이거 불법 아냐?

1장 신용카드 도용

상황 설정
접근법
연쇄 공격
- PDXO 웹사이트 목록화
- 신용카드 데이터베이스 목록화
- 웹사이트에서 신용카드 정보 빼내기
- 암시장에 신용카드 정보 판매하기
- PDXO 웹사이트 해킹하기
- 연쇄 공격 정리
대응책
- 기본 HTTP 응답 헤더를 변경한다
- 개발자 사이트를 외부에서 접근 가능하지 못하게 한다
- SQL Server를 IIS와 같은 장비에 설치하지 않는다
- 웹 폼의 입력 내용을 대상으로 정상성 점검을 한다
- 기본 위치에 IIS를 설치하지 않는다
- 웹사이트를 읽기 전용으로 만든다
- SQL 데이터베이스에서 불필요한 저장 프로시저를 제거한다
- 데이터베이스에 기본 사용자명과 비밀번호를 쓰지 않는다
- 고객을 위한 대응책
결론

2장 인터넷 사용 기록 감청

상황 설정
접근법
세부 정보
연쇄 공격
- 피싱 사기
- 실행파일 설치
- 피싱 사이트 준비
- 미누샤 씨에게 이메일 보내기
- 상사의 컴퓨터 찾아내기
- 상사의 컴퓨터에 연결하기
- WINPCAP
- 패킷 캡처 분석
- 이미지 재구성
- 그 밖의 가능성
- 연쇄 공격 정리
대응책
- 피싱 사기에 대한 대응책
- 트로이 목마 애플리케이션에 대한 대응책
- 패킷 캡처 소프트웨어에 대한 대응책
결론

3장 경쟁사 웹사이트 해킹

상황 설정
접근법
상세 정보
연쇄 공격
- 공격 #1: 테스트
- 공격 #2: 유효한 공격 방법
- 인질 웹사이트에 접근하기
- 모의 해킹 실험
- 인질 웹사이트 수정하기
- 그 밖의 가능성
- 연쇄 공격 정리
대응책
- 자사에 관한 정보를 수동적으로 찾아보는 해커에 대한
- 대응책
- ICMP를 통한 DDoS 공격에 대한 대응책
- HTTP와 기타 프로토콜을 통한 DDoS 공격에 대한 대응책
- 허가되지 않은 사이트 수정에 대한 대응책
- 내부 직원에 의한 침해에 대한 대응책
결론

4장 기업 스파이

상황 설정
접근법
연쇄 공격
- 사전 조사
- 물리적인 접근
- 해킹 수행
- 병원 공격하기
- 그 밖의 가능성
- 연쇄 공격 정리
대응책
- 물리적인 보안 및 접근 시스템 침해에 대한 대응책
- 스캔 공격에 대한 대응책
- 사회공학 기법에 대한 대응책
- 운영체제 공격에 대한 대응책
- 데이터 도난에 대한 대응책
결론

5장 서로 연결된 기업

상황 설정
접근법
연쇄 공격
- 사전조사
- 사회공학 공격
- 심층적인 사전조사
- 적극적인 사전조사
- 익스플로잇 기반 구축
- 익스플로잇 테스트
- 핵 실행
- 루트킷 제작
- 연쇄 공격 종료: 최종 결과
- 그 밖의 가능성
- 연쇄 공격 요약
대응책
- 회사에 관한 정보를 광범위하게 수집하는 해커에 대한 대응책
- 비주얼 IQ의 사회공학 공격에 대한 대응책
- 비주얼 IQ 소프트웨어의 침입에 대한 대응책
- 퀴지 홈 네트워크의 와이파이 공격에 대한 대응책
- 키로거 공격에 대한 대응책
결론

6장 의료기록 유출

상황 설정
접근법
상세 정보
연쇄 공격
- 사회공학 기법 및 편승 기법
- 물리적으로 접근하기
- 크노픽스를 이용한 윈도우 계정 탈취
- 개인 식별 정보나 보호 의료 정보 변경
- 연쇄 공격 정리
대응책
- 사회공학 기법 및 편승 기법
- 자물쇠 따기
- 생체인식 기기 무력화
- PC에 침투하기
결론

7장 소셜 네트워크 사이트 공격

상황 설정
접근법
연쇄 공격
- 가짜 마이스페이스 웹사이트 제작
- 재지정 웹사이트 제작
- 마이스페이스 페이지 생성
- 댓글 달기
- 계정 공격하기
- 해킹한 계정에 로그인하기
- 결과 확인
- 연쇄 공격 정리
대응책
- 소셜 네트워크 사이트를 이용하지 않는다
- 비공개 프로필을 사용한다
- 링크 클릭을 조심한다
- 나를 친구로 등록한 사람에게 내 성과 이메일 주소를
- 물어본다
- 너무 많은 정보를 올리지 않는다
- 사용자명과 비밀번호를 입력할 때 주의한다
- 강력한 비밀번호를 사용한다
- 비밀번호를 자주 변경한다
- 피싱 방지 툴을 사용한다
결론

