넘버스 IT 리서치 자료

제로 트러스트

Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

세상의 모든 IT 리서치 자료 - 넘버스 Numbers

검색 결과내 재 검색

기간

전체 지난 1년

검색범위

전체 자료 제목 토픽 조사 업체 기사 본문

출처별

Foundry IDC Gartner Forrester MarketsandMarkets Canalys Counterpoint Research

토픽별

IoT 보안 개발자 데이터센터 VRㆍAR 오픈소스 기업 문화 블록체인 AIㆍML 스토리지 IT 관리 모바일 오피스ㆍ협업 데이터ㆍ분석 클라우드 가상화ㆍ컨테이너 네트워크 CIO 리더십|조직관리 마케팅 이직|채용 CSO 경력관리 디지털 트랜스포메이션 랜섬웨어

검색 결과 약 74개 (0.04ms)

'파이썬 3'를 사용하는 파이썬 개발자

자료 제목 :

파이썬 개발자 설문조사 2022 Python Developers Survey 2022

자료 출처 :

Python Software Foundation, JetBrains

원본자료 다운로드

발행 날짜 :

2023년 09월 27일

주요 내용 :

파이썬 소프트웨어 재단(Python Software Foundation)과 젯브레인(JetBrains)이 2만 3,000명 이상의 파이썬 개발자를 대상으로 실시한 여섯 번째 연례 파이썬 개발자 설문조사 결과가 지난 9월 27일 발표됐다. ‘파이썬 개발자 설문조사 2022(Python Developers Survey 2022)’ 보고서에 따르면 전체 응답자의 93%가 파이썬 3를 사용하는 한편, 7%는 여전히 파이썬 2를 쓰고 있다. 2021년 파이썬 개발자 설문조사 보고서에서는 전체 응답자의 95%가 파이썬 3를, 5%가 파이썬 2를 사용하는 것으로 조사됐다. 2020년에는 파이썬 3가 94%, 파이썬 2가 6%였다. 2017년까지 거슬러 올라가면 75%가 파이썬 3를, 25%가 파이썬 2를 쓴다고 답했다. ⓒGetty Images Bank 파이썬 3는 2008년 12월 출시됐으며, 지난 10월 3일(현지 시각) 최신 버전 파이썬 3.12가 공개됐다. 파이썬 2는 2000년 10월 출시됐으며, 파이썬 소프트웨어 재단은 2020년 4월을 마지막으로 모든 파이썬 2 개발을 중단한다고 발표했다. 2022년 보고서에 따르면 전체 응답자의 29%는 데이터 분석, 24%는 컴퓨터 그래픽, 23%는 데브옵스에 여전히 파이썬 2를 사용한다고 밝혔다. 또 전체 응답자의 45%는 2년 전 출시된 파이썬 3.10을 여전히 쓰고 있으며, 2%는 파이썬 3.5 이하 버전을 활용하고 있는 것으로 조사됐다(파이썬 3.11은 설문조사가 진행됐던 2022년 10월 24일 릴리즈됐다). 2022년 10월 14일부터 11월 14일까지 실시된 해당 설문조사에는 200개 이상의 국가 및 지역의 파이썬 개발자가 참여했다. 이밖에 다른 설문조사 결과는 다음과 같다. • 전체 응답자의 85%가 파이썬을 메인 언어로 꼽았다. • 웹 개발, 데이터 분석, 머신러닝이 파이썬의 주요 사용 분야였다. • 파이썬 웹 프레임워크 사용은 플라스크(Flask), 장고(Django), 패스트API(FastAPI)가 3파전을 벌이고 있다. • 파이썬 개발자의 66%가 클라우드 플랫폼을 사용하는 것으로 드러났다. 전년도 61%에서 증가한 수치다. 파이썬 개발자가 가장 많이 사용하는 클라우드 플랫폼은 AWS였다. • 가장 인기 있는 편집기는 마이크로소프트의 비주얼 스튜디오 코드, 젯브레인의 파이참이었다. • 전체 설문조사 응답자의 34%는 파이썬 라이브러리를 개발 및 패키징한 적이 있다고 말했다. editor@itworld.co.kr

“AI/ML을 활용해 코드를 검토한다”

자료 제목 :

2023 글로벌 데브섹옵스 보고서 시리즈 2023 Global DevSecOps Report Series

자료 출처 :

GitLab

원본자료 다운로드

발행 날짜 :

2023년 09월 05일

주요 내용 :

많은 개발자가 생성형 AI 사용 시 수반하는 위험을 폭넓게 이해하고 있지만, 생성형 AI가 유용한 기술이라는 점도 널리 인식하고 있는 것으로 나타났다. 최근 깃랩은 이같은 조사 결과를 담은 보고서 '2023 글로벌 데브섹옵스 보고서 시리즈(2023 Global DevSecOps Report Series)'를 발간했다. ⓒ Getty Images Bank 이번 조사에는 1,000명 이상의 글로벌 고위 기술 임원, 개발자, 보안 및 운영 전문가가 참여했다. 응답자 1/3은 기술 분야 종사자였으며, 나머지는 은행 및 금융 서비스, 통신, 제조 등 다양한 비즈니스 영역에 걸쳐 있다. 응답자 대부분은 소프트웨어 개발 프로젝트에서 생성형 AI를 사용하는 것에 대해 적어도 한 가지를 심각하게 우려하고 있다고 답했다. 79%는 개인정보나 지적 재산에 접근하는 것을 문제라고 지적했는데, 그 이유는 고객 데이터 보호에 대한 우려 때문이었다. 보고서 집필팀은 “소프트웨어 개발 라이프사이클에서 AI를 구현하는 과정에서 겪었거나 겪을 것으로 예상되는 장애물을 묻는 질문에서 개인정보 보호, 보안 및 지적 재산이 공통된 주제로 나타났다”라고 말했다. 응답자 10명 중 9명은 AI 도구 사용 여부를 결정할 때 개인정보 보호와 지적 재산권 보호를 중요하게 고려한다고 답했다. 설문조사에 따르면, 잠재적인 단점에도 불구하고 AI는 대부분의 개발 환경에 도입되고 있었다. 1/4 미만은 이미 소프트웨어 개발에 AI 도구를 사용하고 있다고 답했으며, 약 2/3(64%)은 향후 2년 이내에 도입할 계획이 있다고 응답했다. 개발에 AI를 도입할 계획이 없다고 답한 응답자는 8%에 불과했으며, 1%는 AI 사용을 금지했다고 응답했다. 프로그래밍에서 AI의 가장 일반적인 사용례는 문서 작업 시 도움을 주는 자연어 지원 챗봇과 자동화된 테스트 생성으로, 각각 응답자의 41%가 이 2가지를 사용하고 있다고 답했다. 또한 개발자들은 코드 변경 사항 요약 생성(39%), 머신러닝 모델 실험 추적(38%), 코드 제안 및 생성(36%)에도 AI를 적극적으로 활용하고 있다. 깃랩에 따르면, 이 같은 결과는 적극적으로 코드를 생성하는 것만이 AI가 가치를 창출하는 영역은 아님을 시사한다. 개발자들은 평균 업무 시간 중 코드 작성에 소요되는 비율은 25%에 불과하다고 답했다. 즉 테스트, 문서화, 유지 관리, 취약점 식별 등 다른 작업을 지원하는 AI 기능도 개발 분야에서 광범위하게 활용될 수 있다는 것을 의미한다. eidtor@itworld.co.kr

러스트를 사용하지 않는 이유 1위

자료 제목 :

2022 러스트 현황 설문조사 2022 State of Rust Survey

자료 출처 :

Rust Team

원본자료 다운로드

발행 날짜 :

2023년 08월 29일

주요 내용 :

