Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
TOPIC

오픈소스

한글과컴퓨터, 행정안전부 업무용 노트북에 ‘한컴구름’ 공급

한글과컴퓨터(이하 한컴)가 행정안전부(이하 행안부) 업무용 노트북에 개방형OS인 한컴구름을 적용, 기존 2대의 데스크톱에서 노트북 1대로 업무망과 인터넷망을 동시에 사용할 수 있는 스마트 업무환경을 구축했다고 밝혔다. 행안부는 과기정통부와 정보통신산업진흥원(NIPA) 지원을 받아 올해 상반기까지 업무용 노트북 200대를 시범 운용해 사무실 외에 외부환경 어디서나 자유롭게 업무 시스템에 접속해 근무할 수 있는 ‘행안부 업무용 노트북 시범운영 사업’을 추진한다. 한컴은 이번 사업에 안랩, 이액티브, 틸론, 조은기술, 티맥스오에스 등과 함께 협의체를 구성해 대표사로 참여하고 있다.   한컴은 이번 ‘행안부 업무용 노트북 시범운영 사업’ 참여를 통해 행안부 업무용 노트북에 한컴구름 기반의 VPN(가상사설망) 선행인증 시스템을 구축했으며, 공무원들은 한컴구름 기반 VPN 선행인증을 통해서 외부에서도 행안부의 업무용 가상OS와 인터넷용 VDI(가상 데스크톱)를 동시에 사용할 수 있다. 기존에는 내부 업무망과 외부 인터넷망 구분을 위해 2대의 PC가 필요했으나, 이제 1대의 업무용 노트북만으로도 업무망과 인터넷망 모두를 사용할 수 있게 된 것이다. 회의실이나 출장 중에도 업무용 노트북 1대로 사무실에서처럼 일할 수 있어 예산 절감 효과와 더불어 업무 효율성이 향상될 것이라고 업체 측은 설명했다. 한컴이 업무용 노트북에 기본OS로 제공한 한컴구름은 국가보안기술연구소에서 개발한 보안프레임워크(신뢰부팅기술, 실행파일 보호 기술, 운영체제 보호 기술, 브라우저 보호 기술)를 탑재하고 있어 강력한 클라우드 환경의 보안성을 제공한다. 또한, 한컴구름이 설치된 업무용 노트북은 사용자의 프로그램 설치 및 사용 권한, 데이터 접근 권한 등을 관리할 수 있는 중앙관리서버 솔루션 'GPMS(Gooroom Platform Management Server)‘를 통해서 중앙집중적인 보안관리가 가능한 통합관리체계를 제공한다. 한글과컴퓨터 김대기 부사장은 “한컴구름을 활용한 VP...

한글과컴퓨터 2022.02.21

이머커스 활황 속에서 기업이 ‘웹 스키밍’에 대처하는 방법

웹 스키밍(Web Skimming) 공격은 지난 몇 년 동안 온라인 상점을 괴롭혀온 대표적인 사이버 공격이다. 스크립트를 결제 양식에 삽입하는 단순한 공격이 있는가 하면, 합법적인 서드파티 스크립트 및 서비스를 훼손하는 고도화된 공격도 있다. 사이버 공격 집단 메이지카트(Magecart)의 공격으로 잘 알려진 웹 스키밍은 카드 부재(Card-Not-Present, CNP) 사기의 가장 큰 원인이었고, 크고 작은 브랜드와 여러 유형의 전자상거래 플랫폼에 악영향을 끼쳤다.    미국의 종합 유통기업 타깃(Target)은 몇 년 전부터 웹 스키밍 위협에 대항해 자사 플랫폼에서 쇼핑하는 사용자를 보호하기 위한 해법을 모색했다. 이미 만들어진 웹 스키밍 탐지 툴이 없었기 때문에 타깃의 보안 엔지니어 2명이 자체적으로 개발하기로 결정했다. 타깃이 개발한 클라이언트 측 스캐너는 타깃닷컴(Target.com)에서 3년 이상 활발하게 사용된 끝에, 메리 메이커(Merry Maker)라는 이름의 오픈소스 프로젝트로 깃허브에 공개됐다. 타깃은 블로그에서 “메리 메이커는 온라인 브라우징을 가상으로 계속 진행하면서 테스트 거래를 완수하며 악성코드의 존재를 검사한다. 메리 메이커는 온라인 구매 같은 일반적인 활동을 하는 타깃닷컴의 사용자처럼 행동한다. 그러는 동안 네트워크 요청, 자바스크립트 파일, 브라우저 활동과 같은 각종 정보를 수집 및 분석해 어떤 식으로든 부적절한 행동이 있는지 판단한다”라고 설명했다.  카드 스키밍과 웹 스키밍이란? 카드 스키밍(Card Skimming)은 악성 기기 또는 메커니즘을 정당한 거래 지점에 삽입해 카드의 상세 정보를 입수하는 공격으로, 일종의 중간자 공격(Man-in-the-Middle Attack)이다. 스키밍 기기는 물리적으로 ATM이나 주유소 결제 단말기의 카드 슬롯에 부착돼 카드의 자성 띠에 암호화된 데이터를 획득한다. 공격자는 단말기에 소형 카메라나 PIN 패드 덮개를 부착해 사용자가 입력한 PIN 번호...

