Offcanvas

���������������

어떤 기업이 ‘공급망 공격’ 대응 잘할까? 구글 클라우드 보고서

구글 클라우드(Google Cloud)의 ‘도라(Dora; DevOps Research and Assessment)’ 팀에 따르면 건강한 개발자 팀 문화와 데브섹옵스 관행 준수가 오늘날의 보안 환경에서 공급망 공격 대응에 중요하다.  기업 보안 전문가라면 구글 클라우드의 도라 팀이 이번 주 발표한 보고서(2022 Accelerate State of DevOps)에 반가울 만한 소식이 있다. 데브섹옵스 모범 사례가 점점 더 일반화되고 있다는 것.  최근 공급망 공격이 증가하면서(예: 대표적으로 지난 2021년 수많은 대기업에 피해를 끼친 솔라윈즈 공격) 이 주제가 부각되고 있다. 보고서는 주요 프레임워크에서 권장하는 많은 공급망 보안 관행이 소프트웨어 개발자 사이에서 이미 시행되고 있다고 밝혔다. 이는 지난 8년 동안 ‘계속해서 진행 중’인 설문조사 결과를 기반으로 한다(3만 3,000명 이상의 개발자).  소프트웨어 공급망 개발 문제를 해결하기 위한 2가지 주요 프레임워크가 있는데, 이는 최신 소프트웨어 개발의 복잡성에서 비롯됐다. 많은 프로젝트에 오픈소스 구성 요소, 라이선스가 부여된 라이브러리, 수많은 개발자 및 서드파티의 기여가 포함돼 있기 때문이다.  2가지 주요 프레임워크 중 하나는 구글이 지원하는 표준인 ‘소프트웨어 아티팩트용 공급망 레벨(Supply-chain Levels for Software Artifacts)’이며, 다른 하나는 NIST의 ‘보안 소프트웨어 개발 프레임워크(Secure Software Development Framework)’다. 둘 다 ▲ 소프트웨어 변경사항 2인 검토, ▲ 보호된 소스코드 플랫폼, ▲ 종속성 추적을 포함해 소프트웨어 개발을 위한 여러 모범 사례를 열거한다.  공급망 보안 회사 체인가드(Chainguard)의 보안 데이터 과학자이자 보고서 작성자 중 한 명인 존 스피드 마이어스는 “설문조사 결과, 흥미로운 점은 이러한 관행 중 상당수가 실제로 비교적 확립돼...

개발자 구글 클라우드 도라 데브섹옵스 공급망 공격 보안 취약점

4일 전

구글 클라우드(Google Cloud)의 ‘도라(Dora; DevOps Research and Assessment)’ 팀에 따르면 건강한 개발자 팀 문화와 데브섹옵스 관행 준수가 오늘날의 보안 환경에서 공급망 공격 대응에 중요하다.  기업 보안 전문가라면 구글 클라우드의 도라 팀이 이번 주 발표한 보고서(2022 Accelerate State of DevOps)에 반가울 만한 소식이 있다. 데브섹옵스 모범 사례가 점점 더 일반화되고 있다는 것.  최근 공급망 공격이 증가하면서(예: 대표적으로 지난 2021년 수많은 대기업에 피해를 끼친 솔라윈즈 공격) 이 주제가 부각되고 있다. 보고서는 주요 프레임워크에서 권장하는 많은 공급망 보안 관행이 소프트웨어 개발자 사이에서 이미 시행되고 있다고 밝혔다. 이는 지난 8년 동안 ‘계속해서 진행 중’인 설문조사 결과를 기반으로 한다(3만 3,000명 이상의 개발자).  소프트웨어 공급망 개발 문제를 해결하기 위한 2가지 주요 프레임워크가 있는데, 이는 최신 소프트웨어 개발의 복잡성에서 비롯됐다. 많은 프로젝트에 오픈소스 구성 요소, 라이선스가 부여된 라이브러리, 수많은 개발자 및 서드파티의 기여가 포함돼 있기 때문이다.  2가지 주요 프레임워크 중 하나는 구글이 지원하는 표준인 ‘소프트웨어 아티팩트용 공급망 레벨(Supply-chain Levels for Software Artifacts)’이며, 다른 하나는 NIST의 ‘보안 소프트웨어 개발 프레임워크(Secure Software Development Framework)’다. 둘 다 ▲ 소프트웨어 변경사항 2인 검토, ▲ 보호된 소스코드 플랫폼, ▲ 종속성 추적을 포함해 소프트웨어 개발을 위한 여러 모범 사례를 열거한다.  공급망 보안 회사 체인가드(Chainguard)의 보안 데이터 과학자이자 보고서 작성자 중 한 명인 존 스피드 마이어스는 “설문조사 결과, 흥미로운 점은 이러한 관행 중 상당수가 실제로 비교적 확립돼...

4일 전

오토래빗, 세일즈포스 환경 위한 데브섹옵스 툴 발표 “보안 사일로 해소”

데브섹옵스 기업 오토래빗(AutoRabit)이 세일즈포스 환경에서 정책 변경 및 잘못된 구성으로 인해 발생하는 보안 문제를 해결하도록 돕는 ‘코드스캔 실드’(CodeScan Shield)를 출시했다. 오토래빗의 정적 코드 분석 도구였던 코드스캔의 후속 확장 버전에 해당하는 이번 툴은 ‘OrgScan’이라는 새 모듈이 추가된 것이 특징이다. 이 모듈은 세일즈포스 환경에 필요한 보안 및 컴플라이언스 규칙을 적용해 조직 정책을 관리한다.  오토래빗은 OrgScan으로 스캔하면 우려해야 할 영역을 식별할 수 있도록 돕는 대시보드가 생성되고 이를 통해 조직은 시간과 비용을 절약할 수 있다고 전했다.  회사의 에릭 피어슨 북미 및 남미 기업 계정 담당 부사장은 “일반적으로 기업에는 조직 전체의 보안 유지에 관여하는 그룹이 3개 이상이다. 개발 조직, 그들이 구축한 애플리케이션을 빌드하고 출시하는 릴리스 관리 조직이 있다. 이에 더해 사용자 액세스, 세션 관리 및 세일즈 보안의 기타 측면에서 모든 것을 책임지는 세일즈포스 시스템 관리자도 있다. 기업 전체의 데이터, 개인 정보 보호 등을 관장하는 인포섹(InfoSec) 조직도 있다”라고 말했다. 그에 따르면 이렇듯 서로 다른 조직들은 사일로화되어 있는 경우가 잦다. 피터슨은 “코드스캔 실드의 목표는 이러한 다양한 그룹을 하나로 통합하고 관리자 권한, 세션 관리, 사용자 액세스 등 모든 것을 정책 관리 시스템에서 자동화하는 것이다. 이러한 유형의 규칙이 개발 및 릴리스 관리 주기에 더 빨리 통합되어 보안이 모든 데브섹옵스 솔루션이 초점이 되도록 돕고자 했다”라고 말했다.  또 OrgScan은 노코드 인터페이스를 지원해 전문적인 코딩 지식 없이도 사용할 수 있다고 그는 덧붙였다. 한편 오토래빗의 주력 상품은 여전히 정적 코드 분석 도구인 코드스캔이다. 코드스캔 실드의 코드를 동적으로 추적한다는 점에서 후속작이면서도 다소 다른 성격을 지닌다. 다양한 개발 단계에서 발생할 수 있는 보안 문제를...

코드스캔 실드 오토래빗 데브섹옵스

2022.09.16

데브섹옵스 기업 오토래빗(AutoRabit)이 세일즈포스 환경에서 정책 변경 및 잘못된 구성으로 인해 발생하는 보안 문제를 해결하도록 돕는 ‘코드스캔 실드’(CodeScan Shield)를 출시했다. 오토래빗의 정적 코드 분석 도구였던 코드스캔의 후속 확장 버전에 해당하는 이번 툴은 ‘OrgScan’이라는 새 모듈이 추가된 것이 특징이다. 이 모듈은 세일즈포스 환경에 필요한 보안 및 컴플라이언스 규칙을 적용해 조직 정책을 관리한다.  오토래빗은 OrgScan으로 스캔하면 우려해야 할 영역을 식별할 수 있도록 돕는 대시보드가 생성되고 이를 통해 조직은 시간과 비용을 절약할 수 있다고 전했다.  회사의 에릭 피어슨 북미 및 남미 기업 계정 담당 부사장은 “일반적으로 기업에는 조직 전체의 보안 유지에 관여하는 그룹이 3개 이상이다. 개발 조직, 그들이 구축한 애플리케이션을 빌드하고 출시하는 릴리스 관리 조직이 있다. 이에 더해 사용자 액세스, 세션 관리 및 세일즈 보안의 기타 측면에서 모든 것을 책임지는 세일즈포스 시스템 관리자도 있다. 기업 전체의 데이터, 개인 정보 보호 등을 관장하는 인포섹(InfoSec) 조직도 있다”라고 말했다. 그에 따르면 이렇듯 서로 다른 조직들은 사일로화되어 있는 경우가 잦다. 피터슨은 “코드스캔 실드의 목표는 이러한 다양한 그룹을 하나로 통합하고 관리자 권한, 세션 관리, 사용자 액세스 등 모든 것을 정책 관리 시스템에서 자동화하는 것이다. 이러한 유형의 규칙이 개발 및 릴리스 관리 주기에 더 빨리 통합되어 보안이 모든 데브섹옵스 솔루션이 초점이 되도록 돕고자 했다”라고 말했다.  또 OrgScan은 노코드 인터페이스를 지원해 전문적인 코딩 지식 없이도 사용할 수 있다고 그는 덧붙였다. 한편 오토래빗의 주력 상품은 여전히 정적 코드 분석 도구인 코드스캔이다. 코드스캔 실드의 코드를 동적으로 추적한다는 점에서 후속작이면서도 다소 다른 성격을 지닌다. 다양한 개발 단계에서 발생할 수 있는 보안 문제를...