러스트(Rust) 언어 사용이 계속 늘고 있는 것으로 나타났다. 하지만 러스트를 사용하다가 중단한 개발자는 러스트를 버린 주요 이유로 '어려운 언어'라는 점을 꼽았다. 2022 러스트 현황 설문조사(2022 State of Rust Survey) 결과가 공개됐다. 이번 설문은 6번째 연례 조사로, 2022년 12월에 진행돼 총 9,433명이 참여했다. 결과를 보면, 전체 응답자의 90% 이상이 러스트를 사용한다고 답해 역대 최고치를 기록했고, 매일 사용한다는 응답도 2021년보다 약간 늘어난 47%였다. 러스트 사용자의 30%는 이 언어를 이용해 간단한 프로그램을 만들 수 있다고 답했고, 27%는 업무에 실제 사용할 수 있는 코드를, 42%는 러스트를 실제 업무용 환경에서 사용하는 것을 고려하는 것으로 나타났다. 한편 러스트를 사용하다가 이제는 쓰지 않은 이들을 대상으로 한 조사 결과를 보면, 러스트 사용을 포기한 가장 큰 이유로 30%가 '언어가 어렵다'고 답했다. 러스트가 아닌 다른 언어에 대한 선호, 라이브러리 부족, 필요한 요건에 맞지 않음 등이 뒤를 이었다. 이밖에 2022 러스트 현황 설문조사의 주요 내용은 다음과 같다. 29.7%는 직장에서 코딩 작업을 주로 러스트로 한다고 답했다. 지난해보다 0.5배 정도 더 늘어났다. 러스트를 사용하는 이유로는 '버그 없는 소프트웨어' 작성, 성능의 장점, 보안과 안전 등을 꼽았다. 러스트의 미래에 대한 우려로는 너무 복잡하다(38%), 개발 커뮤니티의 지원 감소 및 중단(26%) 등이 많았다. 반면 34%는 전혀 걱정하지 않는다고 답했다. 이번 조사에 참여한 개발자의 국가는 미국(25%), 독일(12%), 중국(7%), 영국(6%), 프랑스(5%) 순이었다. editor@itworld.co.kr

신입 소프트웨어 엔지니어의 평균 연봉이 가장 높은 기업

자료 제목 :

빅테크 기업 연봉 순위 Highest Total Compensation in Big Tech

자료 출처 :

TeamBlind

원본자료 다운로드

발행 날짜 :

2023년 08월 23일

주요 내용 :

직장인 커뮤니티 서비스를 제공하는 팀블라인드(TeamBlind)가 아마존, 애플, 구글, 메타, 마이크로소프트의 소프트웨어 엔지니어의 연봉 평균을 직급과 연차별로 비교해 25일 공개했다. 블라인드가 이번에 공개한 통계는 기업 이메일을 인증한 사용자가 2022년 1월부터 2023년 8월 직접 입력한 데이터를 기반으로 하고 있다. 직급별로 살펴보면 소프트웨어 엔지니어 중 신입 연봉 평균이 가장 높은 곳은 구글로 18만 4,000달러(약 2억 4,000원)이었다. 그다음은 메타(17만 9,000달러), 아마존(15만 9,000달러), 애플(14만 2,000달러), 마이크로소프트(14만 1,000달러) 순이었다. 빅테크 5곳의 직급별 평균 연봉 ⓒ 팀블라인드 기술 직무에서 가장 높은 직급에 해당하는 책임(Principle) 엔지니어의 평균 연봉의 경우 아마존이 가장 높았으며 69만 1,000달러(약 9억 원)이었다. 그다음은 메타와 구글로 두 곳 모두 65만 5,000달러였다. 애플과 마이크로소프트도 50만 달러로 비슷한 수준이었다. 이번 통계에는 급여 평균뿐만 아니라 다음 직급으로 승진하기 위한 기간과 페이밴드(Pay Band) 정보도 들어갔다. 미국에서는 동일한 직무여도 성과에 따라 임금에 차이를 주는 편인데, 여기서 최소값과 최대값 사이를 페이밴드라고 표현한다. 팀블라인드 자료에 따르면 빅테크 중에 승진 기간이 가장 긴 곳은 아마존이었다. 또한 아마존은 페이밴드 폭이 가장 커서 같은 직급 내에서도 연봉 차이가 가장 컸다. 반면에 애플의 경우 평균 연봉은 경쟁사보다 낮은 수준이었지만 직무 수준에 따른 임금 인상 수준 및 페이밴드 폭은 가장 일관됐다. 구글은 빅테크 기업 중 가장 균형 잡히고 일관된 페이밴드 정책을 가지고 있었다. 그로 인해 직급이 낮은 사람이 직급이 높은 사람보다 더 많은 급여를 받는 경우는 거의 없었다. 메타는 능력만 있다면 가장 빠르게 승진할 기회를 제공하는 기업이었으며, 일부 연차에서는 가장 높은 급여를 제공하고 있었다. 마이크로소프트는 소프트웨어 엔지니어의 직급 단계가 가장 많은 곳이었다. 동시에 다음 직급으로 가는 승진 기회를 유연하게 제공했다. 다만 관리직을 제외하곤 소프트웨어 엔지니어의 평균 임금은 다른 기업보다 전반적으로 낮았다. 빅테크 5곳의 연차별 연봉 평균 ⓒ팀블라인드 팀블라인드는 익명 기반의 직장인 커뮤니티 플랫폼 블라인드를 운영하는 곳으로 본사는 미국에 있다. 한국 설립자가 만든 서비스이지만 미국, 인도 등에 있는 글로벌 사용자도 많은 편이다. 미국 사용자만 150만 명 이상이 있으며, 공식 소개 페이지에 따르면 아마존 및 애플 직원의 70%, 메타 및 마이크로소프트 직원의 60%, 구글 직원의 30%가 블라인드를 이용하고 있다. jihyun_lee@idg.co.kr

AI 관련 직군 현직자‧취준생이 가장 관심 있는 분야

컴퓨터 비전

자료 제목 :

2023 AI 커넥트 설문조사

자료 출처 :

마인즈앤컴퍼니

원본자료 다운로드

발행 날짜 :

2023년 08월 09일

주요 내용 :

