Offcanvas

������������������������������������������������������������������������������������������������������������

‘지나친 순진은 무능이다’··· CIO가 걸러 들어야 할 IT 조언

많은 IT 리더들이 조언에 귀를 기울이지만 안타깝게도 그 조언이 잘못된 길로 인도하거나 조언자의 잇속만 차리거나 완전히 틀리는 바람에 혹독한 대가를 치른다. 안 좋은 IT 조언일지라도 대부분 악의가 있는 것은 아니다. 또 많은 사람들이 반복하다 보니 잘못된 길로 인도하는 조언이 사실처럼 받아들여지는 경우도 있다. ‘도움이 된다’지만 실제 상황에 적용해 보면 정확하지 않고 앞뒤가 맞지 않거나 완전히 틀리는 조언을 듣는 것이 지긋지긋한가? 무시하는 것이 오히려 바람직한 대표적인 IT 조언 7가지를 정리했다.    해외 위탁 개발이 더 저렴하다 이 조언이 문제가 될 수 있는 이유는 비용 대비 이익만을 강조하기 때문이다. IT 및 비즈니스 관리 컨설팅 회사 씽크 시스템즈(Think Systems) 부사장 겸 CIO 에드 멀린은 “CIO들은 비용의 중심이 아닌 이익의 중심이 되는 방법을 고민해야 한다”라고 강조했다. 새로운 아이디어와 개선된 기술 솔루션은 비즈니스 성장의 원동력이자 기업 경쟁력의 원천이다. 멀린은 “개발자의 원격 근무가 대세인 시대에 비싼 국내 인재 대신 저렴한 해외 위탁 개발자를 쓰는 것이 합리적으로 보일 수 있다. 그러나 그로 인해 산업 지식이 손실되고 회사 전용 솔루션 개발의 효율성이 저하되는 비용이 얼마인지 생각해야 한다”라고 지적했다. 애플리케이션 개발 비용 대비 가치 문제를 해결하려면 차라리 기존 팀이 더 똑똑하고 빠르게 일하도록 하는 것에 집중하는 편이 낫다. 모든 요소를 검토한 후에도 여전히 해외 위탁 쪽이 합리적이라고 판단되면 신중하게 단계별 테스트를 거쳐야 한다.  멀린은 “상대적으로 중요성이 낮은 몇 가지 프로젝트/애플리케이션을 대상으로 해외 위탁을 시험해 보고 판단하라”면서 “전문가는 현지에 두고 전술적 실무진은 원격 근무나 역외 근무를 하는 하이브리드 방식도 고려할 만하다”라고 조언했다. 신기술을 채택하면 가치가 창출된다 새로운 시스템이 갖는 상업적 가치나 비즈니스에 미치는 영향이 아직 완...

IT 조언 실수 거짓말 과장 현혹 착각 호구

2021.10.27

많은 IT 리더들이 조언에 귀를 기울이지만 안타깝게도 그 조언이 잘못된 길로 인도하거나 조언자의 잇속만 차리거나 완전히 틀리는 바람에 혹독한 대가를 치른다. 안 좋은 IT 조언일지라도 대부분 악의가 있는 것은 아니다. 또 많은 사람들이 반복하다 보니 잘못된 길로 인도하는 조언이 사실처럼 받아들여지는 경우도 있다. ‘도움이 된다’지만 실제 상황에 적용해 보면 정확하지 않고 앞뒤가 맞지 않거나 완전히 틀리는 조언을 듣는 것이 지긋지긋한가? 무시하는 것이 오히려 바람직한 대표적인 IT 조언 7가지를 정리했다.    해외 위탁 개발이 더 저렴하다 이 조언이 문제가 될 수 있는 이유는 비용 대비 이익만을 강조하기 때문이다. IT 및 비즈니스 관리 컨설팅 회사 씽크 시스템즈(Think Systems) 부사장 겸 CIO 에드 멀린은 “CIO들은 비용의 중심이 아닌 이익의 중심이 되는 방법을 고민해야 한다”라고 강조했다. 새로운 아이디어와 개선된 기술 솔루션은 비즈니스 성장의 원동력이자 기업 경쟁력의 원천이다. 멀린은 “개발자의 원격 근무가 대세인 시대에 비싼 국내 인재 대신 저렴한 해외 위탁 개발자를 쓰는 것이 합리적으로 보일 수 있다. 그러나 그로 인해 산업 지식이 손실되고 회사 전용 솔루션 개발의 효율성이 저하되는 비용이 얼마인지 생각해야 한다”라고 지적했다. 애플리케이션 개발 비용 대비 가치 문제를 해결하려면 차라리 기존 팀이 더 똑똑하고 빠르게 일하도록 하는 것에 집중하는 편이 낫다. 모든 요소를 검토한 후에도 여전히 해외 위탁 쪽이 합리적이라고 판단되면 신중하게 단계별 테스트를 거쳐야 한다.  멀린은 “상대적으로 중요성이 낮은 몇 가지 프로젝트/애플리케이션을 대상으로 해외 위탁을 시험해 보고 판단하라”면서 “전문가는 현지에 두고 전술적 실무진은 원격 근무나 역외 근무를 하는 하이브리드 방식도 고려할 만하다”라고 조언했다. 신기술을 채택하면 가치가 창출된다 새로운 시스템이 갖는 상업적 가치나 비즈니스에 미치는 영향이 아직 완...

2021.10.27

아크로니스, 사이버 위협 대비 현황 보고서 발표··· "올해 피싱 공격 급증"

아크로니스는 전세계 기업들의 사이버 보안 위협 대응을 위한 대비 현황을 담은 연례 보고서 ‘사이버 위협 대비현황 리포트(Cyber Readiness Report)’를 출간했다고 19일 밝혔다.  아크로니스는 이번 리포트에서 글로벌 팬데믹으로 인한 비대면 및 원격 근무의 주요 보안 과제를 다루면서, 지난해 글로벌 기업들의 80%가 원격 근무로의 전환을 충분히 준비하지 못했다고 지적했다. 이번 조사는 전 세계 18개국 3,600명의 중소기업 IT관리자와 원격 근무자들을 대상으로 실시됐다. 보고서에 따르면 글로벌 기업의 53%가 공급망 공격에 대해 잘못된 보안의식을 갖고 있는 것으로 나타났다. 카세야 및 솔라윈즈와 같은 신뢰할 수 있는 소프트웨어 공급업체가 세계적인 규모의 사이버 공격을 받았음에도 불구하고, 여전히 IT 리더의 절반 이상이 '신뢰할 수 있는 알려진 소프트웨어'를 사용하는 것만으로도 충분한 보호가 가능하다고 생각하는 것으로 조사됐다.   ‘사이버 위협 대비 현황 리포트’에 따르면 지난해 조사 결과와 비슷한 수준인 10개 기업 중 3개 기업이 적어도 하루에 한 번은 사이버 공격을 경험한 것으로 나타났다. 그러나 공격을 전혀 경험하지 않았다고 답한 비율은 지난해 32%에서 20%로 떨어져, 특정 기업에 공격이 집중돼 공격의 규모가 증가한 것으로 분석됐다. 피싱 공격(가짜 사이트로 유인해 개인정보 탈취) 등의 일반적인 공격 유형이 올해 사상 최고 수준에 도달했다. 피싱 공격 빈도는 계속 증가하고 있으며, 현재 58%로 가장 높은 빈도의 공격 유형이다. 2021년에는 멀웨어 공격도 증가 추세로 올해 36.5%의 기업이 멀웨어 공격을 탐지했으며, 이는 2020년의 22.2%에서 증가한 수치이다. 올해 가장 주목할 만한 공격은 피싱 공격이라고 보고서는 전했다. URL 필터링 솔루션에 대한 수요가 2020년 이후 10배 증가했으며, 글로벌 기업의 20%는 피싱이 비즈니스에 심각한 위협이 된다고 인식하고 있다.   한편, 안...

아크로니스 피싱 사이버 공격

2021.10.19

아크로니스는 전세계 기업들의 사이버 보안 위협 대응을 위한 대비 현황을 담은 연례 보고서 ‘사이버 위협 대비현황 리포트(Cyber Readiness Report)’를 출간했다고 19일 밝혔다.  아크로니스는 이번 리포트에서 글로벌 팬데믹으로 인한 비대면 및 원격 근무의 주요 보안 과제를 다루면서, 지난해 글로벌 기업들의 80%가 원격 근무로의 전환을 충분히 준비하지 못했다고 지적했다. 이번 조사는 전 세계 18개국 3,600명의 중소기업 IT관리자와 원격 근무자들을 대상으로 실시됐다. 보고서에 따르면 글로벌 기업의 53%가 공급망 공격에 대해 잘못된 보안의식을 갖고 있는 것으로 나타났다. 카세야 및 솔라윈즈와 같은 신뢰할 수 있는 소프트웨어 공급업체가 세계적인 규모의 사이버 공격을 받았음에도 불구하고, 여전히 IT 리더의 절반 이상이 '신뢰할 수 있는 알려진 소프트웨어'를 사용하는 것만으로도 충분한 보호가 가능하다고 생각하는 것으로 조사됐다.   ‘사이버 위협 대비 현황 리포트’에 따르면 지난해 조사 결과와 비슷한 수준인 10개 기업 중 3개 기업이 적어도 하루에 한 번은 사이버 공격을 경험한 것으로 나타났다. 그러나 공격을 전혀 경험하지 않았다고 답한 비율은 지난해 32%에서 20%로 떨어져, 특정 기업에 공격이 집중돼 공격의 규모가 증가한 것으로 분석됐다. 피싱 공격(가짜 사이트로 유인해 개인정보 탈취) 등의 일반적인 공격 유형이 올해 사상 최고 수준에 도달했다. 피싱 공격 빈도는 계속 증가하고 있으며, 현재 58%로 가장 높은 빈도의 공격 유형이다. 2021년에는 멀웨어 공격도 증가 추세로 올해 36.5%의 기업이 멀웨어 공격을 탐지했으며, 이는 2020년의 22.2%에서 증가한 수치이다. 올해 가장 주목할 만한 공격은 피싱 공격이라고 보고서는 전했다. URL 필터링 솔루션에 대한 수요가 2020년 이후 10배 증가했으며, 글로벌 기업의 20%는 피싱이 비즈니스에 심각한 위협이 된다고 인식하고 있다.   한편, 안...

