QR/바코드 검색
품목정보
| 발행일 | 2013년 10월 29일 |
|---|---|
| 쪽수, 무게, 크기 | 1008쪽 | 1943g | 188*250*60mm |
| ISBN13 | 9788960774872 |
| ISBN10 | 8960774871 |
- 정가
- 45,000원
- 중고판매가
- 31,600원 (30% 할인)
- 결제혜택
-
최대 2만원 캐시백 이벤트
?
- 배송안내
- 배송비 : 3300원(선불) ?
- 소독한책만^^에서 직접배송
- 도서산간/제주지역의 경우 추가 배송비가 발생할 수 있습니다.
- 구매 시 참고사항
-
-
중고샵 판매자가 직접 등록/판매하는 상품으로 판매자가 해당 상품과 내용에 모든 책임을 집니다.
-
- 원제이동
- 새상품 절판
40,500원이동 - 중고상품
모두보기이동 - 이미 소장하고 있다면 판매해 보세요! 이 상품 팔기 더보기/감추기
- 한정판매의 특성상 재고 상황에 따라 품절 가능
![[중고샵] 매장ON! 매장 배송 온라인 중고 서비스](https://image.yes24.com/sysimage/renew/loadSpace.png)
.jpg)
.jpg)
중고도서 소개
상
사용 흔적 약간 있으나, 대체적으로 손상 없는 상품
- 판매자 : 소독한책만^^
- 깨끗하게 관리된 책입니다~^^ (살균소독 후 발송)
책소개 책소개 보이기/감추기
목차 목차 보이기/감추기
저자 소개 관련자료 보이기/감추기
저자 : 마이클 시코스키
Michael Sikorski
맨디언트 사의 컴퓨터 보안 컨설턴트다. 사고 대응 조사에서 악의적인 소프트웨어 역공학 부분을 지원하고, 회사의 연방정부 고객을 대상으로 특화된 연구와 개발 보안 솔루션을 제공한다. 마이크는 여러 악성코드 분석 교육 과정을 제작해서 FBI와 블랙햇을 포함한 다양한 청중을 대상으로 강의했다. MIT 링컨 연구소에서 맨디언트 사로 이직했는데, 수동 네트워크 매핑과 침투 테스팅 관련 연구를 수행했다. NSA 대학원에서 3년간 시스템과 네트워크 통합 과정(SNIP) 중에 있다. NSA에 근무하는 동안 역공학 기법 연구에 기여했고, 네트워크 분석 분야에서 여러 개의 발명 건으로 수상했다.
맨디언트 사의 컴퓨터 보안 컨설턴트다. 사고 대응 조사에서 악의적인 소프트웨어 역공학 부분을 지원하고, 회사의 연방정부 고객을 대상으로 특화된 연구와 개발 보안 솔루션을 제공한다. 마이크는 여러 악성코드 분석 교육 과정을 제작해서 FBI와 블랙햇을 포함한 다양한 청중을 대상으로 강의했다. MIT 링컨 연구소에서 맨디언트 사로 이직했는데, 수동 네트워크 매핑과 침투 테스팅 관련 연구를 수행했다. NSA 대학원에서 3년간 시스템과 네트워크 통합 과정(SNIP) 중에 있다. NSA에 근무하는 동안 역공학 기법 연구에 기여했고, 네트워크 분석 분야에서 여러 개의 발명 건으로 수상했다.
저자 : 앤드류 호닉
Andrew Honig
미 국방부 정보 보증 전문가다. 국가 암호전문 학교에서 소프트웨어 분석, 역공학, 윈도우 시스템 프로그래밍 강의를 하고 있으며, 국제 정보 시스템 보안 전문가(CISSP)다. 공식적으로 VMware 가상화 제품의 제로데이 공격을 발견했고, 커널 악성코드를 포함한 악의적인 소프트웨어를 탐지하는 도구를 개발했다. 악성코드와 악의적이지 않은 소프트웨어를 분석하고 이해하는 전문가로, 컴퓨터 보안 분야에서 분석가로 10년이 넘는 경력이 있다.
미 국방부 정보 보증 전문가다. 국가 암호전문 학교에서 소프트웨어 분석, 역공학, 윈도우 시스템 프로그래밍 강의를 하고 있으며, 국제 정보 시스템 보안 전문가(CISSP)다. 공식적으로 VMware 가상화 제품의 제로데이 공격을 발견했고, 커널 악성코드를 포함한 악의적인 소프트웨어를 탐지하는 도구를 개발했다. 악성코드와 악의적이지 않은 소프트웨어를 분석하고 이해하는 전문가로, 컴퓨터 보안 분야에서 분석가로 10년이 넘는 경력이 있다.