마인즈앤컴퍼니에 따르면 데이터 과학자, 머신러닝 엔지니어 등 AI 기술 관련 직군에 종사하거나 해당 직군으로 취업을 희망하는 사람들이 구직 활동 시 자신의 역량을 객관적으로 증명하고, 자신의 역량이 실제 직무와 부합하는지 구체적으로 파악하는 데 가장 큰 어려움을 겪고 있다. 마인즈앤컴퍼니의 데이터 사이언스 플랫폼 AI 커넥트(AI CONNECT) 회원 182명을 대상으로 한 달간 진행한 ‘2023 AI 커넥트 서베이’에 의하면 AI 관련 직군 현직자‧취업준비생은 구직 과정 시 해당 직무의 업무 수준이나 실제 업무 내용과 자신의 역량의 적합도를 파악하는 데에서 가장 어려움을 느끼고 있다. 실제 구직 과정에서 지난 프로젝트 경험이나 자신의 커리어 개발 활동으로 쌓인 역량을 증명하는 데 어느 정도로 어려움을 겪었는지에 대한 질문에 대해 응답자의 평균 점수가 10점 만점 기준 6.1에 달했다(0: 전혀 어려움이 없다, 10: 항상 어려움이 있다). 가장 어려움을 느끼는 분야로는 ‘지원한 직무에서 다루는 업무의 수준과 자신의 역량 수준의 적합도 파악(86건, 중복답변 가능)’이 꼽혔으며, ‘자신의 경력이나 경험에서 쌓인 역량에 대한 객관적 증명(79건)’이 그 뒤를 이었다. 실력 향상을 위해 하는 활동으로는 ‘독학 및 개인 스터디’(116건)이 1위로 꼽힌 가운데, 캐글(Kaggle)이나 AI 커넥트 같은 온라인 AI 경진대회에 참가한다는 답변이 총 99건의 투표를 받아 2위로 올랐다. 온라인 강의를 수강하거나(3위, 78건) 유튜브를 활용하는 경우(4위, 53건)도 많은 것으로 나타탔다. 반면 그룹으로 스터디를 하거나 현장에서 오프라인 강의를 수강한다는 답변은 각각 47건과 20건의 표를 받아 상대적으로 하위권에 속했다. 응답자들은 자신의 실력 향상 및 커리어 개발 시 가장 중점을 두는 것으로 많은 응답자들이 ‘자신의 객관적인 실력 및 역량 향상(157건)을 꼽았다. 앞선 설문 결과와 종합해 보면 개별적으로 자신의 역량 향상을 위해 온라인을 중심으로 스터디와 경진대회 참여를 비롯해 다양한 활동을 벌이고 있지만, 실제 구직과정에서는 이러한 활동에서 쌓인 역량을 객관적으로 증명하거나 실제 업무와 그 관련성 및 역량 수준이 부합하는지 파악하는 데에 어려움을 겪고 있는 것으로 파악됐다. AI와 데이터 관련 직군에 종사하고 있거나 이 분야로의 취업을 희망하는 사람들이 최근 가장 관심을 두는 분야로는 컴퓨터 비전(CV)이 87건의 표를 받아 가장 많은 관심을 받는 분야로 꼽혔다. 이어 데이터 분석과 자연어 처리(NLP)가 각각 83, 73건의 표를 받아 그 다음으로 관심이 높은 분야로 분류됐다. 생성모델(66건)은 4위에, 추천시스템(45건)은 5위에 올랐다. 머신러닝 및 딥러닝 엔지니어, 데이터사이언티스트, 데이터분석가 등 AI 및 데이터 관련 현업 재직자는 주로 솔루션과 SI, 의료/헬스케어 등에 종사하고 있었다. 반면 이 분야 취업을 희망하는 취업준비생의 경우 취업을 희망하는 산업군으로 의료/헬스케어 다음으로 콘텐츠/미디어/엔터테인먼트, 커머스/쇼핑 등을 꼽아 실제 현업 종사자들의 분포와 다소간의 차이를 보였다. 한편 이번 설문조사는 인공지능 경진대회 및 AI 전문 역량평가 코딩테스트 등의 서비스를 운영하는 데이터 사이언스 플랫폼 AI커넥트(AI CONNECT)의 회원을 대상으로 진행됐다. AI커넥트는 현재 약 7,000명에 달하는 회원을 보유하고 있는 플랫폼으로, 생성AI가 화두가 된 트렌드에 맞춰 올해 분기별로 생성AI를 주제로 한 자체 경진대회를 열고 있다. 또 지난 6월 AI 전문인력 역량 테스트인 AI-빌리티 테스트(AI-bility Test)를 출시하고, 지난달부터 이달 초에 이르기까지 첫 번째 시험을 진행하는 등 AI 커리어 개발을 위한 다양한 서비스를 마련했다. 마인즈앤컴퍼니 고석태 공동대표는 “AI는 기술의 발전 속도가 매우 빠르고 그 적용 분야 또한 점차 광범위해지는 만큼, 취업준비생은 물론 현업 또한 꾸준한 스터디가 필수적”이라며, “빠르게 변하는 기술 트렌드에 따라 커리어 개발을 위한 활동이 다양해지는 만큼, 이러한 노력이 실제 구직과정에서 취업 및 이직을 희망하는 직무와 그 역량 수준 및 업무의 내용에서 구체적으로 부합할 수 있도록 연결고리를 마련하는 것이 무엇보다 중요해졌다”라고 설명했다. 이번 설문조사에 참여한 182명의 회원 중 현업 재직자는 전체의 56%, 취업준비생은 44%를 차지했다. 설문에 가장 많이 참여한 연령대는 25~29세(40.7%)였으며, 20~24세(20.3%), 30~34세(17.0%) 순이다. 마인즈앤컴퍼니가 운영하는 AI 커넥트는 회원의 대다수인 6,200명 이상이 실제 AI 커넥트에서 열리는 AI 경진대회에 참가한 이력이 있다. editor@itworld.co.kr

깃허브 인기 생성형 AI 프로젝트의 평균 보안 점수(10점 만점)

자료 제목 :

위험을 설명하다 : LLM 오픈소스 보안 환경 연구 Expl[AI]ning the Risk: Exploring the Large Language Models Open-Source Security Landscape

자료 출처 :

Rezilion

원본자료 다운로드

발행 날짜 :

2023년 06월 28일

주요 내용 :

