. '관리와 장애'에서는 컴퓨터 보안의 관리 측면인 컴퓨터 보안 문제 관리 계획을 어떻게 세우고 또 해결할지 알아본다.
11장. '법적 문제와 윤리'에서는 컴퓨터의 작동 방식의 통제를 법규와 윤리를 통해 도와줄 방법을 모색한다.
12장. '암호화 심화 학습'에서는 암호화에 관심 있는 독자들이 찾아볼 수 있게끔 좀 더 상세한 연구 기록을 개괄적으로 살펴본다.
13장. '새로 떠오르는 주제'에서는 화제를 전환해 컴퓨터 보안의 위험 요소를 안고 있는 네 가지 분야를 살펴본다.


★ 이 책의 대상 독자 ★

컴퓨터 보안을 배우고자 하는 사람들을 위한 책이며, 크게 대학생과 대학원생, 컴퓨터 분야의 전문가와 매니저, 그리고 컴퓨터 기반의 모든 시스템을 이용하는 사용자를 위한 책이다. 이 책을 통해 컴퓨터 보안 리스크를 통제할 수 있길 바란다.
독자마다 특정 주제에 대해 원하는 정보의 양이나 수준의 차이가 있을 수 있다. 이 책은 좀 더 폭넓은 조사 결과를 원하는 독자와 네트워크나 프로그램 개발과 같은 특정 주제에 더 깊이 알고 싶어 하는 독자 모두에게 추천한다.


★ 지은이의 말 ★

태블릿, 스마트폰, 셋톱박스, 내비게이션 기기, 운동기기, 모니터, TV, GPS, 가정 보안기기, 심지어 식기 세탁기와 건조기까지도 인터넷에 연결돼 수집된 데이터는 당신이 알 수도 있거나, 전혀 통제할 수 없는 곳으로 이동한다. 동시에 홈데포(Home Depot), 타깃(Target), T.J. 맥스(T.J. Maxx), P.F. 창(P.F. Changs), 샐리 뷰티(Sally Beauty) 등 고객 데이터를 대량으로 탈취하는 소매점은 늘어만 가는 추세다. 한편으로 사람들은 연결(공유)를 통해 얻을 수 있는 편리함과 혜택을 원하면서도 보안 사고를 걱정한다. 그리고 심각한 피해를 입기도 한다. 컴퓨터 보안에서 기술은 경쟁적으로 발전하지만, 스마트 제품 설계자는 재난을 방지하거나 적어도 줄일 수 있는 기본적 제어책을 빠뜨리고 있다는 측면에서 이런 갈등을 살펴봐야 한다.
사람들은 한숨 지으며 기본 제품이나 복잡한 시스템의 보안 실패를 어느 정도 인정한다. 하지만 보안이 반드시 실패해야 하는 것은 아니다. 컴퓨터 전문가라면 이런 문제가 어떻게 발생하는지, 또 어떻게 방지할 수 있는지 배울 수 있다. 컴퓨터 보안 분야는 1960년대부터 자리 잡기 시작했으며, 이후 훌륭한 연구가 거듭돼 위협과 관리 방법에 대한 이해로 이어졌다.
많은 이들이 이 분야를 꺼리게 만드는 요인 중 하나는 바로 다형성 바이러스(polymorphic virus), 지능형 지속 공격, 분산형 서비스 거부 공격(DDoS), 추론과 집계, 다중 인증, 키 교환 프로토콜, 침투 감지 시스템 등 용어 자체가 어렵다는 점이다. 웜, 봇넷(botnet), 루트킷, 브라우저 공격, 허니넷(honeynet), 샌드박스, 아마추어 해커 같은 용어는 흥미를 끌긴 하지만, 도통 뭘 의미하는지도 알 수 없다. 고급 수학이나 미생물학의 용어조차 이 정도로 어렵지는 않고, 의학이나 법학에서 쓰는 라틴어는 전문가의 필요에 의해 사용되는 것이다. 하지만 컴퓨터 보안 용어와 개념은 실제로는 간결하며, 그 의미를 배우기도 사용하기도 쉽다.
컴퓨터 보안의 전제는 상당히 단순하다. 제품, 시스템, 프로토콜, 알고리즘, 프로그램, 인터페이스, 디자인의 취약성과 약점을 찾는 것이다. 위협이란 취약성을 이용할 수 있는 조건을 뜻한다. 위협이 실제로 취약성을 악용해 해를 끼칠 때 이를 '사고'라 칭한다. 마지막으로 사람들이 위협을 방지, 우회, 감소, 감지, 진단, 대응할 통제책이나 대응책을 추가하게 된다. 모든 컴퓨터 보안은 단순한 틀로부터 구축된다. 이 책은 컴퓨터를 통해 발생할 수 있는 나쁜 일들과 컴퓨터 활용을 좀 더 안전하게 보호하는 방법들을 설명한다.