역자 : 여성구
보안 컨설팅회사에서 다년간 모의해킹을 수행했으며, 넥슨의 CERT 팀장을 거쳐 현재는 넥슨의 IS 감사역(Auditor)으로 활동하고 있다. 다년간 국가기관과 대기업 등 다양한 IT 환경을 대상으로 보안 강화, 모의해킹, 보안 점검, 보안 교육을 수행한 경력과 국내외에서 보안 취약점, 안전한 웹 보안 코딩 가이드라인을 발표한 경력이 있다. 고려대학교 정보보호대학원에서 디지털 포렌식을 전공했으며, 메모리 포렌식과 웹 로그 분석 등을 연구했다. 취미로 공개용 보안 도구(웹 백도어 탐지 도구, 웹 로그 분석기 등)를 제작하고 있다.
역자 : 구형준
수년간 대기업 IT 환경에서 보안 프로세스 개선, 서비스 보안성 검토, 보안 점검, 보안 솔루션 검토, 보안 교육 등 다양한 경험을 쌓았다. 고려대학교 정보보호대학원에서 디지털 포렌식을 전공했으며, 여러 분야 중, 특히 조사자 관점에서 공격과 방어 부문에 관심이 많다. 현재 뉴욕 주립대에서 박사 과정을 밟고 있다.
역자 : 박호진
십여 년 전 벤처기업에서 프로그래머로 시작해 다양한 애플리케이션과 시스템을 개발했다. PKI와 DRM을 개발하면서부터 보안에 관심을 갖게 됐고, 악성코드를 잡기 위해 안랩에서 수년 동안 밤낮을 잊고 있었다. 지금까지의 경험과 고려대학교 정보보호대학원에서 전공한 디지털 포렌식을 접목해 안랩에서 침해 사고 분석가로 새로운 분야를 개척했다. 현재는 룩셈부르크에 위치한 넥슨유럽에서 다양한 종류의 공격들을 막아내기 위한 시각화와 상관관계 분석에 관여 중이다.
책 속으로 책속으로 보이기/감추기
저자 서문
전화벨이 울리고 네트워크 담당자가 당신이 해킹을 당해 고객의 주요 정보가 네트워크상에서 도난당했다는 사실을 알려준다. 관련 호스트를 식별하기 위해 로그를 확인하면서 조사를 시작한다. 악성코드를 탐지하기 위해 안티바이러스 소프트웨어로 호스트를 스캔한 후 운 좋게 TROJ.snapAK라는 이름의 트로이 목마를 탐지한다. 침해 흔적을 삭제하기 위해 해당 파일을 지우고 다른 장비가 감염되지 않았는지를 확인하기 위해 네트워크 캡처를 이용해 침입 탐지 시스템(IDS) 시그니처를 생성한다. 그런 후 공격자가 침투에 사용했다고 생각되는 보안 문제점을 패치해 다시는 이런 일이 일어나지 않게 한다.
그런 후 며칠 후 네트워크 담당자가 네트워크상에 주요 데이터를 도난당했다는 사실을 알려준다. 동일한 공격으로 보이지만, 당신은 뭘 해야 할지도 모른다. 다른 시스템도 추가적으로 감염됐다는 사실을 통해, 제작한 IDS 시그니처가 실패했음을 알았다. 그리고 백신도 위협을 차단시킬 만큼의 보호 기능을 제공하지 못했다. 이제 상위 관리자가 무슨 일이 발생했는지 설명을 요구하면 당신은 악성코드가 TROJ.snapAK라는 사실밖에 할 말이 없다. 가장 중요한 물음에는 대답하지 못하고 게으른 사람으로 비춰진다.
위협을 제거하려면 정확히 TROJ.snapAK가 무슨 일을 하는지 어떻게 알 수 있을까? 어떻게 더 효율적인 네트워크 시그니처를 작성할 수 있을까? 다른 시스템이 동일한 악성코드에 감염됐다면 어떻게 알아낼 수 있을까? 악성코드 일부가 아닌 전체 패키지를 삭제했음을 어떻게 확신할 수 있을까? 악성 프로그램이 하는 작업에 대한 경영진의 물음에 어떻게 대답할 수 있을까?
