Offcanvas

������

한 줄 코드가 낳았던 보안 위기··· 허트블리드 버그 A to Z

2014년 4월에 선보인 OpenSSL의 취약성 허트블리드(Heartbleed)는 야후(Yahoo) 같은 주요 사이트를 구동하는 수천 개의 웹 서버에 존재했다. OpenSSL은 ‘TLS & SSL 프로토콜’을 구현하는 오픈소스 코드 라이브러리이다. 이 취약성 때문에 악의적인 공격자가 취약한 웹 서버를 손쉽게 속여 사용자 이름과 비밀번호 등의 민감한 정보를 전송하도록 할 수 있었다. 이 결함은 TLS/SSL 표준 자체보다 OpenSSL 구현에 있었지만 문제는 OpenSSL이 너무 광범위하게 사용되고 있다는 점이다(버그가 공개되었을 때, 전체 SSL 서버의 17%가 영향을 받았다).   허트블리드를 허트블리드라 부르는 이유? ‘허트블리드’라는 이름은 TLS/SSL 프로토콜의 중요한 구성요소의 이름인 ‘heartbeat’에서 유래했다. ‘heartbeat’는 사용자가 다운로드 또는 업로드를 하지 않고 있는 순간에 서로 통신하는 2개의 컴퓨터가 여전히 연결되어 있음을 서로에게 알려주는 방식이다. 때로는 두 컴퓨터 중 하나가 다른 컴퓨터에게 ‘heartbeat request’라는 암호화된 데이터를 전송한다. 두번째 컴퓨터는 정확히 동일한 암호화된 데이터로 응답하여 연결되어 있음을 증명한다. 허트블리드 취약성은 공격자가 ‘heartbeat request’를 사용하여 대상 서버로부터 정보를 추출할 수 있기 때문에 이름이 붙여졌다. 은유적으로 표현하자면, 피해자는 ‘heartbeat request’를 통해 민감한 데이터를 유출(bleed)한다. 허트블리드는 어떻게 작동하는가? 허트블리드는 민감한 사실 하나에 기반한다. ‘heartbeat request’에는 자체 길이에 대한 정보가 포함되어 있지만 취약한 버전의 OpenSSL 라이브러리는 정보가 정확한지 확인하지 않으며 공격자는 이를 활용해 대상 서버가 비공개로 유지되어야 하는 메모리 부분에 대한 공격자의 액세스를 허용하도록 속일 수 있다. 그 이면의 메커니즘을 이해하기 위해 전형적인 OpenSSL...

버그 하트블리드 허트블리트 역사 OpenSSL

2022.09.08

2014년 4월에 선보인 OpenSSL의 취약성 허트블리드(Heartbleed)는 야후(Yahoo) 같은 주요 사이트를 구동하는 수천 개의 웹 서버에 존재했다. OpenSSL은 ‘TLS & SSL 프로토콜’을 구현하는 오픈소스 코드 라이브러리이다. 이 취약성 때문에 악의적인 공격자가 취약한 웹 서버를 손쉽게 속여 사용자 이름과 비밀번호 등의 민감한 정보를 전송하도록 할 수 있었다. 이 결함은 TLS/SSL 표준 자체보다 OpenSSL 구현에 있었지만 문제는 OpenSSL이 너무 광범위하게 사용되고 있다는 점이다(버그가 공개되었을 때, 전체 SSL 서버의 17%가 영향을 받았다).   허트블리드를 허트블리드라 부르는 이유? ‘허트블리드’라는 이름은 TLS/SSL 프로토콜의 중요한 구성요소의 이름인 ‘heartbeat’에서 유래했다. ‘heartbeat’는 사용자가 다운로드 또는 업로드를 하지 않고 있는 순간에 서로 통신하는 2개의 컴퓨터가 여전히 연결되어 있음을 서로에게 알려주는 방식이다. 때로는 두 컴퓨터 중 하나가 다른 컴퓨터에게 ‘heartbeat request’라는 암호화된 데이터를 전송한다. 두번째 컴퓨터는 정확히 동일한 암호화된 데이터로 응답하여 연결되어 있음을 증명한다. 허트블리드 취약성은 공격자가 ‘heartbeat request’를 사용하여 대상 서버로부터 정보를 추출할 수 있기 때문에 이름이 붙여졌다. 은유적으로 표현하자면, 피해자는 ‘heartbeat request’를 통해 민감한 데이터를 유출(bleed)한다. 허트블리드는 어떻게 작동하는가? 허트블리드는 민감한 사실 하나에 기반한다. ‘heartbeat request’에는 자체 길이에 대한 정보가 포함되어 있지만 취약한 버전의 OpenSSL 라이브러리는 정보가 정확한지 확인하지 않으며 공격자는 이를 활용해 대상 서버가 비공개로 유지되어야 하는 메모리 부분에 대한 공격자의 액세스를 허용하도록 속일 수 있다. 그 이면의 메커니즘을 이해하기 위해 전형적인 OpenSSL...

2022.09.08

기고 | ‘SW는 온실 속 화초일수록 좋다’··· SaaS의 개발·배포 혁신 4가지

서비스형 소프트웨어(Software as a Service)는 더 나은 방식으로 SW를 개발 및 배포하도록 해줄 뿐만 아니라, 고객의 요구를 더 효과적으로 충족하도록 지원한다.      인터넷 초창기에는 웹 애플리케이션이 거의 없었다. 윈도우, 리눅스, 매킨토시 운영체제용 앱이 압도적 대다수였다. 그 당시 소프트웨어 배포란 바이너리를 서버에 업로드 하거나 윈도우 인스톨러를 만들어 CM-ROM에 담아 상점에서 파는 식이었다.  릴리즈 주기도 매우 길었다. 빨라야 1년에 한 번 정도였다. 개발 주기는 기껏해야 주 단위로 계획됐고 버그를 발견하고 해결하기까지는 몇 달이 걸렸다. 게다가 매 릴리즈는 모놀리식 방식이었다. 따라서 하나하나가 완벽해야 했다. 버그 픽스를 배포할 기회 자체가 드물었다.  오늘날의 소프트웨어 개발 주기는 훨씬 더 빨라졌다. 서비스형 소프트웨어(SaaS) 애플리케이션 덕분이다. 요즘 개발되는 애플리케이션의 상당 부분이 이에 기반한다. SaaS 앱은 대개 JSON 기반의 백엔드 API로 모종의 브라우저와 통신한다. 애플 및 안드로이드 스마트폰의 네이티브 앱과도 통신할 수 있지만 점점 앱이 동작하는 하드웨어가 무관해지고 있다.  아무튼, 프론트엔드의 상황과 별개로 SaaS 앱의 전체적인 접근방식은 윈도우 및 맥용 앱의 개발·배포 방식과 극적으로 다르다. 몇 달이 아닌 몇 분 안에 수정, 업데이트 그리고 배포까지 가능한 SaaS 앱은 소프트웨어 개발의 개념 자체를 바꿔 놓았다. 그렇다면 SaaS 앱은 구체적으로 어떻게 이렇게 널리 퍼졌으며 많은 개발자가 사랑하는 개발 방식으로 자리 잡았을까?  다음 4가지 이유를 들 수 있다. 1.    개발 팀이 코드 실행 전부를 통제한다.  2.    코드가 명확히 규정된, 고도로 통제된 환경에서 실행된다. 3.    즉각적이고 자주 업데이트를 배...

SaaS 개발주기 개발팀 버그 브라우저 코드배포

2022.08.18

서비스형 소프트웨어(Software as a Service)는 더 나은 방식으로 SW를 개발 및 배포하도록 해줄 뿐만 아니라, 고객의 요구를 더 효과적으로 충족하도록 지원한다.      인터넷 초창기에는 웹 애플리케이션이 거의 없었다. 윈도우, 리눅스, 매킨토시 운영체제용 앱이 압도적 대다수였다. 그 당시 소프트웨어 배포란 바이너리를 서버에 업로드 하거나 윈도우 인스톨러를 만들어 CM-ROM에 담아 상점에서 파는 식이었다.  릴리즈 주기도 매우 길었다. 빨라야 1년에 한 번 정도였다. 개발 주기는 기껏해야 주 단위로 계획됐고 버그를 발견하고 해결하기까지는 몇 달이 걸렸다. 게다가 매 릴리즈는 모놀리식 방식이었다. 따라서 하나하나가 완벽해야 했다. 버그 픽스를 배포할 기회 자체가 드물었다.  오늘날의 소프트웨어 개발 주기는 훨씬 더 빨라졌다. 서비스형 소프트웨어(SaaS) 애플리케이션 덕분이다. 요즘 개발되는 애플리케이션의 상당 부분이 이에 기반한다. SaaS 앱은 대개 JSON 기반의 백엔드 API로 모종의 브라우저와 통신한다. 애플 및 안드로이드 스마트폰의 네이티브 앱과도 통신할 수 있지만 점점 앱이 동작하는 하드웨어가 무관해지고 있다.  아무튼, 프론트엔드의 상황과 별개로 SaaS 앱의 전체적인 접근방식은 윈도우 및 맥용 앱의 개발·배포 방식과 극적으로 다르다. 몇 달이 아닌 몇 분 안에 수정, 업데이트 그리고 배포까지 가능한 SaaS 앱은 소프트웨어 개발의 개념 자체를 바꿔 놓았다. 그렇다면 SaaS 앱은 구체적으로 어떻게 이렇게 널리 퍼졌으며 많은 개발자가 사랑하는 개발 방식으로 자리 잡았을까?  다음 4가지 이유를 들 수 있다. 1.    개발 팀이 코드 실행 전부를 통제한다.  2.    코드가 명확히 규정된, 고도로 통제된 환경에서 실행된다. 3.    즉각적이고 자주 업데이트를 배...