웹스키밍 카드스키밍 카드부재 2022.02.09

글로벌 칼럼 | '단점 있어도' SDN을 도입해야 하는 이유와 방법

최근 필자는 엔터프라이즈 네트워크 운영 관리자 5명을 만났다. 이들은 공통으로 클라우드 장애에 대해 매우 우려하고 있었다. 모든 장애가 네트워크 문제에서 시작됐기 때문이다. 이들 5명 중 4명은 자사의 컨테이너화된 데이터센터 내에서도 서버보다 네트워크에서 더 많은 문제가 발생한다고 말했다. 어째서 이런 일이 일어나는 것일까? 이들이 진단한 이유는 간단했다. '지나침은 모자람만 못하다'는 것이다.   널리 알려진 것처럼 복잡성은 효율적인 운영과 관리의 적이다. 사용하는 시스템의 규모가 일정 수준을 넘어서면 그 규모가 관리 센터는 물론 관리 툴까지 압도해 버린다. 이 상황에서 다양한 업체와 다양한 기술을 도입해 활용하면 결국 매우 혼란스러운 상황에 놓이게 된다. 이런 혼란스러움은 단순히 크기나 기술 범위 이상의 문제다. 네트워크 운영까지 복잡하게 만드는데, 현재 기업이 겪는 어려움이 바로 이 지점이다. 본래 IP 네트워크는 적응형으로 설계됐다. 모든 라우터는 자신의 정체와 상황을 외부에 계속 알려주고 연결(trunk, 트렁크)이 가능하다고 외치는 일종의 섬이다. 동시에 다른 라우터의 외침을 끊임없이 듣는다. 라우터는 이런 모든 외침을 통해 네트워크의 상태와 토폴로지를 수집하고 이를 이용해 라우팅 테이블을 만든다. 일정 주기로 발생하는 이런 외침을 통해 이 테이블을 항상 최신 상태로 유지한다. 만약 라우터 A에서 라우터 B로 가는 트렁크가 있다면, 이 라우터는 자신의 상태와 토폴로지를 근처 라우터에게 지속해서 반복해 알린다. 설정의 소소한 변경을 포함해 어떤 변화라도 있으면, 역시 중계되는 외침을 통해 널리 퍼뜨려야 한다. 이런 과정에는 일정 시간이 필요한데 모든 라우터가 조화를 이룬다는 의미로 이를 '컨버전스(convergence)'라고 부른다. 이런 컨버전스 시간 동안 패킷은 지연되거나 심지어 손실될 수 있지만, 사실 이것은 큰 문제가 아니다. 더 중요한 것은 외침을 중계하는 시간 동안 일반적인 상황은 물론 실패 모드 상황에서도 네트워크를 작동...

SDN 소프트웨어정의네트워크 2022.02.07

EDB, BC카드에 ‘포스트그레스 어드밴스드 서버’ 공급

EDB(www.enterprisedb.com)는 BC카드가 기존 일부 오라클 DB의 클라우드 이전을 위해 자사의 오픈소스 기반 데이터관리시스템(DBMS)인 ‘포스트그레스 어드밴스드 서버(EDB Postgres Advanced Server, EPAS)’를 도입했다고 밝혔다.   BC카드는 국내 금융권 중 가장 많은 250여 곳의 금융사와의 연동을 통한 마이데이터 서비스(이하 내자산 서비스)를 제공 중이다. 다양한 금융기관과의 연동 및 편리하고 유용한 서비스를 바탕으로 지난해 말 기준으로 52만 명의 고객이 내자산 서비스에 가입, 이용 중이다.  BC카드 내자산 서비스의 출시에는 새롭게 도입한 EPAS가 큰 역할을 했다고 업체 측은 설명했다. EPAS는 마스터카드, 델, KT 등 국내외 유명 기업이 사용 중이며, 도입 비용 및 유지보수 비용이 타솔루션 대비 저렴해 도입 회사의 재무적 성과에도 크게 기여할 수 있는 장점이 있다고 덧붙였다. BC카드가 클라우드에서 마이데이터 서비스를 제공하기 위해 가장 우려했던 부분은 기존 오라클 DB의 일부를 RDBMS(관계형 데이터베이스)를 전환하는 작업이었다. BC카드는 RDBMS를 클라우드로 안전하게 이전하기 위해 높은 확장성과 호환성, 가용성, 데이터 자동 백업 복구 지원하는 것은 물론, 기존 내부 개발자 및 관리자 200여 명에게 익숙한 데이터관리시스템(DBMS)들을 비교 검토했다.  BC카드 마이데이터사업본부 마이데이터개발팀 유진세 과장은 “BC카드는 마이데이터 서비스에 클라우드를 접목해 보다 빠르고 유연한 금융혁신 경험을 제공하고자 했다”며, “이에 BC카드는 기존의 오라클 DBMS를 클라우드로 안정적인 이전이 가능하고 향후 신규 서비스 제공에도 부족함이 없도록 높은 확장성과 호환성을 제공하는 EPAS를 선택했다”라고 말했다. BC카드는 새로 도입한 EPAS가 기존 오라클 DBMS와의 스키마 호환성이 높고 이기종 DB 호환에 전혀 문제가 없었으며 함께 제공되는 자동 마이그레이션 툴킷...