당신이 할 수 있는 일은 당신이 네트워크를 방어할 수 없기 때문에 비싼 외부 컨설턴트를 고용해야 한다고 상사에게 얘기하는 것뿐이다. 이는 당신의 자리를 안전하게 유지하기 위한 최선의 방법은 아니다.
아, 하지만 다행히도 슬기롭게 『실전 악성코드와 멀웨어 분석』이라는 이 책을 갖고 있다. 이 책을 통해 배우는 기술은 위의 어려운 질문에 대한 답과 악성코드로부터 네트워크를 방어하는 방법을 알려준다.
옮긴이의 말
APT(Advanced Persistent Threat), 지능형 지속 위협 공격이 사회적 이슈로 부각되면서 악성코드로 인한 보안 위협은 모든 보안 전문가에게 공통적인 숙제가 되었다. 악성코드를 이용한 공격은 과거부터 끊임없이 존재하였지만, 이제는 일반을 대상으로 하는 것이 아니라 명확한 공격 목적과 대상을 가진 악성코드가 주류를 이루고 있다. 이런 환경의 변화는 보안 담당자가 상용 보안 제품의 지원에만 의지할 수 없게 만들었다. 상용 제품은 다수에게 발생할 수 있는 보안 위협을 더 중시하기 때문에 한 조직에 특화된 악성코드는 탐지나 대응이 쉽지 않다. 따라서 보안 담당자나 보안 전문가로서 기본적으로 악성코드에 대한 이해와 분석 능력을 지녀야 한다.
『실전 악성코드와 멀웨어 분석』은 역자진이 예전에 번역한 『악성코드 분석가의 비법서』와는 동일한 주제를 다른 방식으로 풀이한 책이다. 일부 겹치는 내용이 있기는 하지만, 다른 관점에서 예제와 더불어 포괄적인 주제를 기본에 충실하게 빠짐없이 다룬다. 특히 장별로 저자가 작성한 샘플 악성코드를 직접 테스트하고 상세한 설명을 통해 해당 주제를 이해할 수 있게 구성돼 있다. 악성코드 분석에 대한 기초가 부족한 독자의 경우에도 책의 내용을 따라가면서 이해할 수 있다.
이 책은 기본에서 시작해 고급까지 모든 내용을 포괄함으로써 악성코드 분석에 관심을 가진 초심자와 더불어 이미 현업에서 악성코드를 분석 중이거나 보안 관련 업무로 인해 악성코드 분석에 대한 실습이 필요한 모두에게 적합한 책이다. 실습 예제가 포함돼 있기 때문에 교육 기관에서 학습서로 활용하기에도 부족함이 없는 내용을 포함하고 있다. 총 6 부로 구분돼 있는 책의 내용을 독자의 목적에 따라 습득한다면 빠른 시간 안에 원하는 목적의 정보와 지식을 습득할 수 있으며, 실습을 통해 숙달할 수 있을 것이라고 생각한다.
전화벨이 울리고 네트워크 담당자가 당신이 해킹을 당해 고객의 주요 정보가 네트워크상에서 도난당했다는 사실을 알려준다. 관련 호스트를 식별하기 위해 로그를 확인하면서 조사를 시작한다. 악성코드를 탐지하기 위해 안티바이러스 소프트웨어로 호스트를 스캔한 후 운 좋게 TROJ.snapAK라는 이름의 트로이 목마를 탐지한다. 침해 흔적을 삭제하기 위해 해당 파일을 지우고 다른 장비가 감염되지 않았는지를 확인하기 위해 네트워크 캡처를 이용해 침입 탐지 시스템(IDS) 시그니처를 생성한다. 그런 후 공격자가 침투에 사용했다고 생각되는 보안 문제점을 패치해 다시는 이런 일이 일어나지 않게 한다.
그런 후 며칠 후 네트워크 담당자가 네트워크상에 주요 데이터를 도난당했다는 사실을 알려준다. 동일한 공격으로 보이지만, 당신은 뭘 해야 할지도 모른다. 다른 시스템도 추가적으로 감염됐다는 사실을 통해, 제작한 IDS 시그니처가 실패했음을 알았다. 그리고 백신도 위협을 차단시킬 만큼의 보호 기능을 제공하지 못했다. 이제 상위 관리자가 무슨 일이 발생했는지 설명을 요구하면 당신은 악성코드가 TROJ.snapAK라는 사실밖에 할 말이 없다. 가장 중요한 물음에는 대답하지 못하고 게으른 사람으로 비춰진다.
