Offcanvas

OSS

오픈소스 보안, '정신 번쩍 차렸다'··· 2022년 쏟아진 보안 이니셔티브 8선

작년 말 로그4j 대란은 그 피해의 규모만큼이나 큰 변화의 계기가 됐다. 아직 한 해가 끝나지 않았음에도 2022년을 ‘오픈소스 보안의 해’라고 불러도 무리가 아닐 정도로 수많은 오픈소스 보안 이니셔티브, 프로젝트 및 지침이 잇따라 공개됐기 때문이다.    오늘날 오픈소스 구성요소는 거의 모든 소프트웨어에 쓰인다. 무수한 개발자가 애용하지만 그만큼 보안 위협 또한 비대해졌다. 따라서 여러 벤더, 조직, 정부 기관 모두 너나할  것 없이 오픈소스 보안을 굳건히 하고자 발 벗고 나섰다.  리눅스재단의 오픈소스 공급망 보안 책임자인 데이비드 휠러는 “2022년에는 그 어느때보다도 오픈소스 보안에 대한 관심이 커졌다. 각 분야의 조직이 자신의 역할을 모색하기 시작했다. 아직 갈 길이 멀지만 확실히 의미 있는 진전을 이뤄냈다”라고 말했다.  윌러는 이어 “오픈소스는 오늘날 거의 모든 소프트웨어의 근간이다”라며 “최근 조사에 따르면 현존하는 모든 애플리케이션 중 70~90%가 오픈소스 소프트웨어(OSS)구성요소를 포함한다. 높은 의존도 자체가 문제는 아니다. 그러나 OSS 보안이 취약하다면 얘기는 달라진다”라고 설명했다.  그는 또한 “기업이 어떤 식으로든 오픈소스 보안을 강화하려면 추가 자원과 계기가 필요하다”라며 “소프트웨어 개발자에게 보안이란 또 다른 요구사항이 되므로 대다수 기업은 도움에 목말라 있다”라고 말했다. 2022년에는 기업을 지원하기 위한 오픈소스 이니셔티브 및 프로젝트가 여럿 출범했다. 이 중 8가지 주요 이니셔티브에 대해 알아본다.    1. 백악관의 오픈소스 보안 서밋 (1월) 지난 1월 백악관은 정부와 민간 부문의 이해관계자를 소집해 오픈소스 소프트웨어의 보안을 개선하기 위한 이니셔티브와 개선을 추진하기 위한 새로운 협업 방식에 대해 논의했다. 회의 참석자로는 앤 뉴버거 사이버 및 신기술 국가안보 부보좌관과 크리스 잉글리스 국가사이버국장을 비롯해 아카마이, 아마...

오픈소스 오픈소스보안 OSS 오픈소스 커뮤니티 오픈소스 SW

2022.09.14

작년 말 로그4j 대란은 그 피해의 규모만큼이나 큰 변화의 계기가 됐다. 아직 한 해가 끝나지 않았음에도 2022년을 ‘오픈소스 보안의 해’라고 불러도 무리가 아닐 정도로 수많은 오픈소스 보안 이니셔티브, 프로젝트 및 지침이 잇따라 공개됐기 때문이다.    오늘날 오픈소스 구성요소는 거의 모든 소프트웨어에 쓰인다. 무수한 개발자가 애용하지만 그만큼 보안 위협 또한 비대해졌다. 따라서 여러 벤더, 조직, 정부 기관 모두 너나할  것 없이 오픈소스 보안을 굳건히 하고자 발 벗고 나섰다.  리눅스재단의 오픈소스 공급망 보안 책임자인 데이비드 휠러는 “2022년에는 그 어느때보다도 오픈소스 보안에 대한 관심이 커졌다. 각 분야의 조직이 자신의 역할을 모색하기 시작했다. 아직 갈 길이 멀지만 확실히 의미 있는 진전을 이뤄냈다”라고 말했다.  윌러는 이어 “오픈소스는 오늘날 거의 모든 소프트웨어의 근간이다”라며 “최근 조사에 따르면 현존하는 모든 애플리케이션 중 70~90%가 오픈소스 소프트웨어(OSS)구성요소를 포함한다. 높은 의존도 자체가 문제는 아니다. 그러나 OSS 보안이 취약하다면 얘기는 달라진다”라고 설명했다.  그는 또한 “기업이 어떤 식으로든 오픈소스 보안을 강화하려면 추가 자원과 계기가 필요하다”라며 “소프트웨어 개발자에게 보안이란 또 다른 요구사항이 되므로 대다수 기업은 도움에 목말라 있다”라고 말했다. 2022년에는 기업을 지원하기 위한 오픈소스 이니셔티브 및 프로젝트가 여럿 출범했다. 이 중 8가지 주요 이니셔티브에 대해 알아본다.    1. 백악관의 오픈소스 보안 서밋 (1월) 지난 1월 백악관은 정부와 민간 부문의 이해관계자를 소집해 오픈소스 소프트웨어의 보안을 개선하기 위한 이니셔티브와 개선을 추진하기 위한 새로운 협업 방식에 대해 논의했다. 회의 참석자로는 앤 뉴버거 사이버 및 신기술 국가안보 부보좌관과 크리스 잉글리스 국가사이버국장을 비롯해 아카마이, 아마...