EDB 2022.02.07

레드햇, ‘레드햇 오픈시프트 플랫폼 플러스’에 ‘레드햇 오픈시프트 데이터 파운데이션’ 통합

레드햇(www.redhat.com)은 엔터프라이즈 쿠버네티스 플랫폼인 ‘레드햇 오픈시프트 플랫폼 플러스(Red Hat OpenShift Platform Plus)’에 소프트웨어 정의 스토리지를 포함한 데이터 서비스인 ‘레드햇 오픈시프트 데이터 파운데이션(Red Hat OpenShift Data Foundation)’을 통합했다고 발표했다.  레드햇 오픈시프트 플랫폼 플러스는 완전한 멀티클라우드 쿠버네티스 스택을 제공함으로써 데브섹옵스(DevSecOps)와 애플리케이션 개발의 요구 사항을 충족한다고 업체 측은 설명했다. 레드햇 오픈시프트 데이터 파운데이션이 추가되면서 개발자에게 클라우드 및 인프라를 포괄하는 영구 스토리지가 포함된 데이터 플랫폼을 제공하고 IT 운영팀에 데이터 관리 기능을 제공한다. 레드햇 오픈시프트 플랫폼 플러스는 쿠버네티스 클러스터 전반과 클라우드 인프라 전반에 걸쳐 일관된 방식으로 애플리케이션을 보호 및 관리하는 필수 기능을 통합한다. 레드햇 오픈시프트 플랫폼 플러스는 ▲레드햇 오픈시프트 컨테이너 플랫폼 ▲쿠버네티스용 레드햇 어드밴스드 클러스터 시큐리티 ▲쿠버네티스용 레드햇 어드밴스드 클러스터 매니지먼트 ▲레드햇 키 ▲레드햇 오픈시프트 데이터 파운데이션 에센셜 등의 기능을 제공한다.  레드햇 오픈시프트 플랫폼 플러스는 기업이 단일 솔루션으로 클라우드 네이티브 이니셔티브를 가속화하고 엣지 환경을 포함한 하이브리드 클라우드에서 데브섹옵스를 채택할 수 있도록 지원한다. 최신 클라우드 네이티브 애플리케이션은 수요 변화에 따라 확장할 수 있는 클러스터 데이터 관리 서비스가 필요하다. 레드햇 오픈시프트 플랫폼 플러스와 통합된 레드햇 오픈시프트 데이터 파운데이션을 통해 기업은 컨테이너 환경 전반에서 운영되는 공통 데이터 서비스에 액세스할 수 있게 되어 스토리지 사일로(silo)를 방지할 수 있다.  최신 스토리지 솔루션인 레드햇 오픈시프트 데이터 파운데이션 4.9는 기업의 빠르고 효율적인 애플리케이션 개발 및 배포를...

레드햇 2022.02.07

“어디서나 실행 가능한 관리형 쿠버네티스” 구글 클라우드 안토스의 모든 것

구글 클라우드는 2019년 4월, 안토스(Anthos) 플랫폼을 출시했다. 당시 기업 고객이 온프레미스와 구글 클라우드, 그리고 무엇보다도 AWS, 마이크로소프트 애저와 같은 주요 퍼블릭 클라우드에서 쿠버네티스(Kubernetes) 워크로드를 실행할 수 있는 방편을 제공하겠다고 약속했다.   구글 CEO 선다 피차이는 2019년 샌프란시스코에서 열린 구글 클라우드 넥스트(Google Cloud Next)에서 안토스에 대해 개발자가 한 번의 코드 작성으로 어디에서나 실행할 수 있도록 하는 것이라고 밝혔다. 호환되지 않는 클라우드 아키텍처를 연결해 하이브리드 및 여러 퍼블릭 클라우드에 걸쳐 컨테이너화된 애플리케이션 개발, 배포, 운영을 간소화한다는 개념이다. 결정적인 멀티 클라우드 지원이 실현되기까지 다소 시간이 걸렸다. 구글은 2020년 4월 AWS를, 작년 12월에는 마이크로소프트 애저를 지원하겠다고 밝혔다. 안토스 멀티 클라우드 API를 출시하면서 진정한 하이브리드 및 멀티 클라우드 운용과 관련한 처음 약속을 지킨 것이다. 구글 클라우드 안토스는 모든 쿠버네티스 워크로드의 관리를 위한 단일 플랫폼을 제공한다. 이를 통해 기업 고객은 여러 개의 독자적인 클라우드 기술 별로 인증된 전문가에 의존하지 않고 한 가지 기술에 집중할 수 있다. 또한, 안토스는 특정 워크로드와 네임스페이스에 연결된 맞춤형 보안뿐만 아니라 여러 인프라에 걸쳐 공통적인 구성을 적용하는 기능을 통해 하이브리드 및 퍼블릭 클라우드 전반이 워크로드 실행 위치에 관계없이 일관성 있게 운영되도록 한다. 운영자는 하나의 콘솔에서 클러스터 텔레메트리와 로그 정보를 추적할 수 있다.   구글 클라우드 안토스 구성요소 안토스는 구글이 2019년 이전에 구축했던 클라우드 서비스 플랫폼(Cloud Services Platform)이 발전한 형태이다. 구글 클라우드 관리형 서비스인 구글 쿠버네티스 엔진(Google Kubernetes Engine, GKE), GKE 온프렘(On-Pre...

