책을 읽기전에... (TMI)
필자는 AI관련으로 몇년간 꾸준히 활동하고있던 상황이였고, AI관련으로 다양한 대회나 스터디, 프로젝트를 주로 하는 사람이다.
하지만... 본 API 해킹의 모든 것이라는 책에 관심을 갖게 된 계기는 상당히 복합적이다.
아래는 API관련 몇가지 개인적인 에피소드이다.
- 해커톤에서의 AI개발은 단순히 AI모델 개발에서 그치는 것이 아니라 모델 서빙까지 만들어줘야 다른 프론트/앱에서 사용이 가능하기에
Fastapi를 주로 사용하고 있다.docker로 묶어서 2년넘게 꾸준히 쓰고있다. svelte와 함께nest.js를 백엔드로 사용하고 있는 시점이였다. + nest.js 백엔드 개발 외주도 최근에 진행함.- 8~9년전에 개발을 처음 배울때 칼리리눅스 기반의 몇가지 모의해킹 경험이 있다.
window xp에서 환경을 구축해서 공부했었다... - 대학교 1학년때 AI 보안에 대한 발표(AI 모델 해킹 및 보안방법)와 프로젝트에 대한 경험이 있다.
- 필자 주변에 보안을 다루는 분들이 많다.
책에 대한 첫인상
Jpub 서평이벤트를 통해 책을 수령하고 가장 먼저 앞뒤의 표지를 확인하였다.
API의 기초부터 다양한 실습까지 구성되어있다는 subtitle 이 눈에 띄었고, 책 뒤편의 처음문장이 제 머릿속에 많은 생각들을 들게 만들었다.
"API 사용량은 폭팔적으로 증가해 웹 트래픽 전체의 80% 이상을 차지한다. 하지만 민감한 정보가 많이 섞여 있음에도 보안 구멍이 사방에 뚫려 있어, 공격자들의 손쉬운 표적이 되고 있기도 하다."
- 요즘에는 웹/앱 등을 초등학생때부터 배포하는 친구들이 있을정도로 배포가 쉽게 이루어지는데 보안적인 부분들도 신경을 썼을까?
- AI또한 huggingface와 같은 사이트들이 api형태로 많은 서비스들을 해주고 있으며, ChatGPT 등등의 서비스들도 마찬가지인데, 보안적인 결함이 있지는 않을까?
위와 같은 의문점들을 가지고 책을 읽기 시작하였다.
책을 읽는 동안
이 책을 읽는 기간동안 다양한 일들이 있었다.
파이콘 컨퍼런스 준비와 개인적으로 진행하는 대학방학교류 [susc.kr] (홍보도 좀 하겠습니다.) 기간들과 겹치게 되어 해당 책을 여행용 캐리어에 넣고 부산과 서울을 몇번이나 왔다갔다 했다.
호텔과 KTX, 그리고 비행기에서 해당 책을 읽으면서 이동시간을 알차게 보냈다.
느낀점
책의 초반에는 API에 대하여 이해가 잘 되도록 설명해주었다. 초반의 글을 읽으면서, ChatGPT의 수익구조와 API가 밀접한 관계가 있다는 것을 깨닫게 되었다.
또한 웹 API의 기본적인 다양한 취약점들을 적절하게 풀어주었다. 하지만 해당 구간을 읽으면서, 해당 취약점들을 보완하기 위한 개발적 측면에서의 코드는 어떨까? 라는 궁금점이 남았다. (해킹하는 사람의 입장에서만 풀어쓴것이 아쉬웠다.)
책의 중반부터 끝까지는 Docker를 활용한 환경구축, Postman, Burp Suite 등의 도구를 사용한 다양한 웹 API 해킹 모의 실습을 진행한다. 도커를 좋아하는 저로써는 마음속으로 "합격"을 외치고있었다. (이책을 평가할 자격은 없지만요 하하)
그동안 트랜잭션을 쓰고 암호화를 하는등의 코드들을 "귀찮지만 보안을 위해 써야지"라는 마음으로 대---충 코드를 짰었는데, 해커의 입장에서 다양한 공격을 실습을 통해 시도해보면서 그동안의 잘못된 마음을 고쳐먹는 계기가 되었다.
하나 아쉬웠던 것은 "책의 초반에 AWS, GCP, Azure와 같은 클라우드 API 보안 테스트가 가능하다고 하였는데, 해당 부분의 실습도 있었으면 좋겠다"이다.
웹 API해킹을 해보고싶다면 가장 먼저 추천하는 책이 될 것이다.
따라서 이 책을 "웹 API 해킹을 공부하고 실습하는 책"으로 정리하며 글을 마무리한다.