2021.10.19

IBM에서 독립하는 매니지드 인프라 서비스 기업, ‘킨드릴’ 이모저모

킨드릴(Kyndryl)은 IBM 관리형 인프라 서비스 사업부의 새로운 명칭이다. 2021년 말 독립 법인으로 분사될 예정이다. 초기에는 청구서의 로고 정도가 변화할 뿐 고객들에게 큰 변화가 없을 가능성이 높다. 그러나 시간이 지나면서 킨드릴은 독자적인 사업을 펼쳐나갈 가능성이 높다.  킨드릴의 비즈니스 분야 기본적으로, 킨드릴은 IBM의 글로벌 기술 서비스 부문의 관리형 인프라 서비스 사업부가 했던 일을 하고 있다. IBM이나 다른 벤더가 제공하는 기업 IT 인프라 관리를 외주로 처리한다.  킨드릴은 자체적으로 6가지 글로벌 관리형 서비스 활동과 관리형 서비스, 자문 서비스, 이식이 결합된 고객 자문 활동으로 정리하고 있다. 6가지 글로벌 활동은 각각 기술의 다른 측면을 관리한다. 킨드릴의 의미? 킨드릴은 ‘연대감(Kinship)’과 ‘덩굴손(Tendril)’에서 이름이 파생되었다고 한다. 새로운 성장과 협력을 촉진한다는 의미다. IBM에게 있어서 킨드릴 분사의 의미는 무엇인가? IBM은 여전히 거대 규모의 기술 기업일 것이다. 분사 후, 가장 큰 운영 부문은 클라우드 및 인지 소프트웨어 부문이 될 전망이다. 2020년에 230억 달러의 매출을 달성했다. 그 뒤를 이어 컨설팅 사업부인 글로벌 비즈니스 서비스 사업부에서 160억 달러의 매출을 달성했다. 킨드릴이 분사되는 글로벌 기술 서비스 부문은 나머지 기술 지원 서비스 사업부에서 창출된 약 70억 달러 수준의 매출로 축소될 것이다.   -> 'CIO 관점에서 바라본' IBM의 관리형 인프라 사업 분사 -> ‘PC 사업 접었던 것처럼...' IBM, 190억 달러 매니지드 서비스 사업 분사한다 규모가 어느 정도인가? 킨드릴의4,600곳의 고객사(포춘 100 기업 중 75개사 포함), IBM의 35만 명 직원 중 1/4 이상, 연간 190억 달러의 매출을 달성하는 활동, 약 620억 달러의 주문 백로그(즉, 모든 고객들과의 장기 유지...

IBM 킨드릴 분사 독립 매니지드 인프라 서비스

2021.09.15

킨드릴(Kyndryl)은 IBM 관리형 인프라 서비스 사업부의 새로운 명칭이다. 2021년 말 독립 법인으로 분사될 예정이다. 초기에는 청구서의 로고 정도가 변화할 뿐 고객들에게 큰 변화가 없을 가능성이 높다. 그러나 시간이 지나면서 킨드릴은 독자적인 사업을 펼쳐나갈 가능성이 높다.  킨드릴의 비즈니스 분야 기본적으로, 킨드릴은 IBM의 글로벌 기술 서비스 부문의 관리형 인프라 서비스 사업부가 했던 일을 하고 있다. IBM이나 다른 벤더가 제공하는 기업 IT 인프라 관리를 외주로 처리한다.  킨드릴은 자체적으로 6가지 글로벌 관리형 서비스 활동과 관리형 서비스, 자문 서비스, 이식이 결합된 고객 자문 활동으로 정리하고 있다. 6가지 글로벌 활동은 각각 기술의 다른 측면을 관리한다. 킨드릴의 의미? 킨드릴은 ‘연대감(Kinship)’과 ‘덩굴손(Tendril)’에서 이름이 파생되었다고 한다. 새로운 성장과 협력을 촉진한다는 의미다. IBM에게 있어서 킨드릴 분사의 의미는 무엇인가? IBM은 여전히 거대 규모의 기술 기업일 것이다. 분사 후, 가장 큰 운영 부문은 클라우드 및 인지 소프트웨어 부문이 될 전망이다. 2020년에 230억 달러의 매출을 달성했다. 그 뒤를 이어 컨설팅 사업부인 글로벌 비즈니스 서비스 사업부에서 160억 달러의 매출을 달성했다. 킨드릴이 분사되는 글로벌 기술 서비스 부문은 나머지 기술 지원 서비스 사업부에서 창출된 약 70억 달러 수준의 매출로 축소될 것이다.   -> 'CIO 관점에서 바라본' IBM의 관리형 인프라 사업 분사 -> ‘PC 사업 접었던 것처럼...' IBM, 190억 달러 매니지드 서비스 사업 분사한다 규모가 어느 정도인가? 킨드릴의4,600곳의 고객사(포춘 100 기업 중 75개사 포함), IBM의 35만 명 직원 중 1/4 이상, 연간 190억 달러의 매출을 달성하는 활동, 약 620억 달러의 주문 백로그(즉, 모든 고객들과의 장기 유지...

2021.09.15

칼럼 | 데브옵스팀이 SLA를 없애고 SLO를 선택해야 하는 이유 

SLA(Service Level Agreement)는 1980년대 유선전화 통신사 사이에서 인기를 얻기 시작했다. 지난 20년 동안 미국 주요 도시의 도로 곳곳에 9x5(99.999%)를 홍보하는 광고판이 걸렸다. 그러나 지금 시점에서 SLA에 포함된 9의 수가 통신사 내에서, 그리고 외부적으로 고객에게 안정성을 전달하는 지표로서 적절할까?    SLA가 존재하는 이유가 있다. 바로 변호사이다. 누구나 서비스 계약을 맺을 때는 서비스 업체의 수행 능력이 떨어지는 경우 계약을 파기하고 나올 길이 필요하다.  계약에서 SLA와 관련해 발생하는 줄다리기는 익숙한 풍경이다. 고객의 법무팀(구매팀과 함께)은 보장되는 9의 개수를 최대화하고자 하고, 서비스 업체의 운영팀은 약속하는 9의 개수를 최대한 줄이고자 한다. 보통 고객은 SLA 미충족분에 대해 요금을 환급받거나 크레딧을 받는 정도로 협상을 한다.  서비스 업체는 고객이 서비스에 온전히 만족하지 않더라도 약속한 9의 개수를 달성하면 약정한 가격을 모두 받는다. 약간 미달하면 고객이 예를 들어 비용의 10%를 환급받고 SLA에 크게 미달할 경우에는 고객은 50%를 돌려받거나 계약을 파기하고 다른 서비스 업체를 찾아 나설 수 있다. 대체로 고객은 서비스 업체가 SLA를 충족하는 편을 선호해왔다.  이런 계약상의 SLA 의무는 서비스 업체 조직 내에서 성능, 안정성, 가동시간 및 응답성 목표로 이어진다. 또한 그 결과로 안정성에 관한 사고 프로세스가 극히 방어적으로 고착되면서, 절대적인 다운타임 방지와 무조건 최대한 빠른 사고 해결에 과도하게 초점을 두는 척도(평균 장애 간격, 평균 해결 시간)가 가장 널리 사용되는 상황에 이르렀다.  SLA로는 ‘어느 지점이 되면 고객이 실제로 만족하고, 따라서 SLA 초과 달성 노력을 멈출 수 있는가?’라는 질문에 답하지 못한다. 즉 SLA로는 사용자의 만족도를 모델링할 수 없다. 클라우드 서비스에는 안성맞춤인 지점이...

SLA SLO 고객만족

2021.09.15

SLA(Service Level Agreement)는 1980년대 유선전화 통신사 사이에서 인기를 얻기 시작했다. 지난 20년 동안 미국 주요 도시의 도로 곳곳에 9x5(99.999%)를 홍보하는 광고판이 걸렸다. 그러나 지금 시점에서 SLA에 포함된 9의 수가 통신사 내에서, 그리고 외부적으로 고객에게 안정성을 전달하는 지표로서 적절할까?    SLA가 존재하는 이유가 있다. 바로 변호사이다. 누구나 서비스 계약을 맺을 때는 서비스 업체의 수행 능력이 떨어지는 경우 계약을 파기하고 나올 길이 필요하다.  계약에서 SLA와 관련해 발생하는 줄다리기는 익숙한 풍경이다. 고객의 법무팀(구매팀과 함께)은 보장되는 9의 개수를 최대화하고자 하고, 서비스 업체의 운영팀은 약속하는 9의 개수를 최대한 줄이고자 한다. 보통 고객은 SLA 미충족분에 대해 요금을 환급받거나 크레딧을 받는 정도로 협상을 한다.  서비스 업체는 고객이 서비스에 온전히 만족하지 않더라도 약속한 9의 개수를 달성하면 약정한 가격을 모두 받는다. 약간 미달하면 고객이 예를 들어 비용의 10%를 환급받고 SLA에 크게 미달할 경우에는 고객은 50%를 돌려받거나 계약을 파기하고 다른 서비스 업체를 찾아 나설 수 있다. 대체로 고객은 서비스 업체가 SLA를 충족하는 편을 선호해왔다.  이런 계약상의 SLA 의무는 서비스 업체 조직 내에서 성능, 안정성, 가동시간 및 응답성 목표로 이어진다. 또한 그 결과로 안정성에 관한 사고 프로세스가 극히 방어적으로 고착되면서, 절대적인 다운타임 방지와 무조건 최대한 빠른 사고 해결에 과도하게 초점을 두는 척도(평균 장애 간격, 평균 해결 시간)가 가장 널리 사용되는 상황에 이르렀다.  SLA로는 ‘어느 지점이 되면 고객이 실제로 만족하고, 따라서 SLA 초과 달성 노력을 멈출 수 있는가?’라는 질문에 답하지 못한다. 즉 SLA로는 사용자의 만족도를 모델링할 수 없다. 클라우드 서비스에는 안성맞춤인 지점이...