2022.08.18

현상금 100억 원도 나왔다··· 버그 바운티에 열 올리는 암호화폐 업계

현상금이 무려 미화 1,000만 달러(한화 약 119억 원)나 된다면 적절한 스킬을 갖춘 사람에게 암호화폐 취약점 사냥은 수지맞는 돈벌이다. 아울러 이는 전통적인 버그 현상금 역시 높일 것이라고 예상된다.  막대한 돈이 걸린 암호화폐 및 블록체인 프로젝트가 늘어나고 그 가치가 치솟으면서 2021년 한 해에만 암호화폐 사기꾼들은 140억 달러(한화 약 16조 원)를 훔쳐 갔다. 이러한 암호화폐 절도는 2022년에도 계속되고 있다.  불과 한 달 전인 지난달 17일 크립토닷컴(Crypto.com)은 3,000만 달러의 실물 화폐를, 이어 28일 큐빗 파이낸스(Qubit Finance)는 약 8,000만 달러의 암호화폐를 도난당했다. 이번 달에는 사상 두 번째로 큰 규모의 탈중앙화 금융(Decentralize Finance; DeFi) 절도 사건이 발생했다. 한 해커가 (이더리움과 솔라나 블록체인을 연결하는 크로스체인 프로토콜인) 웜홀(Wormhole)의 토큰 교환 브리지를 해킹해 3억 2,000만 달러 상당의 이더리움을 훔친 것이다.  현재까지 역대 최대 규모의 암호화폐 해킹은 지난 2021년 8월 발생했다. 여러 암호화폐 토큰을 교환할 수 있게 해주는 탈중앙화 금융 플랫폼 폴리 네트워크(Poly Network)가 6억 달러(한화 약 7,000억 원) 이상의 해킹 피해를 입었다. 이례적으로 폴리는 도난당한 6억 달러를 돌려받았으며, 해당 해커에 50만 달러를 버그 현상금 명목으로 제공했다. 이는 기존 암호화폐 버그 현상금 프로그램에서 일반적으로 주는 금액보다 6배 더 많았다.    현재 상한가는 200만 달러   2021년 말 기준 암호화폐 시장의 시가총액이 3조 달러를 돌파할 정도로 많은 돈이 걸려 있기 때문에 암호화폐 업계의 버그 현상금이 치솟는 것도 놀라운 일은 아니다. 일주일 전, 유명 화이트햇 해커인 제이 프리먼은 공격자가 임의의 수량으로 토큰을 인쇄할 수 있는 버그를 발견하여 이더리움 레이어...

암호화폐 버그 현상금 버그바운티 취약점 블록체인 크립토닷컴 큐빗 파이낸스 탈중앙화 금융 디파이 이더리움 해킹 웹3 버그 해커 화이트 해커 포상금 현상금

2022.02.21

현상금이 무려 미화 1,000만 달러(한화 약 119억 원)나 된다면 적절한 스킬을 갖춘 사람에게 암호화폐 취약점 사냥은 수지맞는 돈벌이다. 아울러 이는 전통적인 버그 현상금 역시 높일 것이라고 예상된다.  막대한 돈이 걸린 암호화폐 및 블록체인 프로젝트가 늘어나고 그 가치가 치솟으면서 2021년 한 해에만 암호화폐 사기꾼들은 140억 달러(한화 약 16조 원)를 훔쳐 갔다. 이러한 암호화폐 절도는 2022년에도 계속되고 있다.  불과 한 달 전인 지난달 17일 크립토닷컴(Crypto.com)은 3,000만 달러의 실물 화폐를, 이어 28일 큐빗 파이낸스(Qubit Finance)는 약 8,000만 달러의 암호화폐를 도난당했다. 이번 달에는 사상 두 번째로 큰 규모의 탈중앙화 금융(Decentralize Finance; DeFi) 절도 사건이 발생했다. 한 해커가 (이더리움과 솔라나 블록체인을 연결하는 크로스체인 프로토콜인) 웜홀(Wormhole)의 토큰 교환 브리지를 해킹해 3억 2,000만 달러 상당의 이더리움을 훔친 것이다.  현재까지 역대 최대 규모의 암호화폐 해킹은 지난 2021년 8월 발생했다. 여러 암호화폐 토큰을 교환할 수 있게 해주는 탈중앙화 금융 플랫폼 폴리 네트워크(Poly Network)가 6억 달러(한화 약 7,000억 원) 이상의 해킹 피해를 입었다. 이례적으로 폴리는 도난당한 6억 달러를 돌려받았으며, 해당 해커에 50만 달러를 버그 현상금 명목으로 제공했다. 이는 기존 암호화폐 버그 현상금 프로그램에서 일반적으로 주는 금액보다 6배 더 많았다.    현재 상한가는 200만 달러   2021년 말 기준 암호화폐 시장의 시가총액이 3조 달러를 돌파할 정도로 많은 돈이 걸려 있기 때문에 암호화폐 업계의 버그 현상금이 치솟는 것도 놀라운 일은 아니다. 일주일 전, 유명 화이트햇 해커인 제이 프리먼은 공격자가 임의의 수량으로 토큰을 인쇄할 수 있는 버그를 발견하여 이더리움 레이어...

2022.02.21

“윈도우 11의 SSD 버그, 마침내 해결 유력”

사용 중인 SSD에서 알 수 없는 속도 저하 현상이 여전히 발생하고 있다면 윈도우 11 업데이트 KB5008353에 주목할 필요가 있다.  윈도우 11의 성가신 SSD 버그가 마침내 수정될 전망이다. 작년 윈도우 11 사용자 일부에서 이유를 알기 어려운 SSD 속도 저하 현상이 나타났다. 특히 특정 NVMe SSD 드라이브에서 유독 쓰기 속도가 느려지는 문제가 빈번했다. 마이크로소프트는 작년 배포한 KB5007262 패치에서 해당 문제를 해결했다고 주장했던 바 있다.  그러나 문제가 완전히 해결됐는지 불확실했던 가운데 마이크로소프트가 또 다른 패치인 KB5008353를 오는 8일 발표되며, 이 패치가 문제를 해결하는 것으로 관측된다고 윈도우 레이티스트(Windows Latest)가 전했다.  이 미디어에 따르면 이 패치는 SSD가 여전히 정상 성능을 회복하지 못한 몇 가지 작은 이상값을 처리하는 것으로 확인됐다. 단 이 업데이트는 문제가 발견되지 않은 경우 설치할 필요가 없는 선택적 업데이트다.  한편 마이크로소프트는 2월 중 작업 표시줄을 일부 개선하고 안드로이드 앱 구동 기능을 내장한 피처 업데이트를 공개할 예정이다. ciokr@idg.co.kr

SSD 윈도우 11 KB5008353 패치 버그

2022.02.03

사용 중인 SSD에서 알 수 없는 속도 저하 현상이 여전히 발생하고 있다면 윈도우 11 업데이트 KB5008353에 주목할 필요가 있다.  윈도우 11의 성가신 SSD 버그가 마침내 수정될 전망이다. 작년 윈도우 11 사용자 일부에서 이유를 알기 어려운 SSD 속도 저하 현상이 나타났다. 특히 특정 NVMe SSD 드라이브에서 유독 쓰기 속도가 느려지는 문제가 빈번했다. 마이크로소프트는 작년 배포한 KB5007262 패치에서 해당 문제를 해결했다고 주장했던 바 있다.  그러나 문제가 완전히 해결됐는지 불확실했던 가운데 마이크로소프트가 또 다른 패치인 KB5008353를 오는 8일 발표되며, 이 패치가 문제를 해결하는 것으로 관측된다고 윈도우 레이티스트(Windows Latest)가 전했다.  이 미디어에 따르면 이 패치는 SSD가 여전히 정상 성능을 회복하지 못한 몇 가지 작은 이상값을 처리하는 것으로 확인됐다. 단 이 업데이트는 문제가 발견되지 않은 경우 설치할 필요가 없는 선택적 업데이트다.  한편 마이크로소프트는 2월 중 작업 표시줄을 일부 개선하고 안드로이드 앱 구동 기능을 내장한 피처 업데이트를 공개할 예정이다. ciokr@idg.co.kr

2022.02.03

블로그 | 빌 게이츠의 메모 이후 20년, '여전히 신뢰 못할 컴퓨팅’

마이크로소프트의 CEO 빌 게이츠가 ‘신뢰할 수 있는 컴퓨팅(Trustworthy Computing) 메모’에서 회사 제품의 보안을 강조한지 20년이 지났다.  분명 이 포스트를 컴퓨터나 스마트폰으로 읽고 있을 것이다. 그리고 인터넷을 통해 이 사이트에 연결하고 있을 것이다. 러시아 및 북한의 해커, 틱톡(TikTok) 비디오를 보는 많은 10대들과 함께 공유하는 바로 그 인터넷을 통해서다. 그렇다면 우리를 둘러싼 환경은 과거보다 더 안전해졌을까? 지난주 패치 화요일(Patch Tuesday) 보안 업데이트의 부작용을 먼저 언급해본다. 일단 희소식이다. 액티브 디렉터리 도메인에 연결되지 않은 PC에서 중대한 부작용이 발생하지 않고 있다(그리고 필자는 집에서 하드웨어 테스트 중 버그를 발견하지 못했다).  필자는 여전히 로컬 HP 및 브라더(Brother) 프린터로 인쇄할 수 있다. 필자는 파일을 탐색하고 액세스할 수 있다. 필자는 1월 업데이트를 설치할 준비가 되지는 않았지만 설치한다고 해도 부작용은 없을 것이라고 생각한다. 하지만 기업의 경우 이번 달의 업데이트가 혼란스럽다. 마이크로소프트는 이번 달에 신뢰할 수 있는 컴퓨팅 파트너가 아니었다. 서버는 부팅 루프에 빠지고 관리자들은 DOS 모드로 부팅하고 명령을 실행하여 업데이트를 제거해야 했다. 2022년이라는 시점에 이래도 되는 걸까? 게이츠는 20년 전에 “가용성. 우리의 제품은 항상 고객들이 필요로 할 때 제공되어야 한다. 자동 백업과 자동 복구를 지원하는 소프트웨어 아키텍처에 힘입어 시스템 고장 정지는 과거의 것이 되어야 한다. 자동 관리를 통해 거의 모든 경우에 사용자 개입 없이 서비스 재개가 가능해야 한다”라고 말했다. 하지만 필자는 여전히 컴퓨터 시스템의 업데이트를 연기하고 있다. 최신 업데이트에서 서버에 복구 문제가 있을 수 있음이 드러났기 때문이다. ‘윈도우 서버(Windows Server) 도메인 컨트롤러가 예상치 못하게 다시 시작할 수 있는’ 문제가 확인됐...