2022.09.14

오픈소스 SW 보안으로의 중요한 걸음, ‘OSSSMP’란?

‘리눅스 재단(Linux Foundation)’과 ‘오픈SSF(Open-Source Security Foundation; OpenSSF)’의 계획은 오픈소스 소프트웨어 보안을 개선하고 취약점을 효과적으로 해결하기 위한 3가지 목표를 제시한다.  리눅스 재단과 오픈SSF가 ‘OSSSMP(Open-Source Software Security Mobilization Plan)’를 발표했다. 이는 소프트웨어 공급망 공격에 따른 대응조치다. 공급망은 악의적인 행위자에게 매력적인 표적이다. 솔라윈즈(SolarWinds) 및 로그4j(Log4j) 공격이 보여준 것처럼 단일 지점을 공격하여 고객 생태계 전체에 연쇄적인 영향을 미칠 수 있기 때문이다.   조 바이든 미국 대통령이 지난 2021년 발표한 ‘사이버 보안 행정명령’도 소프트웨어 공급망 보안에 초점을 맞추고 있다. 이 행정명령의 ‘소프트웨어 공급망 보안 강화(Enhancing Software Supply Chain Security)’ 섹션은 베스트 프랙티스와 가이드라인에 관한 정부, 학계, 업계의 의견을 요구했다. 현재 美 NIST는 해당 정보를 공개한 상태다. 2022년 초 백악관에서 주최한 ‘소프트웨어 시큐리티 서밋(Software Security Summit)’ 참석자들은 오픈소스 소프트웨어(Open-Source software; OSS) 보안, 생태계 개선, SBOM(Software Bill Of Materials) 도입 가속화 등을 논의했다. 아울러 연방정부는 막대한 구매력을 활용하여 안전한 개발 관행을 시행하고, 정부에 소프트웨어를 판매하는 기업들이 새로운 버전의 NIST SSDF(Secure Software Development Framework)를 준수하는지 증명하도록 촉구했다.  ‘OSSSMP’는 이러한 이니셔티브의 모멘텀이 헛되지 않도록 지원한다. 여기서는 보안 리더를 위해 OSSSMP의 핵심 내용을 정리했다.  OSSSMP의 목표 이 계획에는 3가지...

오픈소스 오픈소스 보안 OSS 리눅스 재단 오픈SSF 공급망 공격 솔라윈즈 로그4j 공급망 보안 취약점 버그 현상금 데브섹옵스 애플리케이션 보안

2022.06.02

‘리눅스 재단(Linux Foundation)’과 ‘오픈SSF(Open-Source Security Foundation; OpenSSF)’의 계획은 오픈소스 소프트웨어 보안을 개선하고 취약점을 효과적으로 해결하기 위한 3가지 목표를 제시한다.  리눅스 재단과 오픈SSF가 ‘OSSSMP(Open-Source Software Security Mobilization Plan)’를 발표했다. 이는 소프트웨어 공급망 공격에 따른 대응조치다. 공급망은 악의적인 행위자에게 매력적인 표적이다. 솔라윈즈(SolarWinds) 및 로그4j(Log4j) 공격이 보여준 것처럼 단일 지점을 공격하여 고객 생태계 전체에 연쇄적인 영향을 미칠 수 있기 때문이다.   조 바이든 미국 대통령이 지난 2021년 발표한 ‘사이버 보안 행정명령’도 소프트웨어 공급망 보안에 초점을 맞추고 있다. 이 행정명령의 ‘소프트웨어 공급망 보안 강화(Enhancing Software Supply Chain Security)’ 섹션은 베스트 프랙티스와 가이드라인에 관한 정부, 학계, 업계의 의견을 요구했다. 현재 美 NIST는 해당 정보를 공개한 상태다. 2022년 초 백악관에서 주최한 ‘소프트웨어 시큐리티 서밋(Software Security Summit)’ 참석자들은 오픈소스 소프트웨어(Open-Source software; OSS) 보안, 생태계 개선, SBOM(Software Bill Of Materials) 도입 가속화 등을 논의했다. 아울러 연방정부는 막대한 구매력을 활용하여 안전한 개발 관행을 시행하고, 정부에 소프트웨어를 판매하는 기업들이 새로운 버전의 NIST SSDF(Secure Software Development Framework)를 준수하는지 증명하도록 촉구했다.  ‘OSSSMP’는 이러한 이니셔티브의 모멘텀이 헛되지 않도록 지원한다. 여기서는 보안 리더를 위해 OSSSMP의 핵심 내용을 정리했다.  OSSSMP의 목표 이 계획에는 3가지...