쿠버네티스 구글클라우드플랫폼 안토스 2022.01.27

오픈소스 소프트웨어 보안, 미 정부와 IT 업계의 협업 본격화

지난주 미국 백악관이 오픈소스 소프트웨어의 보안 개선을 목적으로 회의를 열었다. 오픈소스 소프트웨어와 관련된 주요 공공 및 민간 사용자와 유지보수 담당자를 초청했다. 백악관은 널리 사용되는 오픈소스 소프트웨어에 대해 “고유한 가치를 제공하지만, 광범위한 사용과 지속적인 보안 유지를 담당하는 많은 기여자의 참여에 따른 보안 문제도 있다”라고 밝혔다.   이번 회의는 자바 기반 로깅 유틸리티인 Log4j에서 위험한 취약점이 발견된 직후인 작년 12월에 기획됐다. 악용이 쉬운 이 취약점으로 인해 전 세계 수억 대의 기기가 잠재적인 침해 위험에 노출됐다. FBI와 NSA, 사이버 보안 및 인프라 보안국(Cybersecurity and Infrastructure Agency, CISA)은 Log4j 결함을 ‘모든 곳의 정부와 기업에 대한 위협’으로 신속하게 규정했다. 국가 안전 자문위원인 제이크 설리번은 기술 선구자를 회의에 초청해 “오픈소스 소프트웨어는 보안에 대한 국가 차원의 주요 관심사이다”라고 말했다. 회의에는 사이버 및 신기술 부문 국가 보안 부자문위원인 앤 뉴버거와 국가 사이버 국장 크리스 잉글리스, 국가 사이버 국장 및 CISA, 국립 표준 기술원(NIST)의 담당자를 비롯해 다양한 정부 부처와 기관이 참여했다. 민간 부문에서는 아카마이(Akamai)와 아마존, 아파치 소프트웨어 재단, 애플, 클라우드플레어(Cloudflare), 메타, 깃허브, 구글, IBM, 리눅스 재단, 오픈SSF, 마이크로소프트, 오라클, 레드햇 임원과 고위 인사가 참여했다. 백악관에 따르면, 회의에서 논의된 안건 3가지는 다음과 같다.   오픈소스 코드와 패키지의 보안 결함 및 취약점 방지 오픈소스 소프트웨어 결함을 발견하고 수정하는 프로세스 개선 수정 배포 및 구현의 대응 시간 단축 첫 번째 주제에서 참석자는 코드를 빌드, 저장, 배포하는 데 사용되는 개발 툴과 인프라에 코드 서명 및 더 강력한 디지털 ID를 통합함으로써 개발자가 더욱 쉽게 안...

오픈소스 소프트웨어 보안 2022.01.20

큐브리드, 소상공인 방역지원금 서비스에 오픈소스 DBMS 공급

큐브리드가 소상공인 방역지원금 서비스에 오픈소스 DBMS ‘큐브리드(CUBRID)’를 공급했다고 밝혔다. 팬데믹 상황에서 방역조치 강화로 매출 감소 등의 어려움을 겪은 소상공인·소기업의 소득 보전을 위해 그동안 재난지원금 및 금융 지원이 제공돼 왔다. 지원 대상은 국세청에 등록된 사업체로서 매출이 감소 또는 감소가 예상되는 소상공인 및 소기업이다. 중대본의 영업시간 제한 조치를 받은 소상공인·소기업은 매출과 관계없이 신청할 수 있다.   대상자는 영업시간 제한 소상공인 90만여 명, 그 외 매출감소 소상공인은 230만여 명으로 추산하고 있으며, 100만 원씩 총 3조 2,000억 원이 지급될 예정이다. 신청은 ‘소상공인방역지원금.kr’ 사이트에서 관련 서류를 접수하고, 신청 결과를 확인할 수 있다. 큐브리드는 2020년 2월 소상공인 대상 2차 지급 서비스인 ‘새희망자금’ 지급 때부터 이번 6차까지 안정적인 서비스가 가능하도록 기술지원 및 유지관리 서비스를 제공해왔다. 소상공인시장진흥공단에서 주관하는 이번 서비스에는 큐브리드를 비롯해 클라우드 서비스 업체로 NHN클라우드가 함께 협력했다. 큐브리드 정병주 대표는 “코로나19 상황이 지속되는 동안 다양한 비대면 서비스가 마련돼 왔다”며, “큐브리드는 2020년 한국교육학술정보원의 온라인 학습 서비스를 지원한데 이어 소상공인 방역지원금 서비스에도 오픈소스 DBMS 제품을 공급하며 공공부문 클라우드 서비스 부문에서 다양한 레퍼런스를 구축하고 있다”라고 말했다. editor@itworld.co.kr

큐브리드 2022.01.19

깃랩, 오픈소스 관측 솔루션 ‘옵스트레이스’ 인수…데브옵스 플랫폼 확장

깃랩은 오픈소스 관측(Observability) 솔루션 업체인 ‘옵스트레이스’를 인수했다고 밝혔다.  깃랩은 옵스트레이스 인수를 통해 전체 데브옵스 라이프사이클을 위한 단일 사용자 인터페이스와 통합 데이터 저장소 및 보안 기능을 갖춘 단일 애플리케이션 내에 오픈소스 관측 솔루션을 통합할 계획이라고 설명했다.  깃랩은 모니터링 및 관측 기능을 확장함으로써 기업들에게 새로운 선택권을 제공할 수 있을 것으로 기대하고 있다. 이를 통해 기업들은 더 이상 조직의 목표에 부합하지 않는 고가의 SaaS 서비스나 오픈소스 구성요소를 이용해 연결해야 하는 DIY(Do-It-Yourself) 관측 솔루션 중 하나를 선택할 필요가 없게 되었다. 깃랩은 이번 인수를 통해 깃랩 데브옵스 플랫폼 내에 구축된 즉시 사용 가능한 신뢰할 수 있는 통합 관측 플랫폼을 제공할 예정이다. 이번 인수를 통해 깃랩은 기업들이 사고율을 낮추고 개발자의 생산성을 높이는 것은 물론, MTTR(Mean-Time-to-Resolution)을 단축할 수 있도록 깃랩 데브옵스 플랫폼에 구성이 필요 없는 관측 솔루션을 구현함으로써 개발자 경험에 중점을 둔 강력한 모니터링 및 관측 기능을 제공하는데 주력할 방침이다.  깃랩은 옵스트레이스 기능을 모니터링 단계에 통합함으로써 코드 계측 유도 및 최근 성능 저하에 대한 통찰력은 물론, 병합요청 검토 환경의 성능 피드백과 성능 개선, 자동 구축 롤백, 사고 발생 시 신속한 탐색 및 분류를 가능하게 하는 예측 기능을 제공해 더 나은 개발자 경험을 창출하고, 긍정적인 비즈니스 결과를 도출할 수 있을 것으로 기대하고 있다. 깃랩의 최고제품책임자(CPO)인 스캇 윌리엄슨은 “더 많은 개발자들이 배포에 대한 안전성을 확보하고, 운영 중단을 신속하게 완화할 수 있는 통합 오픈소스 플랫폼에 액세스할 수 있도록 지속적으로 개발자 및 운영자 커뮤니티를 육성해 관측 경험을 개선시켜 나갈 것”이라고 밝혔다. 옵스트레이스 공동 설립이자 현재 깃랩의 수...