신뢰할 수 있는 컴퓨팅 빌 게이츠 버그 패치 백업

2022.01.19

마이크로소프트의 CEO 빌 게이츠가 ‘신뢰할 수 있는 컴퓨팅(Trustworthy Computing) 메모’에서 회사 제품의 보안을 강조한지 20년이 지났다.  분명 이 포스트를 컴퓨터나 스마트폰으로 읽고 있을 것이다. 그리고 인터넷을 통해 이 사이트에 연결하고 있을 것이다. 러시아 및 북한의 해커, 틱톡(TikTok) 비디오를 보는 많은 10대들과 함께 공유하는 바로 그 인터넷을 통해서다. 그렇다면 우리를 둘러싼 환경은 과거보다 더 안전해졌을까? 지난주 패치 화요일(Patch Tuesday) 보안 업데이트의 부작용을 먼저 언급해본다. 일단 희소식이다. 액티브 디렉터리 도메인에 연결되지 않은 PC에서 중대한 부작용이 발생하지 않고 있다(그리고 필자는 집에서 하드웨어 테스트 중 버그를 발견하지 못했다).  필자는 여전히 로컬 HP 및 브라더(Brother) 프린터로 인쇄할 수 있다. 필자는 파일을 탐색하고 액세스할 수 있다. 필자는 1월 업데이트를 설치할 준비가 되지는 않았지만 설치한다고 해도 부작용은 없을 것이라고 생각한다. 하지만 기업의 경우 이번 달의 업데이트가 혼란스럽다. 마이크로소프트는 이번 달에 신뢰할 수 있는 컴퓨팅 파트너가 아니었다. 서버는 부팅 루프에 빠지고 관리자들은 DOS 모드로 부팅하고 명령을 실행하여 업데이트를 제거해야 했다. 2022년이라는 시점에 이래도 되는 걸까? 게이츠는 20년 전에 “가용성. 우리의 제품은 항상 고객들이 필요로 할 때 제공되어야 한다. 자동 백업과 자동 복구를 지원하는 소프트웨어 아키텍처에 힘입어 시스템 고장 정지는 과거의 것이 되어야 한다. 자동 관리를 통해 거의 모든 경우에 사용자 개입 없이 서비스 재개가 가능해야 한다”라고 말했다. 하지만 필자는 여전히 컴퓨터 시스템의 업데이트를 연기하고 있다. 최신 업데이트에서 서버에 복구 문제가 있을 수 있음이 드러났기 때문이다. ‘윈도우 서버(Windows Server) 도메인 컨트롤러가 예상치 못하게 다시 시작할 수 있는’ 문제가 확인됐...

2022.01.19

기고ㅣ애플리케이션에서 ‘Log4j’ 취약점을 탐지하는 방법

널리 사용되는 ‘Log4j’ 라이브러리에 버그가 있으면 공격자는 Log4j를 사용하여 로그를 작성하는 모든 시스템에서 임의의 코드를 실행할 수 있다.  아파치 재단이 거의 모든 자바 애플리케이션에 포함된 로깅 도구 Log4j의 치명적인 제로데이 취약점에 관한 긴급 업데이트를 발표했다. 이는 ‘Log4Shell’로 명명됐으며, 식별자는 CVE-2021-44228이다.  이 취약점은 Log4j 라이브러리의 버그를 통해 발생하는데, 이를 통해 공격자는 Log4j를 사용하여 로그 메시지를 작성하는 시스템에서 임의의 코드를 실행할 수 있다. 따라서 Log4j를 포함하는 애플리케이션 사용자라면 누구나 즉시 주의를 기울여야 한다.    Log4Shell을 해결해야 하는 이유 Log4j는 많은 자바 애플리케이션에서 사용되는 라이브러리다. 현재 가장 널리 쓰이는 자바 라이브러리이기도 하다. 대부분의 자바 애플리케이션은 데이터를 기록하며, Log4j가 주로 활용된다.   여기서 문제는 Log4j를 찾는 것이다. 자바 패키징의 작동 방식 때문에 Log4j가 애플리케이션의 어딘가 숨어 있을 수 있고, 심지어는 그 사실을 모르고 있을 가능성이 크다.  자바 생태계에서 종속성은 자바 라이브러리로 사용할 수 있는 패키지인 JAR(Java archive) 파일로 배포된다. 메이븐(Maven), 그래들(Gradle) 등 일반적으로 사용되는 도구는 자바 애플리케이션을 빌드할 때 JAR 파일을 자동으로 추가할 수 있다. JAR이 종속성을 충족하기 위해 다른 JAR을 포함할 수도 있다.  즉, 취약점이 애플리케이션에서 여러 수준 아래에 숨겨질 수 있다. 어떤 경우에는 하나의 종속성이 수백 개의 다른 종속성을 가져와 (이를) 찾기 훨씬 더 어려울 수 있다.  기본적으로 자바 세계에서는 JAR에 중첩된 JAR에 JAR이 중첩될 수 있다. 이는 모든 것을 조사해야 하는 수많은 계층을 만든다. 이에 따라 Log4j가 ...

자바 취약점 버그 Log4j Log4Shell

2021.12.14

널리 사용되는 ‘Log4j’ 라이브러리에 버그가 있으면 공격자는 Log4j를 사용하여 로그를 작성하는 모든 시스템에서 임의의 코드를 실행할 수 있다.  아파치 재단이 거의 모든 자바 애플리케이션에 포함된 로깅 도구 Log4j의 치명적인 제로데이 취약점에 관한 긴급 업데이트를 발표했다. 이는 ‘Log4Shell’로 명명됐으며, 식별자는 CVE-2021-44228이다.  이 취약점은 Log4j 라이브러리의 버그를 통해 발생하는데, 이를 통해 공격자는 Log4j를 사용하여 로그 메시지를 작성하는 시스템에서 임의의 코드를 실행할 수 있다. 따라서 Log4j를 포함하는 애플리케이션 사용자라면 누구나 즉시 주의를 기울여야 한다.    Log4Shell을 해결해야 하는 이유 Log4j는 많은 자바 애플리케이션에서 사용되는 라이브러리다. 현재 가장 널리 쓰이는 자바 라이브러리이기도 하다. 대부분의 자바 애플리케이션은 데이터를 기록하며, Log4j가 주로 활용된다.   여기서 문제는 Log4j를 찾는 것이다. 자바 패키징의 작동 방식 때문에 Log4j가 애플리케이션의 어딘가 숨어 있을 수 있고, 심지어는 그 사실을 모르고 있을 가능성이 크다.  자바 생태계에서 종속성은 자바 라이브러리로 사용할 수 있는 패키지인 JAR(Java archive) 파일로 배포된다. 메이븐(Maven), 그래들(Gradle) 등 일반적으로 사용되는 도구는 자바 애플리케이션을 빌드할 때 JAR 파일을 자동으로 추가할 수 있다. JAR이 종속성을 충족하기 위해 다른 JAR을 포함할 수도 있다.  즉, 취약점이 애플리케이션에서 여러 수준 아래에 숨겨질 수 있다. 어떤 경우에는 하나의 종속성이 수백 개의 다른 종속성을 가져와 (이를) 찾기 훨씬 더 어려울 수 있다.  기본적으로 자바 세계에서는 JAR에 중첩된 JAR에 JAR이 중첩될 수 있다. 이는 모든 것을 조사해야 하는 수많은 계층을 만든다. 이에 따라 Log4j가 ...

2021.12.14

‘20세기부터 있었더라’ 오래된 SW 버그 10선

2021년, 현대 컴퓨팅의 근간에 해당하는 한 시스템에서 취약성이 발견됐다. 공격자가 시스템으로 하여금 임의의 코드를 강제로 실행하게 할 수 있는 취약점이었다. 충격적이게도 이 취약한 코드는 약 54년 전에 작성된 것이었다. 그런데 아직도 이 취약성에 대한 패치가 존재하지 않으며 앞으로도 제공되지 않을 것 같다. 그 이유는 문제의 이 시스템이 컴퓨터 공학 분야에서 이론적으로 매우 중요하지만 실제 컴퓨터로 개발된 적은 없었던 마빈 민스키(Marvin Minsky)의 1967년 범용 튜링 머신(Universal Turing Machine)이었기 때문이다. 민스키가 설계한 후 약 10년이 지난 후 초기 버전의 유닉스(Unix)와 DOS가 등장했고 그 후속작들이 지금껏 사용되고 있다. 최근 발견된, 역사가 오래 된 버그에 대해 알아본다.   닛산(Nissan) 텔레매틱스 컨트롤 모듈 베이스밴드 취약성   나이: 7년 도입 날짜: 2010년 수정 날짜: 2017년 2011년, 보안 연구원 랄프 필립 웨이만은 스마트폰에서 사용되는 베이스밴드 프로세서에 최근 유입된 결함을 발견했다. 이를 악용하면 해커가 가짜 기지국을 만들어 스마트폰이 여기에 연결하도록 속인 후 네트워크 연결을 가로챌 수 있었다. 스마트폰 제조사들은 이 결함을 상대적으로 신속하게 해결했으며 이내 잊어버렸다. 그러나 한 가지 문제가 있었다. 스마트폰만 이 칩을 사용한 것이 아니었다. “기본적으로 동일한 셀룰러 베이스밴드 칩셋이 닛산 리프(Leaf)와 다른 여러 차량의 텔레매틱스 유닛에 사용되었다”라고 보안 기업 에클립시움(Eclypsium)의 수석 사이버 보안 연구원 제시 마이클이 말했다. (에클립시움과 의견을 같이 하는) 많은 연구원들이 폐차장에서 구한 자동차로 실험하여 해당 취약성을 발견했다. 마이클은 “약 7년 전에 다른 시장에서 공개된 이 취약성이 자동차 분야에서도 발견됐다. 자체적으로 복잡한 공급망을 가진 굉장히 다른 시장 부문이었기 때문에 자동차가 익스플로잇 ...