2022.06.02

김진철의 How-to-Big Data | 빅데이터 조직과 시스템 (13)

애자일 프로젝트 관리란? – 스크럼으로 애자일 맛보기 켄트 벡을 비롯한 일부 소프트웨어 엔지니어들이 왜 소프트웨어 엔지니어들은 항상 야근과 과로에 시달려야 하는가, 소프트웨어 프로젝트는 왜 일정을 맞추지 못하고 과도한 요구 사항 변화와 이로 인한 일정 지연에 시달리고 유난히 실패 위험이 높은 것인가, 소프트웨어 엔지니어들도 일반 직장인들과 같은 평범한 라이프스타일을 가지면서 생산성을 높일 방법은 없는 것인가 하는 문제를 고민하기 시작했다. 이를 위해 이들은 소프트웨어 개발 방식에 새로운 방법론이 필요하다고 생각하게 되었는데 이에 대한 해답으로 제시한 것이 익스트림 프로그래밍과 애자일 방법론이다.  애자일 방법론은 반복적인 과정을 통한 소프트웨어 프로젝트 실패 위험 감소와 소스 코드 품질 향상, 코드 리뷰, 페어 프로그래밍을 통한 소스 코드 품질 향상 및 버그 감소, 정기적인 플래닝과 리뷰를 통한 개발자 간 소통과 소프트웨어 개발의 암묵적인 지식 공유를 통한 위험 감소 등으로 특징 지워진다. 애자일 방법론은 린 소프트웨어 개발 방법론과 함께 일정과 자원이 넉넉지 않은 스타트업들을 중심으로 널리 쓰이기 시작하여 그 효용이 입증되면서 이제는 많은 IT 기업들에서 널리 쓰이는 소프트웨어 프로젝트 관리 방법론이 되었다. 그림 1. 애자일 선언(“The Agile Manifesto”)의 핵심 아이디어를 설명한 그림. 애자일 선언은 과거 폭포수(waterfall) 방식의 소프트웨어 공학 방법론에서 탈피하여, 고객과의 밀접한 소통, 피드백과 소프트웨어 엔지니어 간 소통과 협업, 명세서와 문서화 위주의 소프트웨어 개발보다는 실제 동작하는 소프트웨어 개발을 목표로 하고, 반복적인 소프트웨어 개발을 통한 프로젝트 변경과 변화의 능동적 수용을 기본으로 한다. (그림 출처: https://www.slideshare.net/valtechuk/adapting-agile-to-the-entreprise) 그림 2. 애자일 선언의 핵심 아이디어가 된 익스트림 프로그래밍 방...

애자일 LHC CERN 김진철 칸반 스크럼 OSS 애자일 방법론 스프린트 데이터 과학자 빅데이터 CIO BSS

2019.10.02

애자일 프로젝트 관리란? – 스크럼으로 애자일 맛보기 켄트 벡을 비롯한 일부 소프트웨어 엔지니어들이 왜 소프트웨어 엔지니어들은 항상 야근과 과로에 시달려야 하는가, 소프트웨어 프로젝트는 왜 일정을 맞추지 못하고 과도한 요구 사항 변화와 이로 인한 일정 지연에 시달리고 유난히 실패 위험이 높은 것인가, 소프트웨어 엔지니어들도 일반 직장인들과 같은 평범한 라이프스타일을 가지면서 생산성을 높일 방법은 없는 것인가 하는 문제를 고민하기 시작했다. 이를 위해 이들은 소프트웨어 개발 방식에 새로운 방법론이 필요하다고 생각하게 되었는데 이에 대한 해답으로 제시한 것이 익스트림 프로그래밍과 애자일 방법론이다.  애자일 방법론은 반복적인 과정을 통한 소프트웨어 프로젝트 실패 위험 감소와 소스 코드 품질 향상, 코드 리뷰, 페어 프로그래밍을 통한 소스 코드 품질 향상 및 버그 감소, 정기적인 플래닝과 리뷰를 통한 개발자 간 소통과 소프트웨어 개발의 암묵적인 지식 공유를 통한 위험 감소 등으로 특징 지워진다. 애자일 방법론은 린 소프트웨어 개발 방법론과 함께 일정과 자원이 넉넉지 않은 스타트업들을 중심으로 널리 쓰이기 시작하여 그 효용이 입증되면서 이제는 많은 IT 기업들에서 널리 쓰이는 소프트웨어 프로젝트 관리 방법론이 되었다. 그림 1. 애자일 선언(“The Agile Manifesto”)의 핵심 아이디어를 설명한 그림. 애자일 선언은 과거 폭포수(waterfall) 방식의 소프트웨어 공학 방법론에서 탈피하여, 고객과의 밀접한 소통, 피드백과 소프트웨어 엔지니어 간 소통과 협업, 명세서와 문서화 위주의 소프트웨어 개발보다는 실제 동작하는 소프트웨어 개발을 목표로 하고, 반복적인 소프트웨어 개발을 통한 프로젝트 변경과 변화의 능동적 수용을 기본으로 한다. (그림 출처: https://www.slideshare.net/valtechuk/adapting-agile-to-the-entreprise) 그림 2. 애자일 선언의 핵심 아이디어가 된 익스트림 프로그래밍 방...