2021.09.15

칼럼 | 클라우드, 가장 좋을 때 결별을 생각하라

전말은 이렇다. 은행의 IT 전략팀이 “클라우드가 우선이다!”를 큰 소리로 공표한다. IT 부서는 오랫동안 귀를 막고 있을 수 없어서 할 수 있는 것을 개발한다. 수많은 뱅킹 프로세스를 지원해야 하는 클라우드 지원 커뮤니케이션 솔루션이 고급 인력과 예산이 투자되면서 12개월 만에 구축된다.  본격 운영 직전에 은행의 아웃소싱 담당 임원이 클라우드 책임자에게 출구 개념에 대해 질문한다. 그리고는 미심쩍어하는 얼굴을 바라본다. 출구 전략이 필요할까? 은행이 선택한 클라우드 서비스 업체는 빅3 중 한 곳이다. 절대 파산하지 않을 것이다. 데이터센터 중 하나에 장애가 발생하면 서비스 업체의 다른 데이터센터로 바꾸기만 하면 된다. 클라우드를 선택한 것도 바로 이런 높은 가용성 때문이다.   이 이야기의 잠정적인 결말은 다음과 같다. 아웃소싱 담당 임원은 의무 규정으로 출구 개념을 고집하고, 후속 논의로 인해 프로젝트는 연기되고 다시 검토되고 최종적으로는 변경된다. 다른 은행과 보험회사를 보면 알 수 있듯이, 안타깝게도 예외적인 사례가 아니다. IT 부서와 클라우드팀은 최신 클라우드 애플리케이션과 사용례가 제공하는 다양한 가능성을 최대한 신속하게 활용하여 고객에게 제시하고자 하는 경우가 많다.  기술적 어려움과 우려는 빠르게 해소되고, 열정은 코드를 빠르게 성장시키며, 데이터 보호 및 규정에 대한 생각은 훨씬 뒤로 밀려난다. 치명적인 실수다. 은행과 보험사는 특히 클라우드를 허용하는 것을 고려하는 단계와 그렇지 않은 단계를 매우 주의 깊게 살펴봐야 하기 때문이다. 그리고 필요한 경우 실제로 클라우드에서 다시 벗어날 수 있는 방법도 살펴봐야 한다. 왜냐하면 그것은 대답하기 쉽지 않은 질문이기 때문이다.   클라우드 ‘비상구’는 의무 사항  출구 개념을 제시할 수 있어야 한다는 요구사항이 가장 큰 걸림돌이다. 독일 은행들의 규정을 살펴보면, 최소 리스크 기준을 뜻하는 MaRisk의 AT 9 아웃소싱 규정에 따라 상당한 아웃...

퍼블릭클라우드 출구전략 마이그레이션 아웃소싱

2021.08.30

전말은 이렇다. 은행의 IT 전략팀이 “클라우드가 우선이다!”를 큰 소리로 공표한다. IT 부서는 오랫동안 귀를 막고 있을 수 없어서 할 수 있는 것을 개발한다. 수많은 뱅킹 프로세스를 지원해야 하는 클라우드 지원 커뮤니케이션 솔루션이 고급 인력과 예산이 투자되면서 12개월 만에 구축된다.  본격 운영 직전에 은행의 아웃소싱 담당 임원이 클라우드 책임자에게 출구 개념에 대해 질문한다. 그리고는 미심쩍어하는 얼굴을 바라본다. 출구 전략이 필요할까? 은행이 선택한 클라우드 서비스 업체는 빅3 중 한 곳이다. 절대 파산하지 않을 것이다. 데이터센터 중 하나에 장애가 발생하면 서비스 업체의 다른 데이터센터로 바꾸기만 하면 된다. 클라우드를 선택한 것도 바로 이런 높은 가용성 때문이다.   이 이야기의 잠정적인 결말은 다음과 같다. 아웃소싱 담당 임원은 의무 규정으로 출구 개념을 고집하고, 후속 논의로 인해 프로젝트는 연기되고 다시 검토되고 최종적으로는 변경된다. 다른 은행과 보험회사를 보면 알 수 있듯이, 안타깝게도 예외적인 사례가 아니다. IT 부서와 클라우드팀은 최신 클라우드 애플리케이션과 사용례가 제공하는 다양한 가능성을 최대한 신속하게 활용하여 고객에게 제시하고자 하는 경우가 많다.  기술적 어려움과 우려는 빠르게 해소되고, 열정은 코드를 빠르게 성장시키며, 데이터 보호 및 규정에 대한 생각은 훨씬 뒤로 밀려난다. 치명적인 실수다. 은행과 보험사는 특히 클라우드를 허용하는 것을 고려하는 단계와 그렇지 않은 단계를 매우 주의 깊게 살펴봐야 하기 때문이다. 그리고 필요한 경우 실제로 클라우드에서 다시 벗어날 수 있는 방법도 살펴봐야 한다. 왜냐하면 그것은 대답하기 쉽지 않은 질문이기 때문이다.   클라우드 ‘비상구’는 의무 사항  출구 개념을 제시할 수 있어야 한다는 요구사항이 가장 큰 걸림돌이다. 독일 은행들의 규정을 살펴보면, 최소 리스크 기준을 뜻하는 MaRisk의 AT 9 아웃소싱 규정에 따라 상당한 아웃...

2021.08.30

"정보보안 일자리, 언제나 전망 밝다" 2021 사이버보안 채용 현황

정보 보안 일자리는 언제나 전망이 밝았다고 말하는 것도 지나치지 않다. 게다가 미국의 경우, 기업들이 코로나19의 제약으로부터 풀려나고 직장의 ‘뉴노멀(normal)’에 마주치면서 구직자에게는 더할 나위 없이 좋은 시절이 도래했다. 다시 말해 높은 구인 수요, 증가하는 급여, 그리고 어디서나 일할 수 있는 기회가 생겨났다.    '어떤 일자리의 수요가 가장 높은지', '구직 기회가 가장 많은 곳은 어디인지'라는 질문에 관한 대답은 둘 다 매우 광범위하다고 컨설트넷(ConsultNet)의 사이버보안 구인 전략가 테럴 TJ 잭슨은 진단했다.  여전히 코로나19 팬데믹의 여파가 정보 보안 취업 시장의 주된 원동력이라는 사실은 부정할 수 없다.  텍사스주 오스틴에 소재한 IT 전문가 네트워크인 스파이스웍스(Spiceworks)의 기술 인사이트 책임자인 피터 차이는 “원격 근무로의 이동은 팬데믹 이전과 비교할 때 인력 수 면에서 2배가 증가했다”면서, “보안 전문가 등 IT 전문가 대다수가 원격 근무로 인해 기기 및 데이터를 보안하는 일이 더 어렵다고 말했다. 본인의 기기를 이용해 가정 네트워크로 연결된 사람의 문제는 말할 것도 없다. 따라서 이들 기기를 보안하는 일만으로도 보안 전문가의 일이 훨씬 더 많아졌다. 이제 공격 표면이 훨씬 더 넓어졌다”라고 설명했다.   차이는 “또한 랜섬웨어는 여러 해 동안 뉴스 첫머리를 장식했지만 공격은 더 증가하고 있다. 요구하는 몸값은 커지고 있고, 표적은 더 중요해지고 있다. 따라서 이는 아마도 보안 전문가의 필요에 대한 최고의 촉매제 역할을 한다”라고 분석했다.  수요가 가장 높은 보안 직무 및 스킬  위협 지형이 극적으로 넓어짐에 따라 정보 보안 분야에서 가장 수요가 높은 일자리가 (구인 게시물 기준으로) 여전히 보안 분석가 직무임은 새삼스러울 게 없다. 그 다음은 취약점 분석가 또는 침투 테스터가 근접하게 뒤를 잇는다. 구직자 분석업체인 버닝 글래스 테...

보안 사이버보안 정보보안 일자리 구인

2021.07.29

정보 보안 일자리는 언제나 전망이 밝았다고 말하는 것도 지나치지 않다. 게다가 미국의 경우, 기업들이 코로나19의 제약으로부터 풀려나고 직장의 ‘뉴노멀(normal)’에 마주치면서 구직자에게는 더할 나위 없이 좋은 시절이 도래했다. 다시 말해 높은 구인 수요, 증가하는 급여, 그리고 어디서나 일할 수 있는 기회가 생겨났다.    '어떤 일자리의 수요가 가장 높은지', '구직 기회가 가장 많은 곳은 어디인지'라는 질문에 관한 대답은 둘 다 매우 광범위하다고 컨설트넷(ConsultNet)의 사이버보안 구인 전략가 테럴 TJ 잭슨은 진단했다.  여전히 코로나19 팬데믹의 여파가 정보 보안 취업 시장의 주된 원동력이라는 사실은 부정할 수 없다.  텍사스주 오스틴에 소재한 IT 전문가 네트워크인 스파이스웍스(Spiceworks)의 기술 인사이트 책임자인 피터 차이는 “원격 근무로의 이동은 팬데믹 이전과 비교할 때 인력 수 면에서 2배가 증가했다”면서, “보안 전문가 등 IT 전문가 대다수가 원격 근무로 인해 기기 및 데이터를 보안하는 일이 더 어렵다고 말했다. 본인의 기기를 이용해 가정 네트워크로 연결된 사람의 문제는 말할 것도 없다. 따라서 이들 기기를 보안하는 일만으로도 보안 전문가의 일이 훨씬 더 많아졌다. 이제 공격 표면이 훨씬 더 넓어졌다”라고 설명했다.   차이는 “또한 랜섬웨어는 여러 해 동안 뉴스 첫머리를 장식했지만 공격은 더 증가하고 있다. 요구하는 몸값은 커지고 있고, 표적은 더 중요해지고 있다. 따라서 이는 아마도 보안 전문가의 필요에 대한 최고의 촉매제 역할을 한다”라고 분석했다.  수요가 가장 높은 보안 직무 및 스킬  위협 지형이 극적으로 넓어짐에 따라 정보 보안 분야에서 가장 수요가 높은 일자리가 (구인 게시물 기준으로) 여전히 보안 분석가 직무임은 새삼스러울 게 없다. 그 다음은 취약점 분석가 또는 침투 테스터가 근접하게 뒤를 잇는다. 구직자 분석업체인 버닝 글래스 테...