버그 취약점 취약성 역사 코드 재사용

2021.06.22

2021년, 현대 컴퓨팅의 근간에 해당하는 한 시스템에서 취약성이 발견됐다. 공격자가 시스템으로 하여금 임의의 코드를 강제로 실행하게 할 수 있는 취약점이었다. 충격적이게도 이 취약한 코드는 약 54년 전에 작성된 것이었다. 그런데 아직도 이 취약성에 대한 패치가 존재하지 않으며 앞으로도 제공되지 않을 것 같다. 그 이유는 문제의 이 시스템이 컴퓨터 공학 분야에서 이론적으로 매우 중요하지만 실제 컴퓨터로 개발된 적은 없었던 마빈 민스키(Marvin Minsky)의 1967년 범용 튜링 머신(Universal Turing Machine)이었기 때문이다. 민스키가 설계한 후 약 10년이 지난 후 초기 버전의 유닉스(Unix)와 DOS가 등장했고 그 후속작들이 지금껏 사용되고 있다. 최근 발견된, 역사가 오래 된 버그에 대해 알아본다.   닛산(Nissan) 텔레매틱스 컨트롤 모듈 베이스밴드 취약성   나이: 7년 도입 날짜: 2010년 수정 날짜: 2017년 2011년, 보안 연구원 랄프 필립 웨이만은 스마트폰에서 사용되는 베이스밴드 프로세서에 최근 유입된 결함을 발견했다. 이를 악용하면 해커가 가짜 기지국을 만들어 스마트폰이 여기에 연결하도록 속인 후 네트워크 연결을 가로챌 수 있었다. 스마트폰 제조사들은 이 결함을 상대적으로 신속하게 해결했으며 이내 잊어버렸다. 그러나 한 가지 문제가 있었다. 스마트폰만 이 칩을 사용한 것이 아니었다. “기본적으로 동일한 셀룰러 베이스밴드 칩셋이 닛산 리프(Leaf)와 다른 여러 차량의 텔레매틱스 유닛에 사용되었다”라고 보안 기업 에클립시움(Eclypsium)의 수석 사이버 보안 연구원 제시 마이클이 말했다. (에클립시움과 의견을 같이 하는) 많은 연구원들이 폐차장에서 구한 자동차로 실험하여 해당 취약성을 발견했다. 마이클은 “약 7년 전에 다른 시장에서 공개된 이 취약성이 자동차 분야에서도 발견됐다. 자체적으로 복잡한 공급망을 가진 굉장히 다른 시장 부문이었기 때문에 자동차가 익스플로잇 ...

2021.06.22

일부 PC에서 윈도우 10 부팅 문제 발생··· MS, 수정 업데이트 발표

일부 윈도우 10 PC에서 부팅 문제가 발행했던 가운데, 마이크로소프트가 해결 방안을 빠르게 배포했다. 단 부팅 오류를 일으킨 디스크 검사(chkdsk) 도구에 대한 픽스가 배포되기까지 최대 24시간이 걸릴 수 있다. 마이크로소프트는 소수의 PC만 이 문제의 영향을 받았다고 강조했다.  마이크로소프트는 어떤 윈도우 10 버전에서 문제가 발생했는지 밝히지 않았다. 그러나 KB4592438 및 KB4586853 업데이트에 대한 지원 페이지에 이번 픽스에 대한 내용이 나열돼 있다. 이 두 가지 모두 2004 및 20H1 기능 업데이트에서만 사용할 수 있었던 업데이트다. 즉 이번 문제는 최신 2가지 주요 윈도우 10 버전에 한정해 나타난 것으로 관측된다.  문제 상황은 다음과 같다. 명령 프롬프트 창에서 'chkdsk c : / f'를 실행하면 일부 윈도우 10 장치에서 사용되는 파일 시스템인 NTFS가 손상된다. 이로 인해 PC가 재시작 화면에서 멈추고 부팅이 이뤄지지 않는다. 마이크로소프트는 이용 중인 PC가 이미 디스크 검사 오류의 영향을 받은 경우 다음 단계를 시도하라고 제안했다.  1. 표준 시작 시도가 몇 번 실패하면 장치가 자동으로 복구 콘솔로 이동한다. 2. 여기에서 '고급 옵션'을 선택한 다음 '명령 프롬프트'를 선택한다. 3. 이제 'chkdsk / f'를 입력하고 엔터키를 누른다. 명령이 완전히 실행되도록 둔다. 다소 시간이 걸릴 수 있다.  4. 프로세스가 완료되면 '종료'를 클릭한다.  회사에 따르면 상기 과정을 수행하면 윈도우 10 PC가 평소처럼 다시 시작된다. 복구 콘솔로 다시 이동하면 '종료'를 클릭하고 일반 시작을 계속한다. 윈도우 10이 자동으로 chkdsk를 다시 실행할 수 있지만, 해당 작업이 끝나면 PC를 다시 사용할 수 있게 된다. ciokr@idg.co.kr

윈도우 10 부팅 체크디스크 ChkDsk 픽스 버그

2020.12.23

일부 윈도우 10 PC에서 부팅 문제가 발행했던 가운데, 마이크로소프트가 해결 방안을 빠르게 배포했다. 단 부팅 오류를 일으킨 디스크 검사(chkdsk) 도구에 대한 픽스가 배포되기까지 최대 24시간이 걸릴 수 있다. 마이크로소프트는 소수의 PC만 이 문제의 영향을 받았다고 강조했다.  마이크로소프트는 어떤 윈도우 10 버전에서 문제가 발생했는지 밝히지 않았다. 그러나 KB4592438 및 KB4586853 업데이트에 대한 지원 페이지에 이번 픽스에 대한 내용이 나열돼 있다. 이 두 가지 모두 2004 및 20H1 기능 업데이트에서만 사용할 수 있었던 업데이트다. 즉 이번 문제는 최신 2가지 주요 윈도우 10 버전에 한정해 나타난 것으로 관측된다.  문제 상황은 다음과 같다. 명령 프롬프트 창에서 'chkdsk c : / f'를 실행하면 일부 윈도우 10 장치에서 사용되는 파일 시스템인 NTFS가 손상된다. 이로 인해 PC가 재시작 화면에서 멈추고 부팅이 이뤄지지 않는다. 마이크로소프트는 이용 중인 PC가 이미 디스크 검사 오류의 영향을 받은 경우 다음 단계를 시도하라고 제안했다.  1. 표준 시작 시도가 몇 번 실패하면 장치가 자동으로 복구 콘솔로 이동한다. 2. 여기에서 '고급 옵션'을 선택한 다음 '명령 프롬프트'를 선택한다. 3. 이제 'chkdsk / f'를 입력하고 엔터키를 누른다. 명령이 완전히 실행되도록 둔다. 다소 시간이 걸릴 수 있다.  4. 프로세스가 완료되면 '종료'를 클릭한다.  회사에 따르면 상기 과정을 수행하면 윈도우 10 PC가 평소처럼 다시 시작된다. 복구 콘솔로 다시 이동하면 '종료'를 클릭하고 일반 시작을 계속한다. 윈도우 10이 자동으로 chkdsk를 다시 실행할 수 있지만, 해당 작업이 끝나면 PC를 다시 사용할 수 있게 된다. ciokr@idg.co.kr

2020.12.23

블로그 | 아웃룩 버그 사태, 마이크로소프트가 선을 넘고 있다

윈도우 10과 마찬가지로 아웃룩이 업데이트 문제로 말썽을 피우고 있다. 마이크로소프트여, 좀더 잘할 수는 없는가? Credit: Tim Gouw, https://www.pexels.com/photo/man-in-white-shirt-using-macbook-pro-52608/ 인정한다. 마이크로소프트는 족히 수만 여 개에 이르는 하드웨어 구성과 씨름해야 한다. 운영체제 모든 요소와 각종 애플리케이션이 모두 매끄럽게 돌아가도록 하기란 어렵다. 하지만 아웃룩 업데이트를 두 달 정도만 연기함으로써 성질나는 버그 사태를 막을 수 있었을 것이다.  무슨 일이 일어났는지 정리해보자. 지난 6월 마이크로소프트 365(오피스 365)의 6월 2일 버전이 6월의 윈도우 10 누적 업데이트와 만났을 때 아웃룩이 돌연 동작을 멈췄다. 수많은 사용자가 데이터 파일 중 하나에 문제가 있음을 알리는 메시지에 직면해야 했다. 다행히 받은 편지함 오류를 수정할 수 있는 도구가 제공됐다. 그리고 불행히도 문제를 수정하려 한다면, 이 문제가 반복해서 나타나는 현상이 나타났다.  이번 사고를 통해 드러난 점이 있다면, 마이크로소프트 품질 보증 팀이 최신 버전의 윈도우와 최신 버전의 아웃룩을 테스트하는 데 신경쓰지 않았다는 것이다.  PST 파일에는 아무런 문제가 없었다. 오류는 최신 버전의 아웃룩과 윈도우의 조합에서 나타났다. 문제를 해결하려면 레지스트리를 수동으로 편집해야 했다. 가장 가까운 기술 지원 직원과 적어도 수 마일은 족히 떨어져 있는 사용자에게는 꽤나 재미있는(?) 바로 그 작업이다.  사건은 여기에서 멈추지 않았다. 7월 15일에서는 윈도우 10 MSI 이메일 클라이언트와 서비스가 4시간 동안 다운됐다. 혈압을 높이는데 이메일이 중단되는 사태 만한 것도 없을 터다. 기술에 능숙한 필자의 친구 중 한 명은 오피스를 제거한 다음 다시 설치해 문제를 해결하고자 했다. 그는 성공하지 못했다.  만약 이전 아웃룩 버전으로 롤백했다...