위협을 제거하려면 정확히 TROJ.snapAK가 무슨 일을 하는지 어떻게 알 수 있을까? 어떻게 더 효율적인 네트워크 시그니처를 작성할 수 있을까? 다른 시스템이 동일한 악성코드에 감염됐다면 어떻게 알아낼 수 있을까? 악성코드 일부가 아닌 전체 패키지를 삭제했음을 어떻게 확신할 수 있을까? 악성 프로그램이 하는 작업에 대한 경영진의 물음에 어떻게 대답할 수 있을까?
당신이 할 수 있는 일은 당신이 네트워크를 방어할 수 없기 때문에 비싼 외부 컨설턴트를 고용해야 한다고 상사에게 얘기하는 것뿐이다. 이는 당신의 자리를 안전하게 유지하기 위한 최선의 방법은 아니다.
아, 하지만 다행히도 슬기롭게 『실전 악성코드와 멀웨어 분석』이라는 이 책을 갖고 있다. 이 책을 통해 배우는 기술은 위의 어려운 질문에 대한 답과 악성코드로부터 네트워크를 방어하는 방법을 알려준다.
옮긴이의 말
APT(Advanced Persistent Threat), 지능형 지속 위협 공격이 사회적 이슈로 부각되면서 악성코드로 인한 보안 위협은 모든 보안 전문가에게 공통적인 숙제가 되었다. 악성코드를 이용한 공격은 과거부터 끊임없이 존재하였지만, 이제는 일반을 대상으로 하는 것이 아니라 명확한 공격 목적과 대상을 가진 악성코드가 주류를 이루고 있다. 이런 환경의 변화는 보안 담당자가 상용 보안 제품의 지원에만 의지할 수 없게 만들었다. 상용 제품은 다수에게 발생할 수 있는 보안 위협을 더 중시하기 때문에 한 조직에 특화된 악성코드는 탐지나 대응이 쉽지 않다. 따라서 보안 담당자나 보안 전문가로서 기본적으로 악성코드에 대한 이해와 분석 능력을 지녀야 한다.
『실전 악성코드와 멀웨어 분석』은 역자진이 예전에 번역한 『악성코드 분석가의 비법서』와는 동일한 주제를 다른 방식으로 풀이한 책이다. 일부 겹치는 내용이 있기는 하지만, 다른 관점에서 예제와 더불어 포괄적인 주제를 기본에 충실하게 빠짐없이 다룬다. 특히 장별로 저자가 작성한 샘플 악성코드를 직접 테스트하고 상세한 설명을 통해 해당 주제를 이해할 수 있게 구성돼 있다. 악성코드 분석에 대한 기초가 부족한 독자의 경우에도 책의 내용을 따라가면서 이해할 수 있다.
이 책은 기본에서 시작해 고급까지 모든 내용을 포괄함으로써 악성코드 분석에 관심을 가진 초심자와 더불어 이미 현업에서 악성코드를 분석 중이거나 보안 관련 업무로 인해 악성코드 분석에 대한 실습이 필요한 모두에게 적합한 책이다. 실습 예제가 포함돼 있기 때문에 교육 기관에서 학습서로 활용하기에도 부족함이 없는 내용을 포함하고 있다. 총 6 부로 구분돼 있는 책의 내용을 독자의 목적에 따라 습득한다면 빠른 시간 안에 원하는 목적의 정보와 지식을 습득할 수 있으며, 실습을 통해 숙달할 수 있을 것이라고 생각한다.
---본문 중에서
출판사 리뷰 출판사 리뷰 보이기/감추기
추천평 추천평 보이기/감추기
디지털 보안에서 악성코드, 공격 도구와 운영체제와 관련된 분야만큼 비대칭적인 분야도 드물다.
2011년 여름, 네바다 주 라스베이거스에서 열린 블랙햇(Black Hat)에서 피터 (머지) 자코(Peiter (Mudge) Zatko)의 키노트에 참석했다. 연설 중 머지는 현대 소프트웨어의 비대칭적인 속성을 소개했다. 9,000개의 악성코드 바이너리를 분석했더니 샘플 집합의 코드는 평균 125줄이라고 설명했다.