2021.07.29

‘수익은 내 것, 찜찜함은 네 것!’··· 클라우드의 10가지 그늘

현재 기업용 기술로서의 클라우드가 정확히 어떤 의미인지 정의할 수 있는 사람이 있을까? 초 단위로 지불을 하는 머신(서버) 랙일까? 아니면 강력한 API 세트일까? ‘aaS’로 끝나는 광범위한 서비스들을 의미할까? 아니면 단순히 구매보다는 대여가 낫다는 판단에 바탕을 둔 IT 예산 전략일까? 벤더들이 새 기능을 추가하고 새 서비스를 배포하면서 클라우드 컴퓨팅의 정의가 계속 바뀔 수 있다.  그러나 클라우드는 모든 산업에 걸쳐 외면할 수 없는 선택지로 부상했다. 또 IT 전략에서 ‘핵심’으로 중요성이 계속 커져가고 있다. 클라우드에서 이용할 수 있는 컴퓨터 리소스들과 도구들이 많기 때문에 개발 팀은 더 많이 빌드를 할 수 있다. 기업은 모든 사람이 한 번에 자신의 웹사이트와 서비스에 로그인하는 등 고객 활동이 일시적으로, 또는 계절적으로 급증하는 것에 더 효과적으로 대응할 수 있다. 분석 팀은 최신 머신러닝 기술을 대규모로 실험할 수 있고, IT 리더들은 현업 동료들에게 많은 자율성을 줘서 이들을 만족시키면서 자본 지출 항목을 계속 줄여 나갈 수 있다. 이렇듯 클라우드에 관심을 갖는 것은 당연하고, 그 비즈니스 가치도 잘 정립되어 있다. 그러나 대형 클라우드 벤더들의 스택을 이용할 때의 문제점들도 존재한다. 클라우드를 애용하다 보면 실감하게 되는 클라우드의 어두운 현실 10가지를 소개한다.   생각보다 더 많이 ‘종속’된다 범용 하드웨어에 설치된 범용 운영체제를 판매하는, 범용 비즈니스로 보일 것이다. 그러나 클라우드 환경은 의외로 점착력이 강하다. 자신의 데이터, 클라우드에서 만든 서비스를 이동할 수 있는 경우에도, 특정 회사 클라우드에서 다른 곳으로 모두 옮기는 데 꽤 많은 시간과 노력이 필요할 수 있다. 필자는 최근 진행한 프로젝트에서 서비스 하나를 특정 클라우드에서 다른 클라우드로 옮기는 엔지니어를 소개받았다. 필자가 진행하던 프로젝트는 이후 6개월 뒤에 끝이 났지만, 그는 여전히 서비스를 옮기고 있는 중이다. 그리고 관리자들...

그늘 비밀 종속 클라우드 비용

2021.07.01

현재 기업용 기술로서의 클라우드가 정확히 어떤 의미인지 정의할 수 있는 사람이 있을까? 초 단위로 지불을 하는 머신(서버) 랙일까? 아니면 강력한 API 세트일까? ‘aaS’로 끝나는 광범위한 서비스들을 의미할까? 아니면 단순히 구매보다는 대여가 낫다는 판단에 바탕을 둔 IT 예산 전략일까? 벤더들이 새 기능을 추가하고 새 서비스를 배포하면서 클라우드 컴퓨팅의 정의가 계속 바뀔 수 있다.  그러나 클라우드는 모든 산업에 걸쳐 외면할 수 없는 선택지로 부상했다. 또 IT 전략에서 ‘핵심’으로 중요성이 계속 커져가고 있다. 클라우드에서 이용할 수 있는 컴퓨터 리소스들과 도구들이 많기 때문에 개발 팀은 더 많이 빌드를 할 수 있다. 기업은 모든 사람이 한 번에 자신의 웹사이트와 서비스에 로그인하는 등 고객 활동이 일시적으로, 또는 계절적으로 급증하는 것에 더 효과적으로 대응할 수 있다. 분석 팀은 최신 머신러닝 기술을 대규모로 실험할 수 있고, IT 리더들은 현업 동료들에게 많은 자율성을 줘서 이들을 만족시키면서 자본 지출 항목을 계속 줄여 나갈 수 있다. 이렇듯 클라우드에 관심을 갖는 것은 당연하고, 그 비즈니스 가치도 잘 정립되어 있다. 그러나 대형 클라우드 벤더들의 스택을 이용할 때의 문제점들도 존재한다. 클라우드를 애용하다 보면 실감하게 되는 클라우드의 어두운 현실 10가지를 소개한다.   생각보다 더 많이 ‘종속’된다 범용 하드웨어에 설치된 범용 운영체제를 판매하는, 범용 비즈니스로 보일 것이다. 그러나 클라우드 환경은 의외로 점착력이 강하다. 자신의 데이터, 클라우드에서 만든 서비스를 이동할 수 있는 경우에도, 특정 회사 클라우드에서 다른 곳으로 모두 옮기는 데 꽤 많은 시간과 노력이 필요할 수 있다. 필자는 최근 진행한 프로젝트에서 서비스 하나를 특정 클라우드에서 다른 클라우드로 옮기는 엔지니어를 소개받았다. 필자가 진행하던 프로젝트는 이후 6개월 뒤에 끝이 났지만, 그는 여전히 서비스를 옮기고 있는 중이다. 그리고 관리자들...

2021.07.01

HW 업계는 지금 '쓴 만큼 지불하는' 서비스로 이동 중

최근 여러 하드웨어 업체의 움직임은 기업이 데이터센터와 엣지 배포에 사용하는 서버와 스토리지, 네트워킹 리소스를 구매하는 방식이 변화하고 있음을 보여준다.   시스코(Cisco)와 델, HPE, IBM, 레노보 같은 하드웨어 업체가 워크로드를 온프레미스(내부)에 유지하고 싶어 하는 기업을 겨냥해 데이터센터 인프라에 '쓴 만큼 지불하는(pay-per-use, PPU)' 소비 기반 가격제를 잇달아 제공하고 있다. 이런 가격제도는 제품 조달 주기를 줄이고, 기업이 필요에 따라 규모를 축소, 확대해 더 경제적으로 하드웨어 지출과 사용량을 연계시킬 수 있는 장점이 있다. 예를 들어, HPE는 2022년까지 전체 포트폴리오를 PPU와 서비스형(as-a-service)으로 바꾸겠다고 발표했다. 이 업체는 최근 새 데이터 서비스와 인프라를 갖춘 그린레이크(GreenLake) 제품군을 추가했다. 델은 관리형 스토리지, 서버, 하이퍼컨버지드 인프라로 구성된 아펙스(Apex) 제품군을 공개했다. 이런 PPU 하드웨어 제품은 온프레미스 환경에 클라우드를 닮은 가격 체계와 유연한 용량을 제공한다. 기업이 소유한 데이터센터, 엣지, 코로케이션 시설에 배치할 수 있는 하드웨어다. 이런 방식으로 일반적으로 퍼블릭 클라우드에 적합하지 않은 워크로드를 처리해야 하는 기업이 장비를 직접 구매하는 대안으로 주목받고 있다. 퓨튜럼 리서치(Futurum Research)의 수석 애널리스트인 다니엘 뉴먼에 따르면, 이는 기업이 현대화 노력을 능률화하고 비용을 절감하는 데 도움이 된다. 그는 “기업 사이에 하이브리드 클라우드의 인기가 크게 높아지면서, 대형 IT 인프라 공급업체가 온프레미스 기반 서비스를 대상으로 클라우드 같은 모델을 잇달아 내놓고 있다. HPE와 레노보는 일찍부터 그린레이크와 트루스케일(TruScale)로 이를 추구했다. 델은 꽤 오래전에 아펙스를 만들었고, 스토리지와 컴퓨팅 같은 중요 부문에 많은 기업 고객을 확보했다. 시스코 또한 시스코 플러스(Cisco Plu...

SaaS PPU 하드웨어 구독형 서비스

2021.05.18

최근 여러 하드웨어 업체의 움직임은 기업이 데이터센터와 엣지 배포에 사용하는 서버와 스토리지, 네트워킹 리소스를 구매하는 방식이 변화하고 있음을 보여준다.   시스코(Cisco)와 델, HPE, IBM, 레노보 같은 하드웨어 업체가 워크로드를 온프레미스(내부)에 유지하고 싶어 하는 기업을 겨냥해 데이터센터 인프라에 '쓴 만큼 지불하는(pay-per-use, PPU)' 소비 기반 가격제를 잇달아 제공하고 있다. 이런 가격제도는 제품 조달 주기를 줄이고, 기업이 필요에 따라 규모를 축소, 확대해 더 경제적으로 하드웨어 지출과 사용량을 연계시킬 수 있는 장점이 있다. 예를 들어, HPE는 2022년까지 전체 포트폴리오를 PPU와 서비스형(as-a-service)으로 바꾸겠다고 발표했다. 이 업체는 최근 새 데이터 서비스와 인프라를 갖춘 그린레이크(GreenLake) 제품군을 추가했다. 델은 관리형 스토리지, 서버, 하이퍼컨버지드 인프라로 구성된 아펙스(Apex) 제품군을 공개했다. 이런 PPU 하드웨어 제품은 온프레미스 환경에 클라우드를 닮은 가격 체계와 유연한 용량을 제공한다. 기업이 소유한 데이터센터, 엣지, 코로케이션 시설에 배치할 수 있는 하드웨어다. 이런 방식으로 일반적으로 퍼블릭 클라우드에 적합하지 않은 워크로드를 처리해야 하는 기업이 장비를 직접 구매하는 대안으로 주목받고 있다. 퓨튜럼 리서치(Futurum Research)의 수석 애널리스트인 다니엘 뉴먼에 따르면, 이는 기업이 현대화 노력을 능률화하고 비용을 절감하는 데 도움이 된다. 그는 “기업 사이에 하이브리드 클라우드의 인기가 크게 높아지면서, 대형 IT 인프라 공급업체가 온프레미스 기반 서비스를 대상으로 클라우드 같은 모델을 잇달아 내놓고 있다. HPE와 레노보는 일찍부터 그린레이크와 트루스케일(TruScale)로 이를 추구했다. 델은 꽤 오래전에 아펙스를 만들었고, 스토리지와 컴퓨팅 같은 중요 부문에 많은 기업 고객을 확보했다. 시스코 또한 시스코 플러스(Cisco Plu...

2021.05.18

‘매니지드 서비스 업체 검토와 선택’··· 8가지 조언

기술 혁신, 팬데믹, 진화하는 비즈니스 모델의 시대에 내부 IT 운영을 매니지드 서비스 제공사(MSP ; managed service provider)에 위탁하는 결정은 장기적인 IT 및 기업 성공에 중요한 첫걸음이 될 수 있다. 심층적인 기술 지식, 인사이트, 전문지식을 약속하는 MSP는 가치와 내부 IT팀이 스스로 개발하기 어려운 고급 솔루션을 제공할 수 있다. 적절하게 MSP를 관리하면 엄청난 가치를 얻을 수 있다고 디지털 서비스 및 정보 관리 제공기업 리코 USA(Ricoh USA)의 인프라 및 엔지니어링 서비스 부사장 밥 라멘돌라가 강조했다.  그는 “관계가 불안한 시기가 있을 수 있지만 기반이 마련되면 어려움 시기를 극복할 수 있다”라고 말했다. IT 아웃소싱 전략에 뛰어들기에 앞서 적절한 MSP를 물색하고 선택하는데 도움이 되는 8가지 방법을 살펴본다.   목표와 요구사항을 솔직하게 밝히라 비즈니스 목표를 공유하는 것은 성공적인 MSP 협력에 필수적이다. 라멘돌라는 “MSP가 고객 기업의 목표와 자신들의 접근방식을 정렬할 수 있어야 한다. 고객 기업의 목표. 조직의 업무, 상호작용, 발전 방식에 대한 공통의 비전을 수립할 수 있도록 MSP와 소통하는 조직은 일반적으로 긍정적인 경험을 하게 된다”고 설명했다. 정직 및 개방성 정책은 매우 효과적이며 그 이유는 소통, 협업, 공통의 목표, 측정, 분석, 지속적인 개선 등 조직의 효과성 방법론과 같은 기본 원칙을 반영하기 때문이다. 라멘돌라는 “MSP 관계가 조직의 구조 및 문화에 기반하게 되면 상호 유리한 경험을 얻게 된다”라고 밝혔다. 업계를 검토 업계의 비슷한 조직이 성공적으로 진행한 MSP 이니셔티브를 찾는 데 노력을 기울일 필요가 있다. “업계를 참조하라”고 최초의 연방 CISO이자 현재 카네기멜론대학교의 하인즈 정보시스템 및 공공정책 대학 겸임교수 예비역 준장 그레고리 J. 투힐이 조언했다.  시장을 조사해 최고의 MSP를 찾아야 한다. 투힐은 “동료 및...