2022.09.16

데이터 거버넌스 개선·확산, 데브옵스 팀의 ‘개입’이 필요하다

CIO들은 데이터 거버넌스가 IT 팀 전원의 일이 돼야 한다는 데 모두 동의한다. 데이터의 규정 준수, 보안, 그리고 신뢰성은 비즈니스의 모든 영역에 영향을 끼치기 때문이다.    데이터 거버넌스(data governance)는 다양한 분야와 관행을 아우르는 포괄적 용어다. 우선순위는 누가 해당 활동을 주도하는지에 달린 경우가 많다. 최고데이터책임자(CDO), 프라이버시 책임자, 보안 책임자, 위험 관리 리더가 주도한다면 프라이버시, 보안, 규정에 주력하는 것이 보통이다. 데이터 과학자, 마케터, 데브옵스 리더, 비즈니스 애널리스트는 데이터 카탈로그, 데이터 통합, 데이터 품질, 데이터 계보, 고객 데이터 프로필, 그리고 마스터 데이터 관리를 포함한 대비적 데이터 거버넌스에 주력할 가능성이 더 크다. 즉, 이 모든 용어와 관행, 그리고 기술에는 해석의 여지가 다양하며 일부 기능과 목적은 서로 겹치기도 한다. 질리언트(Zilliant) CTO 겸 엔지니어링 담당 SVP 샴즈 차우타니는 목표가 여럿일 수 있기 때문에 때문에 비즈니스 이해관계자, IT, 데이터 팀 사이의 협업이 프로젝트 성공의 관건이라고 강조했다. 그는 “데이터 거버넌스는 각 부서가 알아서 해야 하는 일, 대부분 IT에서 관리하는 규정 준수 요건쯤으로 취급된다. 오늘날 디지털 시대에 데이터는 최대 자산이다. 데이터 거버넌스를 IT에서만 실행하는 고립된 업무로 취급하면 전체 조직에 해가 된다. 데이터 중심 기업이 되고자 하는 목표를 정말 현실화하고자 한다면 이해관계자 전원이 참여해 데이터 거버넌스 프로세스를 지속해서 개선해야 한다”라고 말했다. 데이터 거버넌스를 확산시키기 위해 데브옵스 리더와 팀이 알아야 할 것과 기여할 수 있는 방식에 대한 업계 전문가들의 의견을 들어본다.    데이터옵스로 일상 워크플로우에 통합  레드게이트 소프트웨어(Redgate Software)의 데브옵스 애드보케이크(DevOps Advocate) 그랜트 프리치는 이해...

데브옵스 데이터거버넌스 데브섹옵스 데이터옵스

2022.09.07

CIO들은 데이터 거버넌스가 IT 팀 전원의 일이 돼야 한다는 데 모두 동의한다. 데이터의 규정 준수, 보안, 그리고 신뢰성은 비즈니스의 모든 영역에 영향을 끼치기 때문이다.    데이터 거버넌스(data governance)는 다양한 분야와 관행을 아우르는 포괄적 용어다. 우선순위는 누가 해당 활동을 주도하는지에 달린 경우가 많다. 최고데이터책임자(CDO), 프라이버시 책임자, 보안 책임자, 위험 관리 리더가 주도한다면 프라이버시, 보안, 규정에 주력하는 것이 보통이다. 데이터 과학자, 마케터, 데브옵스 리더, 비즈니스 애널리스트는 데이터 카탈로그, 데이터 통합, 데이터 품질, 데이터 계보, 고객 데이터 프로필, 그리고 마스터 데이터 관리를 포함한 대비적 데이터 거버넌스에 주력할 가능성이 더 크다. 즉, 이 모든 용어와 관행, 그리고 기술에는 해석의 여지가 다양하며 일부 기능과 목적은 서로 겹치기도 한다. 질리언트(Zilliant) CTO 겸 엔지니어링 담당 SVP 샴즈 차우타니는 목표가 여럿일 수 있기 때문에 때문에 비즈니스 이해관계자, IT, 데이터 팀 사이의 협업이 프로젝트 성공의 관건이라고 강조했다. 그는 “데이터 거버넌스는 각 부서가 알아서 해야 하는 일, 대부분 IT에서 관리하는 규정 준수 요건쯤으로 취급된다. 오늘날 디지털 시대에 데이터는 최대 자산이다. 데이터 거버넌스를 IT에서만 실행하는 고립된 업무로 취급하면 전체 조직에 해가 된다. 데이터 중심 기업이 되고자 하는 목표를 정말 현실화하고자 한다면 이해관계자 전원이 참여해 데이터 거버넌스 프로세스를 지속해서 개선해야 한다”라고 말했다. 데이터 거버넌스를 확산시키기 위해 데브옵스 리더와 팀이 알아야 할 것과 기여할 수 있는 방식에 대한 업계 전문가들의 의견을 들어본다.    데이터옵스로 일상 워크플로우에 통합  레드게이트 소프트웨어(Redgate Software)의 데브옵스 애드보케이크(DevOps Advocate) 그랜트 프리치는 이해...

2022.09.07

블로그 | 보안은 원래 어렵다, 쉬워지는 '기적'은 없을 터다

전 세계가 불황에 빠질지라도 예산 삭감이라는 도끼에서 생존할 분야 중 하나가 보안이다. 그러나 안전한 미래를 구현하기가 점점 더 어려워지고 있다는 사실 또한 분명하다.  SLSA(Supply-chain Levels for Software Artifacts), 텍톤(Tekton)을 비롯한 각종 솔루션이 오픈소스 서플라이 체인의 안전성을 높여줄 수 있기는 하다. 하지만 현실 속 해법은 여전히 구태의연하다. 모달 랩스의 설립자 에릭 베른하드슨은 “여전히 개발자들이 더 잘 해내기를 바라고 ‘경계를 유지’하는데 의존하고 있다”라고 말했다. 그리고 이러한 비전략적 접근법은 계속해서 실패하고 있다. 베른하드슨은 “2022년의 보안은 왜 그렇게 어려운가?”라고 반문했다. 이 질문에 대한 한 가지 답은 시스템이 점점 더 복잡해지고 있으며, 이로 인해 해커가 악용할 수 있는 구멍을 남겨놓는 현실이다. 그렇다면 상황이 나아질 가능성이 있을까?   만병통치약 없음 보안이 어려운 근본적인 이유 중 하나는 시스템을 보호하기 위해서는 시스템 전체를 이해해야 한다는 진실이 자리하고 있다. 오픈소스 전문가인 사이먼 윌슨은 “보안 소프트웨어를 작성하려면 모든 것이 어떻게 작동하는지에 대한 깊은 지식이 필요하다”라고 말했다. 그에 따르면 개발자가 기본적인 이해 없이 그저 ‘모범수칙’만 따를 수 있겠지만, 이는 “우연한 실수와 새로운 보안 허점의 출현으로 이어진다”라고 말했다.  그는 개발 단계에 보안 기본값을 적용하는 자동화를 이용해 인적 오류를 줄이려는 시도에 대해 부정적인 입장을 밝혔다. 윌슨은 “도구가 우리를 구할 수 있다고 생각하지 않는다. 기본 도구가 우수하더라도 한계가 있다. 기본 도구가 어떻게 보안을 유지하는지 엔지니어가 이해하지 못하면 자신이 하는 일이 왜 나쁜지에 대한 이해 없이 보안을 파괴할 것”이라고 단언했다. 그는 이어 “궁극적으로 보안은 사람에 달렸다. 소프트웨어를 고칠 수는 있지만 소프트웨어 뒤에 있는 사람을 고칠 때까지는 아무것...

보안 데브섹옵스 속성 본질

2022.08.23

전 세계가 불황에 빠질지라도 예산 삭감이라는 도끼에서 생존할 분야 중 하나가 보안이다. 그러나 안전한 미래를 구현하기가 점점 더 어려워지고 있다는 사실 또한 분명하다.  SLSA(Supply-chain Levels for Software Artifacts), 텍톤(Tekton)을 비롯한 각종 솔루션이 오픈소스 서플라이 체인의 안전성을 높여줄 수 있기는 하다. 하지만 현실 속 해법은 여전히 구태의연하다. 모달 랩스의 설립자 에릭 베른하드슨은 “여전히 개발자들이 더 잘 해내기를 바라고 ‘경계를 유지’하는데 의존하고 있다”라고 말했다. 그리고 이러한 비전략적 접근법은 계속해서 실패하고 있다. 베른하드슨은 “2022년의 보안은 왜 그렇게 어려운가?”라고 반문했다. 이 질문에 대한 한 가지 답은 시스템이 점점 더 복잡해지고 있으며, 이로 인해 해커가 악용할 수 있는 구멍을 남겨놓는 현실이다. 그렇다면 상황이 나아질 가능성이 있을까?   만병통치약 없음 보안이 어려운 근본적인 이유 중 하나는 시스템을 보호하기 위해서는 시스템 전체를 이해해야 한다는 진실이 자리하고 있다. 오픈소스 전문가인 사이먼 윌슨은 “보안 소프트웨어를 작성하려면 모든 것이 어떻게 작동하는지에 대한 깊은 지식이 필요하다”라고 말했다. 그에 따르면 개발자가 기본적인 이해 없이 그저 ‘모범수칙’만 따를 수 있겠지만, 이는 “우연한 실수와 새로운 보안 허점의 출현으로 이어진다”라고 말했다.  그는 개발 단계에 보안 기본값을 적용하는 자동화를 이용해 인적 오류를 줄이려는 시도에 대해 부정적인 입장을 밝혔다. 윌슨은 “도구가 우리를 구할 수 있다고 생각하지 않는다. 기본 도구가 우수하더라도 한계가 있다. 기본 도구가 어떻게 보안을 유지하는지 엔지니어가 이해하지 못하면 자신이 하는 일이 왜 나쁜지에 대한 이해 없이 보안을 파괴할 것”이라고 단언했다. 그는 이어 “궁극적으로 보안은 사람에 달렸다. 소프트웨어를 고칠 수는 있지만 소프트웨어 뒤에 있는 사람을 고칠 때까지는 아무것...