깃허브에서 가장 있기 있는 50가지 생성형 AI 오픈소스 프로젝트를 조사한 결과, 프로젝트가 더 대중적이고 최신일수록 보안이 성숙하지 않은 것으로 나타났다. ⓒ Getty Images Bank 소프트웨어 공급망 보안 업체 레질리온(Rezilion)이 오픈SSF(Open Source Security Foundation, OpenSSF)의 스코어카드(Scorecard)를 사용해 LLM(Large Language Model) 오픈소스 생태계를 평가한 결과, 많은 LLM 기반 프로젝트에서 보안 베스트 프랙티스와 잠재적 위험에 상당한 격차가 있음을 확인했다. 이 같은 연구 결과는 ‘위험을 설명하다 : LLM 오픈소스 보안 환경 연구(Expl[AI]ning the Risk: Exploring the Large Language Models Open-Source Security Landscape)’ 보고서에 게재됐다. 기계가 텍스트, 이미지, 코드를 인간의 작업물처럼 생성할 수 있는 능력을 갖추게 되면서 LLM을 기반으로 한 생성형 AI 기술의 인기가 폭발적으로 증가하고 있다. 이런 기술을 통합하는 오픈소스 프로젝트의 수 역시 많아졌다. 예를 들어, 오픈AI가 챗GPT를 출시한 지 7개월밖에 되지 않았음에도 불구하고 현재 깃허브에는 GPT-3.5 LLM 제품군을 사용하는 오픈소스 프로젝트가 3만 개 이상에 달한다. 하지만 생성형 AI/LLM 기술은 민감한 비즈니스 정보를 고급 자가 학습 알고리즘과 공유하는 위험부터 사이버 공격을 강화하기 위해 기술을 악용하는 위협 행위자까지 여러 보안 문제를 일으킨다. 이달 초 국제 웹 보안 분야 비영리 재단 OWASP(Open Worldwide Application Security Project)는 LLM 애플리케이션에서 자주 발견되는 주요 취약점 10가지를 발표하면서 잠재적인 영향력, 악용의 용이성, 만연함을 강조했다. 프롬프트 주입, 데이터 유출, 부적절한 샌드박싱 등이 대표적인 취약점이다. 오픈SSF 스코어카드란? 오픈SSF 스코어카드는 오픈소스 프로젝트의 보안을 평가하고 개선하는 데 도움을 주기 위해 오픈SSF에서 만든 도구다. 평가의 기준이 되는 메트릭은 리포지토리의 취약점 수, 유지 관리 빈도, 바이너리 파일 포함 여부 등이다. 프로젝트에서 스코어보드를 실행하면 소스코드, 빌드 종속성, 테스트 및 프로젝트 유지 관리를 포함해 소프트웨어 공급망의 다양한 부분을 확인할 수 있다. 스코어카드를 사용하는 목적은 보안 베스트 프랙티스 및 업계 표준을 준수하는지 확인하기 위함이다. 특정 베스트 프랙티스를 준수하지 않는 것과 관련해 예상되는 위험 수준을 항목별로 보여준다. 그런 다음 개별 점검 점수를 하나의 종합 점수로 합산해 프로젝트의 전반적인 보안 상태를 측정한다. 현재 스코어카드로는 총체적인 보안 관행, 소스코드 위험 평가, 빌드 프로세스 위험 평가 등 3가지 주제 아래 18가지 항목을 검사할 수 있다. 스코어카드는 0~10 사이의 서수 척도와 각 점검에 대한 위험 수준 점수를 할당한다. 점수가 10에 가까울수록 프로젝트의 보안 수준이 높고 유지 관리가 잘 되고 있다는 뜻이며, 0에 가까울수록 유지 관리가 제대로 이뤄지지 않고 오픈소스 위험에 대한 취약성이 높음을 나타낸다. 가장 인기 있는 오픈소스의 보안이 가장 취약하다 레질리온의 연구 결과 문제가 되는 추세가 발견됐다. 생성형 AI/LLM 프로젝트의 인기도가 높을수록(깃허브 스타 인기도 등급 시스템 기준) 오픈SSF 스코어카드의 보안 점수가 낮다는 점이었다. 레질리온 연구팀은 “프로젝트 인기가 보안 상태는 물론 프로젝트의 품질을 반영할 수 없다는 사실을 보여준다”라고 썼다. 보고서에 따르면, 깃허브에서 가장 인기 있는 GPT 기반 프로젝트인 오토-GPT(Auto-GPT)는 출시 3개월이 지난 지금 13만 8,000개 이상의 스타 받았지만, 스코어카드 점수는 3.7점에 불과하다. 조사 대상인 50개 프로젝트의 평균 점수는 10점 만점에 4.6점이었다. 더 넓은 맥락에서 연구팀은 깃허브에서 가장 인기 있는 생성형 AI 및 LLM 프로젝트의 위험도를 생성형 AI 혹은 LLM과 관련이 없는 플랫폼의 다른 인기 오픈소스 프로젝트와도 비교했다. ‘중요 프로젝트 보안을 위한 OpenSSF 작업 그룹(OpenSSF Securing Critical Projects Work Group)’에서 정의한 94개의 중요 프로젝트 그룹의 평균 점수는 6.18점이었으며, SDLC 워크플로우의 일부로 오픈SSF 스코어카드를 사용하는 7개 프로젝트 그룹의 평균 점수는 7.37점이었다. 연구팀은 “LLM을 둘러싼 오픈소스 생태계의 성숙도와 보안 상태는 아직 개선해야 할 점이 많다. 실제로 이런 시스템의 인기가 커지고 개발 및 유지 관리되는 보안 표준이 동일하게 유지되는 한 공격자의 표적이 될 수밖에 없으며, 이에 영향을 미치는 중대한 취약점은 계속 드러날 것이다”라고 지적했다. "생성형 AI·LLM 위험, 1년 동안 계속 증가한다" 레질리온의 취약점 연구 책임자인 요탐 퍼칼은 이런 시스템의 인기와 채택이 계속 증가함에 따라 향후 12~18개월 동안 생성형 AI/LLM이 조직에 미치는 위험이 증가할 것으로 예상했다. 퍼칼은 “LLM을 둘러싼 보안 표준과 관행이 개선되지 않으면 이런 시스템에서 표적 공격이 발생하고 취약점이 발견될 가능성이 높아진다. 조직은 경계를 늦추지 말고 보안 조치의 우선순위를 정해 진화하는 위험을 완화해야 하며, 책임감 있고 안전한 LLM 기술 사용을 보장해야 한다”라고 덧붙였다. 조직은 생성형 AI 기반 시스템을 개발할 때 설계별 보안 접근 방식을 채택해 LLM 위험에 대비할 수 있다. 또한 SAIF(Secure AI Framework), 니모 가드레일(NeMo Guardrails), MITRE ATLAS와 같은 기존 프레임워크를 활용해 AI 시스템에 보안 조치를 통합해야 한다. 또한 퍼칼은 “LLM 상호 작용을 모니터링 및 기록하고 잠재적인 보안 및 개인정보 보호 문제를 감지하고 그에 따라 LLM을 업데이트 및 미세 조정하기 위해 LLM의 대응을 정기적으로 감사 및 검토하는 것도 필수다. LLM 위험에 대비하고 완화할 책임은 기술을 통합하는 조직과 시스템 구축 및 유지 관리에 관여하는 개발자 모두에게 있다”라고 강조했다. editor@itworld.co.kr

“코드에서 실수 찾을 때 AI 도구를 사용한다”

자료 제목 :

2023년 API 현황 보고서 2023 State of the API Report

자료 출처 :

Postman

원본자료 다운로드

발행 날짜 :

2023년 06월 27일

주요 내용 :

API를 구축하는 소프트웨어 개발자 사이에서도 AI가 큰 인기를 끌고 있다. 포스트맨(Postman)이 최근 4만 명의 개발자와 API 전문가를 대상으로 실시한 설문조사 결과를 정리한 2023년 API 현황 보고서(2023 State of the API Report)에 따르면, 응답자의 60%는 업무에 생성형 AI를 사용하고 있다고 답했다. ⓒ Tara Winstead/Pexels 응답자 절반 이상은 코드에서 버그를 찾기 위해 AI를 사용하며, 1/3 이상은 코드 생성에 AI를 활용한다고 답했다. 많은 사용자가 AI 기반 앱 구축을 2024년 가장 흥미로울 것으로 예상되는 프로젝트 유형으로 꼽았다. 시니어 API 개발자는 문서와 댓글을 생성하는 용도를 제외하고는 주니어 개발자보다 AI 도구를 사용하는 비율이 훨씬 낮았다. 분야별로 살펴보면, 정부 및 국방 분야 개발자의 AI 도구 사용률이 가장 낮았고 교육 분야 개발자의 AI 도구 사용률은 65%로 가장 높았다. 또한 챗GPT 또는 깃허브 코파일럿과 같은 AI 도구가 향후 2년 동안 어느 정도의 생산성 향상을 가져올 것으로 기대하느냐고 묻는 질문에 약 42%의 응답자가 10~25% 향상될 것으로 예상했다. 포스트맨의 API 현황 보고서는 API 전문가를 대상으로 한 5번째 연례 보고서다. API 도구, API의 미래, 개발 우선수위와 같은 주제에 대해 현업 API 전문가 및 개발자의 의견 조사해 API 동향을 파악하는 데 도움이 된다. 올해 설문조사는 4월 말부터 6월 초까지 진행됐으며, 포스트맨 API 플랫폼의 익명화된 집계 데이터도 보고서에 반영됐다. 2023년 API 현황 보고서의 주요 결과는 다음과 같다. 응답자의 약 2/3가 API를 통해 수익을 창출한다고 답했다. 이 중 43%는 API가 회사 매출의 1/4 이상을 차지한다고 말했다. 92%는 향후 12개월 동안 API에 대한 투자가 증가하거나 동일하게 유지될 것이라고 답했다. 대부분 응답자는 2023년 API 사고 발생 빈도가 감소하는 등 API 보안이 개선됐다고 답했다. 하지만 일부 업종의 상황은 달랐다. 자동차, 교육, 리테일 부문의 응답자는 평균보다 높은 비율로 사고가 발생했다고 답했다. API와의 통합 여부를 결정할 때 가장 먼저 고려하는 사항은 가격이다. 포스트맨 퍼블릭 API 네트워크의 데이터에 따르면, 2022년 가장 많이 포크된 5개의 API 컬렉션은 세일즈포스 플랫폼 API, 왓츠앱 클라우드 API, 트위터 API v2, 노션 API, 페이팔 API였다. REST가 여전히 가장 많이 사용되는 아키텍처이지만(86%), 2022년(89%) 및 2021년(92%)보다는 감소했다. editor@itworld.co.kr

가장 많이 사용되는 프로그래밍 언어, 자바스크립트

자료 제목 :

2023 개발자 설문조사 2023 Developer Survey

자료 출처 :

Stack Overflow

원본자료 다운로드

발행 날짜 :

2023년 06월 16일

주요 내용 :

