[서평] Web Application Security
사용자의 요청에 매번 페이지전체를 렌더링 하던 JSP/Servlet, ASP 같은 전통적인 웹개발에 AJAX가 나타나고 이제는 보편화된 Angular, React, Vue.js 같은 프론트엔드 프레임웍과 백엔드 API의 조합, 그리고 클라우드 인프라스트럭쳐의 등장까지 기술이 변화하고 계층이 다양해지면서 보안에 취약한 부분들도 다양해지고 있다.
물리적인 계층은 논외로 하더라도 클라우드 인프라스트럭쳐는 설계하고 운영하면서 보안을 늘 염두에 뒀지만, 정작 웹 애플리케이션은 XSS, CSRF, SQL 인젝션등 널리 알려진 공격에 대한 대응 그리고, REST API 개발에 필수적인 인증과 권한관리 정도가 대부분이었다. (게다가 Auth같은 경우 개발일정에 당당히 자리했지만 나머지는 서브태스크 정도 취급을 받았던 듯 하다.)
전문적으로 보안을 다루는 직무가 아니지만 서비스를 책임지는 인프라스트럭쳐와 함께 그 위에서 동작하는 웹 애플리케이션을 설계하고 개발하는 입장에서 어느 한쪽의 보안을 소홀히 할 수 없지만 그렇다고 본격적인 소프트웨어 보안이나 전반적인 해킹을 학습하는 것은 쉽지 않다.
이 책은 정찰, 공격, 방어 세 파트로 나누어져 편향되기 쉬운 방어의 관점 만이 아닌 공격자의 관점에서 바라볼 수 있다는 점과 현대적인 웹애플리케이션의 구조와 앞서 언급했던 XSS와 그 외 많이 알려진 공격 방법 그리고, 보안 코드 리뷰, 취약점 관리와 서드파티 의존성 보안 부분까지 상세히 설명하고 실무적인 대응도 다루고 있다.
웹 애플리케이션 보안이라는 제한된 주제에 대해서만 다루고 있어 기본적인 웹프론트엔드와 백엔드 개발경험이나 지식이 있다면 부담없이 읽을 수 있다. 나처럼 보안에 관심있는 개발자에겐 좋은 레퍼런스, 보안을 중점적으로 다루고 싶은 이에겐 좋은 기본서가 되리라 생각한다.
한빛미디어 <나는 리뷰어다> 활동을 위해서 책을 제공받아 작성한 서평입니다.