머지의 샘플은 ‘간단’하거나 ‘평이한’ 악성코드를 포함했다고 주장할지 모른다. 여러분은 실제 ‘무기로 제작’된 뭔가(Stuxnet 같은)를 떠올릴 수 있다. 래리 콘스탄틴(Larry L. Constantine)에 의하면 Stuxnet은 약 15,000 LOC(Line of Code)를 포함하므로, 보통 평균 125 LOC 크기를 갖는 악성코드 샘플의 120배다. Stuxnet은 매우 특화되고 목표물이 명확해서 크기가 평균 이상인 이유를 설명할 수 있다. 악성코드 세계를 잠시 떠나 내가 사용하는 문서 편집기(gedit, 그놈(GNOME) 문서 편집기)는 295 LOC의 gedit.c를 포함하고, gedit의 GNOME GIT 소스코드 저장소에서 gedit.c는 전체 128개 소스 파일(3개 디렉토리와 함께)의 하나일 뿐이다. 128개 파일과 3개 디렉토리를 모두 세어보면 70,484 LOC다. 합법적인 애플리케이션 LOC와 악성코드의 라인 수를 비교해보면 500대 1이다. 문서 편집기 같은 상당히 직관적인 도구와 비교하면 악성코드 샘플은 매우 효율적인 것처럼 보인다!
머지의 125 LOC는 개인적으로 좀 작아 보이는데, 다른 ‘악성코드’ 정의가 있기 때문이다. 대부분의 악성 애플리케이션은 많은 함수와 기반 요소로 이뤄진 ‘스위트(Suites)’ 형태로 존재한다. 이런 종류의 악성코드를 잡아 합리적으로 제우스(Zeus) 트로이 목마의 ‘소스’ 요소를 세어봤더니 253,774 LOC였다. 머지의 평균 샘플 중 하나와 제우스 같은 프로그램을 비교하면 2,000 대 1쯤 되는 비율임을 알 수 있다.
다음으로 머지는 악성코드 LOC를 악성코드 소프트웨어를 가로챈 후 차단하는 보안 제품군의 라인수와 비교했다. 머지는 현대의 보안 제품에서 찾은 LOC가 1,000만 정도로 추정된다고 언급했다. 좀 더 간단히 계산해 약 1,250만 줄의 코드로 작성된 제품이 있다면 공격 LOC와 방어 LOC의 비율이 10만분의 1 수준이라고 생각할 수 있다. 다시 말해 한 줄의 LOC를 갖는 악성코드를 방어하기 위해 방어하는 사람은 10만 LOC의 방어 요새를 작성해야 한다.
머지는 악성코드 LOC를 공략하려는 운영체제와도 비교했다. 분석가는 윈도우 XP가 4,500만 LOC 정도로 설계했으리라 추정하지만, 윈도우 7은 얼마만큼의 LOC로 설계했는지 알 수 없다. 머지는 현대 운영체제는 1억 5,000만 줄 정도로 작성됐을 것으로 이야기했는데, 아마 최근 윈도우 버전을 염두에 두고 한 말인 듯하다. 간단히 계산하기 위해 1,250만 줄에서 좀 줄여 수정해보면 대상 운영체제와 이를 악용하려는 악의적인 무기의 크기 비율이 100만 대 1이다.
잠깐 멈추고 산출한 LOC 수를 요약해보자.
120 : 1 Stuxnet 대 평균 악성코드
500 : 1 간단한 문서 편집기 대 평균 악성코드
2,000 : 1 통합 악성코드 대 평균 악성코드
100,000 : 1 방어 도구 대 평균 악성코드
1,000,000 : 1 대상 운영체제 대 평균 악성코드
방어자 입장에서 방어 도구와 운영체제와 평균 악성코드 샘플의 비율은 꽤 암울해 보인다. 평균 크기의 악성코드 스위트(suit) 크기와 바꿔 봐도 방어자 입장에서는 별로 나아진 게 없어 보인다! 방어자(그리고 벤더)는 훨씬 적은 LOC로 무장한 실용적이고 영리한 침입자의 농락에 수천 LOC을 만드는 많은 노력을 들이는 것과 같다.
방어자는 무엇을 해야 할까? 답은 무장이 더 뛰어난 리더가 사용한 전략을 모방하는 것이다. ‘장애’를 ‘기회’로 재정의한다. 방어 도구와 대상 운영체제는 잊어버려라. 그에 관해 별로 할 수 있는 게 없다. 악성코드 샘플이 가능한 한 작다(상대적으로 말해)는 사실에 기뻐하라. 1250만 LOC가 기다리고 있는 소스코드 수준에서 방어 도구가 동작하는 방식을 이해하려 상상해보자. 몇몇 연구가가 자신이 좋아하는 프로젝트라고 해도 버거운 작업이다. 한 놀라운 예로 2011년 라스베이거스 블랙햇에서 타비스 오만디(Tavis Ormandy)가 발표한 ?소파일: 소포스 안티 바이러스의 주요 분석 (Sophail: A Critical Analysis of Sophos Antivirus)?을 읽어보자. 이런 종류의 대형 분석은 예외적이지 주류는 아니다.