웹 개발자의 필수 언어인 자바스크립트가 스택 오버플로우(Stack Overflow)의 개발자 대상 설문조사에서 11년 연속으로 가장 많이 사용되는 프로그래밍 언어로 꼽혔다. 이번 설문조사는 지난달 5월 전 세계 약 9만 명의 소프트웨어 개발자를 대상으로 업무, 급여, 도구를 묻는 질문으로 구성됐다. ⓒ Getty Images Bank 설문조사에 참여한 대다수 개발자가 사용하고 싶어하는 언어로도 자바스크립트가 꼽혔다. 파이썬은 그 뒤를 이어 2위를 차지했다. 그러나 개발자가 가장 존경하는 언어는 러스트로 꼽혔다. 응답자의 약 85%가 미래에도 계속 사용하고 싶은 언어로 러스트를 꼽았다. 이 질문에서 자바스크립트와 파이썬을 선택한 응답자는 58%와 66%에 불과했다. 그 다음으로는 타입스크립트와 C의 대안 언어인 지그(Zig)가 뒤따랐다. 가장 많이 사용되는 언어 2위에는 HTML/CSS, 3위에는 파이썬이 올랐다. 올해는 SQL이 4위로 파이썬에 추월을 허용했고 타입스크립트가 5위에 올랐다. 설문조사 결과는 6월 13일에 보고서 형태로 발표됐다. 가장 일반적으로 사용되는 데이터베이스는 PstgreSQL, 2위는 MySQL로, 가장 많이 사용되는 클라우드 플랫폼은 아마존 웹 서비스로 나타났다. 2위와 3위를 차지한 마이크로소프트 애저와 구글 클라우드와의 격차가 컸다. 그 외 설문조사의 결과는 다음과 같다. Node.js와 리액트(React)가 가장 많이 사용되는 웹 기술로 나타났다. 다시 사용하고 싶은 웹 프레임 워크 및 기술 1위로는 피닉스(Phoenix)가 꼽혔다. 가장 연봉이 높은 기술은 지그로 평균 연봉이 10만 3,611달러로 나타났다. 웹 프레임워크 및 기술, 기타 프레임워크와 라이브러리 카테고리 이외의 도구를 의미하는 '기타 도구' 부문에서 가장 많이 쓰이는 도구는 도커였다. NPM이 2위에 이름을 올렸다. 2023년 신설된 부문인 가장 많이 사용되는 AI 개발자 도구 1위는 깃허브 코파일럿이었지만 2위인 탭나인(Tabnine)과의 격차는 크지 않았다. AI 검색 부문에서 가장 많이 쓰인 도구는 챗GPT였고 2위는 빙 AI였다. 전체 응답자의 70%가 올해 개발 프로세스에서 이미 AI 도구를 사용하고 있거나 향후 사용할 것이라고 답했다. 개발자가 가장 선호하는 IDE로 마이크로소프트의 비주얼 스튜디오 코드를 선택한 응답자는 74%였고, 2위와 3위에는 비주얼 스튜디오와 젯브레인(JetBrain)의 인텔리J IDEA가 올랐다. 개인용으로든 업무용으로든 개발자가 가장 선호하는 운영체제는 윈도우였고, 맥OS와 리눅스 우분투가 뒤를 이었다. 비동기식 도구 부문의 1, 2위는 아틀라시안의 지라와 컨플루언스(Confluence)로 나타났다. editor@itworld.co.kr

고 개발자가 가장 즐겨 사용하는 코드 편집기

자료 제목 :

2023년 1월 고 개발자 서베이 The January 2023 edition of the Go Developer Survey

자료 출처 :

Google

원본자료 다운로드

발행 날짜 :

2023년 05월 11일

주요 내용 :

그동안 고(Go) 개발의 가장 어려움은 제네릭(generics)의 부재였다. 하지만 제네릭을 지원하는 현재, 고 개발자들이 꼽은 어려움은 오류 처리와 베스트 프랙티스 학습이라는 조사 결과가 나왔다. 고 개발자 5,844명을 대상으로 고 사용 방법을 설문한 '2023년 1월 고 개발자 서베이(The January 2023 edition of the Go Developer Survey)'를 보면 고 개발자가 꼽은 가장 큰 어려움과 향후 가장 먼저 개선해야 할 사항 등을 확인할 수 있다. 이번 조사 결과는 5월 11일에 공개됐다. 결과를 자세히 보면, 가장 많은 개발자가 꼽은 어려움은 2가지였다. 하나는 고에서 오류 처리, 특히 오류의 가독성과 상세성이었고, 다른 하나는 고 프로그래밍 베스트 프랙티스 학습의 어려움이었다. 과거에는 고 개발자 조사를 해보면 가장 큰 어려움으로 제네릭의 부족이 꼽혔다. 제네릭을 이용하면 개발자가 사용하는 타입과 독립적으로 함수를 사용할 수 있어 코딩이 더 간편해지지만, 고 언어는 이를 지원하지 않았다. 그러나 2022년 3월에 발표된 고 1.18 버전부터 공식적으로 제네릭을 지원하면서 제네릭을 꼽은 응답은 계속 줄어왔다. 이번 조사의 다른 내용을 보면, 오픈소스 고 모듈 관리자들은 버저닝과 급격한 변화에 다른 혼란을 피하고 독립성을 최신 상태로 유지하는 데 어려움이 있다고 지적했다. 관리자에게 안정적이고 건강한 생태계를 제공하기 위해 이런 부분에 대한 더 면밀한 조사가 필요한 상황이다. 또한 이번 조사결과 초보 고 개발자들이 웹 개발에 고를 사용하는 것에 관심이 있다는 것도 확인됐다. 이밖에 이번 설문의 주요 내용은 다음과 같다. 최적화 가이드는 고 성능을 개선하는 가장 좋은 방법이었다. 고 컴파일러와 런타임을 개선하기 위해 어떤 리소스를 활용하는지 물었더니, 특정한 성능 개선보다 최적화 가이드를 더 선호하는 것으로 나타났다. 응답자 92%는 고 언어에 만족한다고 답했다. 반면 4%는 불만족했고, 4%는 만족하지도 불만족하지도 않는다고 했다. 응답자 약 1/3은 오픈소스 고 모듈 관리에 참여한다고 답했다. 응답자 30%는 2~4년간 고 언어를 사용하고 있는 것으로 나타났다. 19%는 5~8년, 8%는 8년 이상이었다. 고 언어용 코드 에디터로 가장 선호하는 툴은 마이크로소프트의 비주얼 스튜디오 코드였다. 선호하는 개발 플랫폼으로는 리눅스와 맥OS가 비슷했다. 고 언어를 사용하는 주요 용도는 API/RPC 서비스 개발이었다. 이어 실행가능하고/상호작용하는 프로그램, 라이브러리 또는 프레임워크, 오토메이션/스크립트 순이었다. editor@itworld.co.kr

개발자가 전체 업무 시간 중 새로운 코드 작성에 쓰는 비율

자료 제목 :

AI 시대의 빅코드 Big Code in the Ai era

자료 출처 :

Sourcegraph

원본자료 다운로드

발행 날짜 :

2023년 04월 28일

주요 내용 :