매니지드 서비스 관리형 서비스 IT 서비스 IT 외주

2021.04.30

기술 혁신, 팬데믹, 진화하는 비즈니스 모델의 시대에 내부 IT 운영을 매니지드 서비스 제공사(MSP ; managed service provider)에 위탁하는 결정은 장기적인 IT 및 기업 성공에 중요한 첫걸음이 될 수 있다. 심층적인 기술 지식, 인사이트, 전문지식을 약속하는 MSP는 가치와 내부 IT팀이 스스로 개발하기 어려운 고급 솔루션을 제공할 수 있다. 적절하게 MSP를 관리하면 엄청난 가치를 얻을 수 있다고 디지털 서비스 및 정보 관리 제공기업 리코 USA(Ricoh USA)의 인프라 및 엔지니어링 서비스 부사장 밥 라멘돌라가 강조했다.  그는 “관계가 불안한 시기가 있을 수 있지만 기반이 마련되면 어려움 시기를 극복할 수 있다”라고 말했다. IT 아웃소싱 전략에 뛰어들기에 앞서 적절한 MSP를 물색하고 선택하는데 도움이 되는 8가지 방법을 살펴본다.   목표와 요구사항을 솔직하게 밝히라 비즈니스 목표를 공유하는 것은 성공적인 MSP 협력에 필수적이다. 라멘돌라는 “MSP가 고객 기업의 목표와 자신들의 접근방식을 정렬할 수 있어야 한다. 고객 기업의 목표. 조직의 업무, 상호작용, 발전 방식에 대한 공통의 비전을 수립할 수 있도록 MSP와 소통하는 조직은 일반적으로 긍정적인 경험을 하게 된다”고 설명했다. 정직 및 개방성 정책은 매우 효과적이며 그 이유는 소통, 협업, 공통의 목표, 측정, 분석, 지속적인 개선 등 조직의 효과성 방법론과 같은 기본 원칙을 반영하기 때문이다. 라멘돌라는 “MSP 관계가 조직의 구조 및 문화에 기반하게 되면 상호 유리한 경험을 얻게 된다”라고 밝혔다. 업계를 검토 업계의 비슷한 조직이 성공적으로 진행한 MSP 이니셔티브를 찾는 데 노력을 기울일 필요가 있다. “업계를 참조하라”고 최초의 연방 CISO이자 현재 카네기멜론대학교의 하인즈 정보시스템 및 공공정책 대학 겸임교수 예비역 준장 그레고리 J. 투힐이 조언했다.  시장을 조사해 최고의 MSP를 찾아야 한다. 투힐은 “동료 및...

2021.04.30

매니지드 쿠버네티스로 전환해야 하는 6가지 이유

쿠버네티스 클러스터를 매니지드 서비스 업체에 넘기는 것은 아이를 대학에 보내는 것과 비슷하다. 처음에는 걱정도 되지만, 결국 집안에서 할 일이 확 줄어든다.  빅 3 퍼블릭 클라우드 서비스 업체인 아마존 웹 서비스(AWS), 구글 클라우드, 마이크로소프트 애저의 매니지드 쿠버네티스 옵션(또는 서비스형 쿠버네티스, KaaS)은 모두 지난 몇 년 동안 큰 발전을 이루었다. 이제 기업은 복잡한 YAML 구성 파일, 자동 확장, 업데이트, 클러스터 관리에 대한 부담 없이 컨테이너화된 워크로드를 실행하고 조율할 수 있다.    개발자 중심의 시장 분석 업체 레드몽크(RedMonk)의 공동 창업자인 스티븐 오그레이디는 “기업은 전략적인 것을 고려할 때 처음에는 스스로 하려는 경향이 있다. 이후 시간이 지나면서 이 방식이 아무런 경쟁 우위를 제공하지 않으며, 서비스 업체에 맡기는 편이 낫다는 사실을 인식한다. 모든 기업이 서비스형으로 전환하고 있을까? 아직은 아니지만 전환을 향한 욕구와 방향은 명확해 보인다”고 말했다.  매니지드 쿠버네티스 서비스를 고려해야 할 6가지 이유를 알아보자.    1. 낮은 관리 부담  명백한 이유부터 시작해 보자. 여행 기술 업체 아마데우스의 기술 플랫폼 및 엔지니어링 부문 수석 부사장인 실베인 로이는 “할 일이 더 적다는 것은 명확하다. 알아서 운영된다는 것은 우리 회사에 중요하다. 쿠버네티스를 직접 운영하려면 필요한 모든 인력을 확보해야 한다는 어려움이 있다”고 지적했다.  건설업체 스트라백(Strabag)의 소규모 엔지니어 그룹은 2006년부터 자체적으로 컨테이너를 운영해오고 있으며 지난 4년 동안은 자체 관리 오픈소스 도커(Docker) 및 쿠버네티스로 전환 중이다. 현재 이 그룹은 기존 앱을 현대화하고 기반이 되는 쿠버네티스 클러스터 관리를 구글 클라우드에 맡기거나, 개발자가 클라우드나 하이브리드 환경에서 안토스(Anthos) 서비스를 사용해 새로운 애플...

쿠버네티스 매니지드서비스 클러스터

2021.04.22

쿠버네티스 클러스터를 매니지드 서비스 업체에 넘기는 것은 아이를 대학에 보내는 것과 비슷하다. 처음에는 걱정도 되지만, 결국 집안에서 할 일이 확 줄어든다.  빅 3 퍼블릭 클라우드 서비스 업체인 아마존 웹 서비스(AWS), 구글 클라우드, 마이크로소프트 애저의 매니지드 쿠버네티스 옵션(또는 서비스형 쿠버네티스, KaaS)은 모두 지난 몇 년 동안 큰 발전을 이루었다. 이제 기업은 복잡한 YAML 구성 파일, 자동 확장, 업데이트, 클러스터 관리에 대한 부담 없이 컨테이너화된 워크로드를 실행하고 조율할 수 있다.    개발자 중심의 시장 분석 업체 레드몽크(RedMonk)의 공동 창업자인 스티븐 오그레이디는 “기업은 전략적인 것을 고려할 때 처음에는 스스로 하려는 경향이 있다. 이후 시간이 지나면서 이 방식이 아무런 경쟁 우위를 제공하지 않으며, 서비스 업체에 맡기는 편이 낫다는 사실을 인식한다. 모든 기업이 서비스형으로 전환하고 있을까? 아직은 아니지만 전환을 향한 욕구와 방향은 명확해 보인다”고 말했다.  매니지드 쿠버네티스 서비스를 고려해야 할 6가지 이유를 알아보자.    1. 낮은 관리 부담  명백한 이유부터 시작해 보자. 여행 기술 업체 아마데우스의 기술 플랫폼 및 엔지니어링 부문 수석 부사장인 실베인 로이는 “할 일이 더 적다는 것은 명확하다. 알아서 운영된다는 것은 우리 회사에 중요하다. 쿠버네티스를 직접 운영하려면 필요한 모든 인력을 확보해야 한다는 어려움이 있다”고 지적했다.  건설업체 스트라백(Strabag)의 소규모 엔지니어 그룹은 2006년부터 자체적으로 컨테이너를 운영해오고 있으며 지난 4년 동안은 자체 관리 오픈소스 도커(Docker) 및 쿠버네티스로 전환 중이다. 현재 이 그룹은 기존 앱을 현대화하고 기반이 되는 쿠버네티스 클러스터 관리를 구글 클라우드에 맡기거나, 개발자가 클라우드나 하이브리드 환경에서 안토스(Anthos) 서비스를 사용해 새로운 애플...

2021.04.22

PHP 백도어 공격에서 드러난 오픈소스의 허점··· 효과적인 코드 검증이 필요하다

정체 불명의 공격자들이 PHP 프로젝트 중앙 코드 리포지토리에 침입, 인터넷의 웹사이트 대부분을 구동하는 런타임에 백도어를 집어넣을 목적으로 악성코드를 추가하는 사건이 발생했다. 공격 집단은 2명의 유명한 PHP 개발자를 가장했지만 코드 커밋(commit) 자체가 그다지 은밀하지는 않아서 몇 시간 만에 다른 개발자의 리뷰를 통해 발각됐다.   다행히 백도어가 소프트웨어 제품의 정식 릴리스에 진입해 일반 사용자에게도 배포된 최근 솔라윈즈(SolarWinds) 침해나 다른 공급망 공격과 같은 광범위한 영향은 없었다. 그러나 사고는 PHP를 유지하는 조직인 PHP 그룹(PHP Group)이 코드 인프라의 운영 방식을 재검토하는 계기가 됐다. 오픈소스 코드는 주요 인터넷 서비스의 중심에 위치하며 현대 애플리케이션 코드베이스의 대부분을 차지한다. 자원 봉사자에 의해 제한적인 리소스로 운영되는 경우가 많은 오픈소스 프로젝트를 대상으로 한 공급망 공격의 수는 지난 몇 년 동안 가파르게 증가했다. 또한 전문가들은 방어가 어려운 만큼 공격자 사이에서 공급망 공격 벡터의 인기가 앞으로 더 높아질 것으로 예상하고 있다. PHP 리포지토리에 무슨 일이 최근 PHP 창안자이자 코어 개발자인 라스무스 러도프의 이름으로 git.php.net의 php-src 리포지토리에 "[skip-ci] Fix typo"라는 이름의 코드 커밋이 푸시됐다. 2시간 후 다른 PHP 기여자가 코드에 오타가 있다는 코멘트를 남겼고, 이후 다른 개발자가 코드의 역할이 무엇인지를 물었다. 이 질문은 보안 전문가인 한 개발자의 관심을 끌었다. 개발자는 '문자열이 'zerodium'으로 시작하는 경우 useragent HTTP 헤더 내에서 PHP 코드를 실행하는 코드'라고 답을 남겼다. 기본적으로 이 코드는 백도어(backdoor)였다. 공격자가 HTTP 헤더에 특정 문자열이 포함된 요청을 보내는 간단한 방법으로 실행이 가능하며, 그러면 감염된 이 PHP 버전을 실행하는 모든 웹 서버에서 임의의 코...

