데브섹옵스 기업 오토래빗(AutoRabit)이 세일즈포스 환경에서 정책 변경 및 잘못된 구성으로 인해 발생하는 보안 문제를 해결하도록 돕는 ‘코드스캔 실드’(CodeScan Shield)를 출시했다. 오토래빗의 정적 코드 분석 도구였던 코드스캔의 후속 확장 버전에 해당하는 이번 툴은 ‘OrgScan’이라는 새 모듈이 추가된 것이 특징이다. 이 모듈은 세일즈포스 환경에 필요한 보안 및 컴플라이언스 규칙을 적용해 조직 정책을 관리한다.  오토래빗은 OrgScan으로 스캔하면 우려해야 할 영역을 식별할 수 있도록 돕는 대시보드가 생성되고 이를 통해 조직은 시간과 비용을 절약할 수 있다고 전했다.  회사의 에릭 피어슨 북미 및 남미 기업 계정 담당 부사장은 “일반적으로 기업에는 조직 전체의 보안 유지에 관여하는 그룹이 3개 이상이다. 개발 조직, 그들이 구축한 애플리케이션을 빌드하고 출시하는 릴리스 관리 조직이 있다. 이에 더해 사용자 액세스, 세션 관리 및 세일즈 보안의 기타 측면에서 모든 것을 책임지는 세일즈포스 시스템 관리자도 있다. 기업 전체의 데이터, 개인 정보 보호 등을 관장하는 인포섹(InfoSec) 조직도 있다”라고 말했다. 그에 따르면 이렇듯 서로 다른 조직들은 사일로화되어 있는 경우가 잦다. 피터슨은 “코드스캔 실드의 목표는 이러한 다양한 그룹을 하나로 통합하고 관리자 권한, 세션 관리, 사용자 액세스 등 모든 것을 정책 관리 시스템에서 자동화하는 것이다. 이러한 유형의 규칙이 개발 및 릴리스 관리 주기에 더 빨리 통합되어 보안이 모든 데브섹옵스 솔루션이 초점이 되도록 돕고자 했다”라고 말했다.  또 OrgScan은 노코드 인터페이스를 지원해 전문적인 코딩 지식 없이도 사용할 수 있다고 그는 덧붙였다. 한편 오토래빗의 주력 상품은 여전히 정적 코드 분석 도구인 코드스캔이다. 코드스캔 실드의 코드를 동적으로 추적한다는 점에서 후속작이면서도 다소 다른 성격을 지닌다. 다양한 개발 단계에서 발생할 수 있는 보안 문제를...

2022.09.16

깃랩(GitLab)이 제6차 연례 글로벌 데브섹옵스(DevSecOps) 조사 결과를 발표했다. 조사에 따르면, 아시아 지역이 평균보다 높은 데브옵스 플랫폼 채택률과 개발 주기 자동화 실현을 기록한 것으로 나타났다. 또한 보안 및 컴플라이언스가 지속적으로 우선순위를 차지하고 있으며, 툴체인 통합에 대한 투자와 데브옵스 채택 가속화에 따른 영향이 지속되고 있음을 알 수 있다.  이번 조사에는 전 세계 5,001명에 달하는 개발자와 운영 및 보안 실무자, 조직 리더 등이 참여했다. 한국을 포함한 아시아 지역에서는 388명이 조사에 참여했다.   지난 2년 간 폭발적으로 기술 채택이 이뤄지면서 이번 조사 결과에서는 응답자의 거의 75%가 데브옵스 플랫폼을 채택했거나 연내 채택할 계획인 것으로 나타났다. 아시아 지역의 경우 평균보다 조금 높은 78%의 기업이 데브옵스 플랫폼을 채택했거나 연내 채택할 것으로 답했다. 2022년 조사 결과에 따르면, 기업들은 보안을 최우선 투자 영역으로 간주하고 있으며, 보안 팀원의 절반 이상이 자신의 기업이 이미 시프트 레프트(Shift Left) 보안으로 전환했거나 올해 안에 전환할 계획이라고 밝혔다.  또한 툴체인 통합도 최우선 과제로 제기되었다. 응답자의 69%가 모니터링, 개발 지연, 개발자 경험에 대한 부정적인 영향 등의 문제로 인해 툴체인 통합을 원하고 있는 것으로 나타났다. 전체 지역 중 아시아가 78%로 툴체인 통합에 가장 긍정적으로 답했으며 유럽이 62%로 가장 낮은 수치를 보였다.   직장에서 가장 자주 사용하는 깃(Git) 솔루션은 깃랩 직장에서 가장 많이 사용하는 깃 솔루션이 무엇인가라는 질문에 43%가 깃랩을 사용한다고 답했으며 뒤를 이어 29%가 깃허브 액션을 사용한다고 답했다. 아시아 지역에서는 44%가 깃랩을 사용하고 41%가 깃허브 액션을 사용하며 두 솔루션을 사용하는 비중이 큰 것으로 나타났다. 개발 주기의 자동화에 대한 질문에서는 68%...