마이크로소프트 윈도우 10 업데이트 아웃룩 버그

2020.07.20

윈도우 10과 마찬가지로 아웃룩이 업데이트 문제로 말썽을 피우고 있다. 마이크로소프트여, 좀더 잘할 수는 없는가? Credit: Tim Gouw, https://www.pexels.com/photo/man-in-white-shirt-using-macbook-pro-52608/ 인정한다. 마이크로소프트는 족히 수만 여 개에 이르는 하드웨어 구성과 씨름해야 한다. 운영체제 모든 요소와 각종 애플리케이션이 모두 매끄럽게 돌아가도록 하기란 어렵다. 하지만 아웃룩 업데이트를 두 달 정도만 연기함으로써 성질나는 버그 사태를 막을 수 있었을 것이다.  무슨 일이 일어났는지 정리해보자. 지난 6월 마이크로소프트 365(오피스 365)의 6월 2일 버전이 6월의 윈도우 10 누적 업데이트와 만났을 때 아웃룩이 돌연 동작을 멈췄다. 수많은 사용자가 데이터 파일 중 하나에 문제가 있음을 알리는 메시지에 직면해야 했다. 다행히 받은 편지함 오류를 수정할 수 있는 도구가 제공됐다. 그리고 불행히도 문제를 수정하려 한다면, 이 문제가 반복해서 나타나는 현상이 나타났다.  이번 사고를 통해 드러난 점이 있다면, 마이크로소프트 품질 보증 팀이 최신 버전의 윈도우와 최신 버전의 아웃룩을 테스트하는 데 신경쓰지 않았다는 것이다.  PST 파일에는 아무런 문제가 없었다. 오류는 최신 버전의 아웃룩과 윈도우의 조합에서 나타났다. 문제를 해결하려면 레지스트리를 수동으로 편집해야 했다. 가장 가까운 기술 지원 직원과 적어도 수 마일은 족히 떨어져 있는 사용자에게는 꽤나 재미있는(?) 바로 그 작업이다.  사건은 여기에서 멈추지 않았다. 7월 15일에서는 윈도우 10 MSI 이메일 클라이언트와 서비스가 4시간 동안 다운됐다. 혈압을 높이는데 이메일이 중단되는 사태 만한 것도 없을 터다. 기술에 능숙한 필자의 친구 중 한 명은 오피스를 제거한 다음 다시 설치해 문제를 해결하고자 했다. 그는 성공하지 못했다.  만약 이전 아웃룩 버전으로 롤백했다...

2020.07.20

'뜻밖의 선물'같은 팁··· '깃(Git)' 고급 명령어 5가지

더 깔끔한 커밋, 더 스마트한 디버깅, 더 세련된 리포지토리를 위해 한 단계 업그레이드된 깃 기술들을 마스터하라.  오늘날 개발자 대부분은 소프트웨어 워크플로우의 핵심인 버전 관리 시스템 깃(Git)을 배웠을 가능성이 크다. 그리고 기본 개념과 명령어도 당연히 알고 있을 것이다. 이를테면 리포지토리(repositories) 작동 방식, 브랜치(branch)를 만들고 변경사항을 커밋(commit)하는 방법, 변경사항을 머지(merge)하고 풀 리퀘스트(pull request)하는 방법 등이다. 기본을 잘 알고 있다면 이제 수준을 조금 높여야 할 때다. 워크플로우에서 깃의 더욱 강력한 기능들을 활용할 수 있도록 말이다.    1. git rebase로 커밋 히스토리 단순화하기 한 프로젝트에 2개의 브랜치(예: 개발 브랜치와 마스터 브랜치)가 있고, 두 브랜치를 결합해야 하는 변경사항이 있다고 가정해보자. 이때 git merge 명령어는 이들을 통합하는 간단한 방법이다.  merge는 한 브랜치의 개발 히스토리를 다른 브랜치의 머지 커밋으로 추가한다. 이를 통해 두 히스토리를 온전히 보존할 순 있지만 전체 프로젝트 히스토리를 파악하기 어려울 수 있다. 더 단순하고 깔끔한 결과를 원한다면 git rebase가 도움이 된다.  git rebase 명령어도 2개의 브랜치를 머지하지만 약간 다르게 진행된다. git rebase는 한 브랜치가 생성된 지점부터 다른 브랜치가 통합될 수 있도록 커밋 히스토리를 다시 쓴다. 즉 덜 복잡하고 선형적인 커밋 히스토리를 만들 수 있는 것이다. 하지만 이 과정에서 다른 브랜치 및 머지 프로세스와 관련해 유용할 수도 있는 세부정보가 제거된다는 점을 유의해야 한다.  따라서 rebase는 공용(public) 브랜치와 머지하기 전에 하나의 깔끔한 커밋 히스토리로 통합하려는 여러 비공개(private) 브랜치가 있을 경우 특히 유용하다. 이를 통해 프로젝트의 커밋 히스토리와 관련...

개발자 커밋 디버깅 리포지토리 브랜치 머지 풀 리퀘스트 깃 리베이스 스쿼시 버그 코드 체리픽 서브모듈

2020.06.12

더 깔끔한 커밋, 더 스마트한 디버깅, 더 세련된 리포지토리를 위해 한 단계 업그레이드된 깃 기술들을 마스터하라.  오늘날 개발자 대부분은 소프트웨어 워크플로우의 핵심인 버전 관리 시스템 깃(Git)을 배웠을 가능성이 크다. 그리고 기본 개념과 명령어도 당연히 알고 있을 것이다. 이를테면 리포지토리(repositories) 작동 방식, 브랜치(branch)를 만들고 변경사항을 커밋(commit)하는 방법, 변경사항을 머지(merge)하고 풀 리퀘스트(pull request)하는 방법 등이다. 기본을 잘 알고 있다면 이제 수준을 조금 높여야 할 때다. 워크플로우에서 깃의 더욱 강력한 기능들을 활용할 수 있도록 말이다.    1. git rebase로 커밋 히스토리 단순화하기 한 프로젝트에 2개의 브랜치(예: 개발 브랜치와 마스터 브랜치)가 있고, 두 브랜치를 결합해야 하는 변경사항이 있다고 가정해보자. 이때 git merge 명령어는 이들을 통합하는 간단한 방법이다.  merge는 한 브랜치의 개발 히스토리를 다른 브랜치의 머지 커밋으로 추가한다. 이를 통해 두 히스토리를 온전히 보존할 순 있지만 전체 프로젝트 히스토리를 파악하기 어려울 수 있다. 더 단순하고 깔끔한 결과를 원한다면 git rebase가 도움이 된다.  git rebase 명령어도 2개의 브랜치를 머지하지만 약간 다르게 진행된다. git rebase는 한 브랜치가 생성된 지점부터 다른 브랜치가 통합될 수 있도록 커밋 히스토리를 다시 쓴다. 즉 덜 복잡하고 선형적인 커밋 히스토리를 만들 수 있는 것이다. 하지만 이 과정에서 다른 브랜치 및 머지 프로세스와 관련해 유용할 수도 있는 세부정보가 제거된다는 점을 유의해야 한다.  따라서 rebase는 공용(public) 브랜치와 머지하기 전에 하나의 깔끔한 커밋 히스토리로 통합하려는 여러 비공개(private) 브랜치가 있을 경우 특히 유용하다. 이를 통해 프로젝트의 커밋 히스토리와 관련...

2020.06.12

개발자 면접 시 단골 질문 13개, 그리고 모범답안

개발자 면접 프로세스는 역할에 따라 다르다. 정해진 면접 형식은 없지만, 현장 경력 수준에 따라 준비해야 할 몇 가지 일반적인 질문이 있다. 좋은 첫인상 주기부터 면접관과의 동료애 형성까지 많은 변수가 성공에 영향을 줄 수 있다. 면접 프로세스에는 크게 기술 직무 관련 인터뷰 1번, HR부서와의 인터뷰 1번 또는 제품팀 팀원과의 인터뷰 1번이 포함되며, 마지막의 경우는 하지 않을 때도 있다.  심층 기술 면접은 선호하는 소프트웨어와 버그 및 프로그래밍 습관을 수정하면서 제품의 기능을 유지하는 방법 등에 중점을 두지만 HR 면접은 다른 사람들과의 협력 방식과 회사와의 관계에 대해 묻는다.  당신이 최선을 다할 수 있도록 가장 일반적인 개발자 면접 질문과 답변 방법을 정리했다. 1. 가장 잘 아는 개발 방법론은 무엇입니까? 면접관은 지원자가 조직과 환경에 어떻게 적응할 수 있는지 알고 싶어 한다. 그렇게 하는 방법 중 하나는 익숙한 방법론을 묻는 것이다. 이전의 업무 경험과 배경에 따라 특정 방법론을 사용해야 하는 프로세스와 프로세스의 작동 방식에 대한 예를 들 수 있다.  2. 소프트웨어 개발 중에 문제가 발생했을 때 어떻게 해결합니까?  이 질문은 면접관이 지원자의 문제 해결 능력을 파악하는 데 도움이 된다. 이는 당신이 그러한 문제를 어떻게 해결하는지 보여줄 기회를 제공하며, 당신이 입사 후 함께 일할 때 면접관에게 어떻게 할 수 있는지를 보여준다. 면접관이 최신 기술을 분석할 수 있도록 가장 최근의 적절한 예를 제시하는 것이 좋다. 3. 애플리케이션에서 버그를 찾아서 테스트하는 자신만의 프로세스가 있습니까? 이 질문은 모든 후보자가 다른 방식으로 보안 버그를 찾는 고유한 프로세스가 있는지 말해주는 데 중요하다. 선호하는 분석법 도구를 강조하면서 친숙한 다양한 디버깅 툴에 대한 지식을 보여줄 기회로 여기고 이 질문에 대답하면 된다.  4. 코딩에서 가장 흥미로운 점은 무엇입니까? 직설...