수백만 LOC에 대한 걱정 대신 실제 악성코드의 상당수를 차지하는 1,000줄 이하의 영역으로 내려가 보자. 방어자로서 악성코드와 관련한 주요 목적은 악성코드가 무엇인지, 여러분의 환경에 어떻게 나타나는지, 어떤 행위를 하는지 알아내는 것이다. 합리적인 크기의 샘플과 올바른 기술을 다룬다면 이 문제에 대답함으로써 당신의 조직이 처한 위험을 상당히 줄일 기회가 있다.
악성코드 제작자가 샘플을 제공할 준비가 돼 있다면 당신이 읽고 있는 책의 저자는 분석 기술을 제공하기 위해 존재한다. 『실전 악성코드와 멀웨어 분석』은 모든 악성코드 분석가가 유용하게 지녀야 할 부류의 책이라고 생각한다. 당신이 초보자라면 소개 부분과 악성코드 공략에 필요한 간단한 자료를 읽어보자. 중급자라면 다음 단계로 갈 수 있다. 전문 엔지니어라면 좀 더 상위 수준으로 올라갈 수 있는 보배임을 알게 될 것이고, 당신을 멘토로 삼는 누군가가 질문을 던졌을 때 “이 세부 매뉴얼을 읽어보라.”고 말할 수 있을 것이다.
『실전 악성코드와 멀웨어 분석』 은 사실 두 권을 하나로 만든 것인데, 우선 독자에게 현대 악성코드를 분석하는 방법을 보여주는 교과서다. 그런 연유로 이 책을 샀다면 소개 부분에서 많은 도움을 받을 것이다. 하지만 저자는 한 발짝 더 나아가 두 번째 부분도 작성하기로 결심했다. 응용 악성코드 분석이라고 부를 수 있는 두꺼운 부분이며, 또한 부록 C는 각 장의 끝에 나오는 실습 문제, 해답과 세부 분석 내용으로 구성된다. 저자는 예제를 위해 모든 악성코드를 직접 작성했고, 코드들은 학습에 충분하면서 안전한 환경을 보장한다.
따라서 디지털 수호자에게 부닥친 명백한 비대칭 현실에 절망하기보다는 미지의 악성코드가 현재와 같은 형태임을 반겨주면 좋겠다. 『실전 악성코드와 멀웨어 분석』 같은 책으로 무장하면 기업이나 고객의 침입 탐지와 대응에 필요한 기술을 습득하게 될 것이다. 저자는 이 영역에서 전문가이며, 연구실에 국한된 이론이 아닌 실무 최전선에서 습득한 조언을 해줄 수 있을 것이다. 이 책을 즐거운 마음으로 읽으면서 역공학 대상인 악성코드 하나하나를 알아보고 어둠의 예술을 밝은 지식으로 승화시켜 적의 공격 비용이 높아지게 철저히 분석해보자.
버지니아 주 마나사스파크에서
리차드 베리치(Richard Bejtlich)(@taosecurity), 타오시큐리티(Tao Security) 사의 창업자이자 맨디언트(Mandiant) 사의 CSO(Chief Security Officer)
2011년 여름, 네바다 주 라스베이거스에서 열린 블랙햇(Black Hat)에서 피터 (머지) 자코(Peiter (Mudge) Zatko)의 키노트에 참석했다. 연설 중 머지는 현대 소프트웨어의 비대칭적인 속성을 소개했다. 9,000개의 악성코드 바이너리를 분석했더니 샘플 집합의 코드는 평균 125줄이라고 설명했다.
머지의 샘플은 ‘간단’하거나 ‘평이한’ 악성코드를 포함했다고 주장할지 모른다. 여러분은 실제 ‘무기로 제작’된 뭔가(Stuxnet 같은)를 떠올릴 수 있다. 래리 콘스탄틴(Larry L. Constantine)에 의하면 Stuxnet은 약 15,000 LOC(Line of Code)를 포함하므로, 보통 평균 125 LOC 크기를 갖는 악성코드 샘플의 120배다. Stuxnet은 매우 특화되고 목표물이 명확해서 크기가 평균 이상인 이유를 설명할 수 있다. 악성코드 세계를 잠시 떠나 내가 사용하는 문서 편집기(gedit, 그놈(GNOME) 문서 편집기)는 295 LOC의 gedit.c를 포함하고, gedit의 GNOME GIT 소스코드 저장소에서 gedit.c는 전체 128개 소스 파일(3개 디렉토리와 함께)의 하나일 뿐이다. 128개 파일과 3개 디렉토리를 모두 세어보면 70,484 LOC다. 합법적인 애플리케이션 LOC와 악성코드의 라인 수를 비교해보면 500대 1이다. 문서 편집기 같은 상당히 직관적인 도구와 비교하면 악성코드 샘플은 매우 효율적인 것처럼 보인다!