깃랩 옵스트레이스 2022.01.11

OSBC, 개발자 보안·컴플라이언스 플랫폼 ‘스닉’과 파트너십 체결

OSBC는 개발자 보안·컴플라이언스 플랫폼인 스닉(Snyk)과 파트너십을 체결하고 2022년 1월부터 스닉의 솔루션을 국내 독점 유통한다고 밝혔다. OSBC는 스닉의 제품을 공급하는 이외에 영업, 마케팅을 비롯해 국내 사업 전반을 주도하는 한편, 스닉 솔루션의 기술 지원도 수행할 예정이다. 2015년에 설립된 스닉은 전 세계의 모든 개발자가 개발 속도를 유지하면서 손쉽게 보안 및 컴플라이언스 이슈를 해결하도록 지원하는 목표를 설정했다. 스닉의 보안 플랫폼은 전문 스닉 보안 연구팀이 유지 관리하는 독점 취약성 데이터베이스를 기반으로 작동하며 코드, 오픈소스 라이브러리, 컨테이너 인프라 및 코드로서의 인프라(IaC)를 포함해 클라우드 네이티브 애플리케이션 개발의 모든 중요한 구성 요소를 보호하는 플랫폼을 제공한다. OSBC는 2006년 설립된 이래 국내에서 15년간 오픈소스 관리 전 분야에 대한 서비스를 제공하고 있다. 국내에 오픈소스 보안 및 컴플라이언스 리스크 관리의 개념을 도입했다. 매년 오픈소스 거버넌스 가이드 발간, 글로벌 오픈 소스 콘퍼런스 개최 등 다양한 활동을 하고 있다. OSBC는 특화한 오픈 소스 관리 솔루션 및 컨설팅 서비스를 제공해 전자, SI, 통신, 방위, 게임, 인터넷, 자동차 및 금융을 포함한 모든 산업 분야의 선도 기업 고객망을 보유했다. OSBC는 스닉과 이번 제휴를 통해 고객 기반을 꾸준히 적극적으로 확장하는 한편, 오픈소스 소프트웨어의 올바른 사용에 대한 더 효율적인 접근 방식을 제공할 예정이다.  스닉은 개발자 우선 보안 플랫폼 위에 4가지 핵심 제품 ▲스닉 오픈소스 ▲스닉 코드 ▲스닉 컨테이너 ▲스닉 IaC를 제공해 전체 SDLC 및 클라우드 네이티브 애플리케이션 개발을 지원한다. OSBC 김택완 대표는 “이번 스닉과 파트너십으로 고객에게 라이선스 컴플라이언스 뿐만 아니라 오픈소스 보안 취약성을 포함한 애플리케이션 보안 문제를 더 효과적으로 보호할 수 있게 됐다”며, “이를 통해 기업이 더 효율적이고도 안...

OSBC 2022.01.04

쿤텍, 오픈소스 통합 관리 솔루션으로 로그4j 취약점 자동 탐지 및 수정사항 제공

쿤텍은 오픈소스 통합 관리 솔루션인 ‘화이트소스(WhiteSource)’로 로그4j(Log4j) 보안 취약점에 대한 자동 탐지 및 수정사항을 제공한다고 밝혔다. 지난 12월 10일과 15일, 로그4j와 관련된 보안 취약점(CVE-2021-44228)과 후속 취약점(CVE-2021-45046)이 연이어 발견되었다. 로그4j는 인터넷 서비스 운영, 유지 관리, 프로그램 작성 과정의 모든 기록을 관리하기 위해 사용되는 자바 기반의 오픈소스 로깅 유틸리티다. ‘로그4쉘(Log4shell)’이라고 불리는 해당 취약점은 악의적인 공격자가 보안 업데이트가 적용되지 않은 아파치 로그4j 버전에서 구성, 로그 메시지, 매개변수에 사용되는 JNDI(Java Naming and Directory Interface) 기능을 제어할 수 있도록 하여 LDAP 및 기타 JNDI 관련 엔드포인트를 보호할 수 없게 된다. 이로 인해 공격자는 JNDI 룩업(Lookup) 패턴을 사용해 악의적인 입력 데이터를 조작해 서비스 거부(Denial of Service, DoS)을 수행할 수 있다. 이와 같은 오픈소스 보안 취약점의 경우 오픈소스와 오픈소스 사이의 종속성으로 인해 수동으로 관련 취약점을 식별하고 수정하는 것이 불가능하다. 오픈소스 통합 관리 솔루션인 화이트소스는 SaaS 기반 보안 취약점 데이터베이스를 통해 자동으로 해당 취약점을 탐지하고 수정 권고 사항을 제공한다. 화이트소스는 로그4쉘 취약점이 보고되기 전에 심각도가 높은 취약점 경고에 대한 정책 설정을 마친 경우라면, 라이브러리에 대한 직·간접 종속성을 통해 해당 취약점의 영향을 받는 경우에 자동으로 알람을 제공한다. 심각도가 높은 취약점에 대해 별도의 정책을 설정하지 않은 경우라면, 화이트소스 UI에서 직접 취약점 보고서를 확인해 제품 또는 프로젝트에 미치는 영향을 확인하고 완화 정책을 수행할 수 있다. 특히 이번 로그4j 취약점과 관련해 화이트소스는 깃허브(Github)를 통해 무료 도구인 ‘화이트소스 로그4j 디...