PHP 공급망공격

2021.04.08

정체 불명의 공격자들이 PHP 프로젝트 중앙 코드 리포지토리에 침입, 인터넷의 웹사이트 대부분을 구동하는 런타임에 백도어를 집어넣을 목적으로 악성코드를 추가하는 사건이 발생했다. 공격 집단은 2명의 유명한 PHP 개발자를 가장했지만 코드 커밋(commit) 자체가 그다지 은밀하지는 않아서 몇 시간 만에 다른 개발자의 리뷰를 통해 발각됐다.   다행히 백도어가 소프트웨어 제품의 정식 릴리스에 진입해 일반 사용자에게도 배포된 최근 솔라윈즈(SolarWinds) 침해나 다른 공급망 공격과 같은 광범위한 영향은 없었다. 그러나 사고는 PHP를 유지하는 조직인 PHP 그룹(PHP Group)이 코드 인프라의 운영 방식을 재검토하는 계기가 됐다. 오픈소스 코드는 주요 인터넷 서비스의 중심에 위치하며 현대 애플리케이션 코드베이스의 대부분을 차지한다. 자원 봉사자에 의해 제한적인 리소스로 운영되는 경우가 많은 오픈소스 프로젝트를 대상으로 한 공급망 공격의 수는 지난 몇 년 동안 가파르게 증가했다. 또한 전문가들은 방어가 어려운 만큼 공격자 사이에서 공급망 공격 벡터의 인기가 앞으로 더 높아질 것으로 예상하고 있다. PHP 리포지토리에 무슨 일이 최근 PHP 창안자이자 코어 개발자인 라스무스 러도프의 이름으로 git.php.net의 php-src 리포지토리에 "[skip-ci] Fix typo"라는 이름의 코드 커밋이 푸시됐다. 2시간 후 다른 PHP 기여자가 코드에 오타가 있다는 코멘트를 남겼고, 이후 다른 개발자가 코드의 역할이 무엇인지를 물었다. 이 질문은 보안 전문가인 한 개발자의 관심을 끌었다. 개발자는 '문자열이 'zerodium'으로 시작하는 경우 useragent HTTP 헤더 내에서 PHP 코드를 실행하는 코드'라고 답을 남겼다. 기본적으로 이 코드는 백도어(backdoor)였다. 공격자가 HTTP 헤더에 특정 문자열이 포함된 요청을 보내는 간단한 방법으로 실행이 가능하며, 그러면 감염된 이 PHP 버전을 실행하는 모든 웹 서버에서 임의의 코...

2021.04.08

블로그 | 산업용 클라우드는 기회일까 방해물일까?

산업용 클라우드는 특정 산업에 집중하는 클라우드 애플리케이션의 묶음으로 구성되어 있다. 소매, 의료, 정부, 금융부문에 맞춰 개발된 것들이 흔하다. 새로운 개념처럼 보일 수 있다. 하지만 특정 산업에 치중된 클라우드 서비스 개념은 클라우드 자체만큼 오래되었다. ‘커뮤니티 클라우드’라는 개념이 NIST의 클라우드 컴퓨팅에 대한 정의의 첫 번째 버전에서 논의됐었다. 12년 전 작성된 이 문서에는 ‘클라우드 인프라는 여러 조직이 공유하며 우려(목표, 보안 요건, 정책, 준법감시 고려사항 등)를 공유했던 특정 커뮤니티를 지원한다’라고 기술돼 있다. 새롭든 아니면 오래되었든, 산업용 클라우드에 대한 개념은 몇 년 동안 지속적으로 발전했다. 현재, 주요 퍼블릭 클라우드 제공자들이 주요 산업용 클라우드 제공사이기도 하다. 그들은 일반적으로 파트너들이 제공하는 산업 전용 애플리케이션을 포함하여 다양한 소프트웨어와 서비스를 제공한다.  주요 클라우드 제공 기업의 행보로 인해 산업용 클라우드가 다시 관심을 받고 있다.퍼블릭 클라우드 제공사들은 여러 클라우드 서비스 카테고리에서 ‘기능 포화’ 상태에 있다. 산업용 클라우드는 그들이 성장할 수 있는 가능성을 제시한다. 기업들도 차별화를 꾀할 수 있게 해주는 파괴적인 기능을 원한다.  산업 전용 클라우드 서비스에는 대체로 다음이 포함된다. • 제조 기업들이 제고를 유지하지 않을 수 있는 발전된 물류 시스템 • 집에서 환자를 위한 패키지화 된 모니터링 기능을 제공하는 의료 시스템 • 국제 금융을 지원하는 준법감시 거버넌스 필자가 기업들로부터 받은 퍼블릭 클라우드 이전의 장애물에 관한 상당 부분은 산업 전용 소프트웨어 또는 애플리케이션이었다. 범용 퍼블릭 클라우드로 이전하는 경우 일부 메인프레임 기반 사용자 정의 애플리케이션 또는 구내로만 구동하는 산업 전용 소프트웨어가 발목을 잡을 수 있다. 그들이 원하는 산업 전용 기능을 기대 이상으로 충족하는 산업 전용 솔루션을 위한 더 나은 플랫폼이 있다면 좀더 쉽게 ...

수직 클라우드 산업 클라우드 업종 클라우드

2021.04.06

산업용 클라우드는 특정 산업에 집중하는 클라우드 애플리케이션의 묶음으로 구성되어 있다. 소매, 의료, 정부, 금융부문에 맞춰 개발된 것들이 흔하다. 새로운 개념처럼 보일 수 있다. 하지만 특정 산업에 치중된 클라우드 서비스 개념은 클라우드 자체만큼 오래되었다. ‘커뮤니티 클라우드’라는 개념이 NIST의 클라우드 컴퓨팅에 대한 정의의 첫 번째 버전에서 논의됐었다. 12년 전 작성된 이 문서에는 ‘클라우드 인프라는 여러 조직이 공유하며 우려(목표, 보안 요건, 정책, 준법감시 고려사항 등)를 공유했던 특정 커뮤니티를 지원한다’라고 기술돼 있다. 새롭든 아니면 오래되었든, 산업용 클라우드에 대한 개념은 몇 년 동안 지속적으로 발전했다. 현재, 주요 퍼블릭 클라우드 제공자들이 주요 산업용 클라우드 제공사이기도 하다. 그들은 일반적으로 파트너들이 제공하는 산업 전용 애플리케이션을 포함하여 다양한 소프트웨어와 서비스를 제공한다.  주요 클라우드 제공 기업의 행보로 인해 산업용 클라우드가 다시 관심을 받고 있다.퍼블릭 클라우드 제공사들은 여러 클라우드 서비스 카테고리에서 ‘기능 포화’ 상태에 있다. 산업용 클라우드는 그들이 성장할 수 있는 가능성을 제시한다. 기업들도 차별화를 꾀할 수 있게 해주는 파괴적인 기능을 원한다.  산업 전용 클라우드 서비스에는 대체로 다음이 포함된다. • 제조 기업들이 제고를 유지하지 않을 수 있는 발전된 물류 시스템 • 집에서 환자를 위한 패키지화 된 모니터링 기능을 제공하는 의료 시스템 • 국제 금융을 지원하는 준법감시 거버넌스 필자가 기업들로부터 받은 퍼블릭 클라우드 이전의 장애물에 관한 상당 부분은 산업 전용 소프트웨어 또는 애플리케이션이었다. 범용 퍼블릭 클라우드로 이전하는 경우 일부 메인프레임 기반 사용자 정의 애플리케이션 또는 구내로만 구동하는 산업 전용 소프트웨어가 발목을 잡을 수 있다. 그들이 원하는 산업 전용 기능을 기대 이상으로 충족하는 산업 전용 솔루션을 위한 더 나은 플랫폼이 있다면 좀더 쉽게 ...

2021.04.06

캡제미니, 호주 RXP 서비스 인수 완료

컨설팅 기업 캡제미니가 호주의 RXP 서비스 인수를 완료했다. 캡제미니는 이번 인수를 통해 엔드 투 엔드 디지털 솔루션 제공 능력을 고도할 수 있을 것으로 기대하고 있다. 이번 인수는 마이크로소프트, 서비스나우, 세일즈포스와의 전략적 파트너십을 강화하는 의미도 지닌다.  RXP의 본사는 멜버른에 소재하며 시드니, 캔버라, 호바트에도 사업 지점을 보유하고 있다. 이번 인수로 RXP 서비스의 직원 550명 이상에 캡제미니에 합류하게 된다.  캡제미니의 올라프 피슈처 CEO는 “RXP의 광범위한 전문 역량은 증가하는 디지털 서비스을 충족할 수 있게 해준다. 캡제미니 팀에 합류한 것을 환영한다”라고 밝혔다 RXP 서비스의 로드 피엘딩 CEO는 “두 조직이 하나로 합쳐짐으로써 RXP 직원들에게 기회가 열릴 뿐 아니라 캡제미니의 호주 지역 성장 계획이 가속화될 것”이라고 말했다.  캡제미니는 클라우드, 데이터, 인공지능, 소프트웨어, 네트워킹, 디지털 엔지니어링, 소프트웨어 등의 분야에 걸쳐 전략 수립, 디자인, 운영 서비스를 제공하고 있으며, 전 세계 50여 국가에서 비즈니스를 펼치고 있다. ciokr@idg.co.kr