면접 채용 고용 질문 프로젝트 프로그래밍 버그 협업 커뮤니케이션 소통 개발 방법론

2020.05.22

개발자 면접 프로세스는 역할에 따라 다르다. 정해진 면접 형식은 없지만, 현장 경력 수준에 따라 준비해야 할 몇 가지 일반적인 질문이 있다. 좋은 첫인상 주기부터 면접관과의 동료애 형성까지 많은 변수가 성공에 영향을 줄 수 있다. 면접 프로세스에는 크게 기술 직무 관련 인터뷰 1번, HR부서와의 인터뷰 1번 또는 제품팀 팀원과의 인터뷰 1번이 포함되며, 마지막의 경우는 하지 않을 때도 있다.  심층 기술 면접은 선호하는 소프트웨어와 버그 및 프로그래밍 습관을 수정하면서 제품의 기능을 유지하는 방법 등에 중점을 두지만 HR 면접은 다른 사람들과의 협력 방식과 회사와의 관계에 대해 묻는다.  당신이 최선을 다할 수 있도록 가장 일반적인 개발자 면접 질문과 답변 방법을 정리했다. 1. 가장 잘 아는 개발 방법론은 무엇입니까? 면접관은 지원자가 조직과 환경에 어떻게 적응할 수 있는지 알고 싶어 한다. 그렇게 하는 방법 중 하나는 익숙한 방법론을 묻는 것이다. 이전의 업무 경험과 배경에 따라 특정 방법론을 사용해야 하는 프로세스와 프로세스의 작동 방식에 대한 예를 들 수 있다.  2. 소프트웨어 개발 중에 문제가 발생했을 때 어떻게 해결합니까?  이 질문은 면접관이 지원자의 문제 해결 능력을 파악하는 데 도움이 된다. 이는 당신이 그러한 문제를 어떻게 해결하는지 보여줄 기회를 제공하며, 당신이 입사 후 함께 일할 때 면접관에게 어떻게 할 수 있는지를 보여준다. 면접관이 최신 기술을 분석할 수 있도록 가장 최근의 적절한 예를 제시하는 것이 좋다. 3. 애플리케이션에서 버그를 찾아서 테스트하는 자신만의 프로세스가 있습니까? 이 질문은 모든 후보자가 다른 방식으로 보안 버그를 찾는 고유한 프로세스가 있는지 말해주는 데 중요하다. 선호하는 분석법 도구를 강조하면서 친숙한 다양한 디버깅 툴에 대한 지식을 보여줄 기회로 여기고 이 질문에 대답하면 된다.  4. 코딩에서 가장 흥미로운 점은 무엇입니까? 직설...

2020.05.22

이번엔 인터넷 연결 끊는 윈도우 10 버그 등장··· MS “패치 작업 우선순위 높였다”

원격 작업자가 전례없이 증가하고 있는 가운데, 인터넷 연결 안정성을 떨어뜨리는 윈도우 10 버그가 문제시되고 있다. 마이크로소프트는 최대한 빨리 패치를 배포할 계획이다.  해당 버그는, 다른 디지털 기기들이 문제없이 연결되는 상황에서도 일부 PC나 노트북의 인터넷 연결이 끊기는 현상이다. 좀더 구체적으로는 지난 5월의 메이저 업데이트가 적용된 윈도우 10 기기에서 나타난다. 문제는 이 윈도우 10 버전을 이용하는 사용자 기반이 가장 크다는 점이다.  마이크로소프트는 VPN에 연결하거나 VPN으로부터 연결을 끊을 때 나타나는 이 버그를 해결하기 위해 패치 작업의 우선순위를 올렸다고 전했다. 또 마이크로소프트의 다른 프로그램들에만 영향을 미치는 것으로 관측되기 때문에 하나의 프로그램만 활성화함으로써 문제에 대응할 수 있다고 전했다.  그러나 ‘마이크로소프트의 다른 프로그램’에는 오피스 365 제품군, 팀즈, 엣지 브라우저 등이 포함된다. 원격지에서 동료들과 공동 작업하기 위해 필수적으로 사용되는 프로그램들이며, 이들 프로그램의 구동에는 안정적인 인터넷 연결이 가급적 필요하다. 결과적으로 가장 큰 사용자 기반을 가진 운영체제 및 원격 작업자들이 애용하는 프로그램과 관련된 버그이기에 버그의 영향을 받는 규모가 클 수밖에 없다.  한편 지난주에는 유럽 지역에서 마이크로소프트의 협업 플랫폼 팀즈가 다운되며 원격 작업자들이 어려움을 겪은 바 있다. ciokr@idg.co.kr  

마이크로소프트 패치 버그 VPN 인터넷 연결 윈도우 10

2020.03.31

원격 작업자가 전례없이 증가하고 있는 가운데, 인터넷 연결 안정성을 떨어뜨리는 윈도우 10 버그가 문제시되고 있다. 마이크로소프트는 최대한 빨리 패치를 배포할 계획이다.  해당 버그는, 다른 디지털 기기들이 문제없이 연결되는 상황에서도 일부 PC나 노트북의 인터넷 연결이 끊기는 현상이다. 좀더 구체적으로는 지난 5월의 메이저 업데이트가 적용된 윈도우 10 기기에서 나타난다. 문제는 이 윈도우 10 버전을 이용하는 사용자 기반이 가장 크다는 점이다.  마이크로소프트는 VPN에 연결하거나 VPN으로부터 연결을 끊을 때 나타나는 이 버그를 해결하기 위해 패치 작업의 우선순위를 올렸다고 전했다. 또 마이크로소프트의 다른 프로그램들에만 영향을 미치는 것으로 관측되기 때문에 하나의 프로그램만 활성화함으로써 문제에 대응할 수 있다고 전했다.  그러나 ‘마이크로소프트의 다른 프로그램’에는 오피스 365 제품군, 팀즈, 엣지 브라우저 등이 포함된다. 원격지에서 동료들과 공동 작업하기 위해 필수적으로 사용되는 프로그램들이며, 이들 프로그램의 구동에는 안정적인 인터넷 연결이 가급적 필요하다. 결과적으로 가장 큰 사용자 기반을 가진 운영체제 및 원격 작업자들이 애용하는 프로그램과 관련된 버그이기에 버그의 영향을 받는 규모가 클 수밖에 없다.  한편 지난주에는 유럽 지역에서 마이크로소프트의 협업 플랫폼 팀즈가 다운되며 원격 작업자들이 어려움을 겪은 바 있다. ciokr@idg.co.kr  

2020.03.31

딥코드, C와 C++에도 AI 기반 코드 리뷰 지원

딥코드가 자바, 자바스크립트, 파이썬에 이어 C와 C++ 코드를 추가 지원한다고 발표했다. 딥코드는 머신러닝을 기반으로 코드를 분석해 보안 취약점 및 버그를 찾아내는 클라우드 서비스다.    딥코드 자동화 툴은 수천 개의 오픈소스 프로젝트를 학습함으로써 코드가 저장된 호스팅 플랫폼 또는 로컬 리포지토리에 대한 피드백을 제공해 눈길을 끌었던 바 있다. 회사는 해당 툴이 단순히 텍스트가 아닌 실행 중인 소프트웨어라는 맥락적 차원에서 코드를 분석하기 때문에 기존 코드 분석 툴보다 정확하고 상세한 피드백을 제공할 수 있다고 밝혔다.  딥코드는 소프트웨어 보안 취약점 대부분이 C와 C++ 코드베이스에서 발견된다는 점에서 이번 추가 지원이 큰 효과를 보일 것으로 기대했다. 설명에 따르면 C와 C++은 개발자 실수로 발생되는 문제를 거의 또는 아예 예방하지 못한다. 게다가 C와 C++ 최신 버전은 하위 호환성을 유지하는 데 중점을 둬 보안 취약점에 여전히 노출돼 있다.    회사에 따르면 딥코드의 지식기반은 C와 C++에서 드러나는 많은 문제뿐만 아니라 다른 언어들과 관련한 코딩 스타일 문제, 리소스 유출 문제, 메모리 할당 문제, 날짜 처리 문제, 개발 언어 버전 간 비호환성 문제 등도 아우른다.  한편 딥코드는 리눅스 커널 분석을 통해 C 코드베이스에서 많은 일반적인 문제들을 발견했다고 전했다. 이를테면 명령행 인자 혹은 환경 변수에서 전달된 확인되지 않은 매개 변수, 사용 후 해제 시 발견되는 취약점(Use After Free, UAF), 널 포인터(Null pointer) 검사 누락 등이다. 이밖에 안전하지 않은 임시 파일 생성 또는 특정 명령이 컴파일 과정에서 최적화돼 의도된 효과가 나타나지 않는 가능성 등 교묘한 문제들도 있다고 회사 측은 덧붙였다.  딥코드는 첫 출시 당시 자바, 자바스크립트, 타입스크립트, 파이썬을 지원했다. 회사에 따르면 C와 C++ 및 기타 언어에 대한 지원 계획...