8장 무선 네트워크 해킹

상황 설정
접근법
상세 정보
- 액세스 포인트를 통한 네트워크 접근
연쇄 공격
- 액세스 포인트에 접속하기
- 마이크로소프트 커베로스 사전인증 공격 수행하기
- 레인보우크랙을 이용한 비밀번호 크랙
- 컨트리 클럽 자료 훔쳐내기
- 연쇄 공격 정리
대응책
- 안전한 액세스 포인트
- 적절한 액티브 디렉터리 구성
- 침입 방지 시스템이나 침입 탐지 시스템을 사용한다
- 주기적으로 백신 소프트웨어를 업데이트한다
- 컴퓨터 네트워크 보안 점검 목록
결론

며칠 전 텔레비전으로 흘러나오는 뉴스를 듣다 보니 한 고등학생이 수천 대에 달하는 좀비 PC를 만들어 각종 인터넷 사이트를 공격, 사이트가 다운되거나 장애를 겪게 한 혐의로 검거됐다는 소식이 전해졌다. 그 학생이 중국에서 만들어진 DDoS 공격 프로그램을 이용해 각종 사이트에 피해를 입힌 이유는 단지 인터넷 모임 회원들에게 해킹 능력을 과시하기 위해서였다고 한다.
이제 고교생 해커라는 말은 뉴스에서 심심찮게 들을 수 있는 표현이 돼버렸다. 이는 과거처럼 시스템을 해킹하는 데 수준 높은 관련 지식이 필요한 것이 아니라 이제는 해킹을 돕는 각종 도구를 누구나 손쉽게 구해서 쓸 수 있기 때문이다. 해킹에 필요한 지식의 수준은 점점 낮아지고 피해의 심각도는 점점 높아지고 있으며, 해킹 사건/사고의 발생 빈도는 점점 잦아지고 피해 규모는 점점 커지고 있다. 하지만 이러한 추세를 비웃기라도 하듯 일반인의 보안의식은 여전히 제자리걸음이다.
이 책은 피닉스라는 한 가상 인물의 행적을 토대로 현실세계에서 일어날 법한 해킹 사례를 실감나게 보여준다. '현실세계에서 일어날 법한'이라고 했지만 이 책에서 보여주는 여러 단계에 걸친 해킹 공격, 즉 연쇄 공격은 오히려 비현실적일 만큼 정교하고 교묘하다. 이는 뉴스에 나온 고교생 해킹의 사례처럼 단지 해킹 능력을 과시하기 위해 좀비 PC를 만들어 웹 사이트를 공격하는 수준에만 머무르는 것이 아니라 개인적인 보복이나 금전적인 이득을 목적으로 여러 단계에 걸쳐 특정 목표물을 계획적으로 공격하기 때문이다. 아울러 시나리오에 나오는 상황 설정과 해킹 수법을 전개할 때 보이는 우리네 보안의식과 환경들은 무참할 정도로 허술하기 그지없다.
이 책의 저자들도 언급했지만 보안은 단순히 보안 장비를 조직에 도입한다고 해서 저절로 보장되지 않는다. 각 시나리오에 등장하는 사회공학 기법들은 사람이라는 약한 고리에 의해 조직의 보안체계가 일순간에 허무하게 무너질 수 있음을 잘 보여준다. 치밀하게 준비해서 감행하는 해킹 수법보다 세 치 혀로 인간의 약점을 교묘히 농락하는 사회공학 기법을 보면 '설마 이렇게 쉽게 당할라고?'라고 생각할지도 모르지만 여전히 보이스 피싱과 같은 수법이 기승을 부리는 것을 보면 그렇지도 않은 듯하다.
아울러 이 책에서 보여주는 각종 보안사고는 아주 복잡하거나 심층적인 기술/기법만으로 일어나지 않는다. 대신 가장 기본적인 보안 수칙을 따르지 않아서 일어나는 것이 대부분이다. 각종 매체에서 떠들썩하게 다루는 보안사고가 나와는 무관한 일이라 생각할지도 모르지만 보안의식을 견지하지 않고 보안사고가 나와는 전혀 무관한 일이라 치부하는 순간 언제든 책에서 소개하는 시나리오의 희생양이 될 수 있다.
보안사고는 피해의 흔적을 실제로 체감하기가 어려운 까닭에 자칫 간과할 가능성이 높고 피해의 심각성을 따지자면 여느 자연재해로 말미암은 피해규모와 맞먹거나 오히려 능가하기도 한다. 결국 보안사고를 예방하려면 인적/기술적인 측면은 물론이고 개인적인 차원과 조직적인 차원에서 다면적으로 노력해야 한다. 이 책의 각 장에서 소개하는 대응책이 이 같은 보안사고 예방에 도움됐으면 한다.