2022.09.01

소프트웨어 개발 작업이 점점 더 복잡해짐에 따라 개발(dev) 전문가와 운영(ops) 전문가를 다시 한번 분리해야 할 때가 다가오고 있다. 이번에는 과거의 실수를 반복하지 않고 해낼 수 있을까?   2000년대 후반 소프트웨어가 세상을 집어삼키기 시작하면서 애자일 방법론과 클라우드 컴퓨팅의 부상과 함께 데브옵스(Devops)가 등장했다. ‘개발’과 ‘운영’을 근사하게 결합한 데브옵스는 과거에는 분리돼 있던 소프트웨어 구축, 배포 담당인 두 그룹을 하나로 모으는 것이 핵심이다. 이에 따라 소프트웨어 엔지니어가 사용자 피드백에 대한 대응을 개선해 제품을 더 자주 업데이트해야 할 필요성이 부상했다. 많은 기업이 데브옵스를 통해 이전에는 불가능했던 속도로 문제를 해결해 나갔고, 일부 기업은 개발자에 운영 작업에 대한 책임까지 담당하는 방법으로 데브옵스를 활용했다. 풀 스택 개발자로 구성된 일종의 슈퍼 팀을 만들려고 했던 셈이다. 그러나 데브옵스 포 더미즈(Devops for Dummies)의 저자이자 아마존 웹 서비스의 커뮤니티 참여 책임자인 에밀리 프리먼은 트위터를 통해 “개발자는 대부분 운영 문제를 다루고 싶어 하지 않는다”라고 문제를 제기했다. 이 트윗을 본 많은 개발자가 수백 개 자기 생각을 답장으로 보냈다. 예를 들어 패스트푸드 회사 치포틀레(Chipotle)의 소프트웨어 엔지니어인 스콧 팬탈은 “맞다. 나 역시 개발자이고 운영 문제를 다루고 싶지 않다”라고 썼다. SUSE의 개발자 에반젤리스트인 앤드루 그레이시는 “개발자와 운영진은 서로 다른 역할을 맡아 긴밀하게 협력해야 한다. 팀 간의 공감이 가장 중요하다”라고 말했다. 더 많은 운영, 보안 문제를 소프트웨어 전체 수명 주기의 ‘왼쪽’으로 이동시켜 소프트웨어 개발자의 영역으로 옮기는 데브옵스 개념은 분명히 많은 장점이 있지만 위험한 병목 현상으로 이어질 가능성도 있다. 쿠버네티스(Kubernetes) 스토리지 전문업체 온닷(Ondat)의 제품 책임자인 제임스 브라운은 “개발자를 너무 많...