보안 코드리뷰 리눅스커널분석 딥코드 C언어 보안취약점 머신러닝 C++ 파이썬 버그 자바스크립트 오픈소스 자바 코드분석

2020.03.20

딥코드가 자바, 자바스크립트, 파이썬에 이어 C와 C++ 코드를 추가 지원한다고 발표했다. 딥코드는 머신러닝을 기반으로 코드를 분석해 보안 취약점 및 버그를 찾아내는 클라우드 서비스다.    딥코드 자동화 툴은 수천 개의 오픈소스 프로젝트를 학습함으로써 코드가 저장된 호스팅 플랫폼 또는 로컬 리포지토리에 대한 피드백을 제공해 눈길을 끌었던 바 있다. 회사는 해당 툴이 단순히 텍스트가 아닌 실행 중인 소프트웨어라는 맥락적 차원에서 코드를 분석하기 때문에 기존 코드 분석 툴보다 정확하고 상세한 피드백을 제공할 수 있다고 밝혔다.  딥코드는 소프트웨어 보안 취약점 대부분이 C와 C++ 코드베이스에서 발견된다는 점에서 이번 추가 지원이 큰 효과를 보일 것으로 기대했다. 설명에 따르면 C와 C++은 개발자 실수로 발생되는 문제를 거의 또는 아예 예방하지 못한다. 게다가 C와 C++ 최신 버전은 하위 호환성을 유지하는 데 중점을 둬 보안 취약점에 여전히 노출돼 있다.    회사에 따르면 딥코드의 지식기반은 C와 C++에서 드러나는 많은 문제뿐만 아니라 다른 언어들과 관련한 코딩 스타일 문제, 리소스 유출 문제, 메모리 할당 문제, 날짜 처리 문제, 개발 언어 버전 간 비호환성 문제 등도 아우른다.  한편 딥코드는 리눅스 커널 분석을 통해 C 코드베이스에서 많은 일반적인 문제들을 발견했다고 전했다. 이를테면 명령행 인자 혹은 환경 변수에서 전달된 확인되지 않은 매개 변수, 사용 후 해제 시 발견되는 취약점(Use After Free, UAF), 널 포인터(Null pointer) 검사 누락 등이다. 이밖에 안전하지 않은 임시 파일 생성 또는 특정 명령이 컴파일 과정에서 최적화돼 의도된 효과가 나타나지 않는 가능성 등 교묘한 문제들도 있다고 회사 측은 덧붙였다.  딥코드는 첫 출시 당시 자바, 자바스크립트, 타입스크립트, 파이썬을 지원했다. 회사에 따르면 C와 C++ 및 기타 언어에 대한 지원 계획...

2020.03.20

“윈도우 7 종료 당일, 심각한 버그 공개될 가능성 있다”

마이크로소프트가 윈도우 7 지원을 종료하는 1월 14일, 심각한 보안 버그가 공개될 수 있다는 관측이 제기됐다. 보안 전문가 브라이언 크렙스(Brian Krebs)의 경고다.  크렙스에 따르면 ‘CryptoAPI의 인증서 및 암호화 메시징 기능’을 제어하는 crypt32.dll과 관련된 결함이 존재할 수 있다. 이 결함은 소프트웨어의 디지털 서명을 스푸핑하는 데 사용됨으로써, 맬웨어가 완벽하게 합법적인 응용 프로그램으로 위장할 가능성을 남긴다.  크렙스는 이와 관련해 CERT 코디네이션 센터(CERT Coordination Center) 보고서를 다수 작성한 윌 도르만의 트윗을 언급했다. 13일 해당 트윗에서 도르만은 “내일 마이크로소프트 패치 화요일 업데이트를 적시에 설치하는 데 매우 주의를 기울여야 할 것”이라고 경고한 바 있다.  크렙스는 또 NSA가 이번 사이버 보안 문제를 논위하기 위해 컨퍼런스 콜을 14일 개최할 예정이라고 전했다.  만약 마이크로소프트가 예정대로 14일 이후 윈도우 7 보안 패치를 더 이상 제공하지 않는다면, 수많은 윈도우 7 사용자들은 곧바로 취약한 상황에 처하게 된다. 물론 버그가 공개될 경우 마이크로소프트가 지원 종료를 하루 더 연기하고 패치를 제공할 가능성이 높다.  그러나 이 경우에도 향후 유사한 주요 버그가 다시 출현할 가능성을 감안해야 한다. 최신 운영체제로 이전해야 할 뚜렷한 이유다. ciokr@idg.co.kr

취약점 패치 버그 crypt32.dll CryptoAPI 윈도우 7 지원 정료

2020.01.14

마이크로소프트가 윈도우 7 지원을 종료하는 1월 14일, 심각한 보안 버그가 공개될 수 있다는 관측이 제기됐다. 보안 전문가 브라이언 크렙스(Brian Krebs)의 경고다.  크렙스에 따르면 ‘CryptoAPI의 인증서 및 암호화 메시징 기능’을 제어하는 crypt32.dll과 관련된 결함이 존재할 수 있다. 이 결함은 소프트웨어의 디지털 서명을 스푸핑하는 데 사용됨으로써, 맬웨어가 완벽하게 합법적인 응용 프로그램으로 위장할 가능성을 남긴다.  크렙스는 이와 관련해 CERT 코디네이션 센터(CERT Coordination Center) 보고서를 다수 작성한 윌 도르만의 트윗을 언급했다. 13일 해당 트윗에서 도르만은 “내일 마이크로소프트 패치 화요일 업데이트를 적시에 설치하는 데 매우 주의를 기울여야 할 것”이라고 경고한 바 있다.  크렙스는 또 NSA가 이번 사이버 보안 문제를 논위하기 위해 컨퍼런스 콜을 14일 개최할 예정이라고 전했다.  만약 마이크로소프트가 예정대로 14일 이후 윈도우 7 보안 패치를 더 이상 제공하지 않는다면, 수많은 윈도우 7 사용자들은 곧바로 취약한 상황에 처하게 된다. 물론 버그가 공개될 경우 마이크로소프트가 지원 종료를 하루 더 연기하고 패치를 제공할 가능성이 높다.  그러나 이 경우에도 향후 유사한 주요 버그가 다시 출현할 가능성을 감안해야 한다. 최신 운영체제로 이전해야 할 뚜렷한 이유다. ciokr@idg.co.kr

2020.01.14

미 정부, 시스코∙팔로알토∙F5∙펄스 VPN 보안 버그 경고

시스코, 팔로알토, F5, 펄스의 VPN 패키지가 토큰 및 쿠키를 부적절하게 보호할 수 있다는 주장이 제기됐다.    미국 국토안보부는 시스코, 팔로알토, F5, 펄스의 일부 VPN 패키지가 토큰과 쿠키를 부적절하게 보호하여 악의적인 행위자가 최종 사용자의 시스템을 침범하고 제어할 수 있다고 경고했다. DHS의 CSI(Cybersecurity and Infrastructure Security Agency) 경고문은 카네기 멜런(Carnegie Mellon)의 CERT가 여러 VPN 애플리케이션이 인증 및/또는 세션 쿠키를 메모리나 로그 파일에 안전하지 않게 저장한다는 고지에서 비롯된 것이다. CERT는 "공격자가 VPN 사용자의 엔드포인트에 계속해서 접근하거나 다른 방법을 사용하여 쿠키를 추출하는 경우 세션을 재생하고 다른 인증 방법을 무시할 수 있다"며 "공격자는 사용자가 VPN 세션을 통해 수행하는 것과 동일한 애플리케이션에 접근할 수 있다"고 전했다.  CERT 경고에 따르면 다음 제품과 버전은 쿠키를 안전하지 않게 로그 파일에 저장한다. • 윈도우용 팔로알토 네트웍스 글로벌프로텍트 에이전트(GlobalProtect Agent) 4.1.0, 글로벌프로텍트 에이전트 4.1.10, 맥OS0용 이전 버전 제품(CVE-2019-1573) • 8.1R14, 8.2, 8.3R6, 9.0R2 이전의 펄스 시큐어 커넥트 시큐어(Secure Connect Secure)  다음의 제품과 버전은 쿠키를 메모리에 안전하지 않게 저장한다. • 윈도우용 팔로알토 네트웍스 글로벌프로텍트 에이전트(GlobalProtect Agent) 4.1.0, 글로벌프로텍트 에이전트 4.1.10, 맥OS0용 이전 버전 제품. • 8.1R14, 8.2, 8.3R6, 9.0R2 이전의 펄스 시큐어 커넥트 시큐어 • 시스코 애니커넥트 4.7.x 및 이전 버전. CERT는 팔...

시스코 카네기 멜론 팔로알토 네트웍스 CERT F5 국토안보부 DHS VPN 팔로알토 버그 취약점 펄스

2019.04.16

시스코, 팔로알토, F5, 펄스의 VPN 패키지가 토큰 및 쿠키를 부적절하게 보호할 수 있다는 주장이 제기됐다.    미국 국토안보부는 시스코, 팔로알토, F5, 펄스의 일부 VPN 패키지가 토큰과 쿠키를 부적절하게 보호하여 악의적인 행위자가 최종 사용자의 시스템을 침범하고 제어할 수 있다고 경고했다. DHS의 CSI(Cybersecurity and Infrastructure Security Agency) 경고문은 카네기 멜런(Carnegie Mellon)의 CERT가 여러 VPN 애플리케이션이 인증 및/또는 세션 쿠키를 메모리나 로그 파일에 안전하지 않게 저장한다는 고지에서 비롯된 것이다. CERT는 "공격자가 VPN 사용자의 엔드포인트에 계속해서 접근하거나 다른 방법을 사용하여 쿠키를 추출하는 경우 세션을 재생하고 다른 인증 방법을 무시할 수 있다"며 "공격자는 사용자가 VPN 세션을 통해 수행하는 것과 동일한 애플리케이션에 접근할 수 있다"고 전했다.  CERT 경고에 따르면 다음 제품과 버전은 쿠키를 안전하지 않게 로그 파일에 저장한다. • 윈도우용 팔로알토 네트웍스 글로벌프로텍트 에이전트(GlobalProtect Agent) 4.1.0, 글로벌프로텍트 에이전트 4.1.10, 맥OS0용 이전 버전 제품(CVE-2019-1573) • 8.1R14, 8.2, 8.3R6, 9.0R2 이전의 펄스 시큐어 커넥트 시큐어(Secure Connect Secure)  다음의 제품과 버전은 쿠키를 메모리에 안전하지 않게 저장한다. • 윈도우용 팔로알토 네트웍스 글로벌프로텍트 에이전트(GlobalProtect Agent) 4.1.0, 글로벌프로텍트 에이전트 4.1.10, 맥OS0용 이전 버전 제품. • 8.1R14, 8.2, 8.3R6, 9.0R2 이전의 펄스 시큐어 커넥트 시큐어 • 시스코 애니커넥트 4.7.x 및 이전 버전. CERT는 팔...