머지의 125 LOC는 개인적으로 좀 작아 보이는데, 다른 ‘악성코드’ 정의가 있기 때문이다. 대부분의 악성 애플리케이션은 많은 함수와 기반 요소로 이뤄진 ‘스위트(Suites)’ 형태로 존재한다. 이런 종류의 악성코드를 잡아 합리적으로 제우스(Zeus) 트로이 목마의 ‘소스’ 요소를 세어봤더니 253,774 LOC였다. 머지의 평균 샘플 중 하나와 제우스 같은 프로그램을 비교하면 2,000 대 1쯤 되는 비율임을 알 수 있다.
다음으로 머지는 악성코드 LOC를 악성코드 소프트웨어를 가로챈 후 차단하는 보안 제품군의 라인수와 비교했다. 머지는 현대의 보안 제품에서 찾은 LOC가 1,000만 정도로 추정된다고 언급했다. 좀 더 간단히 계산해 약 1,250만 줄의 코드로 작성된 제품이 있다면 공격 LOC와 방어 LOC의 비율이 10만분의 1 수준이라고 생각할 수 있다. 다시 말해 한 줄의 LOC를 갖는 악성코드를 방어하기 위해 방어하는 사람은 10만 LOC의 방어 요새를 작성해야 한다.
머지는 악성코드 LOC를 공략하려는 운영체제와도 비교했다. 분석가는 윈도우 XP가 4,500만 LOC 정도로 설계했으리라 추정하지만, 윈도우 7은 얼마만큼의 LOC로 설계했는지 알 수 없다. 머지는 현대 운영체제는 1억 5,000만 줄 정도로 작성됐을 것으로 이야기했는데, 아마 최근 윈도우 버전을 염두에 두고 한 말인 듯하다. 간단히 계산하기 위해 1,250만 줄에서 좀 줄여 수정해보면 대상 운영체제와 이를 악용하려는 악의적인 무기의 크기 비율이 100만 대 1이다.
잠깐 멈추고 산출한 LOC 수를 요약해보자.
120 : 1 Stuxnet 대 평균 악성코드
500 : 1 간단한 문서 편집기 대 평균 악성코드
2,000 : 1 통합 악성코드 대 평균 악성코드
100,000 : 1 방어 도구 대 평균 악성코드
1,000,000 : 1 대상 운영체제 대 평균 악성코드
방어자 입장에서 방어 도구와 운영체제와 평균 악성코드 샘플의 비율은 꽤 암울해 보인다. 평균 크기의 악성코드 스위트(suit) 크기와 바꿔 봐도 방어자 입장에서는 별로 나아진 게 없어 보인다! 방어자(그리고 벤더)는 훨씬 적은 LOC로 무장한 실용적이고 영리한 침입자의 농락에 수천 LOC을 만드는 많은 노력을 들이는 것과 같다.
방어자는 무엇을 해야 할까? 답은 무장이 더 뛰어난 리더가 사용한 전략을 모방하는 것이다. ‘장애’를 ‘기회’로 재정의한다. 방어 도구와 대상 운영체제는 잊어버려라. 그에 관해 별로 할 수 있는 게 없다. 악성코드 샘플이 가능한 한 작다(상대적으로 말해)는 사실에 기뻐하라. 1250만 LOC가 기다리고 있는 소스코드 수준에서 방어 도구가 동작하는 방식을 이해하려 상상해보자. 몇몇 연구가가 자신이 좋아하는 프로젝트라고 해도 버거운 작업이다. 한 놀라운 예로 2011년 라스베이거스 블랙햇에서 타비스 오만디(Tavis Ormandy)가 발표한 ?소파일: 소포스 안티 바이러스의 주요 분석 (Sophail: A Critical Analysis of Sophos Antivirus)?을 읽어보자. 이런 종류의 대형 분석은 예외적이지 주류는 아니다.