쿤텍 2021.12.22

티맥스소프트, ‘로그4j’ 등 오픈소스 소프트웨어의 보안 취약점 적극 대응

티맥스소프트가 최근 발생한 ‘로그4j(Log4j)’ 등 오픈소스의 치명적인 보안 취약점에 대해 통합 미들웨어 플랫폼 ‘하이퍼프레임(HyperFrame)’의 IMS(Issue Management System) 등을 통해 적극 대응한다고 밝혔다. 티맥스소프트는 하이퍼프레임의 이슈 관리 및 처리 시스템인 ‘IMS 포탈’을 이번 ‘로그4j’ 등과 같은 유사시에 맞춰 기존보다 강화한 실시간 비상 대응 체계로 격상하기로 했다. 기존 보유한 체계화하고 숙련된 기술지원 조직과 인력을 통해 오픈소스 활용과 운영의 전 과정을 밀착 지원하며, 외산 소프트웨어 대비 탁월한 위기 대응력과 유지보수 서비스를 제공할 계획이다. 24*7 수준의 원격 및 방문 지원도 제공한다. 이를 통해 오프소스 소프트웨어의 보안과 운영 측면에서 발생 가능한 사고나 장애 등에 대한 사전 대응은 물론, 발 빠른 실태 파악과 대처가 가능할 것으로 예상된다고 업체 측은 설명했다. 하이퍼프레임은 오픈소스 사용 시 발생 가능한 보안 취약점에 대응할 수 있는 모든 역량을 갖춘 통합 미들웨어 솔루션이다. 웹서버, 웹애플리케이션서버, 프레임워크 등 다양한 미들웨어 솔루션을 클라우드 환경과 오픈소스에 최적화해 통합 제공한다.  티맥스는 이번 로그4j 등 오픈소스의 보안 취약점을 제거하고자 최신 보안 패치를 업데이트하고, 빈틈없는 보안 체계를 구축하는 등 보안성을 필두로 한 오픈소스 및 클라우드에 최적화된 기능과 기술지원을 제공한다는 방침이다. 대부분의 웹서버에 사용되고 있는 ‘로그4j’와 같은 범용성이 높은 오픈소스 소프트웨어에 보안상의 문제가 발생할 경우 대응이 늦으면 막대한 피해로 번질 수 있음으로, 보안 취약점을 없애는 발 빠른 대처나 선제적 대응이 이뤄져야 한다. 이번을 계기로 보안성을 강화하며, 안정적인 클라우드 환경을 구현하는 소프트웨어에 대한 요구가 더욱 커질 것으로 전망된다. 티맥스소프트 이형배 대표는 “이번 로그4j 이슈는 오픈소스 소프트웨어의 보안성 강화와 신속한 대응의 필요성을 다시 ...

티맥스소프트 2021.12.15

클라우드 리눅스에 변화를 가져오고 있는 센트OS

최근 AWS 리인벤트(re:Invent) 행사에서 메인프레임 현대화, 데이터베이스 업데이트, ARM 기반 그래비톤(Graviton) 3 등 많은 뉴스가 쏟아진 가운데, 조명을 받을 가치가 있지만 조명을 받지 못한 것이 한 가지 있다. 다름 아닌 아마존 리눅스(Amazon Linux) 2022이다.  AWS CEO 아담 셀립스키가 키노트에서 언급하지sms 않았지만, AWS의 컴퓨트 서비스 담당 부사장 디팩 싱은 이에 대한 트윗을 남겼다. 적절한 대우일 수도 있다. 아마존 리눅스 2022는 안정성과 보안, 성능을 제공하지만 보이지 않는 뒤쪽으로 사라질 그런 종류의 ‘빅딜’이기 때문이다.    무엇인지 분명하지 않은 것도 분명한 것만큼 흥미로운 발표이다. 아마존 리눅스 2022는 처음으로 레드햇 엔터프라이즈 리눅스(RHEL) 코드를 기반으로 하지 않는다(레드햇이 고정된 릴리스 패턴 대신 ‘스트림 기반’ 롤링 방식을 발표한 2020년 말에 반향을 일으킨 오랜 RHEL의 복제판인 센트OS를 기반으로 한 적도 한 번도 없다). 대신 아마존 리눅스 2022는 페도라 커뮤니티 업스트림 프로젝트에 기반을 두고 있다.  ‘빅딜’이라고 생각하지 않는가? 레드햇은 2021년 말에 센트OS 8을 단종할 것이라고 발표했기 때문에 다른 대형 클라우드 서비스 업체에도 무슨 계획을 갖고 있는지 물어야 할 것이다. 미국 정부에 센트OS 기반 서비스를 판매하고 싶을까? 센트OS는 더 이상 FedRAMP에 부합하지 않는다. RHEL이나 다른 지원 OS로 교체하거나 연방 정부와 비즈니스를 하지 말아야 한다.  단순히 운인지 아니면 선견지명인지 모르겠지만, AWS는 페도라에 초점을 맞춘 결과로 상당한 혜택을 누릴 것이다. 센트OS의 ‘무임 승차’가 종료되면 어떻게 할지 고민하는 기업의 경우, ‘무료 소프트웨어’는 무료가 아닌 경우가 많다는 점을 기억할 필요가 있다.    “컴퓨팅 역사상 가장 많이 악용된 소프트웨어”  ...