코드 검색 및 관리 도구 개발 업체 소스그래프(Sourcegraph)가 프로그래밍 활동을 분석한 보고서 ‘AI 시대의 빅코드(Big Code in the Ai era)’를 28일 공개했다. 소스그래프에 따르면, 최근 AI 기반 코딩 생성 도구의 인기가 높아지고 있는 것으로 나타났다. 소스그래프가 개발자 1,000여 명을 설문 조사한 결과, 응답자 95%가 깃허브 코파일럿, 챗GPT, 코디(cody) 등 AI 코딩 도구를 이용하고 있었다. ⓒ 소스그래프 하지만 AI 코딩 도구가 장점만 있는 것은 아니다. 소스그래프는 “AI 코딩 도구로 새로운 코드를 작성하는 코드는 더 빨라지고 있으나 기존에 작성된 코드를 관리하는 것은 더 복잡해지고 있다”라고 지적했다. 응답자는 업무 시간의 14%만 새로운 코드를 작성하고 있었고, 56%는 기존 코드를 관리하고, 나머지 30%는 코드와 관련 없는 업무에 투자하고 있었다. 여기에 AI에게 맡긴 코드를 이해하는 것에 대한 부담감이 늘고 있었다. 개발팀 리더의 87%는 AI가 만든 코드에 대한 지식을 따라잡는 데 어려움을 겪고 있다고 응답했다. 소스그래프는 “AI 기반 코드도구로 도움을 받은 개발자는 만족감, 효율성, 생산성을 높일 수 있었으나 회사 차원에서 해당 코드가 효과적으로 안전하게 작동하고 있는지 확인하는 많은 작업을 하고 있다”라고 설명했다. 특히 수 십년동안 활용되는 과거의 코드 혹은 수백만 줄 분량의 가진 일명 ‘빅코드(Big Code)’가 신규 코드와 결합되면 전체 코드의 복잡성은 더욱 높아지는 상황이다. 실제로 응답자의 61%는 AI 코드가 기술 부채를 가져올까 우려했으며, 67%는 AI 성장으로 코드가 무분별하게 확산하는 것에 대해 걱정하고 있었으며, 76%는 AI로 작성한 코드를 나중에 관리해야 하는 상황에 대해서 염려하고 있었다. 소스그래프는 AI 기반 코드와 빅코드가 결합되면서 이를 관리하지 못할 경우 혁신에 방해가 될 것이라고 지적하며, 사내에 AI 자문 위원회를 구성해서 코드에 대한 기술, 법, 보안 요소를 집중적으로 관리하라고 조언했다. AI 사용에 대한 명확한 정책을 문서화하고 실무진이 이를 참고해 스스로 자신 있게 원칙대로 AI를 사용할 수 있게 유도하라고 제안했다. jihyun_lee@idg.co.kr

“개발자 경험은 기업 경영진에게 매우 중요하다”

자료 제목 :

소프트웨어 엔지니어링 리더 설문조사 Software Engineering Leaders Report

자료 출처 :

Gartner

원본자료 다운로드

발행 날짜 :

2023년 04월 24일

주요 내용 :

"고품질 개발자 경험(high-quality developer experience)이 소프트웨어 제공에서 중요한 우선순위가 되었다. 향상된 개발자 경험이나 생산성은 내부 개발자 포털(internal developer portals), 퍼포먼스 엔지니어링(performance engineering), CI/CD 툴체인과 컨네이터 관리(toolchain and container management)를 포함한 소프트웨어 개발 수명 주기 전반에 중요한 요소로 언급된다." 가트너가 2022년 하반기에 북미, EMEA 및 아시아/태평양 지역 산업 분야의 대기업 소프트웨어 엔지니어링 리더 142명을 대상으로 진행한 설문 조사 결과를 발표했다. 이번 조사는 핵심 소프트웨어 엔지니어링 영역의 47개 기술에 대한 배포 계획, 채택 일정, 가치 및 위험을 파악하기 위해 진행됐다. 이를 통해 소프트웨어 엔지니어링 리더는 실제 비즈니스 수익을 창출하는 분야와 심각한 배포 위험에 직면한 분야를 파악할 수 있을 것이라고 가트너는 밝혔다. ⓒ Gartner 조사 결과에 따르면 소프트웨어 엔지니어링 리더의 58%가 개발자 경험(Developer Experience)이 조직의 고위 경영진에게 매우(Very) 또는 대단히(extremely) 중요하다고 여기는 것으로 나타났다. 또한 비용 절감과 우수한 기능 제공이 소프트웨어 엔지니어링 기술 채택을 주도하는 중요한 가치 요소인 것으로 조사됐다. 특히, 47개의 기술 및 사례 중에서 가장 큰 위험 요소로 지목된 것은 68%가 선택한 높은 비용 또는 예측할 수 없는 비용이었다. 가트너의 수석 연구원인 필립 월시는 "조직은 고품질 개발자 경험이 생산성을 향상하고 소프트웨어 엔지니어링 인재를 유치하고 유지하는 데 중요하다는 사실을 인식하고 있다. 개발자 경험은 단순한 코딩 그 이상이다. 개발자 경험에 가장 높은 가치를 부여하는 것으로 간주되는 기술 중 일부는, 핸드오프가 수반되고 가치 전달의 흐름을 방해하는 경향이 있는 프로세스를 간소화하는 데 중점을 둔다"라고 밝혔다. 그는 또 "소프트웨어 엔지니어링 리더들은 점점 더 적은 비용으로 더 많은 일을 해야 하는 상황에 처해 있다. 경제적인 역풍과 고용에 대한 지속적인 도전이, 기업의 미션 크리티컬 우선순위에서 소프트웨어 엔지니어링의 중요성이 커지는 것과 충돌하고 있다. 인재 가용성은 두 번째로 흔한 채택 위험 요소로, 평가 대상 소프트웨어 엔지니어링 기술 및 관행의 17%에서 주요 위험 요소로 꼽혔다"라고 전했다. 이러한 인재 부족을 극복하기 위해서는 소프트웨어 엔지니어링 리더가 기존 직원과 신규 직원의 기술을 향상하고 재교육하는 데 집중해야 한다고 가트너는 조언했다. 이를 위해서는 각 직원의 기술을 수요보다 앞서 개발하여. 기술이 성숙하고 새로운 기술이 도입됨에 따라 더 광범위한 역할을 수행하고, 기술적으로 도전적인 새로운 노력에 기여할 수 있도록 해야 한다는 지적이다. 이렇듯 높거나 예측할 수 없는 비용이 가장 큰 위험 요소임에도 불구하고, 소프트웨어 엔지니어링 리더는 API, 통합 및 복잡한 클라우드 환경을 관리하기 위해 플랫폼 기술을 배포하고 있다. 이번 조사에 따르면 조직은 점점 더 복잡해지는 애플리케이션 아키텍처를 관리하기 위해 기술의 우선순위를 정하고 있는 것으로 나타났다. 한편, 아키텍처 및 통합 범주 기술의 67%가 2023년에 배포될 예정이며, 응답자들은 비즈니스 또는 고객에게 우수한 기능을 제공하는 것을 주요 가치 요인으로 꼽았다. 조직이 클라우드 네이티브, 모듈식 및 API 중심 애플리케이션 아키텍처로 계속 전환함에 따라 소프트웨어 엔지니어링 팀의 워크플로우와 기술 요구 사항이 변화하고 있는 것이다. ciokr@idg.co.kr

2027년까지 전 세계 글로벌 다중 경험 개발 플랫폼 시장의 연평균 성장률

자료 제목 :

2027년까지 전 세계 다중 경험 개발 플랫폼 시장 전망 MultieXperience Development Platforms Market - Global Forecast to 2027

자료 출처 :

MarketsandMarkets

원본자료 다운로드

발행 날짜 :

2023년 03월 13일

주요 내용 :