2019.10.02

기업이 오픈소스를 좋아하는 10가지 이유

오픈소스 소프트웨어는 느리긴 하지만 기업 영역에 확실히 침투했고 많은 대형 IT 조직들이 리눅스, 하둡, 쿠버네티스, 텐서플로 등에 의존하는 수준까지 기술에 익숙해졌다.   2019년 4월에 공개된 레드햇의 기업 오픈소스 실태 조사에 따르면 IT 리더 중 99%가 오픈소스 소프트웨어가 최소한 자신의 기업 IT 전략에서 "상당히 중요"하게 여기는 것으로 나타났다. 심지어 2016년의 오픈소스 소프트웨어 광고 사이클(Hype Cycle for Open-Source Software)에서도 가트너는 "주류 IT 조직의 95%가 인지하는지 그렇지 않은지 상관없이 업무에 필수적인 IT 포트폴리오 내에서 적지 않은 오픈소스 소프트웨어 자산을 활용하고 있음"을 발견했다. 오랫동안 오픈소스와의 전쟁을 선포했으며 전 CEO 스티브 발머는 리눅스를 ‘암’이라고까지 지칭했던 마이크로소프트를 포함한 기존 기업용 소프트웨어 업체들의 오픈소스 도입으로 이것이 입증되고 있다. 마이크로소프트는 현재 자사를 세계 최대 규모의 오픈소스 기여 기업으로 믿고 있으며 IBM과 SAP 또한 상위 10위권을 유지하고 있고 2018년에는 75억 달러를 들여 오픈소스 소프트웨어의 초기 주창 기업 중 하나인 깃허브와 그 방대한 코드 저장소를 인수했다. 포레스터의 부사장 겸 수석 애널리스트 디에고 로 주디체는 오픈소스에 대한 세계적인 기업들의 태도가 "임원 수준에서도 완전히 바뀌어 내부 IT에서 오픈소스를 사용하고 소비하는 것이 더 이상 CIO와 임원에게 위협이 되지 않는 수준에 이르렀다"라고 말했다. 왜 오픈소스인가(Why Open Source, 데이비드 휠러의 세미나 논문 왜 오픈소스 소프트웨어인가(Why Open Source Software)에서 파생)라는 주제에 대한 자신의 영향력 있는 에세이에서 벤 발터는 이렇게 밝혔다. "오픈소스는 유행이나 불법 물질처럼 홀치기 염색한 노트북을 지나치는 캘리포니아의 히피들과는 다르다. 오픈소스는 현대 조직들 그리고 점차 더욱 전통적인 조직들이 ...

협업 텐서플로 OSS 리눅스 오픈소스 소프트웨어 깃허브 하둡 감사 레드햇 포레스터 마이크로소프트 IBM 가트너 SAP 쿠버네티스

2019.07.09

오픈소스 소프트웨어는 느리긴 하지만 기업 영역에 확실히 침투했고 많은 대형 IT 조직들이 리눅스, 하둡, 쿠버네티스, 텐서플로 등에 의존하는 수준까지 기술에 익숙해졌다.   2019년 4월에 공개된 레드햇의 기업 오픈소스 실태 조사에 따르면 IT 리더 중 99%가 오픈소스 소프트웨어가 최소한 자신의 기업 IT 전략에서 "상당히 중요"하게 여기는 것으로 나타났다. 심지어 2016년의 오픈소스 소프트웨어 광고 사이클(Hype Cycle for Open-Source Software)에서도 가트너는 "주류 IT 조직의 95%가 인지하는지 그렇지 않은지 상관없이 업무에 필수적인 IT 포트폴리오 내에서 적지 않은 오픈소스 소프트웨어 자산을 활용하고 있음"을 발견했다. 오랫동안 오픈소스와의 전쟁을 선포했으며 전 CEO 스티브 발머는 리눅스를 ‘암’이라고까지 지칭했던 마이크로소프트를 포함한 기존 기업용 소프트웨어 업체들의 오픈소스 도입으로 이것이 입증되고 있다. 마이크로소프트는 현재 자사를 세계 최대 규모의 오픈소스 기여 기업으로 믿고 있으며 IBM과 SAP 또한 상위 10위권을 유지하고 있고 2018년에는 75억 달러를 들여 오픈소스 소프트웨어의 초기 주창 기업 중 하나인 깃허브와 그 방대한 코드 저장소를 인수했다. 포레스터의 부사장 겸 수석 애널리스트 디에고 로 주디체는 오픈소스에 대한 세계적인 기업들의 태도가 "임원 수준에서도 완전히 바뀌어 내부 IT에서 오픈소스를 사용하고 소비하는 것이 더 이상 CIO와 임원에게 위협이 되지 않는 수준에 이르렀다"라고 말했다. 왜 오픈소스인가(Why Open Source, 데이비드 휠러의 세미나 논문 왜 오픈소스 소프트웨어인가(Why Open Source Software)에서 파생)라는 주제에 대한 자신의 영향력 있는 에세이에서 벤 발터는 이렇게 밝혔다. "오픈소스는 유행이나 불법 물질처럼 홀치기 염색한 노트북을 지나치는 캘리포니아의 히피들과는 다르다. 오픈소스는 현대 조직들 그리고 점차 더욱 전통적인 조직들이 ...