캡제미니 RXP 서비스 컨설팅 인수

2021.03.29

컨설팅 기업 캡제미니가 호주의 RXP 서비스 인수를 완료했다. 캡제미니는 이번 인수를 통해 엔드 투 엔드 디지털 솔루션 제공 능력을 고도할 수 있을 것으로 기대하고 있다. 이번 인수는 마이크로소프트, 서비스나우, 세일즈포스와의 전략적 파트너십을 강화하는 의미도 지닌다.  RXP의 본사는 멜버른에 소재하며 시드니, 캔버라, 호바트에도 사업 지점을 보유하고 있다. 이번 인수로 RXP 서비스의 직원 550명 이상에 캡제미니에 합류하게 된다.  캡제미니의 올라프 피슈처 CEO는 “RXP의 광범위한 전문 역량은 증가하는 디지털 서비스을 충족할 수 있게 해준다. 캡제미니 팀에 합류한 것을 환영한다”라고 밝혔다 RXP 서비스의 로드 피엘딩 CEO는 “두 조직이 하나로 합쳐짐으로써 RXP 직원들에게 기회가 열릴 뿐 아니라 캡제미니의 호주 지역 성장 계획이 가속화될 것”이라고 말했다.  캡제미니는 클라우드, 데이터, 인공지능, 소프트웨어, 네트워킹, 디지털 엔지니어링, 소프트웨어 등의 분야에 걸쳐 전략 수립, 디자인, 운영 서비스를 제공하고 있으며, 전 세계 50여 국가에서 비즈니스를 펼치고 있다. ciokr@idg.co.kr

2021.03.29

'성숙기 들어섰지만...' 클라우드의 문제점 7가지

일찌기 한 현명한 클라우드 설계자는 “나에게는 99가지 문제가 있지만 클라우드는 거기에 끼지도 못한다”는 말을 했다. 클라우드가 등장하면서 애플리케이션과 서비스의 대규모 운영이 훨씬 더 쉬워졌다. 그러나 클라우드 컴퓨팅에도 나름의 문제는 있다.   온프레미스 시절에는 코드 일부에 문제가 있어도 ‘고작해야’ 성능 저하나 중단을 초래했을 뿐이다. 지금은 버그가 있으면 AWS가 사용자의 주머니를 뒤진 다음 거꾸로 매달아 마지막 동전 하나까지 탈탈 털어내 가져간다고 할 만큼의 비용이 발생한다.   아마존 키네시스나 애저 코스모스 DB 또는 구글 클라우드 빅테이블을 사용하기는 아주 쉽다. 그러나 호텔 캘리포니아의 가사처럼 언제든 체크아웃할 수는 있을지 몰라도 절대로 클라우드를 떠날 수는 없을 것이다. 순수 인프라 서비스 비용은 시간이 지나면서 하락했지만, 클라우드 제공업체의 전반적인 가격은 별다른 변화가 없다(납득할 수도 없다).   게다가 복잡한 것도 많고 안정적으로 안전하게 유지해야 하는 인스턴스도 넘쳐난다. 쿠버네티스 구성은 또 왜 이렇게 긴 것일까?   말하자면 끝도 없다. 그래서 인터넷에서 가장 중요한 클라우드 기반 서비스를 책임지는 담당자들이 그동안 어떤 문제에 직면했고 그 문제를 어떻게 해결하거나 완화했는지를 물었다.   비용 관리 한때 AWS가 저렴하다고 생각했던 시절이 있었다. 코베오(Coveo)의 공동 창업자이자 기술 부문 선임 부사장인 마크 샌패콘은 “온프레미스에 실제로 존재하는 하드웨어가 있다면 그 하드웨어를 사용한다. 돈을 주고 구매한 내 것이고, 전기료도 내가 내고, 원하는 만큼 사용할 수 있기 때문”라고 말했다.    샌패콘은 이어 “그러나 200명 이상의 개발자가 있는 코베오 같은 기업에서는 새 전화기나 책상 또는 의자를 구매할 때도 회사 정책에 따라 승인을 받아야 한다. 하지만 직원들은 이 정책을 무시하고 AWS 콘솔로 들어가서 시간당 25달러가 청구되는 새 머신을 가동하고...

규정준수 깃옵스 멀티클라우드

2021.03.25

일찌기 한 현명한 클라우드 설계자는 “나에게는 99가지 문제가 있지만 클라우드는 거기에 끼지도 못한다”는 말을 했다. 클라우드가 등장하면서 애플리케이션과 서비스의 대규모 운영이 훨씬 더 쉬워졌다. 그러나 클라우드 컴퓨팅에도 나름의 문제는 있다.   온프레미스 시절에는 코드 일부에 문제가 있어도 ‘고작해야’ 성능 저하나 중단을 초래했을 뿐이다. 지금은 버그가 있으면 AWS가 사용자의 주머니를 뒤진 다음 거꾸로 매달아 마지막 동전 하나까지 탈탈 털어내 가져간다고 할 만큼의 비용이 발생한다.   아마존 키네시스나 애저 코스모스 DB 또는 구글 클라우드 빅테이블을 사용하기는 아주 쉽다. 그러나 호텔 캘리포니아의 가사처럼 언제든 체크아웃할 수는 있을지 몰라도 절대로 클라우드를 떠날 수는 없을 것이다. 순수 인프라 서비스 비용은 시간이 지나면서 하락했지만, 클라우드 제공업체의 전반적인 가격은 별다른 변화가 없다(납득할 수도 없다).   게다가 복잡한 것도 많고 안정적으로 안전하게 유지해야 하는 인스턴스도 넘쳐난다. 쿠버네티스 구성은 또 왜 이렇게 긴 것일까?   말하자면 끝도 없다. 그래서 인터넷에서 가장 중요한 클라우드 기반 서비스를 책임지는 담당자들이 그동안 어떤 문제에 직면했고 그 문제를 어떻게 해결하거나 완화했는지를 물었다.   비용 관리 한때 AWS가 저렴하다고 생각했던 시절이 있었다. 코베오(Coveo)의 공동 창업자이자 기술 부문 선임 부사장인 마크 샌패콘은 “온프레미스에 실제로 존재하는 하드웨어가 있다면 그 하드웨어를 사용한다. 돈을 주고 구매한 내 것이고, 전기료도 내가 내고, 원하는 만큼 사용할 수 있기 때문”라고 말했다.    샌패콘은 이어 “그러나 200명 이상의 개발자가 있는 코베오 같은 기업에서는 새 전화기나 책상 또는 의자를 구매할 때도 회사 정책에 따라 승인을 받아야 한다. 하지만 직원들은 이 정책을 무시하고 AWS 콘솔로 들어가서 시간당 25달러가 청구되는 새 머신을 가동하고...

2021.03.25

인프라 관리·운영 트렌드는 변화 중··· ‘뜨는 6가지, 지는 5가지’

인프라 및 여타 비즈니스 시스템과 관련해 가장 중요한 가치는 ‘안정성’이다. 그러나 변화에 대한 압박이 거세지면서 ‘보안’과 ‘속도’까지 추구하는 기업들이 늘고 있다.  코로나19로 IT의 중요성이 부각된 가운데, 일련의 인프라 선택지에 대한 정당성도 입증됐다. 클라우드는 팬데믹으로 인한 변화를 상쇄하려는 여러 조직들에게 만병통치약이 되었다. 또 RPA 및 AI를 미리 시도했던 얼리어답터들이 더 강화된 입지를 확보했으며, 이로 인해 자동화 움직임에도 속도가 붙게 되었다. 하지만 팬데믹에 상관없이 IT는 현실에 안주할 수 없다. 때로는 급격하고 때로는 가차없는 변화는 이 산업의 영속적인 특징이다. 그리고 팬데믹 덕분에 IT의 변화가 가속화되고 있다. 코드 조율 및 매끄러운 시스템 운영을 담당하는 팀들은 조심스러워질 수밖에 없다. 변화를 위한 실험과 변화는 비밀 실험실에 근무하는 혁신가들을 위한 것이다. IT 인프라와 운영의 안정성이 더욱 중요해졌다. 다행히 서버 및 네트워크 운영 관리를 돕는 새로운 전략과 도구가 등장했다. 이런 트렌드 중 일부는 새로운 혁신에 의한 것이며, 순수한 경제성 측면에 의한 것들도 있고 정치적 현실에 기인한 것들도 있다. 이 모든 것들이 IT 인프라팀들이 안정성을 희생하지 않고 추가적인 보안과 더 빠른 속도를 제공해야 한다는 압박 상황을 드러내고 있다. Jonny Lindner (CC0) 인기 : 멀티클라우드(Multicloud) 코드를 서버실에서 클라우드로 이전할 때의 장점은 널리 알려져 있다. 다른 사람이 유지관리하고 임대하는 기기들은 간헐적인 컴퓨팅 및 작업 부하에 이상적이다. 신뢰와 보안에 대한 문제는 남아 있겠지만 클라우드 벤더들은 이 문제를 신중하게 해결해가고 있다. 1개의 클라우드가 좋다면 2개나 3개는 어떨까? 여러 개의 클라우드를 지원하는 것이 더 수고스러울 수 있지만 제공업체 종속(Lock-in)의 위험을 없앨 수 있다. 그리고 회계사들은 여러 개의 클라우드에서 소프트웨어를 벤치마크함으로써 작업...

2021.03.15

인프라 및 여타 비즈니스 시스템과 관련해 가장 중요한 가치는 ‘안정성’이다. 그러나 변화에 대한 압박이 거세지면서 ‘보안’과 ‘속도’까지 추구하는 기업들이 늘고 있다.  코로나19로 IT의 중요성이 부각된 가운데, 일련의 인프라 선택지에 대한 정당성도 입증됐다. 클라우드는 팬데믹으로 인한 변화를 상쇄하려는 여러 조직들에게 만병통치약이 되었다. 또 RPA 및 AI를 미리 시도했던 얼리어답터들이 더 강화된 입지를 확보했으며, 이로 인해 자동화 움직임에도 속도가 붙게 되었다. 하지만 팬데믹에 상관없이 IT는 현실에 안주할 수 없다. 때로는 급격하고 때로는 가차없는 변화는 이 산업의 영속적인 특징이다. 그리고 팬데믹 덕분에 IT의 변화가 가속화되고 있다. 코드 조율 및 매끄러운 시스템 운영을 담당하는 팀들은 조심스러워질 수밖에 없다. 변화를 위한 실험과 변화는 비밀 실험실에 근무하는 혁신가들을 위한 것이다. IT 인프라와 운영의 안정성이 더욱 중요해졌다. 다행히 서버 및 네트워크 운영 관리를 돕는 새로운 전략과 도구가 등장했다. 이런 트렌드 중 일부는 새로운 혁신에 의한 것이며, 순수한 경제성 측면에 의한 것들도 있고 정치적 현실에 기인한 것들도 있다. 이 모든 것들이 IT 인프라팀들이 안정성을 희생하지 않고 추가적인 보안과 더 빠른 속도를 제공해야 한다는 압박 상황을 드러내고 있다. Jonny Lindner (CC0) 인기 : 멀티클라우드(Multicloud) 코드를 서버실에서 클라우드로 이전할 때의 장점은 널리 알려져 있다. 다른 사람이 유지관리하고 임대하는 기기들은 간헐적인 컴퓨팅 및 작업 부하에 이상적이다. 신뢰와 보안에 대한 문제는 남아 있겠지만 클라우드 벤더들은 이 문제를 신중하게 해결해가고 있다. 1개의 클라우드가 좋다면 2개나 3개는 어떨까? 여러 개의 클라우드를 지원하는 것이 더 수고스러울 수 있지만 제공업체 종속(Lock-in)의 위험을 없앨 수 있다. 그리고 회계사들은 여러 개의 클라우드에서 소프트웨어를 벤치마크함으로써 작업...