2022.08.23

'분명히 뜬다, 몇 개월 내에'··· 넷데브옵스 안내서

네트워크를 신속하게 업데이트할 수 있는 자동화, 프로그래밍 기반의 파이프라인을 구축하면, 네트워크의 속도, 민첩성, 신뢰성 및 성능이 크게 개선된다. 이것이 바로 넷데브옵스(NetDevOps)다.   대부분 IT 책임자는 데브옵스(DevOps), 데브섹옵스(DevSecOps) 개념에 익숙할 것이다. 이제 넷데브옵스(NetDevOps)라는 모델이 등장해 특히 네트워킹 전문가 세계에 상당한 반향을 일으키고 있다. 새로 떠오르는 기술이 종종 그렇듯, 오늘날 넷데브옵스의 정의는 느슨하다. 그러나 기본적인 수준에서 이 용어는 데브옵스 원칙을 컴퓨터 네트워킹에 적용하는 것을 나타낸다. 가트너의 네트워킹 부문 리서치 부사장인 앤드류 러너는 “넷데브옵스가 현재 뜨거운 화두”라며, “그러나 여러 정의와 관점이 있는 만큼 가장 먼저 해야 할 질문은 넷데브옵스가 무엇이냐는 것”이라고 말했다. 넷데브옵스의 정의와 개념 가트너의 정의에 따르면, 넷데브옵스는 데브옵스의 지속적 통합/지속적 제공(CI/CD) 개념을 네트워킹 작업에 적용하는 것을 의미한다. 러너는 이 모델을 나타내는 다른 용어로 넷옵스(NetOps) 2.0, 코드형 네트워크(Network as Code), 깃옵스(GitOps) 네트워킹 등이 있다고 설명했다.   시장조사 업체 기가옴(GigaOm)은 “넷데브옵스의 목표는 그동안 엔지니어의 골칫거리였던 네트워크 구성 오류를 줄이고, 근본적으로 더 나은 성능과 복원력을 지닌 네트워크를 구축하는 것이다. 따라서 이 개념은 자동화된 프로그래밍 워크플로우를 기반으로 코드형 네트워크 인프라(IaC)를 추상화, 코드화 및 구현하는 모든 일련의 과정을 뜻한다”라고 설명했다. 러너는 기업이 조직이 넷데브옵스를 활용하려면 스테이징, 사전/사후 검증, 프로비저닝과 같은 네트워킹 작업 테스트가 포함된 자동화된 파이프라인을 먼저 구축해야 한다고 설명했다.  기가옴도 비슷한 파이프라인이 필요하다고 덧붙였다. 넷데브옵스 파이프라인은 다양한 개발 환경...

데브옵스 데브섹옵스 넷데브옵스 네트워크구성오류 네트워크엔지니어 네트워크프로그래밍 네트워크프로그래머

2022.07.12

네트워크를 신속하게 업데이트할 수 있는 자동화, 프로그래밍 기반의 파이프라인을 구축하면, 네트워크의 속도, 민첩성, 신뢰성 및 성능이 크게 개선된다. 이것이 바로 넷데브옵스(NetDevOps)다.   대부분 IT 책임자는 데브옵스(DevOps), 데브섹옵스(DevSecOps) 개념에 익숙할 것이다. 이제 넷데브옵스(NetDevOps)라는 모델이 등장해 특히 네트워킹 전문가 세계에 상당한 반향을 일으키고 있다. 새로 떠오르는 기술이 종종 그렇듯, 오늘날 넷데브옵스의 정의는 느슨하다. 그러나 기본적인 수준에서 이 용어는 데브옵스 원칙을 컴퓨터 네트워킹에 적용하는 것을 나타낸다. 가트너의 네트워킹 부문 리서치 부사장인 앤드류 러너는 “넷데브옵스가 현재 뜨거운 화두”라며, “그러나 여러 정의와 관점이 있는 만큼 가장 먼저 해야 할 질문은 넷데브옵스가 무엇이냐는 것”이라고 말했다. 넷데브옵스의 정의와 개념 가트너의 정의에 따르면, 넷데브옵스는 데브옵스의 지속적 통합/지속적 제공(CI/CD) 개념을 네트워킹 작업에 적용하는 것을 의미한다. 러너는 이 모델을 나타내는 다른 용어로 넷옵스(NetOps) 2.0, 코드형 네트워크(Network as Code), 깃옵스(GitOps) 네트워킹 등이 있다고 설명했다.   시장조사 업체 기가옴(GigaOm)은 “넷데브옵스의 목표는 그동안 엔지니어의 골칫거리였던 네트워크 구성 오류를 줄이고, 근본적으로 더 나은 성능과 복원력을 지닌 네트워크를 구축하는 것이다. 따라서 이 개념은 자동화된 프로그래밍 워크플로우를 기반으로 코드형 네트워크 인프라(IaC)를 추상화, 코드화 및 구현하는 모든 일련의 과정을 뜻한다”라고 설명했다. 러너는 기업이 조직이 넷데브옵스를 활용하려면 스테이징, 사전/사후 검증, 프로비저닝과 같은 네트워킹 작업 테스트가 포함된 자동화된 파이프라인을 먼저 구축해야 한다고 설명했다.  기가옴도 비슷한 파이프라인이 필요하다고 덧붙였다. 넷데브옵스 파이프라인은 다양한 개발 환경...

2022.07.12

GS ITM-스패로우, IMOU 체결로 ITSM 기반의 보안 구현

GS ITM(지에스아이티엠)은 소프트웨어 품질 및 보안 전문 기업 ‘스패로우’와 ITSM 및 보안 솔루션 사업 협력을 위한 업무협약을 체결했다고 27일 밝혔다. 기업이 개별 수행해야 했던 보안 점검을 ITSM의 변경관리 프로세스에 구현함에 따라 U.STRA ITSM을 통한 보안 취약점 자동 점검 및 분석이 가능해졌다고 GS ITM은 설명했다 .   양사는 GS ITM의 IT 서비스 관리 솔루션 ‘U.STRA ITSM’에 스패로우가 제공하는 보안 솔루션들을 결합해 관련 시장 공략에 나선다. GS ITM은 U.STRA ITSM에 스패로우의 소프트웨어 품질 및 보안 관련 솔루션을 연동해 IT 서비스 관리와 보안 점검을 통합 제공한다. 이전에는 기업이 보안 점검을 개별 수행해야 했다. 하지만 이제 ITSM의 변경관리 프로세스에 구현함에 따라 U.STRA ITSM을 통한 보안 취약점 자동 점검 및 분석이 가능해진다고 GS ITM은 설명했다 . 이로써 U.STRA ITSM 사용자는 개발과 보안, 운영을 아우르는 데브섹옵스(DevSecOps) 환경을 구축할 수 있게 된다. 스패로우는 이번 협약을 계기로 시큐어 코딩(SAST), 코드 품질 분석(SAQT), 웹 취약점 분석(DAST), 오픈소스 관리(SCA) 등 대표 솔루션 4종을 제공한다. 소스코드 취약점 검출, 웹 애플리케이션에 대한 공격 대비, 오픈소스 라이선스 식별 및 취약점 진단, 소프트웨어 공급망 보안 강화 등의 기능이 U.STRA ITSM에 탑재될 예정이다. 또한 양사는 이미 스패로우의 솔루션을 사용 중인 기업이 ITSM 전문가 컨설팅과 기존 시스템 연동을 통해 통합 ITSM 시스템을 구축할 수 있도록 공동 지원한다고 밝혔다. ciokr@idg.co.kr

GS ITM 스패로우 ITSM U.STRA ITM 데브섹옵스

2022.06.27

GS ITM(지에스아이티엠)은 소프트웨어 품질 및 보안 전문 기업 ‘스패로우’와 ITSM 및 보안 솔루션 사업 협력을 위한 업무협약을 체결했다고 27일 밝혔다. 기업이 개별 수행해야 했던 보안 점검을 ITSM의 변경관리 프로세스에 구현함에 따라 U.STRA ITSM을 통한 보안 취약점 자동 점검 및 분석이 가능해졌다고 GS ITM은 설명했다 .   양사는 GS ITM의 IT 서비스 관리 솔루션 ‘U.STRA ITSM’에 스패로우가 제공하는 보안 솔루션들을 결합해 관련 시장 공략에 나선다. GS ITM은 U.STRA ITSM에 스패로우의 소프트웨어 품질 및 보안 관련 솔루션을 연동해 IT 서비스 관리와 보안 점검을 통합 제공한다. 이전에는 기업이 보안 점검을 개별 수행해야 했다. 하지만 이제 ITSM의 변경관리 프로세스에 구현함에 따라 U.STRA ITSM을 통한 보안 취약점 자동 점검 및 분석이 가능해진다고 GS ITM은 설명했다 . 이로써 U.STRA ITSM 사용자는 개발과 보안, 운영을 아우르는 데브섹옵스(DevSecOps) 환경을 구축할 수 있게 된다. 스패로우는 이번 협약을 계기로 시큐어 코딩(SAST), 코드 품질 분석(SAQT), 웹 취약점 분석(DAST), 오픈소스 관리(SCA) 등 대표 솔루션 4종을 제공한다. 소스코드 취약점 검출, 웹 애플리케이션에 대한 공격 대비, 오픈소스 라이선스 식별 및 취약점 진단, 소프트웨어 공급망 보안 강화 등의 기능이 U.STRA ITSM에 탑재될 예정이다. 또한 양사는 이미 스패로우의 솔루션을 사용 중인 기업이 ITSM 전문가 컨설팅과 기존 시스템 연동을 통해 통합 ITSM 시스템을 구축할 수 있도록 공동 지원한다고 밝혔다. ciokr@idg.co.kr

2022.06.27

오픈소스 SW 보안으로의 중요한 걸음, ‘OSSSMP’란?

‘리눅스 재단(Linux Foundation)’과 ‘오픈SSF(Open-Source Security Foundation; OpenSSF)’의 계획은 오픈소스 소프트웨어 보안을 개선하고 취약점을 효과적으로 해결하기 위한 3가지 목표를 제시한다.  리눅스 재단과 오픈SSF가 ‘OSSSMP(Open-Source Software Security Mobilization Plan)’를 발표했다. 이는 소프트웨어 공급망 공격에 따른 대응조치다. 공급망은 악의적인 행위자에게 매력적인 표적이다. 솔라윈즈(SolarWinds) 및 로그4j(Log4j) 공격이 보여준 것처럼 단일 지점을 공격하여 고객 생태계 전체에 연쇄적인 영향을 미칠 수 있기 때문이다.   조 바이든 미국 대통령이 지난 2021년 발표한 ‘사이버 보안 행정명령’도 소프트웨어 공급망 보안에 초점을 맞추고 있다. 이 행정명령의 ‘소프트웨어 공급망 보안 강화(Enhancing Software Supply Chain Security)’ 섹션은 베스트 프랙티스와 가이드라인에 관한 정부, 학계, 업계의 의견을 요구했다. 현재 美 NIST는 해당 정보를 공개한 상태다. 2022년 초 백악관에서 주최한 ‘소프트웨어 시큐리티 서밋(Software Security Summit)’ 참석자들은 오픈소스 소프트웨어(Open-Source software; OSS) 보안, 생태계 개선, SBOM(Software Bill Of Materials) 도입 가속화 등을 논의했다. 아울러 연방정부는 막대한 구매력을 활용하여 안전한 개발 관행을 시행하고, 정부에 소프트웨어를 판매하는 기업들이 새로운 버전의 NIST SSDF(Secure Software Development Framework)를 준수하는지 증명하도록 촉구했다.  ‘OSSSMP’는 이러한 이니셔티브의 모멘텀이 헛되지 않도록 지원한다. 여기서는 보안 리더를 위해 OSSSMP의 핵심 내용을 정리했다.  OSSSMP의 목표 이 계획에는 3가지...