2022.08.26

전 세계가 불황에 빠질지라도 예산 삭감이라는 도끼에서 생존할 분야 중 하나가 보안이다. 그러나 안전한 미래를 구현하기가 점점 더 어려워지고 있다는 사실 또한 분명하다.  SLSA(Supply-chain Levels for Software Artifacts), 텍톤(Tekton)을 비롯한 각종 솔루션이 오픈소스 서플라이 체인의 안전성을 높여줄 수 있기는 하다. 하지만 현실 속 해법은 여전히 구태의연하다. 모달 랩스의 설립자 에릭 베른하드슨은 “여전히 개발자들이 더 잘 해내기를 바라고 ‘경계를 유지’하는데 의존하고 있다”라고 말했다. 그리고 이러한 비전략적 접근법은 계속해서 실패하고 있다. 베른하드슨은 “2022년의 보안은 왜 그렇게 어려운가?”라고 반문했다. 이 질문에 대한 한 가지 답은 시스템이 점점 더 복잡해지고 있으며, 이로 인해 해커가 악용할 수 있는 구멍을 남겨놓는 현실이다. 그렇다면 상황이 나아질 가능성이 있을까?   만병통치약 없음 보안이 어려운 근본적인 이유 중 하나는 시스템을 보호하기 위해서는 시스템 전체를 이해해야 한다는 진실이 자리하고 있다. 오픈소스 전문가인 사이먼 윌슨은 “보안 소프트웨어를 작성하려면 모든 것이 어떻게 작동하는지에 대한 깊은 지식이 필요하다”라고 말했다. 그에 따르면 개발자가 기본적인 이해 없이 그저 ‘모범수칙’만 따를 수 있겠지만, 이는 “우연한 실수와 새로운 보안 허점의 출현으로 이어진다”라고 말했다.  그는 개발 단계에 보안 기본값을 적용하는 자동화를 이용해 인적 오류를 줄이려는 시도에 대해 부정적인 입장을 밝혔다. 윌슨은 “도구가 우리를 구할 수 있다고 생각하지 않는다. 기본 도구가 우수하더라도 한계가 있다. 기본 도구가 어떻게 보안을 유지하는지 엔지니어가 이해하지 못하면 자신이 하는 일이 왜 나쁜지에 대한 이해 없이 보안을 파괴할 것”이라고 단언했다. 그는 이어 “궁극적으로 보안은 사람에 달렸다. 소프트웨어를 고칠 수는 있지만 소프트웨어 뒤에 있는 사람을 고칠 때까지는 아무것...

2022.08.23

디지털 트랜스포메이션을 통해 기업은 경쟁 우위 확대, 새로운 수익사업 개발, 고객 경험 개선 등을 실현하고 있다. 그러나 이 모든 것을 위해 데브옵스 엔지니어는 할 일이 많다. 업무의 중요도와 요건에 따라 이를 지원하는 클라우드 서비스 업체의 리소스를 활용하고 쿠버네티스, 마이크로서비스, 기타 클라우드 네이티브 컴퓨팅 툴을 사용해 이른바 '애자일', 즉 더 빠른 속도로 애플리케이션을 구축, 테스트, 배포해야 하는 상황이다.   엔지니어와 애플리케이션 스택이 애자일을 지향하는 만큼 네트워크도 애자일에 적합해야 하는데, 바로 멀티클라우드 환경을 위한 풀스택 자율 네트워킹이다. 이를 통해 기업은 단기간에 투자 가치를 회수할 수 있고 데브옵스 엔지니어는 생산성과 사업 성장을 극대화할 수 있는 수단을 확보할 수 있다.   레거시 네트워킹 툴의 한계 애플리케이션과 서비스의 제공 속도를 높이면 비즈니스 측면에서 많은 장점이 있지만 동시에 감수해야 할 위험과 해결해야 할 과제도 함께 늘어난다. 사용자가 성능 문제를 겪고 결과적으로 생산성이 저하된다면 혁신적인 애플리케이션도 아무 소용이 없다. 따라서 보유한 애플리케이션이 안전한 경험을 제공하는지, 기업과 직원, 고객을 위험에 드러내는지, 모든 규정 준수 요건을 충족하는지 확인해야 한다. IDC에 따르면 클라우드로 이동하는 애플리케이션이 많아지면서 올해 말이면 사상 처음으로 클라우드 투자가 비 클라우드 IT 인프라 투자를 앞지를 전망이다. 또한, 프로시모(Prosimo)의 최신 ‘멀티클라우드 인프라 상태 보고서’에 따르면 기업 91%가 복수의 클라우드를 사용할 계획이며 62%는 2년 이내에 사용할 계획이다. 클라우드 사용 규모가 커질수록 복잡성도 커지기 마련이다. 기업은 이 새로운 역동적 IT 환경을 온프레미스 데이터센터, 엣지 컴퓨팅, 클라우드 인프라에 걸쳐 일관성 있게 오케스트레이션 및 관리하는 데 애를 먹고 있다. 많은 기업이 전통적인 레거시 네트워킹 툴을 사용해 연결성 요건과 씨름해 왔지만, 효...

