◈ 이 책에서 다루는 내용 ◈

◆ 데이터와 시스템 기능을 보호하기 위한 기본 속성 및 메커니즘 탐색
◆ 보안, 개인 정보 보호, 안전의 관계 이해
◆ 시스템 보안 평가를 위한 주요 특성 파악
◆ 시스템 모델링과 분석을 위한 일반적이고 특별한 기술 검토
◆ 데브옵스 자동화를 포함한 위협 모델링의 미래와 애자일 개발 방법론의 미래
◆ 일반적인 위협 모델링의 함정을 피하는 방법

◈ 이 책의 대상 독자 ◈

설계와 개발 프로세스, 출시된 시스템의 보안 태세를 높일 책임이 있는 시스템 개발 팀 구성원(개발자, 설계자, 디자이너, 테스터, 데브섹옵스)을 위한 책이다. 여기에는 제품 또는 IT 시스템을 설계, 구축, 유지 관리하는 사람도 포함된다.
위협 모델링을 아직 경험해 보지 않은 기존 보안 실무자에게도 유용하지만 특히 시스템 개발 팀을 염두에 두고 작성했다. 제품 관리자, 프로그램 관리자, 다른 기술자도 최소한 프로세스에서 자신의 가치를 이해하고 있어야 한다.

◈ 이 책의 구성 ◈

1장에서는 시스템 모델링 기술을 살펴보고 시스템 보안을 평가하는 데 중요한 주요 특성을 파악하는 방법을 설명한다.
2장과 3장에서는 시스템 개발 수명 주기의 활동으로서 위협 모델링의 개요를 설명하고, 시스템을 모델링하고 분석할 때 사용 가능한 일반적인 위협 모델링 기술을 설명한다.
2장 이후부터는 위협 모델링이 왜 중요한 활동인지 이미 알고 있는 상태에서 보안 설계의 원칙을 수행하는 전문 보안 실무자를 포함해 모든 독자에게 도움이 되는 내용을 담고 있다.
4장과 5장에서는 위협 모델링 방법론의 미래와 자동화, 데브옵스 자동화를 포함한 애자일 개발 방법론을 설명한다. 새롭고 흥미로운 방식의 위협 모델링을 수행하는 특별한 기술도 다룬다.
6장에서는 조직에서 위협 모델링 적용을 시작하려는 개발 팀으로부터 자주 듣는 질문을 설명한다. 일반적인 함정과 장애물을 피하는 방법을 위한 조언과 지침을 준다.
부록 A에서는 위협 시스템 모델을 구성하고 분석하고자 pytm을 사용한 예제를 제공한다.

◈ 옮긴이의 말 ◈

이 책은 위협 모델링이 무엇인지, 왜 필요하고, 어떻게 만들고, 어떻게 관리해야 하는지에 관한 전반적인 가이드를 제공한다. 특별한 보안 전문 지식이 없어도 위협 모델링을 만들고 수행할 수 있도록 격려하며, 처음부터 완벽한 모델링을 만들기보다는 시행착오를 겪어 가며 조직에 맞는 모델링 방법론을 찾고 개선하기를 권장한다.
위험을 식별하는 것도 중요하지만 보안 마인드를 갖고 제품 보안의 체계를 만들어가는 것 또한 위협 모델링의 목적이다. 한번 만드는 것으로 끝나지 않고 지속적으로 시스템의 변경 사항을 관리해야 진정한 위협 모델링의 의미를 찾을 수 있을 것이다.
저자는 수십 년간 현장에서 쌓은 경험을 통해 얻은 노하우를 이 책에 담았다. 시스템 모델링을 만드는 방법부터 위협 모델링의 기본적인 흐름, 방법론의 종류, 자동화 방법, 위협 모델링 툴 등 보안을 처음 시작하는 입문자에게도 도움이 될 만한 내용을 설명하고 있으므로 위협 모델링에 관심이 많은 독자에게 추천한다.