2019.04.16

IT종사자가 겪는 7가지 '번아웃 징후'··· 어떻게 해결할까?

몇 년 동안 목표 계획, 관리, 초과 달성, 문제 정복을 즐기다가 갑자기 자신이 더 이상 업무에 관심이 없다는 사실을 알아차린다. 주도하기, 영향력 행사하기, 혁신하기 등 이전에는 흥미로웠던 활동이 더 이상 중요하게 느껴지지 않는다. 요즈음의 가장 큰 업무 관련 스릴은 슬랙에서 찾은 게임을 즐기는 것이다. 이런 느낌을 설명하는 단어가 있다. 바로 ‘번아웃(Burnout)’이다. 영국의 데이터센터 운영업체인 4D DC(Data Centres)의 상무 잭 베델 피어스는 번아웃의 원인과 결과를 잘 알고 있다. 10년 전 4D DC를 공동 설립한 그는 자신이 한 번 이상 번아웃을 경험했으며 매번 중요한 교훈을 얻었다고 전했다. 그는 "타인에게는 원인이 확실히 보이지만 당사자에게는 그렇지 않다"고 설명했다. 긴 근무 시간, 상시 통화 대기, 주말에 사고 대응하기, 영업 목표 달성 압박은 모두 빠르게 성장하는 기업의 특징이며 결국 사고로 이어질 수밖에 없다. 베델 피어스에 따르면, 젊었을 때는 자신이 무적이라고 느끼지만 시간이 지나면서 심신이 대처하지 못하고 되고 상황이 잘못되기 시작한다. 열심히 일하다가 자신에게 번아웃 위험이 있다고 느껴지는 수준에 도달하게 되면 다음의 7가지 숨길 수 없는 조짐에 주의하자. 동기 부여의 부재 경험하기 공통적인 번아웃의 증상은 일상 업무와 이해관계에 대한 관심이 사라지는 것이다. 비영리 기술 산업 협회 컴티아의 사장 겸 CEO 토드 티보독스는 IT리더에게 미래 기술에 대한 흥분의 부재는 확실한 경고 표시라고 지적했다. 그는 "'블록체인'이나 'IoT' 같은 말 때문에 깊은 한숨을 쉬고 어깨가 처진다면 번아웃이 찾아온 것이다"고 주장했다. 탈진 아무리 자거나 휴식을 취해도 원기를 회복할 수 없다면 한 걸음 물러서서 이유를 찾아보아야 한다. 의료상의 이유를 배제하고 나면 과로가 가장 ...

CIO burnout 번아웃 사용자경험 음주 컴티아 건강 스트레스 UX 버그 IT리더 식습관

2018.10.29

몇 년 동안 목표 계획, 관리, 초과 달성, 문제 정복을 즐기다가 갑자기 자신이 더 이상 업무에 관심이 없다는 사실을 알아차린다. 주도하기, 영향력 행사하기, 혁신하기 등 이전에는 흥미로웠던 활동이 더 이상 중요하게 느껴지지 않는다. 요즈음의 가장 큰 업무 관련 스릴은 슬랙에서 찾은 게임을 즐기는 것이다. 이런 느낌을 설명하는 단어가 있다. 바로 ‘번아웃(Burnout)’이다. 영국의 데이터센터 운영업체인 4D DC(Data Centres)의 상무 잭 베델 피어스는 번아웃의 원인과 결과를 잘 알고 있다. 10년 전 4D DC를 공동 설립한 그는 자신이 한 번 이상 번아웃을 경험했으며 매번 중요한 교훈을 얻었다고 전했다. 그는 "타인에게는 원인이 확실히 보이지만 당사자에게는 그렇지 않다"고 설명했다. 긴 근무 시간, 상시 통화 대기, 주말에 사고 대응하기, 영업 목표 달성 압박은 모두 빠르게 성장하는 기업의 특징이며 결국 사고로 이어질 수밖에 없다. 베델 피어스에 따르면, 젊었을 때는 자신이 무적이라고 느끼지만 시간이 지나면서 심신이 대처하지 못하고 되고 상황이 잘못되기 시작한다. 열심히 일하다가 자신에게 번아웃 위험이 있다고 느껴지는 수준에 도달하게 되면 다음의 7가지 숨길 수 없는 조짐에 주의하자. 동기 부여의 부재 경험하기 공통적인 번아웃의 증상은 일상 업무와 이해관계에 대한 관심이 사라지는 것이다. 비영리 기술 산업 협회 컴티아의 사장 겸 CEO 토드 티보독스는 IT리더에게 미래 기술에 대한 흥분의 부재는 확실한 경고 표시라고 지적했다. 그는 "'블록체인'이나 'IoT' 같은 말 때문에 깊은 한숨을 쉬고 어깨가 처진다면 번아웃이 찾아온 것이다"고 주장했다. 탈진 아무리 자거나 휴식을 취해도 원기를 회복할 수 없다면 한 걸음 물러서서 이유를 찾아보아야 한다. 의료상의 이유를 배제하고 나면 과로가 가장 ...

2018.10.29

윈도우 10 1809 업그레이드, 인사이더 가입자에 한정해 재배포 시작

사용자 파일을 삭제하는 버그가 발견된 후 중단됐던 업데이트 롤아웃이 제한된 사용자를 대상으로 재개됐다. 마이크로소프트는 손실된 데이터가 복구되지 못할 수도 있다고 밝혔다. 윈도우 10 10월 10일자 기능 업그레이드가 다시 재개됐다. 단 즉각적인 재배포는 윈도우 인사이더 참가자들에게 국한됐다. 윈도우 서비스 및 배포 그룹의 존 케이블 프로그램 관리 디렉터는 "광범위한 재배포에 앞서 인사이더 프로그램 가입자들로부터 피드백 및 진단 데이터를 받아 연구할 것"이라고 밝혔다. 그는 일반인 대상 재배포가 이뤄질 시점에 대해 언급하지 않았다. 한편 그는 이번 업데이트로 인해 파일이 지워진 사용자들에게 마이크로소프트 고객 지원부로 전화 문의하거나 오프라인 소매점에 방문해 지원을 요청하라고 권고했다. 케이블은 또 손실된 파일을 복구하는 특수 도구를 갖추고 있음을 암시했던 회사 보고서와 달리 복구 불가능할 수도 있다고 경고했다. 이번 버그 사건은 마이크로소프트의 업데이트 절차에 문제가 있다는 지적을 이끌어내고 있다. 마이IT포럼닷컴의 로드 트렌드 대표는 "마이크로소프트가 문제 있는 업그레이드를 개방함으로써 소비자들을 좌절시켰다. 인사이더 피드백 허브(Insider Feedback Hub)를 잠깐만 들여다봐도 문제가 해결되지 않았다는 점을 알 수 있었을 것이다"라고 말했다. 그는 이어 "다시 처음부터 그림을 그려봐야 할 시점이다. 마이크로소프트의 업데이트 테스트 메커니즘은 고장났다"라고 말했다. ciokr@idg.co.kr  

버그 윈도우 10 1809 파일 삭제

2018.10.12

사용자 파일을 삭제하는 버그가 발견된 후 중단됐던 업데이트 롤아웃이 제한된 사용자를 대상으로 재개됐다. 마이크로소프트는 손실된 데이터가 복구되지 못할 수도 있다고 밝혔다. 윈도우 10 10월 10일자 기능 업그레이드가 다시 재개됐다. 단 즉각적인 재배포는 윈도우 인사이더 참가자들에게 국한됐다. 윈도우 서비스 및 배포 그룹의 존 케이블 프로그램 관리 디렉터는 "광범위한 재배포에 앞서 인사이더 프로그램 가입자들로부터 피드백 및 진단 데이터를 받아 연구할 것"이라고 밝혔다. 그는 일반인 대상 재배포가 이뤄질 시점에 대해 언급하지 않았다. 한편 그는 이번 업데이트로 인해 파일이 지워진 사용자들에게 마이크로소프트 고객 지원부로 전화 문의하거나 오프라인 소매점에 방문해 지원을 요청하라고 권고했다. 케이블은 또 손실된 파일을 복구하는 특수 도구를 갖추고 있음을 암시했던 회사 보고서와 달리 복구 불가능할 수도 있다고 경고했다. 이번 버그 사건은 마이크로소프트의 업데이트 절차에 문제가 있다는 지적을 이끌어내고 있다. 마이IT포럼닷컴의 로드 트렌드 대표는 "마이크로소프트가 문제 있는 업그레이드를 개방함으로써 소비자들을 좌절시켰다. 인사이더 피드백 허브(Insider Feedback Hub)를 잠깐만 들여다봐도 문제가 해결되지 않았다는 점을 알 수 있었을 것이다"라고 말했다. 그는 이어 "다시 처음부터 그림을 그려봐야 할 시점이다. 마이크로소프트의 업데이트 테스트 메커니즘은 고장났다"라고 말했다. ciokr@idg.co.kr  

2018.10.12

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13