2019.07.09

'새로운 수세(SUSE)와 오픈스택, 제법 잘 맞는다' 이유는?

지난달 내슈빌에서 열린 SUSEcon에서 공개된 가장 중요한 메시지는 IBM의 레드햇 인수 이후 수세(SUSE)는 세계에서 가장 크고 독립적인 오픈소스 기업이 되었다는 것이었다. 하지만 오픈스택과는 무슨 관계가 있을까? <컴퓨터월드UK>는 이를 확인하기 위해 SUSE의 직원이자 오픈스택 재단의 회장인 앨런 클락을 만나보았다. 이번 주 오픈스택 록키에 기반한 SUSE 오픈스택 클라우드9이 출시되었다. 이번 주 콜로라도의 덴버에서 열린 OIS(Open Infrastructure Summit)에서 클락은 <컴퓨터월드UK>에 "수세는 지금까지 그랬던 것처럼 오픈스택을 솔루션 세트에 포함해 제공할 것이다"라고 밝혔다. "하지만 수세의 전략과 독립적인 오픈소스 기업이라는 점을 고려할 때 그들의 전략이 확장되고 있음을 알 수 있다"라고 덧붙였다.  그에 따르면, 오픈스택이 여전히 수세에게 중요한 부분이지만 수세는 고객들이 ‘완전히 같은 것은 아니다’고 인지하고 있다. "그것들은 단순한 컨테이너가 아니며 단순한 가상머신이 아니다. 단순한 베어메탈 기기도 아니며 윈도우나 리눅스도 아니다. 그리고 호환을 위해서는 이런 것들이 필요하다. 따라서 베어메탈 서비스를 이용하기 위해서는 컨테이너와 호환되는 가상머신이 필요하다. 베어메탈 사용이 크게 확대되고 있으며 머신러닝과 데이터 분석의 활용에 기인하고 있다. 따라서 이 모든 새로운 기술을 지원하는 인프라가 필요하다"라고 클락은 설명했다.  이 메시지는 분명 이번 주에 열린 OIS에 참여한 여러 연사들의 메시지와 일맥상통한다. OSS(OpenStack Summit)라 불렸던 이 행사는 오픈스택이 여전히 핵심이지만 쿠버네티스와 오픈스택이 잘 호환되도록 개발된 클라우드 프로비저닝 및 관리 툴인 에어쉽 등이 독립적으로 작동할 수 있다는 점을 강조하면서 새로운 브랜드를 부여하는 첫 번째 이벤트다. 모두가 상호운용성에 관해 ...

인터페이스 SUSE 오픈스택 클라우드9 OpenStack Summit SUSE 쿠버네티스 수세 OSS 리눅스 베어메탈 커뮤니티 표준 오픈스택 레드햇 IBM 오픈소스 파운데이션

2019.05.09

지난달 내슈빌에서 열린 SUSEcon에서 공개된 가장 중요한 메시지는 IBM의 레드햇 인수 이후 수세(SUSE)는 세계에서 가장 크고 독립적인 오픈소스 기업이 되었다는 것이었다. 하지만 오픈스택과는 무슨 관계가 있을까? <컴퓨터월드UK>는 이를 확인하기 위해 SUSE의 직원이자 오픈스택 재단의 회장인 앨런 클락을 만나보았다. 이번 주 오픈스택 록키에 기반한 SUSE 오픈스택 클라우드9이 출시되었다. 이번 주 콜로라도의 덴버에서 열린 OIS(Open Infrastructure Summit)에서 클락은 <컴퓨터월드UK>에 "수세는 지금까지 그랬던 것처럼 오픈스택을 솔루션 세트에 포함해 제공할 것이다"라고 밝혔다. "하지만 수세의 전략과 독립적인 오픈소스 기업이라는 점을 고려할 때 그들의 전략이 확장되고 있음을 알 수 있다"라고 덧붙였다.  그에 따르면, 오픈스택이 여전히 수세에게 중요한 부분이지만 수세는 고객들이 ‘완전히 같은 것은 아니다’고 인지하고 있다. "그것들은 단순한 컨테이너가 아니며 단순한 가상머신이 아니다. 단순한 베어메탈 기기도 아니며 윈도우나 리눅스도 아니다. 그리고 호환을 위해서는 이런 것들이 필요하다. 따라서 베어메탈 서비스를 이용하기 위해서는 컨테이너와 호환되는 가상머신이 필요하다. 베어메탈 사용이 크게 확대되고 있으며 머신러닝과 데이터 분석의 활용에 기인하고 있다. 따라서 이 모든 새로운 기술을 지원하는 인프라가 필요하다"라고 클락은 설명했다.  이 메시지는 분명 이번 주에 열린 OIS에 참여한 여러 연사들의 메시지와 일맥상통한다. OSS(OpenStack Summit)라 불렸던 이 행사는 오픈스택이 여전히 핵심이지만 쿠버네티스와 오픈스택이 잘 호환되도록 개발된 클라우드 프로비저닝 및 관리 툴인 에어쉽 등이 독립적으로 작동할 수 있다는 점을 강조하면서 새로운 브랜드를 부여하는 첫 번째 이벤트다. 모두가 상호운용성에 관해 ...

