웹 애플리케이션상의 취약점을 이용한 공격은 요 몇 년간 끈질기게 IT 담당자들을 괴롭히고 있다. 남의 인적사항을 도용해 온라인 금융사기를 벌이거나, 사이트를 마비시키는 공격이 대표적 사례다. 게다가 최근에는 웹2.0이라는 개방형 트랜드에 맞춰 그 위협 수준이 더 높아지고 있다.

「웹 해킹 패턴과 대응」은 이런 문제가 본격 대두된 2005년 나온 책이다. 업계의 빠른 변화속도를 감안할 때 오늘날 탐독하기에는 낡았다는 생각이 드는 것이 사실. 하지만 많은 전문가들이 아직도 이 책의 덕을 톡톡히 본다고 한다.

작년에 이 책을 구입했다는 F5네트웍스 양경윤 부장은 “웹 해킹에 대한 정보는 보통 미디어를 통한 기술기고로만 접해 IT 담당자들도 난해해 하는 경우가 많다”며 “‘웹 해킹 패턴과 대응’은 실제 서버에 대한 공격 타입이 구체적으로 제시돼, 탐독하면 실전에서 효과를 볼 것”이라고 추천했다.

또 그는 “웹 해킹에 대해 잘 모르는 고객에게 그 위험을 알리는 데에도 주효했다”며 “개인적으로 현재 시중에 있는 동종 도서 중에서는 으뜸”이라고 추켜세웠다.

XSS 및 SQL injection 집중 설명
책의 구체적인 내용을 살펴보면 XSS(Cross site Scripting)와 SQL injection 공격문제에 초점을 맞췄다. 둘 모두 미 ‘마이터(MITER)’사의 ‘Common Weakness Enumeration(CWE)’ 조사에서 최고 위험도로 분류된 공격이다. 모두 웹의 발달에 편승해 나온 골칫덩이들이다.

XSS 공격은 해커가 사용자 입력 값에 대한 검증이 부족하거나 인코딩을 적용하지 않았을 때 발생할 가능성이 높다. 일단 공격이 시작되면 ‘빅팀(Victim)’ 세션 도용 혹은 웹 페이지 조작 피해를 입을 수 있다. 웹 페이지 조작 대부분은 사이트를 피싱 근거지로 사용하기 위함이다.

또 SQL injection은 ‘SQL’의 쿼리 문자열 사이에 특정 악성코드를 삽입하는 공격기법으로, 유명 포털들을 지속적으로 노리고 있다.

책은 이런 공격들의 기법을 매우 세부적으로 설명하고 있다. 그리고 공격수준에 맞는 단계적 방어기법을 실전 위주로 알려준다. 환경설정, 오류처리 방식, 코딩, 긴급사항 대처 등에 관해 관리자들이 잘못 행동하는 유형을 지적한 것도 특징이다.

집필은 ‘솔라리스 해킹과 보안’을 저술한 황순일씨와 안철수연구소 출신 김광진씨가 공동으로 했다. @