리눅스 센트OS RHEL 2021.12.08

아나로그디바이스, 1,000종 이상의 장치 드라이버 지원하는 리눅스 배포판 확장

아나로그디바이스는 리눅스 오픈소스 운영체제 발표 30주년을 기념해, 리눅스 커널 장치 드라이버들이 1,000종 이상의 ADI 주변 장치를 인식하는 리눅스 배포판을 확장한다고 밝혔다.  신속한 임베디드 솔루션 개발을 지원하기 위해 설계된 이 오픈소스 장치 드라이버는 ADI 고객을 위해 소프트웨어 개발 프로세스를 간소화하고, 검증된 고품질 소프트웨어에 대한 액세스를 제공한다. 이를 통해 통신, 산업, 방산, 항공 우주, 의료, 자동차, 보안, 사물인터넷(IoT), 컨수머 등 다양한 산업 분야에서 혁신적인 솔루션을 개발할 수 있게 해준다. 이 포트폴리오에는 현재 아나로그디바이스의 일부인 맥심 인터그레이티드의 제품들도 포함된다. 아나로그디바이스는 라즈비안/데비안(Raspbian/Debian)을 기반으로 하는, 자유롭게 사용할 수 있는 리눅스 기반 운영체제인 ‘카이퍼 리눅스’도 발표했다. 이는 ADI 주변 장치에 최적화되어 있을 뿐 아니라, 라즈베리 파이, 자일링스 징크, 자일링스 징크 울트라스케일플러스 MPSoC, 인텔 사이클론 V, 인텔 아리아10 SX SoC, 인텔 스트라틱스 10 SoC 등 널리 사용되고 있는 ARM 기반 시스템을 지원한다.  새로운 리눅스 배포판은 리눅스 커널 장치 드라이버에서 바로 사용할 수 있도록 하는 데 초점을 맞추고 있으며, 임베디드 고객에게 소프트웨어 개발을 위한 강력한 시스템을 제공하고, 동료 엔지니어들의 검토 및 업계의 지원을 받는 기존 코드들을 사용함으로써 실패 위험과 개발 시간을 줄일 수 있게 한다.  이 배포판은 빌트인 드라이버 구동을 위한 모든 구성 요소를 포함하고 있으며, 고객이 맞춤형 소프트웨어를 통합할 수 있도록 한다. 이 리눅스 배포판은 고객의 전체 생태계에 걸쳐 하드웨어 및 소프트웨어 호환성을 모두 제공함으로써 특정 하드웨어에 대한 종속을 막는 동시에, 소프트웨어 개발 요구 사항을 최소화한다. 아나로그디바이스의 데이비드 바비츠 엔지니어링 디렉터는 “이들 드라이버를 사용해, 고객...

아나로그디바이스 2021.12.01

글로벌 칼럼 | 오픈소스 유니콘의 성공 비결 따위는 없다

레드햇이나 컨플루언트의 오픈소스 성공 비결에 관한 포스팅은 이제 멈추기 바란다. 시장 역학이 특정 기업에 적합한 모델을 결정한다는 것이 밝혀졌기 때문이다. 업계는 레드햇(Red Hat)의 모델을 흉내내는 데 10년을 허비했지만 효과는 없었다. 벤처캐피탈인 앤드리슨 호로위츠 총괄 파트너인 피터 레빈이 2014년 테크크런치(Techcrunch)를 통해 밝힌 것처럼, 레드햇 같은 기업이 나오지 않을 것이다. 레빈은 이번에는 컨플루언트 같은 기업이 나올 일은 절대 없을 것이라고 주장할지도 모른다. 그렇다고 더 이상 수십억 달러 규모의 오픈소스 기업이 존재하지 않을 것이라는 말은 아니다. 데이터브릭스, 레디스, 깃랩 등 유니콘 기업은 점점 늘어나고 있는 것으로 보인다. 핵심은 오픈소스 기업에 맞는 비즈니스 모델은 여러 가지 요소에 따라 달라질 수 있다는 것이다. 오픈소스로 사업할 수 있는 방법이 한 가지만 있는 것은 아니다.   레드햇에 눈이 멀었다 현재까지도 많은 사용자가 예전 레드햇의 호시절을 그리워한다. 완전히 오픈소스로 돌아가는 기업은 리눅스(Linux), 쿠버네티스(Kubernetes)와 같은 커뮤니티에 기여한다는 것은 누구나 다 아는 사실이다. 필자는 레드햇을 좋아하고, 항상 존경했다. 하지만 레드햇의 비즈니스 모델은 기본적으로 지구상의 다른 회사 또는 프로젝트에서 작동하지 않는다. 레드햇 출신 개발자가 또다른 성공적인 오픈소스 기업을 운영하는 사례를 거의 볼 수 없는 이유가 있다. 그가 똑똑하지 않아서가 아니라 레드햇 제품군 외에는 적용되지 않는 모델로 성공을 경험했기 때문이다. 이 사실은 레드햇 전 CTO 브라이언 스티븐스도 분명히 했다. 스티븐스는 2006년, 한 블로그를 통해 “레드햇의 모델은 우리가 연구하는 기술의 복잡성 때문에 작동한다. 운영 플랫폼은 많은 가동부를 포함하고 있으며, 기업은 이런 복잡성에서 벗어나기 위해 기꺼이 비용을 지불한다. 아파치처럼 한정된 요소 하나만으로 레드햇 모델을 활용해 사업할 수 있을 것이라고 생각하지 않...