2019.05.09

김진철의 How-to-Big Data | 빅데이터와 클라우드 기술 (6)

CMS 온라인 데이터 수집 시스템의 모니터링 문제 흔히 모니터링하면 어떤 시스템의 상태를 관찰하고 운영하기 위해 필수적으로 만들어야 하는 기능이기도 하면서, 왠지 첨단 기술이 들어가지 않는 허드렛일이라는 생각을 많이 하게 되는 것 같다. 하지만, LCG와 같이 전 지구에 걸쳐 모니터링할 시스템이 흩어져 있어 모니터링할 시스템의 정보를 모아 수집하기가 어려운 경우, XDAQ이 운영되는 CMS 온라인 데이터 수집 시스템과 같이 그 시스템의 요구사항 수준이 높고 구성이 복잡하다. 구성하는 노드 수가 많은 시스템 같은 경우에는 시스템의 문제를 쉽게 발견하고, 해결하여 장애 없는 운영을 지원할 수 있는 효과적인 모니터링 시스템을 만드는 것 자체가 큰 기술적인 난제가 된다. 왜 그런지 한번 같이 생각해보자. XDAQ 미들웨어가 운영되었던 CMS 온라인 데이터 수집 시스템에서의 모니터링 문제를 같이 한번 생각해보기로 하자. 이 문제는 필자가 XDAQ 개발팀에서 일할 때 해결하기 위해 노력했던 문제 중의 하나로, 운영 지원 시스템(Operation Support System; OSS)에서 운영 지능화(operation intelligence) 시스템을 구축하는 것이 왜 중요한지 생각해보는 좋은 예가 될 것으로 생각한다. 필자가 XDAQ 팀에서 일했던 당시 CMS 온라인 데이터 수집 시스템 개발에서 풀어야 했던 문제 중의 하나가 CMS 온라인 데이터 수집 시스템 응용 프로그램을 개발하는 소프트웨어 엔지니어들이 어떻게 XDAQ을 이용해서 모니터링과 상태 진단 기능을 쉽게 개발하느냐는 것이었다. 데이터베이스에 저장된 시스템 상태 정보값만을 가져다가 시간값과 함께 그래프나 차트 소프트웨어를 이용해서 그냥 그려주면 되지 않겠어라고 생각하는 독자가 있을지 모르겠지만, 그렇게 간단한 문제가 아니라는 것을 같이 생각해보자. 첫번째로, XDAQ 응용 프로그램의 모니터링 정보가 하나의 서버에 모여 있지 않는다는 것이다. 지난 열세번째 글에서 필자가 설명했듯이 X...

CIO root MOLAP ROLAP PALO 넘파이 파이둡 파이스파크 엑스큐브 BSS 싸이파이 CERN 김진철 빅데이터 하둡 스플렁크 파이썬 데브옵스 R OSS 스파크 큐레이션 마이크로소프트 엑셀

2018.02.26

CMS 온라인 데이터 수집 시스템의 모니터링 문제 흔히 모니터링하면 어떤 시스템의 상태를 관찰하고 운영하기 위해 필수적으로 만들어야 하는 기능이기도 하면서, 왠지 첨단 기술이 들어가지 않는 허드렛일이라는 생각을 많이 하게 되는 것 같다. 하지만, LCG와 같이 전 지구에 걸쳐 모니터링할 시스템이 흩어져 있어 모니터링할 시스템의 정보를 모아 수집하기가 어려운 경우, XDAQ이 운영되는 CMS 온라인 데이터 수집 시스템과 같이 그 시스템의 요구사항 수준이 높고 구성이 복잡하다. 구성하는 노드 수가 많은 시스템 같은 경우에는 시스템의 문제를 쉽게 발견하고, 해결하여 장애 없는 운영을 지원할 수 있는 효과적인 모니터링 시스템을 만드는 것 자체가 큰 기술적인 난제가 된다. 왜 그런지 한번 같이 생각해보자. XDAQ 미들웨어가 운영되었던 CMS 온라인 데이터 수집 시스템에서의 모니터링 문제를 같이 한번 생각해보기로 하자. 이 문제는 필자가 XDAQ 개발팀에서 일할 때 해결하기 위해 노력했던 문제 중의 하나로, 운영 지원 시스템(Operation Support System; OSS)에서 운영 지능화(operation intelligence) 시스템을 구축하는 것이 왜 중요한지 생각해보는 좋은 예가 될 것으로 생각한다. 필자가 XDAQ 팀에서 일했던 당시 CMS 온라인 데이터 수집 시스템 개발에서 풀어야 했던 문제 중의 하나가 CMS 온라인 데이터 수집 시스템 응용 프로그램을 개발하는 소프트웨어 엔지니어들이 어떻게 XDAQ을 이용해서 모니터링과 상태 진단 기능을 쉽게 개발하느냐는 것이었다. 데이터베이스에 저장된 시스템 상태 정보값만을 가져다가 시간값과 함께 그래프나 차트 소프트웨어를 이용해서 그냥 그려주면 되지 않겠어라고 생각하는 독자가 있을지 모르겠지만, 그렇게 간단한 문제가 아니라는 것을 같이 생각해보자. 첫번째로, XDAQ 응용 프로그램의 모니터링 정보가 하나의 서버에 모여 있지 않는다는 것이다. 지난 열세번째 글에서 필자가 설명했듯이 X...