다중 경험 개발 플랫폼 시장 규모가 2022년 27억 달러에서 2027년 72억 달러로 연간 21.8%의 성장세를 이어갈 전망이다. 디지털 전환이 다양한 산업으로 확산하고 가속화되면서, 신속한 사용자 정의 및 확장성에 대한 요구와 운영 효율성에 대한 수요가 증가가 시장 성장을 이끄는 주요 요인이 될 것으로 예상된다. 마켓엔마켓(MarketsandMarkets)이 '2027년까지 글로벌 다중 경험 개발 플랫폼 시장 전망(MultieXperience Development Platforms Market - Global Forecast to 2027)' 보고서를 발표했다. 보고서는 MXDP 시장을 구성 요소(플랫폼, 서비스), 배포 형태(온프레미스, 클라우드), 조직 규모(중소기업, 대기업), 수직 시장, 지역으로 구분해 조사와 분석을 진행했다. 2027년까지 글로벌 다중 경험 개발 플랫폼 시장이 연간 21.8% 성장하며, 2022년 27억 달러이던 시장 규모가 2027년 72억 달러로 성장할 전망이다. (자료:MarketsandMarkets) 보고서는 "MXDP는 BFF(Backend for Frontend) 기능을 갖추고 세심하게 설계된 통합 프런트 엔드 개발 도구다. 디지털 접점과 상호 작용하도록 구축된 앱을 만들기 위해, 확장 가능한 분산형 개발 접근 방식을 지원한다. 다중 경험 비즈니스의 모든 것이 연결되어야 하는 기업에서는, 여러 장치에서 여러 애플리케이션을 개발하기 위한 MXDP 도구를 만들거나 구현할 필요성이 커지고 있다"라고 밝혔다. 시장 상황의 변화로 장치, 앱, 상호 작용에 대한 필요가 증가하면서, 자연스럽게 MXDP에 대한 수요가 확대되고 플랫폼 형태가 서비스 시장보다 큰 시장을 형성할 것으로 예상했다. 이러한 플랫폼을 기반으로 기업은 여러 장치에 배포할 수 있는 웹 및 모바일 앱, 채팅, 음성, 증강 및 혼합 현실, 웨어러블 경험을 만들 수 있다. 배포 형태는 클라우드가 가장 높은 성장률을 달성할 것으로 예측했다. 클라우드를 활용할 경우 애플리케이션 개발과 확장을 단순화하고, 비즈니스 프로세스를 최적화하면서 비즈니스 가치를 가속할 수 있기 때문이다. 공급망의 디지털화를 지원하여 프로세스와 팀워크를 개선하고, 많은 애플리케이션을 클라우드를 통해 지속적으로 배포 및 제공하고 데브옵스(DevOps)의 이점을 누릴 수 있다. 조직 규모에서는 대기업, 지역으로는 북미 시장, 수직 시장에서는 BFSI(Banking, Financial Service and Insurance)가 시장 성장을 주도할 것으로 예상했다. 다중 경험 개발 플랫폼은 모바일, 웨어러블, 웹, 챗봇, AR 및 VR을 비롯한 다양한 디지털 접점에서 작동하는 목적에 맞는 앱을 개발하는 데 도움이 되고, 이러한 여건이 성숙한 기업, 지역, 비즈니스 분야에서 빠른 성장이 기대된다는 것이 보고서의 설명이다. 하지만 수요가 가파르게 증가하면서 목표 달성을 위해 필요한 전문가나 트레이너가 부족한 상태다. 또한 다양한 화면 크기와 해상도를 위한 다중 경험 개발 도구 설계는 복잡성이 증가하고, 사용자 인터페이스는 다양한 사용자 환경에 맞게 적응할 수 있어야 한다는 점을 고려해야 한다. 하지만 다양한 애플리케이션을 단일 플랫폼을 통해 제공하는 환경에서는 잠재적인 보안 위협을 줄일 수 있는 것은 장점이다. 다중 경험 개발 플랫폼 관련 주요 업체로는 세일즈포스(Salesforce), SAP, 아웃시스템(Outsystems), 오라클(Oracle), 마이크로소프트(Microsoft), 멘딕스(Mendix), 페가시스템(Pegasystems), 프로그레스(Progress), IBM, 서비스나우(ServiceNow) 등이 있다. ciokr@idg.co.kr

2022년 공개 깃허브 커밋에서 발견된 ‘비밀’

자료 제목 :

2023년 비밀 노출 현황 보고서 State of Secrets Sprawl 2023

자료 출처 :

GitGuardian

원본자료 다운로드

발행 날짜 :

2023년 03월 08일

주요 내용 :

하드코딩된 비밀의 수가 증가하고 여러 장소에 저장된 비밀의 확산 속도가 빨라지면서 소프트웨어 공급망 보안을 위협하고 있다. 코드 보안 플랫폼 제공업체 깃가디언(GitGuardian)이 최근 발행한 2023년 비밀 노출 현황 보고서(State of Secrets Sprawl 2023)에 따르면, 공개 깃허브 커밋에서 2022년 한 해 동안 1,000만 개의 하드코딩된 비밀이 발견됐다. 이는 2021년보다 67% 증가한 수치다. ⓒ Getty Images Bank 하드코딩된 비밀이 심각한 보안 위험인 이유는 일반 텍스트로 저장되는 경우가 있어 공격자가 소스코드에서 비밀을 쉽게 추출할 수 있기 때문이다. 코드 주입 공격이나 데이터 유출 등으로 인해 하드코딩된 비밀이 실수로 공개되거나 노출될 가능성도 있다. 2022년은 ‘비밀이 가장 많이 유출된’ 해 깃가디언이 지난해 10억 개가 넘는 깃허브 커밋을 스캔한 결과, 2022년은 비밀과 관련한 유출이 특히나 많이 발생한 해였다. 2022년 깃허브에 코드를 푸시한 1,330만 명의 개별 작성자 가운데 135만 명이 실수로 비밀을 노출했으며, 특히 1,000개 커밋 중 5.5개 커밋이 최소 하나의 비밀을 노출하는 등 비밀 유출이 2021년보다 50% 많이 발생했다. 깃가디언은 비밀을 특정 유형과 일반 유형 2가지로 분류했다. 특정 비밀 탐지기는 AWS 액세스 키 또는 몽고DB 데이터베이스 자격증명처럼 쉽게 구분할 수 있는 비밀을 매칭하는데, 깃가디언이 탐지한 전체 비밀의 33%를 차지했다. 파일에 하드코딩된 회사 이메일 및 비밀번호와 같은 일반 유형 비밀이 차지하는 비중은 67%였다. 깃가디언이 가장 많이 포착한 특정 유형 비밀은 google_api_key, private_key_rsa, private_key_generic, googlecloud_keys, and postgresql_credentials이었다. 일반 유형 비밀은 비밀번호, 엔트로피 비밀, 사용자 이름/비밀번호가 가장 많이 발견됐다. 깃가디언은 최근 사례를 통해 비밀이 악용되는 방식을 ▲공격을 통해 비밀 입수(우버, 서클CI) ▲소스코드 리포지토리 탈취(엔비디아, 삼성, 마이크로소프트, 옥타, 라스트패스) ▲공개적으로 노출된 비밀 악용(안드로이드, 토요타, 인포시스) 등 3가지로 분류했다. SW 공급망 위협하는 하드코딩된 비밀과 비밀 난립 보고서에 따르면, 하드코딩된 비밀과 비밀의 무분별한 확산은 소프트웨어 공급망 보안에 큰 위협이다. 보고서 집필팀은 “비밀은 여러 방법으로 노출될 수 있다. 소스코드는 하도급업자에게 빠르게 손실될 수 있는 자산이다. 소스코드 도용도 대표적인 노출 경로”라고 언급했다. 다크웹에서 API 비밀 공유와 관련한 논의와 활동이 증가하고 있다는 점에도 주목할 필요가 있다. 깃가디언은 “API 키 도난 및 판매에 대한 논의는 지난 몇 년 동안 다크넷에 등장한 비교적 새로운 현상이며, 계속 성장할 것으로 예상된다. 공급망 손상을 통해 맬웨어를 광범위하게 배포하려는 위협 행위자 역시 공개 리포지토리에서 소싱된 자격증명과 피벗 포인트에 대해 논의한다”라고 덧붙였다. 옴디아(Omdia) 수석 애널리스트 페르난도 몬테네그로는 CSO에 “비밀을 하드코딩하는 것은 인프라 업그레이드 같은 보안 및 비보안 측면에서 매우 바람직한 기능이지만, 변경이 어려울 뿐 아니라 소스에 접근할 수 있는 모든 사람에게 노출된다”라고 설명했다. 따라서 공격자는 누군가를 사칭하거나 인프라에 대한 민감한 세부 정보를 얻기 위해 비밀을 사용하게 되는 것이다. 몬테네그로는 “하드코딩된 비밀 악용의 결과는 부정적인 감사 결과부터 완전한 인프라 손상 및 대규모 데이터 유출에 이르기까지 다양하다. 현재 이런 비밀은 깃 같은 소스코드 제어 시스템으로 들어가는 것이 일반적이므로 훨씬 광범위하게, 심지어 대중에 노출될 수 있다”라고 덧붙였다. 하드코딩된 비밀은 노출되고 손상되기 쉬우며, 비밀에 익숙한 내부자로 인한 위협을 초래할 수 있다. 베라코드(Veracode) CISO 소하일 이크발은 “상용 제품의 하드코딩된 비밀은 대규모 DDoS 공격의 길을 열어준다. 공급망 공격이 증가한다는 것은 비밀이 포함된 CI/CD 파이프라인이 위험함을 의미한다”라고 설명했다. ‘새는 비밀’을 막는 방법 깃가디언은 소스코드가 반드시 보호해야 하는 귀중한 자산이라는 사실을 이해해야 한다고 강조했다. 보고서 집필팀은 “첫 단계는 비밀과 관련한 기업의 보안 태세를 명확하게 점검하는 것이다. 비밀이 어디에 사용되는지, 어디에서 새는지, 최악의 상황에는 어떻게 대비하고 있는지가 포함된다. 다른 보안 문제처럼 부실한 비밀 위생은 일반적으로 사람과 프로세스, 도구 3가지 요소와 관련 있다. 확산하는 비밀을 관리하려면 모든 전선을 동시에 관리해야 한다”라고 말했다. 하드코딩된 비밀의 탐지 및 완화는 개발 주기 전반에 걸쳐 심층 방어를 구축하기 위해 다양한 수준에서 왼쪽으로 이동할 수 있다. 깃가디언은 다음과 같은 전략을 소개했다. 네이티브 VCS 또는 CI 통합을 통해 모든 리포지토리에 대한 커밋 및 병합/풀 요청을 실시간으로 모니터링한다. 사전 수신 확인을 활성화해 중앙 리포지토리에서 비밀이 유출되는 것을 방지한다. 과거의 기록을 분석해 사고에 대응하는 전략을 개발하는 등 장기적인 계획을 마련한다. 비밀 보안 챔피언 프로그램을 구현한다. 몬테네그로는 “하드코딩된 비밀을 사용하지 않도록 환경을 설계하는 것을 우선시해야 한다. 활용할 수 있는 솔루션은 비밀 관리 도구, 소스코드 검토를 비롯해 다양하다. 무엇보다 개발자와 보안 엔지니어부터 각 관리 체인에 이르기까지 하드코딩된 비밀이 ‘반드시 수정해야 하는’ 보안 설계 결함이라는 점을 모두가 인식하는 것이 중요하다”라고 말했다. editor@itworld.co.kr