2021.03.15

오픈소스 저장소 사용 시의 또 다른 위험, '의존성 혼동'이란 무엇인가

의존성 혼동(Dependency confusion)이란 소프트웨어 개발 도구가 공개 및 비공개 저장소에서 서드파티 패키지를 끌어오는 기본 방식에서 새롭게 발견된 논리적 결함이다. 공격자들은 이 문제를 이용해 개발 환경을 속일 수 있다. 즉, 비공개 저장소에 호스팅된 커스텀 패키지 대신에 커뮤니티 저장소에 게시된 악성 패키지를 끌어오도록 만드는 것이다. 소프트웨어 공급망의 복잡성 시놉시스(Synopsys)의 2020년 연구에 따르면, 기업이 사용하는 상용 애플리케이션 가운데 99% 이상에 오픈소스 코드가 들어 있으며, 이런 코드는 기업의 전체 코드에서 최소한 70%를 차지한다. 이는 모든 프로그래밍 언어에 이용 가능한 서드파티 구성요소와 패키지로 구성된 거대한 생태계 덕분이다.  자바(Java)에는 중앙 저장소가 있고 자바스크립트(JavaScript)에는 npm이 있으며, 파이썬(Python)에는 PyPI(Python Package Index, 파이썬 패키지 인덱스), 루비(Ruby)에는 루비젬(RubyGems)이 있는 식이다. 이들은 모두 커뮤니티에서 유지 관리하는 공개 저장소로서 패키지가 의존성으로 정의될 때 개발 도구는 이 곳으로부터 패키지를 끌어온다. 패키지 사이의 관계가 복잡하다는 것은 한 구성요소를 애플리케이션 내에 의존성으로 끌어올 경우 수십 개 내지 수백 개의 다른 애플리케이션을 가져오는 결과를 낳을 수 있다는 의미다. 이런 점은 특히 저장소의 감시가 잘 이루어지지 않을 경우, 공격자들이 악용할 소지가 있다고 보안 연구원들이 오래 전부터 경고해 왔다. 과거에 해커들은 정상적인 패키지 개발자들을 해킹해 패키지에 악성코드를 주입했다. 그 결과, 해당 패키지를 의존성으로 갖고 있는 다른 많은 정상적인 패키지도 피해를 입었다. 공격자들은 개발자들이 애플리케이션 의존성을 정의할 때 이름을 잘못 입력하기를 기대하면서 정상적인 이름과 비슷한 이름의 구성요소를 업로드하기도 했다. 이런 공격을 '타이포스쿼팅(Typosquatting)'이라고 한다....

오픈소스 의존성혼동 Dependency confusion 공급망

2021.03.05

의존성 혼동(Dependency confusion)이란 소프트웨어 개발 도구가 공개 및 비공개 저장소에서 서드파티 패키지를 끌어오는 기본 방식에서 새롭게 발견된 논리적 결함이다. 공격자들은 이 문제를 이용해 개발 환경을 속일 수 있다. 즉, 비공개 저장소에 호스팅된 커스텀 패키지 대신에 커뮤니티 저장소에 게시된 악성 패키지를 끌어오도록 만드는 것이다. 소프트웨어 공급망의 복잡성 시놉시스(Synopsys)의 2020년 연구에 따르면, 기업이 사용하는 상용 애플리케이션 가운데 99% 이상에 오픈소스 코드가 들어 있으며, 이런 코드는 기업의 전체 코드에서 최소한 70%를 차지한다. 이는 모든 프로그래밍 언어에 이용 가능한 서드파티 구성요소와 패키지로 구성된 거대한 생태계 덕분이다.  자바(Java)에는 중앙 저장소가 있고 자바스크립트(JavaScript)에는 npm이 있으며, 파이썬(Python)에는 PyPI(Python Package Index, 파이썬 패키지 인덱스), 루비(Ruby)에는 루비젬(RubyGems)이 있는 식이다. 이들은 모두 커뮤니티에서 유지 관리하는 공개 저장소로서 패키지가 의존성으로 정의될 때 개발 도구는 이 곳으로부터 패키지를 끌어온다. 패키지 사이의 관계가 복잡하다는 것은 한 구성요소를 애플리케이션 내에 의존성으로 끌어올 경우 수십 개 내지 수백 개의 다른 애플리케이션을 가져오는 결과를 낳을 수 있다는 의미다. 이런 점은 특히 저장소의 감시가 잘 이루어지지 않을 경우, 공격자들이 악용할 소지가 있다고 보안 연구원들이 오래 전부터 경고해 왔다. 과거에 해커들은 정상적인 패키지 개발자들을 해킹해 패키지에 악성코드를 주입했다. 그 결과, 해당 패키지를 의존성으로 갖고 있는 다른 많은 정상적인 패키지도 피해를 입었다. 공격자들은 개발자들이 애플리케이션 의존성을 정의할 때 이름을 잘못 입력하기를 기대하면서 정상적인 이름과 비슷한 이름의 구성요소를 업로드하기도 했다. 이런 공격을 '타이포스쿼팅(Typosquatting)'이라고 한다....

2021.03.05

클라우드 업체에게 '호구' 되지 않기 위한 15가지 준비

젊은 세대는 처음 듣는 이야기일 수도 있지만, 예전에 한국전쟁을 무대로 한 “M*A*S*H”라는 재미있는 시트콤이 있었다. 이 시트콤은 무려 11년 동안 방송됐다. 재미를 더하려는 작가들의 의도에 따라 전세의 흐름이 바뀌고 위험이 다가오거나 전장에서 탈주하는 사건이 일어났다. 환자들이 버스에 올라타고, 텐트가 찢어지고, 누군가 “M.A.S.H.에서 M은 Mobile을 의미한다”는 말을 하기도 했다(나머지는 Army Surgical Hospital의 약어).   현대 조직의 IT 직원이 중대한 수술이나 절단 수술에서 회복 중인 환자를 옮길 일은 없겠지만 민첩함을 유지해야 할 필요성은 갈수록 커지는 것 같다. 세심히 쌓아 올린 아키텍처가 나중에 보니 모래수렁 위에 올라가 있음을 발견하는 경우가 늘고 있다. 힘들게 얻은 데이터와 늦은 밤까지 공들여 작성한 코드를 옮겨야 하고, 때로는 당장 이번 주 안에 이동 작업을 완료해야 하는 상황에 처한다.   가장 잘 알려진 사례는 정치적 사례지만 그 외에도 많다. 해커 뉴스(Hacker News)와 같은 게시판에서 간단히 “canceled account(해지된 계정)”를 검색해봐도 결과는 놀라울 정도로 많이 나온다. 문제를 겪는 프로그래머는 보통 웹에서 스스로 해답을 찾는다. 블랙홀과 같은 거대 IT 기업은 이메일에 응답하는 일이 결코 없고 전화번호, 심지어 회사 주소조차 쉽게 찾을 수 없기 때문이다.     규모에 관계없이 모두 마찬가지다. 대부분 서비스 약관 깊은 곳에 숨어 있는 조항에 걸려 넘어진 소규모 개발업체의 사례지만 대기업 사례도 많다. 막대한 매출을 올리는 한 대형 게임 업체는 모바일 폰 앱 스토어에 지불하는 상당한 수수료 부과 정책에 반기를 들었지만 애초에 앱 스토어와 상대조차 되지 않는다는 사실만 발견했을 뿐이다. 기술 업계의 가장 큰 갑질 기업이 모바일 앱 스토어에서 당한 억울함을 호소하는, 아이러니한 일이 발생하기도 한다. 거인에게도 감정은 있으니 말이다.  ...

2021.03.04

젊은 세대는 처음 듣는 이야기일 수도 있지만, 예전에 한국전쟁을 무대로 한 “M*A*S*H”라는 재미있는 시트콤이 있었다. 이 시트콤은 무려 11년 동안 방송됐다. 재미를 더하려는 작가들의 의도에 따라 전세의 흐름이 바뀌고 위험이 다가오거나 전장에서 탈주하는 사건이 일어났다. 환자들이 버스에 올라타고, 텐트가 찢어지고, 누군가 “M.A.S.H.에서 M은 Mobile을 의미한다”는 말을 하기도 했다(나머지는 Army Surgical Hospital의 약어).   현대 조직의 IT 직원이 중대한 수술이나 절단 수술에서 회복 중인 환자를 옮길 일은 없겠지만 민첩함을 유지해야 할 필요성은 갈수록 커지는 것 같다. 세심히 쌓아 올린 아키텍처가 나중에 보니 모래수렁 위에 올라가 있음을 발견하는 경우가 늘고 있다. 힘들게 얻은 데이터와 늦은 밤까지 공들여 작성한 코드를 옮겨야 하고, 때로는 당장 이번 주 안에 이동 작업을 완료해야 하는 상황에 처한다.   가장 잘 알려진 사례는 정치적 사례지만 그 외에도 많다. 해커 뉴스(Hacker News)와 같은 게시판에서 간단히 “canceled account(해지된 계정)”를 검색해봐도 결과는 놀라울 정도로 많이 나온다. 문제를 겪는 프로그래머는 보통 웹에서 스스로 해답을 찾는다. 블랙홀과 같은 거대 IT 기업은 이메일에 응답하는 일이 결코 없고 전화번호, 심지어 회사 주소조차 쉽게 찾을 수 없기 때문이다.     규모에 관계없이 모두 마찬가지다. 대부분 서비스 약관 깊은 곳에 숨어 있는 조항에 걸려 넘어진 소규모 개발업체의 사례지만 대기업 사례도 많다. 막대한 매출을 올리는 한 대형 게임 업체는 모바일 폰 앱 스토어에 지불하는 상당한 수수료 부과 정책에 반기를 들었지만 애초에 앱 스토어와 상대조차 되지 않는다는 사실만 발견했을 뿐이다. 기술 업계의 가장 큰 갑질 기업이 모바일 앱 스토어에서 당한 억울함을 호소하는, 아이러니한 일이 발생하기도 한다. 거인에게도 감정은 있으니 말이다.  ...

2021.03.04

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.8