오픈소스 오픈소스 보안 OSS 리눅스 재단 오픈SSF 공급망 공격 솔라윈즈 로그4j 공급망 보안 취약점 버그 현상금 데브섹옵스 애플리케이션 보안

2022.06.02

‘리눅스 재단(Linux Foundation)’과 ‘오픈SSF(Open-Source Security Foundation; OpenSSF)’의 계획은 오픈소스 소프트웨어 보안을 개선하고 취약점을 효과적으로 해결하기 위한 3가지 목표를 제시한다.  리눅스 재단과 오픈SSF가 ‘OSSSMP(Open-Source Software Security Mobilization Plan)’를 발표했다. 이는 소프트웨어 공급망 공격에 따른 대응조치다. 공급망은 악의적인 행위자에게 매력적인 표적이다. 솔라윈즈(SolarWinds) 및 로그4j(Log4j) 공격이 보여준 것처럼 단일 지점을 공격하여 고객 생태계 전체에 연쇄적인 영향을 미칠 수 있기 때문이다.   조 바이든 미국 대통령이 지난 2021년 발표한 ‘사이버 보안 행정명령’도 소프트웨어 공급망 보안에 초점을 맞추고 있다. 이 행정명령의 ‘소프트웨어 공급망 보안 강화(Enhancing Software Supply Chain Security)’ 섹션은 베스트 프랙티스와 가이드라인에 관한 정부, 학계, 업계의 의견을 요구했다. 현재 美 NIST는 해당 정보를 공개한 상태다. 2022년 초 백악관에서 주최한 ‘소프트웨어 시큐리티 서밋(Software Security Summit)’ 참석자들은 오픈소스 소프트웨어(Open-Source software; OSS) 보안, 생태계 개선, SBOM(Software Bill Of Materials) 도입 가속화 등을 논의했다. 아울러 연방정부는 막대한 구매력을 활용하여 안전한 개발 관행을 시행하고, 정부에 소프트웨어를 판매하는 기업들이 새로운 버전의 NIST SSDF(Secure Software Development Framework)를 준수하는지 증명하도록 촉구했다.  ‘OSSSMP’는 이러한 이니셔티브의 모멘텀이 헛되지 않도록 지원한다. 여기서는 보안 리더를 위해 OSSSMP의 핵심 내용을 정리했다.  OSSSMP의 목표 이 계획에는 3가지...

2022.06.02

칼럼ㅣ‘데브섹옵스’가 메타버스 보안의 핵심인 이유 

광활한 ‘메타버스(Metaverse)’는 코드 측면에서도 방대하여 공급망 보안, 자동화된 스캔 및 테스트, 지속적인 업데이트 수요를 가속화할 전망이다.  기존의 개인용 컴퓨팅과 가상현실 및 증강현실 헤드셋을 통해 사회적 연결을 강화하는 데 초점을 맞춘 3D 가상 세계의 네트워크로 정의되는 ‘메타버스’는 한때 이름조차 생소했던 개념이었다. 하지만 최근 페이스북이 ‘메타’로 사명을 바꾸면서 주목받았고, 이제 사람들은 집에서 편안하게 경험할 수 있는 완전한 디지털 세계의 가능성을 꿈꾸기 시작했다.   메타버스가 일상에 자리 잡기까지는 아직 수년은 남았지만 애플, 에픽게임즈, 인텔, 메타, 마이크로소프트, 엔비디아, 로블록스 등의 기업들이 이러한 가상현실에 생명을 불어넣기 위해 열심이고, (이에 따라) 많은 부분이 이미 현실화되고 있다.  대부분의 사람들이 ‘AR 헤드셋’ 또는 (아마도) 오늘날의 게임 콘솔을 구동하는 ‘초고속 칩’이 제시하는 미래를 내다보고 있을 터다. 하지만 여기서 유념할 부분이 있다. 메타버스를 설계하고 호스팅하는 데 필요한 소프트웨어뿐만 아니라 이를 활용하고자 개발될 비즈니스 사용 사례가 엄청날 것이라는 점이다. 의심의 여지가 없는 부분이다. 이를 염두에 두고 메타버스에서 어떻게 보안을 달성할지 생각해 볼 필요가 있다.  메타버스(또는 모든 기업)의 핵심 구성요소를 ‘보호’하는 문제는 때마다 불거지는 문제다. 가장 최근에는 전 세계 모든 엔터프라이즈 시스템의 절반가량을 손상시킨 ‘아파치 로그4j 취약점’ 그리고 이보다 앞서 수만 명의 고객을 대상으로 배포된 일상적인 소프트웨어 업데이트에 악성코드를 주입했던 ‘솔라윈즈 공격’이 있었다. 악성코드는 고객들의 정보 기술 시스템에 백도어를 생성했고, 해커는 이 백도어를 사용하여 미국 기업과 정부 기관을 염탐하는 데 도움이 되는 수많은 맬웨어를 설치했다.  다시 한번, 시프트 레프트(shift left) 데브옵스 관점에서의 메타버스 보안은 (오늘날 ...

데브섹옵스 메타버스 메타버스 보안 가상현실 증강현실 혼합현실

2022.05.19

광활한 ‘메타버스(Metaverse)’는 코드 측면에서도 방대하여 공급망 보안, 자동화된 스캔 및 테스트, 지속적인 업데이트 수요를 가속화할 전망이다.  기존의 개인용 컴퓨팅과 가상현실 및 증강현실 헤드셋을 통해 사회적 연결을 강화하는 데 초점을 맞춘 3D 가상 세계의 네트워크로 정의되는 ‘메타버스’는 한때 이름조차 생소했던 개념이었다. 하지만 최근 페이스북이 ‘메타’로 사명을 바꾸면서 주목받았고, 이제 사람들은 집에서 편안하게 경험할 수 있는 완전한 디지털 세계의 가능성을 꿈꾸기 시작했다.   메타버스가 일상에 자리 잡기까지는 아직 수년은 남았지만 애플, 에픽게임즈, 인텔, 메타, 마이크로소프트, 엔비디아, 로블록스 등의 기업들이 이러한 가상현실에 생명을 불어넣기 위해 열심이고, (이에 따라) 많은 부분이 이미 현실화되고 있다.  대부분의 사람들이 ‘AR 헤드셋’ 또는 (아마도) 오늘날의 게임 콘솔을 구동하는 ‘초고속 칩’이 제시하는 미래를 내다보고 있을 터다. 하지만 여기서 유념할 부분이 있다. 메타버스를 설계하고 호스팅하는 데 필요한 소프트웨어뿐만 아니라 이를 활용하고자 개발될 비즈니스 사용 사례가 엄청날 것이라는 점이다. 의심의 여지가 없는 부분이다. 이를 염두에 두고 메타버스에서 어떻게 보안을 달성할지 생각해 볼 필요가 있다.  메타버스(또는 모든 기업)의 핵심 구성요소를 ‘보호’하는 문제는 때마다 불거지는 문제다. 가장 최근에는 전 세계 모든 엔터프라이즈 시스템의 절반가량을 손상시킨 ‘아파치 로그4j 취약점’ 그리고 이보다 앞서 수만 명의 고객을 대상으로 배포된 일상적인 소프트웨어 업데이트에 악성코드를 주입했던 ‘솔라윈즈 공격’이 있었다. 악성코드는 고객들의 정보 기술 시스템에 백도어를 생성했고, 해커는 이 백도어를 사용하여 미국 기업과 정부 기관을 염탐하는 데 도움이 되는 수많은 맬웨어를 설치했다.  다시 한번, 시프트 레프트(shift left) 데브옵스 관점에서의 메타버스 보안은 (오늘날 ...

2022.05.19

깃허브, ‘자문 데이터베이스’ 공개··· “SW 공급망 보안 개선”

소프트웨어 개발 플랫폼 깃허브(GitHub)가 ‘자문 데이터베이스(Advisory Database)’를 커뮤니티 컨트리뷰터에 개방했다. 이를 통해 누구나 보안 취약점에 관한 인사이트와 인텔리전스를 제공하여 소프트웨어 공급망 보안을 개선할 수 있다.  회사에 따르면 해당 데이터베이스의 전체 내용은 크리에이티브 커먼즈(Creative Commons) 라이선스에 따라 자유롭게 액세스할 수 있는 새로운 퍼블릭 리포지토리에 게시된다. 업계 전문가들은 이러한 종류의 데이터 공유가 소프트웨어 공급망 보안을 개선하고, 소프트웨어 관련 위험을 해결하는 데 중요하다고 입을 모았다.    무료 및 공개 데이터를 활용할 수 있게 된 보안 커뮤니티 수백만 명의 개발자와 기업들이 소프트웨어를 빌드, 배포, 유지관리하기 위해 깃허브를 사용한다. 깃허브는 자문 데이터베이스를 커뮤니티에 개방함으로써 보안 연구진, 관련 학계 등이 보안 권고(security advisories)에 관한 커뮤니티의 이해와 인식을 높일 수 있도록 추가적인 정보와 맥락을 제공, 공유, 활용할 수 있다고 말했다.  이어서 “무료 및 공개 보안 데이터는 업계 전반에서 소프트웨어 공급망을 보호하는 데 매우 중요하다고 본다. 깃허브 자문 데이터베이스는 소프트웨어 종속성 내 취약점에 관한 세계 최대의 데이터베이스다. 더 쉽게 기여하고 사용할 수 있도록 함으로써 더 많은 경험을 제공하고 모든 소프트웨어의 보안을 개선하는 데 더욱더 도움이 되길 바란다”라고 회사 측은 전했다.  아울러 깃허브는 컨트리뷰션을 위한 사용자 인터페이스를 구축했으며, 깃허브 보안 랩(GitHub Security Lab) 연구진이 이를 검토했다. 컨트리뷰터는 패키지, 영향을 받는 버전 및 생태계에 관한 변경사항을 제안하거나 맥락을 제공할 수 있으며, 컨트리뷰션이 수락되면 깃허브 프로필에 공개 크레딧을 받게 된다. 깃허브는 OSV(Open-Source Vulnerabilities) 형식이 해당 리포지토...