오픈소스 레드햇 컨플루언트 2021.11.23

글로벌 칼럼 | 라이선스 논란에도 여전히 잘 굴러가는 엘라스틱

오픈소스는 이런 식으로 작동해서는 안 된다는 대표적인 사례가 엘라스틱서치(Elasticsearch)다. 몇 년 전, AWS는 엘라스틱이 아파치 같은 허용적 라이선싱을 ‘일부 권리를 보유’하는 라이선싱으로 바꾸고 있다고 비난했다. 2021년 초, 엘라스틱은 한 걸음 더 나아갔고, 결국 AWS는 엘라스틱서치를 포크해 오픈서치(OpenSearch)를 만들었다.   오픈서치는 오픈소스 커뮤니티 일부의 동참을 끌어냈다. 인스타클러스트(Instaclustr)와 아이븐(Aiven) 같은 기업이 오픈서치용 관리형 서비스를 만들었다. AWS 외에도 업계에서 엘라스틱의 라이선싱 방식을 비난하는 목소리가 높았다. 그러나 결과적으로 이런 구설수와 분노에도 불구하고, 엘라스틱이라는 기업은 꽤 잘하고 있는 것으로 보인다. 코드인 엘라스틱서치 또한 어려움을 겪고 있지 않다. 필자가 여러 차례 지적한 것처럼 많은 사람이 개발자의 선택이 철저히 ‘이분법’에 근거한다고 생각한다. ‘개방’과 ‘폐쇄’라는 이분법 말이다. 하지만 엘라스틱서치 사례에서 볼 수 있듯 세상이 그렇게 단순하지 않다.   야단법석 필자는 2000년 리눅스 기업에 첫발을 담근 후 20년 넘게 오픈소스에 관여해 왔다. 수동적으로 관여한 것이 아니다. 필자는 그 동안 기술 분야를 휩쓴 유치하고 지루한 모든 오픈소스 관련 논쟁에 많은 관심을 가졌고, 프리 소프트웨어(GPL) 대 오픈소스(아파치/BSD/MIT), 오픈 코어(Open Core)에 관한 논쟁에는 적극적으로 가담했다. 프리 소프트웨어 파운데이션(Free Software Foundation), 오픈소스 라이선싱 상세 정보, 개발자의 커뮤니티 기여 등에 대한 글을 쓰기도 했다. 같은 기간 오픈소스 소프트웨어가 다양한 컴퓨팅 분야에 보급되고, 더 나아가 소프트웨어 세계를 지배하기 시작했다. 대부분 개발자가 오픈소스 라이선싱에 대해 무관심했지만, 사실 오픈소스 인프라가 없는 클라우드 컴퓨팅은 상상하기 힘들다. 2014년으로 거슬러 올라가면, 오픈소스 ...

오픈소스 라이선스 엘라스틱서치 2021.11.19

삼성전자, ‘삼성 소프트웨어 개발자 콘퍼런스’ 개최…“개방성과 협업 강조”

삼성전자가 ‘삼성 소프트웨어 개발자 콘퍼런스(Samsung Software Developer Conference, 이하 SSDC)’를 온라인으로 개최했다. 삼성전자는 2014년부터 개최해온 ‘삼성 오픈소스 콘퍼런스(Samsung Open Source Conference)’를 확대 개편해, 소프트웨어 전 분야에서 사내외 개발자들이 교류하는 장으로 올해 SSDC를 신설했다. 이번 콘퍼런스에서는 AI·보안·클라우드·메타버스 등 다양한 분야에 걸쳐 오픈소스는 물론 소프트웨어 개발자들에게 유용한 최신 기술이 논의됐다. 삼성리서치 연구소장 승현준 사장은 “개방성과 협업은 소프트웨어 개발의 혁신을 이루는 데 핵심적인 역할을 한다”며 “참가자들이 더 넓은 분야에 대해 배우고 공유하고 소통함으로써 SSDC가 전 세계 개발자들의 기술 교류와 협업의 장이 되기를 희망한다”라고 말했다. 삼성리서치 최승범 부사장은 기조연설에서 삼성전자의 오픈소스 추진 전략을 설명했다. 기조연설에선 ▲올해 인공지능(AI)·사물인터넷(IoT)·보안 분야의 오픈소스 프로젝트 신규 참여 ▲사내 오픈소스 개발자 지원과 외부 개발자 협력을 통한 우수 인력 양성 ▲리눅스 재단이 주관하는 ‘오픈체인 프로젝트’의 국제 표준 인증(ISO/IEC 5230:2020) 획득 등 삼성전자의 체계적인 오픈소스 활용을 위한 노력이 소개됐다. 저명 개발자의 소프트웨어 개발 노하우, 청소년 개발자의 성장기, 삼성전자 임직원의 개발 문화 등을 주제로 한 기조강연도 진행됐다. 서울대 생명공학부 장혜식 교수는 계산생물학자이자 국내 1호 파이썬(Python) 커미터(프로그래밍 언어 파이썬 분야의 핵심 개발자)로, 파이썬을 활용한 코로나19 바이러스 유전체 지도 완성에 대해 강연했다. 지난해 ‘삼성 주니어 SW 창작대회’에서 수상한 청소년 개발자들은 우리 주변의 사회문제를 인식하고 소프트웨어를 활용해 해결책을 찾은 활동에 대해 발표했다. ▲마스크를 쓰고도 편하게 의사소통을 할 수 있도록 ‘말하는 마스크’를 만든 윤채연·김도...

삼성전자 2021.11.18

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.