관련 자료 :

“오픈소스의 편의성이 비용 절감 효과를 능가한다”

자료 제목 :

오픈소스의 경제적 가치 Measuring the Economic Value of Open Source

자료 출처 :

The Linux Foundation

원본자료 다운로드

발행 날짜 :

2023년 03월 07일

주요 내용 :

‘비용’보다는 ‘편의성’이 오픈소스 도입을 촉진하는 것으로 나타났다. 오픈소스의 경제적 가치를 조사한 리눅스 재단의 최신 보고서(Measuring the Economic Value of Open Source) 저자이자 UC 버클리 겸임교수인 헨리 체스브로는 “비용이 오픈소스의 가장 큰 이점이라고 인식하지만, 모든 사람이 [오픈소스를] 더 저렴하다고 생각하지 않는다”라고 말했다. 체스브에 따르면 “오픈소스가 더 비싸다”라고 지적하는 사람조차도 오픈소스의 다른 이점이 비용을 능가한다고 말한다. 오픈소스의 핵심 이점은 무엇일까? 가용성, 즉 개발 속도다. ⓒGetty Images Bank 무료가 좋다 무료로 다운로드할 수 있는 코드가 ‘비용 측면에서’ 진정으로 무료인 적은 없었다. 코드는 무료일지 몰라도 해당 코드를 관리하는 데 비용이 든다. 개발자가 작성하거나 관리하는 코드보다 더 큰 비용이 든다. ‘오픈소스 리더십’에서 가장 중요하게 생각하는 것이 무엇인지 물었을 때 “원하는 오픈소스 소프트웨어를 클라우드에 쉽게 배포할 수 있도록 하는 것”이라고 답한 이유가 이 때문일 수 있다. 오픈소스를 직접 관리하지 않고도 오픈소스의 이점을 누리길 원하는 기업이 점점 더 많아지고 있다. 그럼에도 리눅스 재단의 설문조사 결과에 따르면 비용 절감은 오픈소스를 도입하는 가장 큰 이유로 조사됐다. 비용만 있는 것은 아니다. 개발 속도 그리고 소프트웨어 공급업체 독립성도 이점으로 꼽혔다. 하지만 수십 년 전과 마찬가지로 오늘날의 기업이 오픈소스를 도입하는 가장 큰 이유로 꼽는 것은 비용이다. ⓒThe Linux Foundation 물론 오픈소스의 다른 특성 때문에 오히려 비용이 늘어날 수 있다. 이런 비용 증가의 원인으로 ‘보안’을 꼽는 답변이 두드러졌다. 오픈소스 보안은 체인가드(Chainguard) 등의 공급업체 그리고 오픈소스 보안 재단(Open Source Security Foundation) 등의 산업 컨소시엄 덕분에 점점 더 좋아지고 있다. 하지만 아직 갈 길이 멀고, 그동안에는 보안과 다른 요인으로 인해 ‘공짜 맥주’는 진정한 공짜가 될 수 없다. ⓒThe Linux Foundation 그리고 무엇보다… 속도가 더 좋다 심지어 오픈소스가 독점 소프트웨어보다 비싸다고 생각하는 사람조차도 오픈소스의 다른 이점이 이런 비용을 능가한다고 말한다. 체스브로는 “한 응답자에게 오픈소스가 더 비싸다고 생각한다면 왜 여전히 오픈소스를 사용하는가?라고 물었다. 대답은 코드를 사용할 수 있기 때문이었다. 즉, 코드를 직접 구축하려면 시간이 오래 걸린다. 그렇게 하는 것이 더 저렴할 수도 있지만 개발자들이 할 일 없이 그냥 앉아 있는 것이 아니며, 오픈소스 코드는 바로 사용 가능한 상태이기 때문이다”라고 설명했다. 그렇다. 오픈소스가 더 비쌀 순 있지만, 그렇다 하더라도 시간적인 이점을 제공한다는 것. 기업과 개발자 대부분에게 시간은 비용보다 훨씬 더 큰 문제다. 개발자가 코드를 다시 쓰는 일에 매달리는 것은 혁신이 아니기 때문이다. 설문조사 결과에 따르면 기업은 오픈소스를 사용하는 이점이 비용 대비 증가할 것이라고 예상했다. 비용이 이점보다 더 빠르게 상승할 것이라고 답한 기업은 16%에 그쳤다. 흥미롭지만 놀랍지 않은 사실도 있다. 기업이 오픈소스를 더 많이 사용하고 기여할수록 더 많은 이점을 얻고 비용을 능가할 가능성이 높아진다는 점이다. 체스브로는 “다년간의 경험을 통해 더 많은 것을 배우고, 비용 관리에도 능숙해진다”라며, “아울러 오픈소스를 사용하는 방법을 더 전략적으로 알게 될 것”이라고 말했다. ⓒThe Linux Foundation editor@itworld.co.kr

IT World: About IDG; Privacy Statement; 이용약관; 개인정보처리방침; 이메일무단수집거부; 청소년보호정책; REPRINTS

News: 뉴스; Members Only; 리뷰; How-To; 오피니언

Topics: 윈도우; AI; 클라우드; 오피스&협업; 모바일; 데이터센터; 보안

Business: 테크라이브러리; 솔루션센터; 컨퍼런스; 마케팅 서비스; 리서치 서비스; 연락/문의

Join Us On: Twitter; Facebook; RSS

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2023 International Data Group. All rights reserved.