2018.02.26

올해 주목해야 할 사이버보안 기술 10선

오늘날 IT시장에서 주요 관심사 중 하나는 사이버 보안이며, 관련 업체가 쉴새 없이 제품을 출시하고 있다. 하지만 이로 인해 시장에서 과장 광고와 잡음이 많아지면서 미래의 기회를 찾고자 하는 파트너들에게 혼란을 일으키고 있다. 가트너의 애널리스트 네일 맥도날드는 "2017년에도 기업 IT에 대한 위협 수준은 여전히 높을 것이며 언론에서는 대규모 유출과 공격에 대한 기사가 쏟아질 것이다”고 말했다. 맥도날드에 따르면, 공격자의 역량이 향상되면서 기업도 네트워크 접근을 보호하고 공격을 방어할 수 있는 능력을 키워야 한다. 그는 “보안 및 위험 책임자들은 반드시 최신 기술을 평가하고 도입하여 고급 공격에 대비하고 디지털 비즈니스 혁신을 가능하게 하면서 클라우드, 모바일, 데브옵스(DevOps) 등의 새로운 컴퓨팅 스타일을 포용해야 한다”고 이야기했다. 가트너가 선정한 2017년의 주요 정보보안 기술은 다음과 같다. 클라우드 작업 부하 보호 플랫폼과 클라우드 접근 보안 브로커 최신 데이터센터는 물리적인 기기, 가상머신(VM), 컨테이너(Container), 프라이빗 클라우드 인프라로 구동하는 작업 부하를 지원하며, 하나 이상의 퍼블릭 클라우드 IaaS(Infrastructure as a Service) 제공자가 구동하는 작업 부하 중 일부를 거의 항상 보유하고 있다. 하이브리드 CWPP(Cloud Workload Protection Platform)는 정보보안 책임자에게 단일 관리 콘솔과 작업 부하 운용 위치에 상관없이 보안 정책을 명시하는 통일된 방식을 이용해 이런 작업 부하를 보호하는 통합된 방식을 제공한다. 또한 CASB(Cloud Access Security Broker)는 클라우드 서비스 및 모바일 사용량 급증으로 인한 보안 공백을 해소한다. CASB는 정보보안 전문가에게 사용자나 기기에 상관없이 복수의 클라우드 서비스에서 동시에 단일 제어점을 제공한다. S...

가트너 SCA Software-Defined Perimeter 데브시큐옵스 DevSecOps 2017년 CASB OSS 소프트웨어 정의 데브옵스 SDP 엔드포인트 사이버보안 컨테이너 브라우저 Software Composition Analysis

2017.06.21

오늘날 IT시장에서 주요 관심사 중 하나는 사이버 보안이며, 관련 업체가 쉴새 없이 제품을 출시하고 있다. 하지만 이로 인해 시장에서 과장 광고와 잡음이 많아지면서 미래의 기회를 찾고자 하는 파트너들에게 혼란을 일으키고 있다. 가트너의 애널리스트 네일 맥도날드는 "2017년에도 기업 IT에 대한 위협 수준은 여전히 높을 것이며 언론에서는 대규모 유출과 공격에 대한 기사가 쏟아질 것이다”고 말했다. 맥도날드에 따르면, 공격자의 역량이 향상되면서 기업도 네트워크 접근을 보호하고 공격을 방어할 수 있는 능력을 키워야 한다. 그는 “보안 및 위험 책임자들은 반드시 최신 기술을 평가하고 도입하여 고급 공격에 대비하고 디지털 비즈니스 혁신을 가능하게 하면서 클라우드, 모바일, 데브옵스(DevOps) 등의 새로운 컴퓨팅 스타일을 포용해야 한다”고 이야기했다. 가트너가 선정한 2017년의 주요 정보보안 기술은 다음과 같다. 클라우드 작업 부하 보호 플랫폼과 클라우드 접근 보안 브로커 최신 데이터센터는 물리적인 기기, 가상머신(VM), 컨테이너(Container), 프라이빗 클라우드 인프라로 구동하는 작업 부하를 지원하며, 하나 이상의 퍼블릭 클라우드 IaaS(Infrastructure as a Service) 제공자가 구동하는 작업 부하 중 일부를 거의 항상 보유하고 있다. 하이브리드 CWPP(Cloud Workload Protection Platform)는 정보보안 책임자에게 단일 관리 콘솔과 작업 부하 운용 위치에 상관없이 보안 정책을 명시하는 통일된 방식을 이용해 이런 작업 부하를 보호하는 통합된 방식을 제공한다. 또한 CASB(Cloud Access Security Broker)는 클라우드 서비스 및 모바일 사용량 급증으로 인한 보안 공백을 해소한다. CASB는 정보보안 전문가에게 사용자나 기기에 상관없이 복수의 클라우드 서비스에서 동시에 단일 제어점을 제공한다. S...