2022.08.16

데이터는 한 기업의 가장 가치 있는 자산일 수 있다. 어쩌면 기업 자체보다도 더 가치 있을지도 모른다. 그러나 데이터는 전달 상 문제들로 인해 부정확하거나 지속적으로 지연되어 효과적으로 활용되지 못하는 경우가 많다. 기업의 데이터 자산을 완전히 이해하기란 쉬운 일이 아니다. 특히 비즈니스 환경이 변화하며 복잡성이 증가하는 상황에서는 더욱 그렇다. 데이터의 출처를 추적하고 종속성 분석 및 최신 상태로 유지하는 것 모두 리소스 집약적인 업무다.  이 시점에서 데브옵스와 사촌격이면서도 확연히 다른 데이터옵스가 등장하게 되는데, 이는 데이터분석을 위한 일련의 모범사례로 볼 수 있다. 시간이 지남에 따라, 데이터옵스는 이제 관행으로 발전했다. 데이터 중심의 애플리케이션부터 최종 사용자 또는 고객에게 정확한 비즈니스 관련 정보를 제공하기에 이르기까지 데이터의 수명 주기 가속화에 기여한다.  데이터옵스는 대부분의 기업에서 데이터 자산 내 발생하는 비효율성에서 시작되었다. 즉 다양한 IT 사일로로 인해 아예 소통을 하지 못하거나 효과적으로 소통하지 못하는 것에서 비롯된 것이다. 예를 들어 특정 작업에서 데이터를 이용하는 한 팀을 위해 구축된 툴이 종종 다른 팀에는 가시성을 제공하지 못하는 경우가 이에 해당된다. 또 데이터 소스 통합은 우연적이고, 수동적이며 종종 문제를 야기하곤 했는데, 더 심각한 점은 최종 사용자에게 전달되는 정보의 질이나 가치가 기대 이하거나 완전히 부정확한 경우가 많았다. 데이터옵스가 이런 문제점의 해결방안으로 부각되는 동안, 기업의 최고 경연진은 약속에 비해 가치가 낮을 수 있지 않을까하는 우려를 가질 수 있다. 이미 시행 중인 프로세스를 혼란에 빠뜨릴 수도 있을 것처럼 보일 수도 있다. 과연 새로운 프로세스를 구분하고, 채택 및 실행하는 불편함보다 이점이 많을 것인가? 나는 회사에서 이 주제에 대해 토론할 때 종종 ‘10의 법칙’을 인용하고 참조한다. ‘10의 법칙’이란 데이터에 결함이 있을 때 결국에는 10배 더 많은 비용...

2022.08.12

경기 침체 시기에는 비용 절감의 우선순위가 올라간다. 그러나 이는 무조건 IT 투자를 줄여야 한다는 의미가 결코 아니다. IT는 경기 침체에 앞서, 또는 경기 침체 중에 오히려 진행해야 할 투자 영역들이 있다.  경기 침체가 불가피하게 보이는 상황이다. 가까운 시일 내에 일어난다면 미증유의 금융 충격이 출현할 가능성도 배제할 수 없다는 진단이다.  회계 및 비즈니스 컨설팅 회사인 아르마니노(Armanino)의 컨설팅 파트너 라이언 프린디빌은 “기록적으로 높은 인플레이션과 함께 낮은 실업률이 나타나고 있다. 동시에 CIO, IT리더 또는 기업이 감당하기 어려울 만큼 높은 기술 및 서비스 가격이 출현하고 있다. 이와 함께 지난 몇 년간 기록적인 성장이 둔화되는 양상이다. 비즈니스 리더나 예측가들이 이전에 본 적이 없는 풍경들이 동시에 나타나고 있다”라고 말했다. 경기 침체에 앞서 비용을 미리 줄이려 노력할 수 있으며, 비즈니스에 부정적인 영향을 적게 미치는 감축 시도들이 분명히 있다. “그러나 더 나은 방법은 장기적으로 효율성을 향상시키기 위해 투자를 가속화할 수 있는 기회를 얻는 것이다”라고 해킷 그룹(The Hackett Group)의 수석 연구 책임자이자 IT 어드바이저인 릭 파스토레는 말했다. 예를 들어, CIO는 경기 침체기에 확장 또는 축소할 수 있는 유연성을 원하기 때문에 시스템을 클라우드로 마이그레이션하는 데 투자하기를 원할 수 있다. 프린디빌은 “IT리더와 CIO가 장기적인 경기 침체를 견뎌내고 유지하기 위해 지금 해야 할 투자가 있을 수 있다”라고 말했다. 보다 장기적인 탐색이 필요할 수 있다. 해킷 그룹의 책임자인 마이클 풀러는 “유연한 환경을 계획해야 하지만 이는 3~6개월 간의 연습이 필요하다. 기술 조직을 전체적으로 일관되게 변화시킬 수 있는 방법에 대해 생각하고, 이러한 투자가 기반을 넓히고 유연성을 창출하는지 확인해야 한다”라고 설명했다. 경제 상황을 앞서 나가기 위해 IT리더는 장기적인 운영 이익을 위해 ...