깃허브 오픈소스 사이버보안 자문 데이터베이스 보안 취약점 소프트웨어 공급망 데브섹옵스

2022.02.23

소프트웨어 개발 플랫폼 깃허브(GitHub)가 ‘자문 데이터베이스(Advisory Database)’를 커뮤니티 컨트리뷰터에 개방했다. 이를 통해 누구나 보안 취약점에 관한 인사이트와 인텔리전스를 제공하여 소프트웨어 공급망 보안을 개선할 수 있다.  회사에 따르면 해당 데이터베이스의 전체 내용은 크리에이티브 커먼즈(Creative Commons) 라이선스에 따라 자유롭게 액세스할 수 있는 새로운 퍼블릭 리포지토리에 게시된다. 업계 전문가들은 이러한 종류의 데이터 공유가 소프트웨어 공급망 보안을 개선하고, 소프트웨어 관련 위험을 해결하는 데 중요하다고 입을 모았다.    무료 및 공개 데이터를 활용할 수 있게 된 보안 커뮤니티 수백만 명의 개발자와 기업들이 소프트웨어를 빌드, 배포, 유지관리하기 위해 깃허브를 사용한다. 깃허브는 자문 데이터베이스를 커뮤니티에 개방함으로써 보안 연구진, 관련 학계 등이 보안 권고(security advisories)에 관한 커뮤니티의 이해와 인식을 높일 수 있도록 추가적인 정보와 맥락을 제공, 공유, 활용할 수 있다고 말했다.  이어서 “무료 및 공개 보안 데이터는 업계 전반에서 소프트웨어 공급망을 보호하는 데 매우 중요하다고 본다. 깃허브 자문 데이터베이스는 소프트웨어 종속성 내 취약점에 관한 세계 최대의 데이터베이스다. 더 쉽게 기여하고 사용할 수 있도록 함으로써 더 많은 경험을 제공하고 모든 소프트웨어의 보안을 개선하는 데 더욱더 도움이 되길 바란다”라고 회사 측은 전했다.  아울러 깃허브는 컨트리뷰션을 위한 사용자 인터페이스를 구축했으며, 깃허브 보안 랩(GitHub Security Lab) 연구진이 이를 검토했다. 컨트리뷰터는 패키지, 영향을 받는 버전 및 생태계에 관한 변경사항을 제안하거나 맥락을 제공할 수 있으며, 컨트리뷰션이 수락되면 깃허브 프로필에 공개 크레딧을 받게 된다. 깃허브는 OSV(Open-Source Vulnerabilities) 형식이 해당 리포지토...

2022.02.23

AI옵스 적용 영역 ‘잘 맞는 3가지, 아직은 미흡한 2가지’

인공지능(Artificial Intelligence)과 머신러닝(Machine Learning)은 허위 경보의 수를 줄일 수 있고, 문제 해결 속도를 높일 수 있다. 또 신속히 변화 중인 클라우드 기반 IT 환경을 이해하고 관리하는 데 도움을 줄 수 있다. 그러나 CIO는 이른바 ‘마술적’ 결과를 기대해서는 안 된다. 인지할 수 있는 IT 문제라면 무엇이든 자동으로 예측하고 해결해줄 것을 기대하거나, 각종 로그 또는 이벤트 스트림 등을 수용해 손쉽게 분석하는 것을 기대해서는 안 된다.   AI옵스(AIops)는 인공지능을 이용해 IT시스템을 더 효율적이고 효과적으로 관리하고 최적화하고 방어할 수 있게 해준다. 시장조사회사인 가트너는 AI옵스의 시장 규모가 2020년 9억 ~ 15억 달러 범위였고, 2020년 ~ 2025년 사이의 연평균 성장률은 약 15%일 것이라고 예측했다. 독립형 AI옵스 플랫폼도 있고, AI옵스 플랫폼을 통합하거나 AI 기능을 추가한 IT관찰가능성, 관리 및 모니터링 툴도 많다.  고객과 전문가들에 따르면 AI옵스는 수백 또는 수천 곳의 출처에서 나온 대량의 데이터를 신속히 검사한다. 이를 통해 중요한 경보를 선별하거나 기저의 추세를 식별하는 데, 그리고 애플리케이션들을 연결하는 API 등의 새 요소를 신속하게 검출하는 데 지극히 탁월하다. 세계적인 연구 및 교육 단체인 와일리(Wiley)의 CIO 겸 CISO인 션 맥은 한마디로 인간의 지성이 감당할 수 있는 수준을 넘어선다고 말했다. 그는 “시스템과 서비스의 복잡성이 기하급수적으로 커지는 와중에 IT 문제에 대한 통찰을 제공하는 데 이상적이다”라고 말했다. 그러나 AI옵스를 제대로 활용하기 위해서는 먼저 AI옵스의 한계를 이해할 필요가 있다. AI옵스가 탁월한 분야  패턴 식별. AI옵스의 효과적인 이용 분야 중 하나는 다른 경고를 복제한 중복 경고, IT 인프라의 정상적 변경에 반응하는 경고, 또는 중대한 비즈니스 프로세스에 영향을 주지...

AI옵스 다이나트레이스 스택스테이트 관찰가능성 데브섹옵스

2022.01.25

인공지능(Artificial Intelligence)과 머신러닝(Machine Learning)은 허위 경보의 수를 줄일 수 있고, 문제 해결 속도를 높일 수 있다. 또 신속히 변화 중인 클라우드 기반 IT 환경을 이해하고 관리하는 데 도움을 줄 수 있다. 그러나 CIO는 이른바 ‘마술적’ 결과를 기대해서는 안 된다. 인지할 수 있는 IT 문제라면 무엇이든 자동으로 예측하고 해결해줄 것을 기대하거나, 각종 로그 또는 이벤트 스트림 등을 수용해 손쉽게 분석하는 것을 기대해서는 안 된다.   AI옵스(AIops)는 인공지능을 이용해 IT시스템을 더 효율적이고 효과적으로 관리하고 최적화하고 방어할 수 있게 해준다. 시장조사회사인 가트너는 AI옵스의 시장 규모가 2020년 9억 ~ 15억 달러 범위였고, 2020년 ~ 2025년 사이의 연평균 성장률은 약 15%일 것이라고 예측했다. 독립형 AI옵스 플랫폼도 있고, AI옵스 플랫폼을 통합하거나 AI 기능을 추가한 IT관찰가능성, 관리 및 모니터링 툴도 많다.  고객과 전문가들에 따르면 AI옵스는 수백 또는 수천 곳의 출처에서 나온 대량의 데이터를 신속히 검사한다. 이를 통해 중요한 경보를 선별하거나 기저의 추세를 식별하는 데, 그리고 애플리케이션들을 연결하는 API 등의 새 요소를 신속하게 검출하는 데 지극히 탁월하다. 세계적인 연구 및 교육 단체인 와일리(Wiley)의 CIO 겸 CISO인 션 맥은 한마디로 인간의 지성이 감당할 수 있는 수준을 넘어선다고 말했다. 그는 “시스템과 서비스의 복잡성이 기하급수적으로 커지는 와중에 IT 문제에 대한 통찰을 제공하는 데 이상적이다”라고 말했다. 그러나 AI옵스를 제대로 활용하기 위해서는 먼저 AI옵스의 한계를 이해할 필요가 있다. AI옵스가 탁월한 분야  패턴 식별. AI옵스의 효과적인 이용 분야 중 하나는 다른 경고를 복제한 중복 경고, IT 인프라의 정상적 변경에 반응하는 경고, 또는 중대한 비즈니스 프로세스에 영향을 주지...

2022.01.25

때로는 혼란이 보약··· 데브섹옵스팀에 '카오스 엔지니어링'이 필요한 이유

‘카오스(chaos)’와 ‘엔지니어링’이라는 단어는 보통 잘 어울리지 않는다. 훌륭한 엔지니어는 결과적으로 혼란(chaos)스러운 상황을 멀리하기 때문이다. 그러나 최근에는 여러 소프트웨어 개발자가 숨겨진 결함을 드러냄으로써 컴퓨터 시스템을 강화하기 위해 적당한 수준의 ‘카오스’를 사용한다. 카오스 특성상 결과가 보장되지는 않으므로 완벽한 방법은 아니지만, 의외로 효과적인 경우가 많다.   카오스 엔지니어링은 문서화되지 않고 예측할 수 없는 백도어를 찾아야 하는 보안 애널리스트에게 특히 유용하다. 카오스 테스트로 모든 보안 문제를 찾을 수는 없지만, 개발자가 생각하지 못한 패치하지 않은 위험한 취약점을 발견할 수 있다. 좋은 카오스 엔지니어링은 데브섹옵스팀과 데브옵스팀에 모두 도움이 된다. 안정성 또는 탄력성 문제가 곧 보안 문제로 이어지는 경우도 있고, 동일한 코딩 실수가 전체 시스템 중단이나 사이버 공격자의 침입으로 이어질 수 있어서다. 카오스 엔지니어링이란? ‘카오스 엔지니어링’은 성공적인 결과가 입증된 여러 기법을 통칭하는 신조어다. 컴퓨터 시스템을 비틀어 균형을 무너뜨리고 멈추게 만들기도 하므로 ‘퍼징(fuzzing)’이나 ‘글리칭(glitching)’이라는 용어를 사용하기도 한다. 카오스 엔지니어링은 소프트웨어에 스트레스를 가하는 무작위 행동을 주입한 후 오작동이나 버그가 나타나는지 주의 깊게 관찰하는 방법이다. 정상적인 사용 환경에서는 발견까지 몇 년이 걸리는 문제를 카오스 엔지니어링으로 비교적 짧은 시간 안에 발견하는 경우가 많다.  EFF(Electronic Freedom Foundation) 공동 설립자 존 길모어는 “코딩은 지속적인 개선 과정이며 카오스 엔지니어링은 가능한 모든 실행 경로를 찾는 속도를 높이는 대표적인 방법이다. 오랜 기간 실행되는 코드는 해당 코드를 처음 실행하는 1,000만 명의 사용자, 코드를 처음 컴파일하는 20개의 컴파일러, 그리고 코드를 처음 실행하는 5개의 운영체제를 통해 대부분의 버그...