2017.06.21

가트너 기고 | 오픈소스 SW 품질 및 보안에 대한 올바른 이해

오픈소스 소프트웨어(OSS: Open Source Software)는 클로즈드소스 소프트웨어(CSS: Closed Source Software) 보다 태생적으로 품질이 좋고 보안이 강력한 것일까? 소프트웨어 개발자들 사이에서 이 질문에 대한 의견은 오랫동안 분분했다. 일부 사람들은 OSS가 취미로 소프트웨어 개발을 하던 사람들의 결과물이기 때문에 CSS 개발에 비해 참여자들의 성실함이나 모범사례들이 간과되는 경향이 있다고 말한다. 그러나 대부분의 사람들은 오픈소스 모델이 ‘투명’한 속성을 지니고 있기 때문에 당연히 클로즈드소스보다 품질 및 보안이 뛰어날 것이라고 주장한다. 하지만 실제 IT 프로젝트의 보안 수준이나 최종 결과물의 품질은 OSS 나 CSS 의 속성 때문에 달라지는 것이 아니라, 각 프로젝트 별로 적용되는 거버넌스 및 기술 등 다양한 요소에 의해 결정된다. 따라서, IT 리더들은 OSS에 대한 모든 고정관념들을 내려놓고, 각 프로젝트에 적용되는 OSS를 개별 검토하여 품질 및 보안을 평가해야 한다. 이를 통해서만 기업의 성공적인 장기 IT 로드맵을 수립할 수 있다. 가트너는 2016년까지 최소 95%의 IT 조직들이 중요한 기업 IT 포트폴리오에 OSS를 이용할 것으로 예측하고 있다. 소위 ‘주류’ IT 과업들에 OSS의 사용이 증가하면서, 2020년까지 OSS로 인해 발생되는 품질 및 보안 결함 문제들도 상당히 증가할 전망이다. 기업 내에서 OSS를 활용할 경우 리스크는 최소화하고 가치는 최대화하기 위해 다음과 같은 사항들을 고려해야 한다. OSS가 당연히 품질이 뛰어날 것이라는 생각을 버려라 오픈소스 모델은 투명성을 특징으로 하기 때문에 프로젝트 운영이 원활하고 협업이 잘 될 경우 ‘중간’ 이상의 품질을 보장할 수 있다. 이 때문에, 다수의 사람들이 OSS가 본질적으로 CSS 보다 품질이 뛰어나다고 생각한다. 이를 뒷받침 하는...

보안 오픈소스 소프트웨어 CSS 결함 가트너 기고 OSS

2014.07.18

오픈소스 소프트웨어(OSS: Open Source Software)는 클로즈드소스 소프트웨어(CSS: Closed Source Software) 보다 태생적으로 품질이 좋고 보안이 강력한 것일까? 소프트웨어 개발자들 사이에서 이 질문에 대한 의견은 오랫동안 분분했다. 일부 사람들은 OSS가 취미로 소프트웨어 개발을 하던 사람들의 결과물이기 때문에 CSS 개발에 비해 참여자들의 성실함이나 모범사례들이 간과되는 경향이 있다고 말한다. 그러나 대부분의 사람들은 오픈소스 모델이 ‘투명’한 속성을 지니고 있기 때문에 당연히 클로즈드소스보다 품질 및 보안이 뛰어날 것이라고 주장한다. 하지만 실제 IT 프로젝트의 보안 수준이나 최종 결과물의 품질은 OSS 나 CSS 의 속성 때문에 달라지는 것이 아니라, 각 프로젝트 별로 적용되는 거버넌스 및 기술 등 다양한 요소에 의해 결정된다. 따라서, IT 리더들은 OSS에 대한 모든 고정관념들을 내려놓고, 각 프로젝트에 적용되는 OSS를 개별 검토하여 품질 및 보안을 평가해야 한다. 이를 통해서만 기업의 성공적인 장기 IT 로드맵을 수립할 수 있다. 가트너는 2016년까지 최소 95%의 IT 조직들이 중요한 기업 IT 포트폴리오에 OSS를 이용할 것으로 예측하고 있다. 소위 ‘주류’ IT 과업들에 OSS의 사용이 증가하면서, 2020년까지 OSS로 인해 발생되는 품질 및 보안 결함 문제들도 상당히 증가할 전망이다. 기업 내에서 OSS를 활용할 경우 리스크는 최소화하고 가치는 최대화하기 위해 다음과 같은 사항들을 고려해야 한다. OSS가 당연히 품질이 뛰어날 것이라는 생각을 버려라 오픈소스 모델은 투명성을 특징으로 하기 때문에 프로젝트 운영이 원활하고 협업이 잘 될 경우 ‘중간’ 이상의 품질을 보장할 수 있다. 이 때문에, 다수의 사람들이 OSS가 본질적으로 CSS 보다 품질이 뛰어나다고 생각한다. 이를 뒷받침 하는...

2014.07.18

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.6