2022.08.11

지난 6월 22일 CIO 코리아 편집부의 메일함에 눈길을 끄는 메일이 도착했다. 막강한 네트워크 인프라를 보유한 CDN 분야의 거대 기업인 라임라이트 네트웍스가 야후 CDN 사업 부문이었던 에지캐스트의 인수를 완료하고 ‘에지오’로 사명을 바꾼다는 소식이었다. 전 세계 인터넷 트래픽의 약 20%를 처리하는 거대 네트워크 기업의 출현을 알리는 소식이었다.   -> 라임라이트 네트웍스, ‘에지오’로 사명 변경 그러나 보도자료에는 선뜻 이해하기 어려운 문구들이 일부 있었다. “앱 개발 도구인 앱옵스(AppOps)는 지구상에서 가장 빠른 웹 애플리케이션과 API를 안전하게 제공하는 동시에 기본적으로 통합된 개발자 도구, 다계층 보안 및 네트워크를 갖춘 완벽한 솔루션”이라는 표현이 있는가 하면, “아직 파편화된 400억 달러 규모의 전세계 엣지 솔루션 시장 공략을 강화할 계획”이라는 표현도 찾아볼 수 있었다. 콘텐츠 전송 네트워크 기업이 ‘앱 개발’과 ‘다계층 보안’, ‘엣지 솔루션’ 등을 이야기하고 나선 셈이다. 마치 고속도로를 운영하는 조직이 운전 기술이나 자동차 제조를 언급하는 형국이라고 비유할 수 있겠다. 전 세계 200Tbps 이상의 용량과 300개 이상의 PoP, 7,000개 이상의 ISP 연결을 보유한 이 거대 CDN 기업은 어떤 그림을 그리고 있는 것일까? 또 두 주요 CDN 기업의 결합은 업계에 어떤 영향을 미칠까? 새롭게 출범한 에지오 한국 지사의 김재현 지사장을 만나 이야기를 들어봤다.    “클라우드를 향했던 지난 10년, 향후 10년은 엣지의 시대” “컴퓨팅의 역사를 살펴보면 중앙집중식 구조와 분산형 구조가 번갈아 가며 지배적인 위치를 차지했다는 사실을 확인할 수 있습니다. 기업들이 클라우드로 이동한 시기가 지난 10년이었다면 앞으로의 10년은 엣지로 이동하는 시기일 것이라고 에지오의 밥 라이언스 CEO가 말했습니다. 저 또한 그의 전망에 크게 동의합니다.” 김재현 지사장은 클라우드의 중앙집중식 성격을...

2022.07.12

한국IDC(www.idc.com/kr)는 최근 전반적인 기업 데브옵스 도입 추세와 향후 시장 방향에 대한 국내외 움직임을 제시하기 위한 ‘국내 데브옵스 도입을 통한 비즈니스 성과 창출 보고서(Business Outcome from DevOps Practice in Korea)’를 28일 발간했다.  펜데믹으로 인해 신속한 디지털 혁신이 기업의 중대 사안으로 대두되면서 비즈니스 민첩성이 그 어느때 보다 중요해지고 있다. 이번 보고서에서는 이러한 시장의 움직임 속에서 국내 시장의 데브옵스 도입 동인, 도전과제 및 해결방안, 기업 도입 사례 등의 분석 내용을 소개하고 향후 시장 방향성을 조망한다.  보고서에 따르면, 기업 IT는 개발, 배포, 운영으로 이어지는 비즈니스 애플리케이션과 관련된 일련의 과정과 주기를 유연하게 연결해 비즈니스 서비스 출시를 신속하게 하기 위한 방안으로 애자일과 데브옵스 방법론을 채택하고 있다. 이 과정에서 데브옵스 구현을 지원하는 소스 관리, 저장, 통합, 배포 등 소프트웨어 툴이 계속해서 출시되면서 데브옵스는 전반적인 기술 및 인식 측면에서의 성숙도를 높여가고 있다. 최근에는 개발자 생산성 개선을 통한 비즈니스 민첩성 향상 뿐만 아니라 비즈니스 서비스 배포 품질 관리와 이를 통한 비즈니스 혁신으로 데브옵스 도입의 목적이 변하고 있다. 한국IDC는 보고서에서 국내 시장의 데브옵스 도입 동인으로 ▲서비스 배포 주기 단축 ▲애플리케이션 현대화 ▲비즈니스 가치 창출 시간 단축 등 3가지를 제시했다. 급변하는 소비자 요구사항에 대응해야 하는 B2C뿐 아니라 B2B 산업에서도 D2C(Direct to Customer) 확대와 디지털 네이티브 기업 등장으로 인한 경쟁 심화로 서비스의 빠른 배포 및 출시가 필수적인 상황이다. 이를 위해 신속한 개발 및 배포 프로세스 그리고 배포된 서비스에서 발생하는 오류의 신속한 해결이 가능해야 한다. 여기에 효과적인 방안으로 대두되는 것이 MSA(Micro Service Architecture...