카오스엔지니어링 취약점발견 개발 데브섹옵스 데브옵스

2022.01.25

‘카오스(chaos)’와 ‘엔지니어링’이라는 단어는 보통 잘 어울리지 않는다. 훌륭한 엔지니어는 결과적으로 혼란(chaos)스러운 상황을 멀리하기 때문이다. 그러나 최근에는 여러 소프트웨어 개발자가 숨겨진 결함을 드러냄으로써 컴퓨터 시스템을 강화하기 위해 적당한 수준의 ‘카오스’를 사용한다. 카오스 특성상 결과가 보장되지는 않으므로 완벽한 방법은 아니지만, 의외로 효과적인 경우가 많다.   카오스 엔지니어링은 문서화되지 않고 예측할 수 없는 백도어를 찾아야 하는 보안 애널리스트에게 특히 유용하다. 카오스 테스트로 모든 보안 문제를 찾을 수는 없지만, 개발자가 생각하지 못한 패치하지 않은 위험한 취약점을 발견할 수 있다. 좋은 카오스 엔지니어링은 데브섹옵스팀과 데브옵스팀에 모두 도움이 된다. 안정성 또는 탄력성 문제가 곧 보안 문제로 이어지는 경우도 있고, 동일한 코딩 실수가 전체 시스템 중단이나 사이버 공격자의 침입으로 이어질 수 있어서다. 카오스 엔지니어링이란? ‘카오스 엔지니어링’은 성공적인 결과가 입증된 여러 기법을 통칭하는 신조어다. 컴퓨터 시스템을 비틀어 균형을 무너뜨리고 멈추게 만들기도 하므로 ‘퍼징(fuzzing)’이나 ‘글리칭(glitching)’이라는 용어를 사용하기도 한다. 카오스 엔지니어링은 소프트웨어에 스트레스를 가하는 무작위 행동을 주입한 후 오작동이나 버그가 나타나는지 주의 깊게 관찰하는 방법이다. 정상적인 사용 환경에서는 발견까지 몇 년이 걸리는 문제를 카오스 엔지니어링으로 비교적 짧은 시간 안에 발견하는 경우가 많다.  EFF(Electronic Freedom Foundation) 공동 설립자 존 길모어는 “코딩은 지속적인 개선 과정이며 카오스 엔지니어링은 가능한 모든 실행 경로를 찾는 속도를 높이는 대표적인 방법이다. 오랜 기간 실행되는 코드는 해당 코드를 처음 실행하는 1,000만 명의 사용자, 코드를 처음 컴파일하는 20개의 컴파일러, 그리고 코드를 처음 실행하는 5개의 운영체제를 통해 대부분의 버그...

2022.01.25

마이크로포커스, ‘포티파이’ 활용한 CI/CD 통합 데브섹옵스 보안 전략 발표

마이크로포커스 사이버레스 사업부가 ‘포티파이 스캔 파이프(Fortify Scan Pipe)’와 ‘포티파이 툴인스톨러(Fortify ToolsInstaller)’를 출시했다. 이를 통해 개발자는 기존 CI/CD 파이프라인에 포티파이 도구를 동적으로 설치할 수 있다.  이번 릴리스는 데브섹옵스(DevSecOps)와 관련된 또 다른 제품 이니셔티브를 완료해 개발자에게 보다 포괄적이고 자동화된 정적 애플리케이션 보안 테스팅(SAST) 사용자 환경을 제공한다고 업체 측은 설명했다. 데브섹옵스용으로 구축된 자동화 워크플로우를 통해 포티파이의 광범위한 통합 에코시스템은 현재 툴에 대한 투자와 워크플로우를 활용하고 현재 개발 프로세스에 보안을 내장함으로써 마찰을 줄인다. 이러한 기능을 통해 이제 AWS 코드스타(CodeStar), 비트버킷(Bitbucket) 파이프라인, 깃허브 액션 및 깃랩 파이프라인과 같은 거의 모든 CI/CD 시스템과 통합할 수 있다고 회사 측은 전했다. 이번 릴리스를 통해 포티파이는 ▲사용하기 쉽고 즉시 사용 가능한 파이프라인 통합 ▲기존 CI/CD 파이프라인에서 사용하는 모든 컨테이너로 오케스트레이션을 자동화하는 기능 ▲빌드 실행 시 원시 소스 코드 스캔 기능 ▲SAST 검색 결과의 우선순위를 지정해 가장 중요한 취약점에 대한 개발자 문제 해결 노력 집중 ▲포티파이 플랫폼에 피드백을 직접 전달해 보다 포괄적인 결과 및 적용 범위 제공 등의 기능을 제공한다.  마이크로포커스 코리아 사이버레스 제품 담당자인 정대균 이사는 “개발 최종 단계에서 심각한 보안 취약점 발견 시 기업은 다시 개발 주기를 거치게 되기 때문에 이를 막기 위해서는 데브옵스 프로세스에 보안을 적용해 파이프라인의 모든 단계에서 체계적인 보안 점검을 수행할 수 있어야 한다”라고 밝혔다. ciokr@idg.co.kr

마이크로포커스 포티파이 데브섹옵스

2021.12.09

마이크로포커스 사이버레스 사업부가 ‘포티파이 스캔 파이프(Fortify Scan Pipe)’와 ‘포티파이 툴인스톨러(Fortify ToolsInstaller)’를 출시했다. 이를 통해 개발자는 기존 CI/CD 파이프라인에 포티파이 도구를 동적으로 설치할 수 있다.  이번 릴리스는 데브섹옵스(DevSecOps)와 관련된 또 다른 제품 이니셔티브를 완료해 개발자에게 보다 포괄적이고 자동화된 정적 애플리케이션 보안 테스팅(SAST) 사용자 환경을 제공한다고 업체 측은 설명했다. 데브섹옵스용으로 구축된 자동화 워크플로우를 통해 포티파이의 광범위한 통합 에코시스템은 현재 툴에 대한 투자와 워크플로우를 활용하고 현재 개발 프로세스에 보안을 내장함으로써 마찰을 줄인다. 이러한 기능을 통해 이제 AWS 코드스타(CodeStar), 비트버킷(Bitbucket) 파이프라인, 깃허브 액션 및 깃랩 파이프라인과 같은 거의 모든 CI/CD 시스템과 통합할 수 있다고 회사 측은 전했다. 이번 릴리스를 통해 포티파이는 ▲사용하기 쉽고 즉시 사용 가능한 파이프라인 통합 ▲기존 CI/CD 파이프라인에서 사용하는 모든 컨테이너로 오케스트레이션을 자동화하는 기능 ▲빌드 실행 시 원시 소스 코드 스캔 기능 ▲SAST 검색 결과의 우선순위를 지정해 가장 중요한 취약점에 대한 개발자 문제 해결 노력 집중 ▲포티파이 플랫폼에 피드백을 직접 전달해 보다 포괄적인 결과 및 적용 범위 제공 등의 기능을 제공한다.  마이크로포커스 코리아 사이버레스 제품 담당자인 정대균 이사는 “개발 최종 단계에서 심각한 보안 취약점 발견 시 기업은 다시 개발 주기를 거치게 되기 때문에 이를 막기 위해서는 데브옵스 프로세스에 보안을 적용해 파이프라인의 모든 단계에서 체계적인 보안 점검을 수행할 수 있어야 한다”라고 밝혔다. ciokr@idg.co.kr

2021.12.09

"마이크로서비스 기반의 앱을 위한 데브섹옵스 구현" NIST, 새 가이드 공개

미국 연방정부도 민간 기업과 마찬가지로 클라우드, 데브섹옵스(Devsecops), 그리고 클라우드 네이티브 애플리케이션을 위한 마이크로서비스 기반 아키텍처로 전환하는 중이다. 미국표준기술연구원(NIST)은 업계가 모범사례를 채택할 수 있도록 표준과 가이드를 제공하고 혁신을 장려한다.   이를 위해 NIST는 지난 9월 서비스 메시(Service Mesh)를 사용한 마이크로서비스 기반 애플리케이션을 위한 데브섹옵스 구현을 발표했다(800-204C). 데브섹옵스 구현, 그리고 마이크로서비스 아키텍처에 클라우드 네이티브 애플리케이션을 호스팅하기 위한 서비스 메시를 사용한 참조 플랫폼 사용에 관한 포괄적인 가이드다. 이 문서는 현재 초안 형식이며, 전 미공군 최고 소프트웨어 책임자인 니콜라스 챌라인과 서비스 메시 분야 선두업체인 테트레이트(Tetrate)의 협업으로 작성됐다. 이 가이드는 성공적인 데브섹옵스 구현을 위한 구성 요소라고 할 수 있는 프리미티브(primitive) 개념을 사용했다. 데브섹옵스 프리미티브는 민첩한 개발을 위한 마이크로서비스 기반 애플리케이션에 가장 적합하다. 또한 데브섹옵스가 클라우드 네이티브 애플리케이션에 필요한 비즈니스 민첩성 요구사항을 촉진한다는 개념도 지원한다. NIST 가이드의 각 세션 내용을 분석해 보자. 데브섹옵스 프리미티브 구현을 위한 참조 플랫폼 이 가이드는 컨테이너 오케스트레이션과 관리 플랫폼 맥락에서 참조 플랫폼을 다룬다. 예를 들어 분류된 또는 연결이 끊긴 엄격한 환경(물리적) 또는 AWS, 애저와 같은 클라우드 서비스 제공업체(CSP) 환경과 같은 가상화된 환경 등 물리적 또는 가상 기반 인프라 위에 구축하는 방식이다. 가이드는 컨테이너 오케스트레이션 및 리소스 관리 플랫폼 사용을 권장한다. 가장 인기 있는 오픈소스 컨테이너 오케스트레이션 플랫폼인 쿠버네티스(Kubernetes)가 대표적이다. 쿠버네티스는 컨테이너화된 애플리케이션을 호스팅하는 팟(pod)을 기반으로 물리적 또는 가상 머신에 배포할 수...

데브섹옵스 NIST Devsecops 마이크로서비스 서비스메시 Service Mesh

2021.11.01

미국 연방정부도 민간 기업과 마찬가지로 클라우드, 데브섹옵스(Devsecops), 그리고 클라우드 네이티브 애플리케이션을 위한 마이크로서비스 기반 아키텍처로 전환하는 중이다. 미국표준기술연구원(NIST)은 업계가 모범사례를 채택할 수 있도록 표준과 가이드를 제공하고 혁신을 장려한다.   이를 위해 NIST는 지난 9월 서비스 메시(Service Mesh)를 사용한 마이크로서비스 기반 애플리케이션을 위한 데브섹옵스 구현을 발표했다(800-204C). 데브섹옵스 구현, 그리고 마이크로서비스 아키텍처에 클라우드 네이티브 애플리케이션을 호스팅하기 위한 서비스 메시를 사용한 참조 플랫폼 사용에 관한 포괄적인 가이드다. 이 문서는 현재 초안 형식이며, 전 미공군 최고 소프트웨어 책임자인 니콜라스 챌라인과 서비스 메시 분야 선두업체인 테트레이트(Tetrate)의 협업으로 작성됐다. 이 가이드는 성공적인 데브섹옵스 구현을 위한 구성 요소라고 할 수 있는 프리미티브(primitive) 개념을 사용했다. 데브섹옵스 프리미티브는 민첩한 개발을 위한 마이크로서비스 기반 애플리케이션에 가장 적합하다. 또한 데브섹옵스가 클라우드 네이티브 애플리케이션에 필요한 비즈니스 민첩성 요구사항을 촉진한다는 개념도 지원한다. NIST 가이드의 각 세션 내용을 분석해 보자. 데브섹옵스 프리미티브 구현을 위한 참조 플랫폼 이 가이드는 컨테이너 오케스트레이션과 관리 플랫폼 맥락에서 참조 플랫폼을 다룬다. 예를 들어 분류된 또는 연결이 끊긴 엄격한 환경(물리적) 또는 AWS, 애저와 같은 클라우드 서비스 제공업체(CSP) 환경과 같은 가상화된 환경 등 물리적 또는 가상 기반 인프라 위에 구축하는 방식이다. 가이드는 컨테이너 오케스트레이션 및 리소스 관리 플랫폼 사용을 권장한다. 가장 인기 있는 오픈소스 컨테이너 오케스트레이션 플랫폼인 쿠버네티스(Kubernetes)가 대표적이다. 쿠버네티스는 컨테이너화된 애플리케이션을 호스팅하는 팟(pod)을 기반으로 물리적 또는 가상 머신에 배포할 수...