수백만 LOC에 대한 걱정 대신 실제 악성코드의 상당수를 차지하는 1,000줄 이하의 영역으로 내려가 보자. 방어자로서 악성코드와 관련한 주요 목적은 악성코드가 무엇인지, 여러분의 환경에 어떻게 나타나는지, 어떤 행위를 하는지 알아내는 것이다. 합리적인 크기의 샘플과 올바른 기술을 다룬다면 이 문제에 대답함으로써 당신의 조직이 처한 위험을 상당히 줄일 기회가 있다.
악성코드 제작자가 샘플을 제공할 준비가 돼 있다면 당신이 읽고 있는 책의 저자는 분석 기술을 제공하기 위해 존재한다. 『실전 악성코드와 멀웨어 분석』은 모든 악성코드 분석가가 유용하게 지녀야 할 부류의 책이라고 생각한다. 당신이 초보자라면 소개 부분과 악성코드 공략에 필요한 간단한 자료를 읽어보자. 중급자라면 다음 단계로 갈 수 있다. 전문 엔지니어라면 좀 더 상위 수준으로 올라갈 수 있는 보배임을 알게 될 것이고, 당신을 멘토로 삼는 누군가가 질문을 던졌을 때 “이 세부 매뉴얼을 읽어보라.”고 말할 수 있을 것이다.
『실전 악성코드와 멀웨어 분석』 은 사실 두 권을 하나로 만든 것인데, 우선 독자에게 현대 악성코드를 분석하는 방법을 보여주는 교과서다. 그런 연유로 이 책을 샀다면 소개 부분에서 많은 도움을 받을 것이다. 하지만 저자는 한 발짝 더 나아가 두 번째 부분도 작성하기로 결심했다. 응용 악성코드 분석이라고 부를 수 있는 두꺼운 부분이며, 또한 부록 C는 각 장의 끝에 나오는 실습 문제, 해답과 세부 분석 내용으로 구성된다. 저자는 예제를 위해 모든 악성코드를 직접 작성했고, 코드들은 학습에 충분하면서 안전한 환경을 보장한다.
따라서 디지털 수호자에게 부닥친 명백한 비대칭 현실에 절망하기보다는 미지의 악성코드가 현재와 같은 형태임을 반겨주면 좋겠다. 『실전 악성코드와 멀웨어 분석』 같은 책으로 무장하면 기업이나 고객의 침입 탐지와 대응에 필요한 기술을 습득하게 될 것이다. 저자는 이 영역에서 전문가이며, 연구실에 국한된 이론이 아닌 실무 최전선에서 습득한 조언을 해줄 수 있을 것이다. 이 책을 즐거운 마음으로 읽으면서 역공학 대상인 악성코드 하나하나를 알아보고 어둠의 예술을 밝은 지식으로 승화시켜 적의 공격 비용이 높아지게 철저히 분석해보자.
버지니아 주 마나사스파크에서
리차드 베리치(Richard Bejtlich)(@taosecurity), 타오시큐리티(Tao Security) 사의 창업자이자 맨디언트(Mandiant) 사의 CSO(Chief Security Officer)
상품정보안내
- 주문 전 중고상품의 정확한 상태 및 재고 문의는 PC웹의 [판매자에게 문의하기]를 통해 문의해 주세요.
- 주문완료 후 중고상품의 취소 및 반품은 판매자와 별도 협의 후 진행 가능합니다. 마이페이지 > 주문내역 > 주문상세 > 판매자 정보보기 > 연락처로 문의해 주세요.
부적합 상품 신고하기 신고하기
- 구매에 부적합한 상품은 신고해주세요.
- 구매하신 상품의 상태, 배송, 취소 및 반품 문의는 PC웹의 판매자 묻고 답하기를 이용해주세요.
- 상품정보 부정확(카테고리 오등록/상품오등록/상품정보 오등록/기타 허위등록) 부적합 상품(청소년 유해물품/기타 법규위반 상품)
- 전자상거래에 어긋나는 판매사례: 직거래 유도
배송/반품/교환 안내
배송 안내
| 배송 구분 |
판매자 배송
|
|---|---|
| 배송 안내 |
|
반품/교환 안내
상품 설명에 반품/교환과 관련한 안내가 있는경우 아래 내용보다 우선합니다. (업체 사정에 따라 달라질 수 있습니다)
| 반품/교환 방법 |
|
|---|---|
| 반품/교환 가능기간 |
|
| 반품/교환 비용 |
|
| 반품/교환 불가사유 |
|
| 소비자 피해보상 |
|
| 환불 지연에 따른 배상 |
|