2022.06.28

신용 보고 기관 에퀴팩스(Equifax)에서 발생한 2017년의 대규모 데이터 유출을 비롯해, 다수의 유출 사고가 패치 되지 않은 취약성으로 인해 발생했다. 2019년 트립와이어(Tripwire)의 조사에 따르면 전체 유출 중 27%는 패치 되지 않은 취약성에 의해 발생했으며, 2018년 포네몬(Ponemon)의 조사에서는 60%라는 엄청난 수치를 기록했다. 보안 전문가에게는 전혀 놀라운 이야기가 아닐 것이다. 지난 7년 동안 매년 확인되는 취약성의 수가 증가했다. 이와 동시에 보안팀들은 안전한 재택근무를 지원하고 다른 팬데믹 관련 필요를 해결하면서 인재 채용 문제까지 처리하느라 매우 바쁜 상황이다. 즉 취약성 관리 프로그램 개선이 최우선순위가 아닌 시절이었다. 베테랑 보안 책임자들은 보편적인 실수가 이어지는 가운데 해결할 방안이 있다고 조언하고 있다. 보안 리더가 자주 범하는 10가지 실수를 살펴본다.   임원의 지원 확보 실패 좋은 취약성 관리 프로그램에는 보안팀만으로는 부족하다. 위험 관련 결정에는 임원의 참여가 필요하며, 패치는 IT 전문지식이 필요하다. 업데이트로 인한 다운타임은 여러 비즈니스 기능에 영향을 미친다. 즉 이 작업을 잘 수행하기 위해서는 조직 내 여러 구성원의 지원이 필요하며, 그들은 기업 내 최상위 리더들로부터 이런 노력을 위한 지원을 확보할 때 지원을 받을 가능성이 높다고 관리형 서비스 제공자 쓰라이브(Thrive)의 CTO 마이클 그레이가 말했다. 취약성 관리 노력에 대한 임원 수준의 지원을 받지 못한 CISO는 IT 및 비즈니스 부서의 반발로 인해 방해를 받을 수 있다. 하지만 좋은 소식도 있다. 사이버 보안이 이사회 수준의 우려사항이 되면서 CISO들이 점차 필요한 임원 지원을 확보하고 있다. 실제로 가트너의 2021년 임원 설문조사에 따르면, 이사회 중 88%가 현재 사이버 보안을 비즈니스 위험으로 보고 있었다. 공동 책임감 조성하지 않기 언더 아머(Under Armour)의 CISO 알렉스 아투말릴리...