2021.11.01

배우고 익히니 '모두가' 즐겁지 아니한가··· 기업 3곳의 IT 리스킬링 사례

기술 인재 부족은 사내 직원들의 재교육 흐름을 촉발시켰다. 소속 직원들이 비즈니스 민첩성을 위한 최신 스킬과 기술을 획득해야 했기 때문이었다. 특히 코로나19 팬데믹 위기는 클라우드 소프트웨어, 머신러닝, 사이버보안 같은 핵심 분야의 새로운 스킬을 연마하려 하는 적응성과 유연성을 갖춘 직원들이 필요하다는 현실을 부각시켰다.   딜로이트(Deloitte)의 2021년 글로벌 인적 자본 동향(Global Human Capital Trends) 보고서에 따르면, 기업 고위 임원 3,670명 가운데 72%가 향후 혼란을 극복할 첫 번째 항목으로 ‘인적 자원이 새로운 역할에 적응하고, 여기에 맞게 리스킬링을 해서 새 역할을 맡는 역량’을 꼽았다. 그러나 소속 직원들이 새로운 역할에 적응해 리스킬링을 해서, 이를 수행할 준비가 되어있다고 대답한 임원들의 비율은 17%에 불과했다. 이는 리더들의 우선순위와 조직의 인적자원 개발 현실에 큰 간극이 있음을 알려준다. 디지털 비즈니스에 박차를 가해야 하는 현실 속에서 CIO는 다른 결과를 얻기 위해 뭔가 다른 일을 해야 한다. IT 리더들이 IT 직원들의 생산성과 민첩성을 향상시키기 위해 시도한 사례를 소개한다. 클라우드 레디 문화를 조성 트랜스유니언은 AWS와 마이크로소프트 애저, 구글 클라우드 같은 소프트웨어에 정통한 ‘클라우드 네이티브’ 엔지니어 수백 명을 채용했다. 그러나 이 신용 평가 및 보고 기관은 하이브리드 클라우드를 구축해 관리하는 데 필요한 스킬을 육성하기 위해, 트레이닝 서비스 회사와 계약해 직원들이 클라우드 자격증을 취득하도록 도움을 줬다.  트랜스유니온의 최고 정보 및 기술 책임자인 아비 다르에 따르면, 이는 직원들이 클라우드 플랫폼에 필요한 애플리케이션 현대화에 대해 더 잘 이해하고, 이 회사가 추진하고 있는 데브섹옵스(DevSecOps)의 일환인 CI/CD 파이프라인을 완전히 자동화하는 데 도움을 줄 전망이다. 다르는 “우리 목표는 트랜스포메이션이다. 임시 직원이나 컨설턴트를...

리스킬 재교육 내부 교육 재훈련 클라우드 레디 코딩 데브섹옵스

2021.06.25

기술 인재 부족은 사내 직원들의 재교육 흐름을 촉발시켰다. 소속 직원들이 비즈니스 민첩성을 위한 최신 스킬과 기술을 획득해야 했기 때문이었다. 특히 코로나19 팬데믹 위기는 클라우드 소프트웨어, 머신러닝, 사이버보안 같은 핵심 분야의 새로운 스킬을 연마하려 하는 적응성과 유연성을 갖춘 직원들이 필요하다는 현실을 부각시켰다.   딜로이트(Deloitte)의 2021년 글로벌 인적 자본 동향(Global Human Capital Trends) 보고서에 따르면, 기업 고위 임원 3,670명 가운데 72%가 향후 혼란을 극복할 첫 번째 항목으로 ‘인적 자원이 새로운 역할에 적응하고, 여기에 맞게 리스킬링을 해서 새 역할을 맡는 역량’을 꼽았다. 그러나 소속 직원들이 새로운 역할에 적응해 리스킬링을 해서, 이를 수행할 준비가 되어있다고 대답한 임원들의 비율은 17%에 불과했다. 이는 리더들의 우선순위와 조직의 인적자원 개발 현실에 큰 간극이 있음을 알려준다. 디지털 비즈니스에 박차를 가해야 하는 현실 속에서 CIO는 다른 결과를 얻기 위해 뭔가 다른 일을 해야 한다. IT 리더들이 IT 직원들의 생산성과 민첩성을 향상시키기 위해 시도한 사례를 소개한다. 클라우드 레디 문화를 조성 트랜스유니언은 AWS와 마이크로소프트 애저, 구글 클라우드 같은 소프트웨어에 정통한 ‘클라우드 네이티브’ 엔지니어 수백 명을 채용했다. 그러나 이 신용 평가 및 보고 기관은 하이브리드 클라우드를 구축해 관리하는 데 필요한 스킬을 육성하기 위해, 트레이닝 서비스 회사와 계약해 직원들이 클라우드 자격증을 취득하도록 도움을 줬다.  트랜스유니온의 최고 정보 및 기술 책임자인 아비 다르에 따르면, 이는 직원들이 클라우드 플랫폼에 필요한 애플리케이션 현대화에 대해 더 잘 이해하고, 이 회사가 추진하고 있는 데브섹옵스(DevSecOps)의 일환인 CI/CD 파이프라인을 완전히 자동화하는 데 도움을 줄 전망이다. 다르는 “우리 목표는 트랜스포메이션이다. 임시 직원이나 컨설턴트를...

2021.06.25

보안·AI 전문가 구인난 해법은 '안갯속'··· 현직 CIO들의 제언

공백을 채우기 가장 까다로운 IT 인력 부족 분야는 작년과 비교해 크게 바뀌지 않았지만 새로운 한 가지 요소가 앞으로 몇 달 동안의 상황에 숨통을 틔워줄 전망이다. 바로 재택근무다. 재택근무 덕분에 특정 지역으로 제한됐던 일자리에 더 많은 사람이 일을 할 수 있게 됐다.  美 컨설팅 회사 메티스 스트래티지(Metis Strategy)의 부사장 알렉스 크라우스는 “인재 전쟁이 극적으로 달라졌다”라면서, “(재택근무로 인해) 인재풀이 커졌다. 예전에는 회사가 있는 지역으로만 한정됐지만 이제는 전 세계를 대상으로 할 수 있다”라고 말했다.    ‘2021년 CIO 현황 보고서(2021 State of the CIO)’에 따르면 인력을 충원하기 가장 힘든 IT 분야는 사이버보안(21%), 인공지능/머신러닝(20%), 데이터 과학/애널리틱스(19%), 데브옵스/데브섹옵스/애자일(12%)인 것으로 나타났다.  한편 코로나19 팬데믹은 2021년 IT 예산 전망에 상당한 영향을 미쳤다. 보고서는 올해 IT 예산을 주도할 3가지 비즈니스 동인으로 기존 비즈니스 프로세스 혁신(36%), 사이버보안 보호 강화(34%), 고객경험 개선(33%)이 꼽혔다고 밝혔다.  크라우스는 고급 애널리스트부터 현장 실무자까지 보안 분야 채용이 전반적으로 힘들다고 전했다. 그는 “여기서 한 가지 문제가 있다. 일반적으로 보안 투자에서는 긍정적인 투자수익(ROI)을 보여주는 경우가 거의 없다는 것”이라고 설명했다(단, 이사회와 C-레벨 경영진을 뒤흔들 만한 심각한 데이터 유출 사고가 있어서 사이버보안 강화가 필수적이라는 걸 설득시킬 수 있는 경우는 제외한다고 그는 덧붙였다).  또 크라우스는 직원 경험이 더욱더 중요해지고 있다고 전했다. 그는 “기업들의 초점이 단순히 건강 및 웰빙에 치중하던 것에서 생산성, 확장성, 가상 협업 등으로 변화하고 있다”라고 말했다.  이어서 크라우스는 데이터 애널리틱스와 관련된 것이라면 무엇이...

CIO CIO 현황 보고서 팬데믹 코로나 리더십 IT 리더 채용 이직 HR 직원 관리 경력 사이버보안 인공지능 머신러닝 데이터 과학 애널리틱스 데브옵스 데브섹옵스 애자일

2021.04.19

공백을 채우기 가장 까다로운 IT 인력 부족 분야는 작년과 비교해 크게 바뀌지 않았지만 새로운 한 가지 요소가 앞으로 몇 달 동안의 상황에 숨통을 틔워줄 전망이다. 바로 재택근무다. 재택근무 덕분에 특정 지역으로 제한됐던 일자리에 더 많은 사람이 일을 할 수 있게 됐다.  美 컨설팅 회사 메티스 스트래티지(Metis Strategy)의 부사장 알렉스 크라우스는 “인재 전쟁이 극적으로 달라졌다”라면서, “(재택근무로 인해) 인재풀이 커졌다. 예전에는 회사가 있는 지역으로만 한정됐지만 이제는 전 세계를 대상으로 할 수 있다”라고 말했다.    ‘2021년 CIO 현황 보고서(2021 State of the CIO)’에 따르면 인력을 충원하기 가장 힘든 IT 분야는 사이버보안(21%), 인공지능/머신러닝(20%), 데이터 과학/애널리틱스(19%), 데브옵스/데브섹옵스/애자일(12%)인 것으로 나타났다.  한편 코로나19 팬데믹은 2021년 IT 예산 전망에 상당한 영향을 미쳤다. 보고서는 올해 IT 예산을 주도할 3가지 비즈니스 동인으로 기존 비즈니스 프로세스 혁신(36%), 사이버보안 보호 강화(34%), 고객경험 개선(33%)이 꼽혔다고 밝혔다.  크라우스는 고급 애널리스트부터 현장 실무자까지 보안 분야 채용이 전반적으로 힘들다고 전했다. 그는 “여기서 한 가지 문제가 있다. 일반적으로 보안 투자에서는 긍정적인 투자수익(ROI)을 보여주는 경우가 거의 없다는 것”이라고 설명했다(단, 이사회와 C-레벨 경영진을 뒤흔들 만한 심각한 데이터 유출 사고가 있어서 사이버보안 강화가 필수적이라는 걸 설득시킬 수 있는 경우는 제외한다고 그는 덧붙였다).  또 크라우스는 직원 경험이 더욱더 중요해지고 있다고 전했다. 그는 “기업들의 초점이 단순히 건강 및 웰빙에 치중하던 것에서 생산성, 확장성, 가상 협업 등으로 변화하고 있다”라고 말했다.  이어서 크라우스는 데이터 애널리틱스와 관련된 것이라면 무엇이...

