2026 웹 보안 실전 가이드
위협의 지형 → 공격면 → 전송 계층 방어 → 검증 → 운영.실무자가 알아야 할 2026년 웹·엔드포인트 보안의 전부.
목차
각 장을 클릭해 상세 내용을 확인하세요 · 5부 15장 + 부록 4편 · 보너스 4편
서문
위협의 지형
인덱싱되는 순간, 게임은 시작된다
도메인 등록부터 첫 공격까지. CT 로그, 패시브 DNS, 인터넷 전수 스캐너(Shodan·Censys·ZMap)가 당신을 발견하는 법.
공격자의 분류학
스크립트 키디에서 APT까지. 기회주의적 자동화 대 표적 공격, RaaS, 핵티비스트, 국가 지원 그룹의 동기와 방법론.
AI가 바꾼 공격의 경제학
LLM 기반 자동 취약점 탐색과 익스플로잇 생성, AI 보조 피싱, 공격 비용이 0에 수렴할 때, 방어 측의 AI 군비 경쟁.
CVE의 홍수 — 매주 쏟아지는 9점, 10점
CVSS를 읽는 법과 한계, 무기화 타임라인, n-day가 0-day보다 위험한 이유, 공급망 공격과 의존성 지옥.
공격면
당신의 공격면을 지도화하라
외부에서 보이는 모든 것: 포트, 서비스, 서브도메인, API 엔드포인트, 노출된 메타데이터. 모르는 자산은 지킬 수 없다.
포트를 닫아라 — Cloudflare Tunnel과 Zero Trust
인바운드 포트를 0개로. cloudflared로 SSH·웹을 오리진 노출 없이, Zero Trust Access로 22번을 제거. 자기 자신을 잠그지 않는 적용 순서.
SSH 하드닝 — 가장 흔한 침입 경로 봉쇄
키 기반 인증 강제와 비밀번호 로그인 제거, 키 페어의 생성·보관·교체·폐기, 설정 하드닝, fail2ban, 배스천 패턴.
전송 계층 방어
검증과 공격적 보안
자기 사이트를 직접 스캔하라
방어자가 갖춰야 할 공격자의 시선. 안전하고 합법적인 자가 진단. SSL 검사, sslyze, 헤더 분석, 포트 스캔, nuclei 템플릿 스캔.
펜테스트 현장에서 실제로 보는 것들
정찰→스캔→익스플로잇→권한 상승→측면 이동→흔적 정리. 노출된 .git, 백업 파일, 디버그 모드, 기본 자격 증명, 잘못된 권한.
웹 애플리케이션 취약점 — OWASP를 넘어서
인젝션, 인증·접근 제어 붕괴의 2026년 버전, SSRF와 클라우드 메타데이터 탈취, 역직렬화, API 보안, 비즈니스 로직 결함.
운영과 생존
부록
보너스
네트워크 방어
공유기 펌웨어와 필수 보안 원칙, 중간자 공격의 구조, 복제된 가짜 카페 와이파이와 재연결 권한 탈취, 같은 네트워크에 누군가 있다는 위험, 개발 환경 격리. (부록 F)
이메일
DKIM 등 발신자 인증의 중요성, 이메일을 가로채 결제 정보를 바꿔 대금을 가로채는 공격, 증상 없이 누적되는 정보 수집, 이메일 계정 보호. (부록 G)
어려운 비밀번호라는 환상
자주 바꾸기와 복잡함의 신화, 진짜 위험인 재사용, 현대의 정답인 2채널 인증, 백엔드·API 연결의 IP 화이트리스트. (부록 H)
Zero Trust
아무도 믿지 마라 — 나 자신도. 평범한 일상의 사고가 재앙이 되지 않게 하는 설계, 모든 권한은 하나씩 필요한 사람에게, 반드시 둘 이상의 채널로 검증. (부록 I)