2022.06.16

애플리케이션이 애용되는 모습을 보는 것만큼 개발진의 사기를 높이는 것도 드물다. 하지만 월간 클라우드 청구서가 도착할 때 분위기가 어두워질 수 있다.  일부 개발자는 컴퓨팅 비용의 관리를 데브옵스 팀의 책임이라고 본다. 소프트웨어를 코딩하고 배포하지만 비용은 걱정하지 않는 것이다. 그러나 이는 잘못된 생각이다. 현명한 개발자는 자신의 코딩 산출물이 회사의 재무에 큰 차이를 만든다는 사실을 알고 있다. 용량이 큰 코드는 더 느리고 실행할 때 더 많은 클라우드 리소스를 요구한다. 우수한 알고리즘을 선택하고 간결한 코드를 작성하는 일은 단순히 속도 이상의 의미를 가진다. 적절히 쓰여진 코드는 실행하는 데 비용이 덜 든다. 그러나 개발자가 이를 줄곧 염두하기란 어렵다. 자신의 기기 상에서 코드를 작성하기는 쉽다. 기기를 구매할 때 RAM과 추가 디스크 공간도 같이 결제됐다. 디스크 공간이 2 테라바이트라면 코드가 얼마나 많은 공간을 소비하는 지 알아차리지 못할 수 있다. 새 알고리즘이 실행되는 데 2배 더 오랜 시간이 걸리더라도 자신의 기기에는 아무 영향도 없을 것이다. 몇 밀리 초가 더 걸린다고 해도 누가 이를 감지할 수 있겠는가? 그러나 연산을 2배로 늘리면 클라우드 요금만큼은 확실히 더 늘어난다. 클라우드 개발자는 코드를 작성할 때 현명한 결정을 내릴 힘이 자신에게 있음을 알고 있다. 이는 프로파일러를 실행해 느린 부분을 식별하거나 불필요한 데이터 스토리지를 회피하며 메모리 풋프린트를 줄이는 것처럼 단순할 수 있다.  코드를 간소화시켜 빠르면서도 비용을 줄이게 하는 12가지 방법을 소개한다.    더 빠른 코드의 작성  대다수의 개발자는 코드를 최적화하는 데 그렇게 많은 시간을 쓰지 않는다. 자신의 노트북에서 순식간에 실행되기 때문이다. 시간이 지나면서 20%, 30%, 심지어 300% 더 느려지는 것을 실감하지 못한다. 프로그램은 여전히 빠르게 반응하는 것처럼 보인다.  그러나 서버 상에서 수...

2022.06.08

두 금융 서비스 회사는 중앙집중식 운영 및 SRE 하에서 개발자 팀의 공유 책임 모델을 구축하는 등 데브옵스 전환에 유사한 접근 방식을 취하고 있다.  ‘뱅가드(Vanguard)’와 ‘모건 스탠리(Morgan Stanley)’는 대규모 클라우드 전환을 진행하면서 소프트웨어 개발과 운영의 균형을 신중하게 맞추고 있다. 지난 2015년 뱅가드는 자체적으로 관리하던 서버 2,000대를 대부분 AWS로 이동시키는 전환을 시작했다. 그 결과 7,000명의 개발자가 분기마다 단일 애플리케이션을 업데이트하던 것에서 개별 팀이 구축하고 실행하는 일련의 마이크로서비스로 이동했다. 이러한 팀은 이제 표준화된 CI/CD 파이프라인 그리고 코드를 적용할 수 있는 인프라를 제공하는 중앙 플랫폼 팀의 지원을 받으며, SRE는 이러한 팀 전체에 중앙집중식 및 임베디드식 감독 기능을 제공한다.    모건 스탠리는 2018년 애자일 및 클라우드 전환을 시작했으며, (이를 위해) 마이크로소프트 애저와 협력했다. 이 이니셔티브는 1만 5,000명에 달하는 해당 은행의 기술 전문가를 대상으로 최신 데브옵스 및 SRE 관행을 확립하기 위한 3개년 교육 프로젝트로 출발했다. 이는 모건 스탠리의 애플리케이션 인프라 부문 전무이사 거스 폴이 식별한 3가지 핵심 영역을 기반으로 한다. 그는 데브옵스 엔터프라이즈 서밋(Devops Enterprise Summit)에서 “3가지 핵심 영역은 소프트웨어 개발 및 제공 가속화, 변화의 예측 가능성/빈도/품질 증가, 기술 운영 혁신”이라고 말했다. 모건 스탠리의 데브옵스 및 엔터프라이즈 기술 아키텍처 책임자 트레버 브로스넌은 “현재 자사는 제품 소유자, 개발 및 운영 전문 지식을 갖춘 엔지니어로 구성된 애자일 팀을 보유하고 있으며, 이러한 팀은 온프레미스 또는 클라우드 인프라를 타깃으로 하고 있다. 개인적인 철학은 모두에게 전문 분야가 있는 것이다. 모두는 기술에 능통할 수 있다”라고 밝혔다. 뱅가드와 모건 스탠리처럼 크고 ...