2021.04.19

칼럼|멀티클라우드에서 데브옵스를 구현하려면

멀티클라우드는 단순히 플랫폼을 추가적으로 배치하는 것 그 이상이다. 멀티클라우드를 통해 데브옵스를 효율화하는 것은 많은 이들이 생각하는 것보다 훨씬 까다롭다. 대부분의 기업들이 멀티클라우드로 전환하고 있다. 플렉세라의 최신 클라우드 현황 보고서에 따르면 기업의 92%는 멀티클라우드 전략을, 80%는 하이브리드 클라우드 전략을 채택하고 있다. 그다지 새로운 소식은 아니다.    정말 새로운 소식은 대부분의 기업들이 데브옵스 또는 데브섹옵스와 멀티클라우드를 함께 구현하려 하고 있으며, (이 과정에서) 매우 까다로운 난관을 마주한다는 점이다. 즉, 클라우드를 새로 도입하는 데 따르는 복잡성을 해결하면서 배치와 클라우드옵스를 고려해야 한다. 이는 잘못된 구성, 프로비저닝의 과잉 혹은 미달, 올바른 네이티브 서비스의 미사용 그리고 배치 후 해결해야 하는 보안 및 운영상의 이슈 등의 문제로 드러난다. 결론적으로, 개발자와 운영자가 고려해야 하는 부분이 너무 많아져서 큰 실수가 발생한다. 그렇다면 이 과정에서 어떻게 해야 높은 위험과 비용을 들이지 않고 데브옵스 및 멀티클라우드 문제를 해결할 수 있을까? 일반적인 가이드라인은 다음과 같다.  첫째, IaC(코드형 인프라, infrastructure as code)를 활용하는 방법이 있다. 이는 단일(Mololithic) 접근법에서 마이크로서비스처럼 좀더 세분화된 접근법으로, 그리고 가상머신을 사용하는 대신 클라우드 네이티브 패턴을 선택하는 쪽으로 전환하는 것을 의미한다.  IaC 활용의 핵심은 플랫폼의 구성과 애플리케이션 (및 해당 애플리케이션에 묶인 데이터)를 연동하는 것이다. 현재 개발자들은 컴퓨팅과 스토리지처럼 특정 플랫폼 내에서 필요한 것들을 알고 있다.  따라서 새로 도입하는 클라우드의 구성을 인프라 담당자가 아니라 개발자의 손에 맡길 수 있다. 개발자는 IaC를 통해 시스템 구성을 더욱 잘 정의할 수 있으며, 그 결과 시스템은 점점 최적화된다. 반면 여러...

멀티클라우드 데브옵스 데브섹옵스 클라우드옵스 퍼블릭 클라우드 IaC 공통서비스

2021.04.19

멀티클라우드는 단순히 플랫폼을 추가적으로 배치하는 것 그 이상이다. 멀티클라우드를 통해 데브옵스를 효율화하는 것은 많은 이들이 생각하는 것보다 훨씬 까다롭다. 대부분의 기업들이 멀티클라우드로 전환하고 있다. 플렉세라의 최신 클라우드 현황 보고서에 따르면 기업의 92%는 멀티클라우드 전략을, 80%는 하이브리드 클라우드 전략을 채택하고 있다. 그다지 새로운 소식은 아니다.    정말 새로운 소식은 대부분의 기업들이 데브옵스 또는 데브섹옵스와 멀티클라우드를 함께 구현하려 하고 있으며, (이 과정에서) 매우 까다로운 난관을 마주한다는 점이다. 즉, 클라우드를 새로 도입하는 데 따르는 복잡성을 해결하면서 배치와 클라우드옵스를 고려해야 한다. 이는 잘못된 구성, 프로비저닝의 과잉 혹은 미달, 올바른 네이티브 서비스의 미사용 그리고 배치 후 해결해야 하는 보안 및 운영상의 이슈 등의 문제로 드러난다. 결론적으로, 개발자와 운영자가 고려해야 하는 부분이 너무 많아져서 큰 실수가 발생한다. 그렇다면 이 과정에서 어떻게 해야 높은 위험과 비용을 들이지 않고 데브옵스 및 멀티클라우드 문제를 해결할 수 있을까? 일반적인 가이드라인은 다음과 같다.  첫째, IaC(코드형 인프라, infrastructure as code)를 활용하는 방법이 있다. 이는 단일(Mololithic) 접근법에서 마이크로서비스처럼 좀더 세분화된 접근법으로, 그리고 가상머신을 사용하는 대신 클라우드 네이티브 패턴을 선택하는 쪽으로 전환하는 것을 의미한다.  IaC 활용의 핵심은 플랫폼의 구성과 애플리케이션 (및 해당 애플리케이션에 묶인 데이터)를 연동하는 것이다. 현재 개발자들은 컴퓨팅과 스토리지처럼 특정 플랫폼 내에서 필요한 것들을 알고 있다.  따라서 새로 도입하는 클라우드의 구성을 인프라 담당자가 아니라 개발자의 손에 맡길 수 있다. 개발자는 IaC를 통해 시스템 구성을 더욱 잘 정의할 수 있으며, 그 결과 시스템은 점점 최적화된다. 반면 여러...

2021.04.19

디지털 변혁에서 비즈니스 성과 획득하려면?··· 비즈옵스 연합, 14개 원칙 발표

기술 전문가 및 경영진으로 구성된 비즈옵스 연합(BizOps Coalition)이 기술 투자와 그에 따른 비즈니스 결과 사이의 격차를 줄일 수 있는 방법을 모색하고 있다. 그리고 그 일환으로 '비즈옵스 선언(BizOps Manuifesto)'을 발표했다.  지난 13일 비즈옵스 연합 웹 사이트에서 공개된 이 선언은 14개의 원칙을 제시한다. 신뢰, 자신감, 협업을 바탕으로 디지털 트랜스포메이션 프로젝트를 통해 기업이 비즈니스 성과를 달성할 수 있도록 돕는 게 골자다.    비즈옵스 선언의 원칙 중 일부는 다음과 같다.    디지털 트랜스포메이션 이니셔티브는 궁극적으로 비즈니스 성과를 통해 측정된다.  비즈니스 리더는 비즈니스 성장, 고객경험 향상, 직원 몰입도 증가, 이윤 극대화를 위해 정보 기술에 투자할 필요가 있다.  디지털 트랜스포메이션을 위해 필요한 것은 시장 변화, 고객 및 비즈니스 요구사항을 바탕으로 계속 바뀌어야 한다. 소프트웨어 배포 후에도 변화는 적극 반영돼야 한다.  신뢰와 존경을 구축하는 방법은 투명성, 커뮤니케이션, 유의미한 지표, 목표 공유다.  이 선언에는 인공지능/머신러닝으로 가치 흐름의 모든 단계에서 품질을 높이는 동시에 의사결정을 강화하는 등의 개념이 포함돼 있다. 사일로화된 부서 간에 데이터를 통합하는 툴을 개발하는 것도 선언의 또 다른 목표다. 애널리틱스 역량도 마찬가지다. 관련된 몇몇 기업들은 이미 해당 프레임워크를 기반으로 툴을 개발하기도 했다. 비즈옵스 연합에는 태스크톱(Tasktop), 브로드컴(Broadcom), 앱밴스에이아이(Appvance.ai), 비즈니스 애질리티 인스티튜트(Business Agility Institute)와 같은 기업의 관계자들로 구성돼 있다. 선언에는 IT 부문과 사업부 사이의 단절로 인해 상당한 비용 출혈이 발생하는 지점...

비즈옵스 디지털 트랜스포메이션 데브섹옵스 매니페스토

2020.10.16

기술 전문가 및 경영진으로 구성된 비즈옵스 연합(BizOps Coalition)이 기술 투자와 그에 따른 비즈니스 결과 사이의 격차를 줄일 수 있는 방법을 모색하고 있다. 그리고 그 일환으로 '비즈옵스 선언(BizOps Manuifesto)'을 발표했다.  지난 13일 비즈옵스 연합 웹 사이트에서 공개된 이 선언은 14개의 원칙을 제시한다. 신뢰, 자신감, 협업을 바탕으로 디지털 트랜스포메이션 프로젝트를 통해 기업이 비즈니스 성과를 달성할 수 있도록 돕는 게 골자다.    비즈옵스 선언의 원칙 중 일부는 다음과 같다.    디지털 트랜스포메이션 이니셔티브는 궁극적으로 비즈니스 성과를 통해 측정된다.  비즈니스 리더는 비즈니스 성장, 고객경험 향상, 직원 몰입도 증가, 이윤 극대화를 위해 정보 기술에 투자할 필요가 있다.  디지털 트랜스포메이션을 위해 필요한 것은 시장 변화, 고객 및 비즈니스 요구사항을 바탕으로 계속 바뀌어야 한다. 소프트웨어 배포 후에도 변화는 적극 반영돼야 한다.  신뢰와 존경을 구축하는 방법은 투명성, 커뮤니케이션, 유의미한 지표, 목표 공유다.  이 선언에는 인공지능/머신러닝으로 가치 흐름의 모든 단계에서 품질을 높이는 동시에 의사결정을 강화하는 등의 개념이 포함돼 있다. 사일로화된 부서 간에 데이터를 통합하는 툴을 개발하는 것도 선언의 또 다른 목표다. 애널리틱스 역량도 마찬가지다. 관련된 몇몇 기업들은 이미 해당 프레임워크를 기반으로 툴을 개발하기도 했다. 비즈옵스 연합에는 태스크톱(Tasktop), 브로드컴(Broadcom), 앱밴스에이아이(Appvance.ai), 비즈니스 애질리티 인스티튜트(Business Agility Institute)와 같은 기업의 관계자들로 구성돼 있다. 선언에는 IT 부문과 사업부 사이의 단절로 인해 상당한 비용 출혈이 발생하는 지점...

2020.10.16

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13