◈ 이 책에서 다루는 내용 ◈
사이버보안 산업은 지난 15년간 450억 달러 이상의 투자를 받아왔다. 반복되는 침해사고가 있음에도 불구하고 이 분야는 수십만 개의 일자리가 채워지지 않은 채 남아 있어 문제가 심각해졌다. 이제는 기술자뿐만 아니라 모든 이가 사이버보안에 대한 정보를 얻고 능력을 강화할 때이다.

이 책은 가장 큰 보안 침해사고 중 일부와 피싱, 멀웨어, 서드파티 침해, 소프트웨어 취약점, 암호화되지 않은 데이터 등의 침해사고 뒤에 가려진 기술적인 주제를 다루고 있다. 사이버보안은 우리 모두의 일상에 영향을 미치며, 이 책만큼 해당 분야에 대해 쉽게 접근하기는 쉽지 않다.

효과적인 예방 및 탐지 대책, 메타 수준의 침해사고 원인, 조직 내 보안을 최적화하기 위한 7가지 중요한 습관 등 다양한 업계 내부 지식을 자신 있게 습득할 수 있을 것이다. 이러한 귀중한 교훈은 실제 사례에 적용되며, 타겟, JP모건 체이스, 에퀴팩스, 메리어트 등에서 발생한 유명한 큰 규모의 침해사고가 어떻게 발생했는지 배울 수 있을 것이다.

조직 내에서 사이버보안의 보다 강력한 기반을 구축하려는 경우든 기본에 대해 배우고 싶은 개인이든 이 책을 통해 모든 사람이 성공적으로 전진하기 위한 필수 지식을 습득할 수 있다. 이 책을 읽고 전문가적 통찰력으로 스스로를 무장하고 사이버보안의 미래에 대비하길 바란다.

◈ 이 책의 구성 ◈
1장에서 현재까지 침해사고의 근본 원인을 개략적으로 살펴본 후에 2~8장에서 가장 큰 침해사고 중 일부를 시간의 역순으로 자세히 살펴본다.
2장에서는 당시 가장 큰 클라우드 보안 데이터 침해사고였던 2019년의 캐피털 원(Capital One) 데이터 침해에 대해 소개한다. 이 침해사고에서 아마존(Amazon) 출신의 한 직원은 소프트웨어 취약점과 방화벽의 잘못된 설정을 이용해 1억 개 이상의 신용카드 정보를 훔쳐냈다.
3장에서는 2018년에 발표된 메리어트(Marriott) 데이터 유출 사건을 다룬다. 이 사건은 메리어트가 스타우드 호텔(Starwood Hotels)을 인수하면서 3억 8300만 건 이상의 고객 기록이 도난당했고, 인수한 타사 회사가 멀웨어로 인해 손상된 사건이다.
4장에서는 제3자 소프트웨어 취약점으로 인해 1억 4500만 건 이상의 신용 기록을 도난당한 2017년 에퀴팩스(Equifax) 침해사고에 대해 살펴본다.
5장에서는 2016년과 그 이전의 여러 페이스북(Facebook)(현 메타(Meta)) 해킹과 데이터 침해에 대해 다룬다. 페이스북 서비스는 2016년 미국 대선과 관계가 있는 외부 협력사 케임브리지 애널리티카(Cambridge Analytica) 때문에 악용됐다. 페이스북은 또한 ‘내 프로필 미리보기(View Page As…)’ 기능에 소프트웨어 취약점이 있어 사용자가 다른 사용자로 로그인했을 때 프로필이 어떻게 생겼는지 볼 수 있으며 공격자는 5000만 명 이상의 프로필 데이터를 훔칠 수 있었다.
6장에서는 2014년과 2015년에 2000만 명 이상의 공무원 신원 정보가 도난당한 미인사관리국(OPM, Office of Personnel Management)의 침해사고 사례를 다룬다.
7장에서는 야후의 30억 사용자 계정 모두를 손상시키기 위해 피싱, 멀웨어 및 쿠키 생성 알고리듬의 리버스 엔지니어링(reverse engineering)을 사용한 2013년과 2014년의 야후(Yahoo) 데이터 침해사고에 대해 다룬다.
8장에서는 2013년과 2014년 타깃 및 JP모건 체이스의 데이터 침해사고에 대해 다룬다. 이때 제3자 공급업체인 파지오 메케니컬 서비스(Fazio Mechanical Services)와 심코 데이터 시스템즈(Simmco Data Systems)는 각각 각 사례에서 수천만 건의 고객 기록에 대한 침해를 기인하는 중개자로서 등장한다.
후반부에서는 보안을 달성하기 위한 올바른 습관을 가르치는 것을 시작으로 임원진 수준의 논의를 바르게 하고 올바른 기술과 프로세스를 도입해 올바른 투자를 하는 임원진 차원의 복구를 위한 로드맵을 개략적으로 설명한다.
마지막으로, 우리는 전투에 참여하고 사이버보안 분야로 진입하고자 하는 사람들을 위한 지침을 제공한다. 다음은 각 장의 상세한 내용이다.
9장은 보안을 달성하기 위해서 숙지해야 할 일곱 가지 습관을 개략적으로 설명한다. 9장은 개인 인재 개발 대신 보안에 초점을 맞춘다는 점을 제외하면 스티븐 코비(Stephen Covey)의 『성공하는 사람들의 일곱 가지 습관』(김영사, 2023)과 내용이 유사하다.
10장과 11장은 이사진과 임원들에게 보안에 대한 이사회 차원의 논의에 접근하는 방법에 대한 조언을 제공한다. 여기에는 (9장의 습관을 기초해) 올바른 문화를 조성하고, 회사의 보안 활동에 임원진을 참여시켜 조직의 보안에 대한 일관된 이야기를 들려주며 그 이야기를 정성적 및 정량적 수치로 뒷받침하기 위한 여러 조언이 포함돼 있다.
12장과 13장에서는 침해사고의 각 기술적 근본 원인에 대해 조직이 기술 및 프로세스 방어를 위해 도입할 수 있는 옵션을 다룬다.
14장에서는 소비자가 조직에 영향을 미치는 침해사고의 동일한 근본 원인으로부터 스스로를 방어할 수 있는 방법에 대한 조언을 제공한다.
15장에서는 450억 달러 규모의 사모펀드 및 공개 IPO 사이버보안 투자가 지난 15년간 어디에 투입됐는지, 침해사고의 근본 원인에 어떻게 대응하는지 분석하고 데이터 침해사고를 완화하기 위해 향후 자금을 어디에 투입해야 하는지 권고한다.
16장은 사이버보안 분야가 세계에서 가장 빠르게 성장하는 분야 중 하나이고 전세계적으로 수백만 개의 일자리가 있다는 점을 감안할 때 사이버보안 분야에 진입하기 위해 자신의 기술을 활용하는 방법에 대한 조언을 제공한다. 이의 핵심 내용으로 자주 발생하는 큰 규모의 침해사고가 과거의 것이 되는 세상을 만들려면 사이버보안을 달성하기 위해 지적인 능력과 노력을 투자할 사람들이 필요하다.
이 책을 읽는 독자들이 이 책의 전반부에서 과거에 발생한 가장 큰 데이터 침해사고 사례들을 배우는 여정을 즐기기를 바라고 기대한다. 책의 후반부에서는 복구를 위한 로드맵으로 무장해 더 디지털적으로 안전한 세상을 만드는 힘의 일부가 되기를 바란다.