2022.06.03

지속적 아키텍처(Continuous Architecture)는 시시각각 변화하는 기업 환경과 사용자 요구사항에 적응할 수 있는 유연성을 제공한다.    애플리케이션 및 시스템을 개발하기 위해 소프트웨어 아키텍처 및 시스템 계발 계획을 장황하게 세워야 했던 때가 있다. 심지어 몇몇 기업에서는 전제 조건이었다. 시스템 설계자는 상위 레벨(high level)의 요구 사항을 검토하고, 회사의 표준을 고려하면서 소프트웨어 개발 프로세스에 사용할 플랫폼, 디자인 패턴 및 구성요소의 아키텍처를 모두 아우르는 다이어그램을 구상하곤 했다.  새로운 기술이나 소프트웨어 구성요소가 필요한 경우를 대비해 좀 더 빈조한 플래닝을 채택한 기업도 있었다. 아키텍처 리뷰 보드(Architecture review board)라는 것을 만들어 의사결정을 더 투명하게 하고, 아키텍처의 리스크를 감지하고, 예산을 맞추며 지속 가능한 개발 방법에 영향을 미칠 수 있는 다른 모든 부분을 검토하고자 했다. 그러나 아키텍처 리뷰 보드의 효과성에도 의문이 제기되곤 한다. 개발 팀의 자율성을 저해하고, 개발 흐름을 방해하며 과도한 문서화를 초래할 수 있다는 지적이 있다.  다른 한편에는 애자일(Agile) 개발 방식이 있다. 이 개발 방식은 지시된 계획을 따르기 보다 변화에 빠르게 대응할 수 있도록 자율성과 권한을 추구한다. 이는 ‘애자일 소프트웨어 개발 선언(Manifesto for Agile Software Development)의 핵심 가치이기도 하다. 하지만 기술 리더에게는 재활용 가능한 플랫폼, 명확한 개발표준과 지속 가능한 운영 모델이 필요할 수 있다. 효율성, 품질 안정성을 유지하면서도 기술 부채를 줄일 수 있어야 하기 때문이다. 이러한 간극을 지속적 아키텍처(Continuous Architecture)가 메울 수 있다. 지속적 아키텍처 선언(Continuous Architecture Manifesto)은 ‘기능이 구현되기 전 아키텍처가 거의 확정...

2022.06.03

구글이 컨테이너화된 애플리케이션을 대규모로, 지속적으로 구성 및 관리하는 조직을 지원하는 일련의 오픈소스 툴을 구축하고 나서면서 부상 중인 깃옵스(Gitops)에 본격적으로 뛰어들고 있다.   컨테이너 오케스트레이터인 쿠버네티스(2014년 구글에서 개발)가 클라우드 네이티브 조직의 핵심 계층이 됨에 따라 기업은 방대한 컨테이너를 관리하고 원하는 상태와 실제 상태를 조정하는 전문적 역량을 갖춰야 하는데, 그러려면 전통적으로 깊은 도메인 지식이 필요하다. 헬름(Helm) 차트를 작성하고 YAML 언어로 코딩하는 역량도 포함된다.   구글 특별 엔지니어이며 쿠버네티스의 최초 설계자 중 한 명인 브라이언 그랜트는 지난 주 블로그 글에서 “모든 규모의 기업이 쿠버네티스를 활용해 인프라에서 애플리케이션을 구축, 배포, 운영하는 방법을 현대화한다. 이들 기업에서 사용하는 개발 및 프로덕션 클러스터의 수가 증가함에 따라 점점 더 커지는 환경 전반에 일관적인 구성 및 보안 정책을 만들어 적용하기가 어려워지고 있다”라고 썼다.   깃옵스 : 깃으로 시작하는 데브옵스 깃옵스는 이와 같은 문제에 대처하기 위해 기존 데브옵스에 대한 확장으로 부상했다. 인프라를 코드로 취급함으로써 애플리케이션과 그 기반 인프라를 버전 제어 시스템(대체로 깃)에 저장할 수 있으며, 그러면 깃은 개발 팀과 운영 팀 모두를 위한 단일 진실 공급원이 된다.   이후 소프트웨어 에이전트(대부분의 경우 오픈소스 아르고(Argo) 또는 플럭스(Flux) 지속적 제공 툴)가 애플리케이션의 실제 상태가 구성 파일에 선언된 원하는 상태와 일치하는지를 확인한다. 현재 위브웍스(Weaveworks), 코드프레시(Codefresh)와 같은 업체는 기업의 도입을 용이하게 하기 위해 호스팅되는 깃옵스 플랫폼을 구축하는 방안을 모색하고 있다.   그랜트는 Infoworld와의 인터뷰에서 “자세히 보면 깃옵스는 퍼펫(Puppet)과 비슷하다. 선언적 접근 방법이며 동기화를 유지하는 ...

2022.05.30