★ 옮긴이의 말 ★

이 책을 번역하기 전에 감독 로라 포이트라스(Laura Poitras)의 다큐멘터리 영화 〈시티즌포(Citizenfour)〉를 봤다. 보통 기업의 입장에서 해커가 원인이라고 생각할 수 있는 문제겠지만, 한 개인에게는 국가 정부의 개인정보 수집이 얼마나 전방위적으로 무차별적으로 이뤄지며, 위험한가를 피부에 와닿게 만든 수작이다. 정부 감시나 개인정보 보안에 관심 있는 독자라면 시청하길 권한다. 주인공 에드워드 스노든이 어떤 일을 했으며, 언론이 맹렬히 공격하는 그가 어떤 사람이었는지 보면서 프라이버시 측면의 보안에 대해 처음으로 심각하게 생각하게 됐다.
내 집에서 사용하는 컴퓨터에는 최소한의 보안 툴만 깔려 있다. (Avast 고마워요!) 그나마 최소 비용으로 할인 버전만 깔아뒀지만, 이것도 제대로 사용한 지는 2년이 채 안 된다. 일반인의 보안 의식이 나와 비슷하다고 가정한다면, 회사의 보안 팀은 분명 다음과 같이 말할 것이다. “이건 오늘부터 사용하시면 안 되고요, 출장에 노트북 꼭 가지고 가셔야 하나요? 주말에 노트북을 집에 가져간다고요?(경악) 회사에서 지급한 보안 USB 기기 외에는 연결하지 마세요. 그리고 이것도, 저것도...”라는 끝도 없는 "안돼요" 목록을 보다 보면 “도대체 일을 하라는 거야, 말라는 거야."싶다. "보안은 우리 인생을 힘들게 하려고 존재하는 걸까?”란 생각이 당연히 든다.
그렇다면 보안 담당자의 인생은 어떨까? 기업의 이익과 생존을 위해 수많은 법령을 준수하고 컴플라이언스(compliance)를 사내에 정착시키려고 아무도 달가워하지 않는 보안 정책을 보고했다가 “다음에 합시다. 직원들이 불편하잖아.”라는 대답에 매번 답답하고 불안해지지 않을까? 분명 우리는 보안이 중요하다고 인식하지만, 그 번거로움에 많은 것을 놓치고 있다. 보안의 모든 것을 담은 이 책을 통해 컴퓨터를 좀 더 안전하게 활용할 수 있기를 바란다.
얼떨결에 대표 역자로 이름을 올리게 됐지만, 이 책에는 수많은 GoDev 인원의 땀이 녹아 있다. 공동 프로젝트를 진행하면서 쉽지 않은 전체 조율을 해주신 GoDev의 김도균 수석님과 번역에 참여하셨지만 아쉽게 이름 올리지 못한 안철진, 진석준 두 역자님께도 감사의 말씀을 전한다.

대표역자 고은혜

추천평 추천평 보이기/감추기

현대에는 정보가 넘쳐 난다. 지금의 세계, 사회, 기관은 컴퓨터 커뮤니케이션 기반의 정보 시스템 없이는 기능할 수 없다. 그러므로 이런 시스템을 기술, 절차, 운영, 환경적 모든 면에서 보호해야만 한다. 시스템의 소유주와 직원들에게 조직의 정보 자산을 보호할 책임이 생긴 것이다.
지금까지 진전이 느렸던 까닭은 이런 위협이 실제로 있다거나 큰 피해를 주지 않을 것으로 인지되고 있던 탓이 크지만, 정보 시스템 보안에 드는 전체 비용이 리스크, 특히 벌금 등의 재정적인 지출에 비해 너무 높다고 여겨 보안 자체를 도입하지 않는 탓도 있다. 적정한 비용을 받기 위해 꼭 필요한 경영진 설득이 오래 걸리는 것이다.
이 책에서는 앞에서 언급했던 폭넓은 문제, 즉 위협과 시스템 취약성의 성격(1장), 암호화(2장, 12장), 소프트웨어 취약성(3장), 공통 평가 기준(5장), 월드와이드웹과 인터넷(4장, 6장), 리스크 관리(10장), 법적, 윤리적, 프라이버시 이슈(11장)에 대해 다룬다. 이 책은 또한 현재 사용할 수 있는 암호화 프로토콜,소프트웨어 개발 실행 방법, 방화벽, 침투 탐지 시스템 같은 보안 제어 방법 역시 설명한다. 종합적인 정보 시스템 보안 프로그램 기획과 구성, 관리와 적용을 담당하는 정보 시스템 전문가를 위한 폭넓고 견고한 기초를 제공한다 하겠다.
정보 보안의 기술적 측면에서는 하드웨어, 소프트웨어, 시스템, 아키텍처와 이에 관한 제품들의 연구 개발에서 풀어야 할 숙제들이 산적해 있다. 그렇지만 기술 그 자체가 발전을 위한 가장 큰 주축이라 할 수는 없다. 조직과 관리적 동기 부여, 그리고 보안에 대한 신념이야말로 중심이 돼야 한다. 오늘날 여러 국가와 전 세계의 정보 인프라는 서서히 보안에 대한 이해도를 높여가고 있으며, 장난이든 악의적이든 보안 관련 사건들로 이런 추세는 탄력을 받고 있다. 최근 일어나고 있는 테러 사건들 역시 이런 추진력에 일조하고 있다. 그렇다면 이 정도로 시스템 안전과 위협이 적절한 균형점에 도달했다고 볼 수 있을까? 아마도 그 대답은 틀림없이 “아직은 갈 길이 멀다.”일 것이다.
윌리스 웨어 (RAND, 캘리포니아 산타 모니카)
  •  쿠폰은 결제 시 적용해 주세요.
1   45,000
뒤로 앞으로 맨위로 aniAlarm