Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

루비

루비 개발자를 공격하는 '루비젬스 타이포스쿼팅' 공격

프로그래밍 언어인 루비(Ruby)의 인기 서드파티 컴포넌트 리포지터리인 루비젬스(RubyGems)에 적법한 이름으로 가장한 악성 패키지 700여 개가 업로드됐다.   연구원에 따르면, 2월 한 주 동안 악성 패키지들이 업로드됐다. 이 악성 패키지에는 윈도우 컴퓨터에 실행할 때, 암호화폐 트랜잭션을 하이재킹하는 악성 스크립트가 포함되어 있었다. 수령인의 지갑 주소를 공격자가 통제하는 주소로 바꾸는 스크립트다. 최근 몇 년, 서드파티 컴포넌트 및 라이브러리를 통한 공급망 공격이 오픈소스 컴포넌트 리포지터리 사용자들에게 많은 피해를 줬다. 자바스크립트 및 파이썬 개발자들이 각각 사용하는 NPM과 PyPI(Python Package Index) 공격을 예로 들 수 있다. 가장 최근 루비젬스 공격에도 사용됐던 공격 기법 가운데 하나는 타이포스쿼팅(Typosquatting)이다. 이는 기존 패키지와 유사한 이름을 갖고 있지만, 실제는 개발자가 패키지 이름을 수동으로 입력하면서 잘못 입력해 발생하는 흔한 오자들을 이름으로 사용하는 악성 패키지를 퍼블리싱하는 공격 기법이다. 예를 들어, rspec-mocks 대신 rspec-mokcs를 사용하는 방식이다. 보호책이 거의 없는 소프트웨어 리포지터리 위협 인텔리전스 업체인 레버싱랩스(ReversingLabs) 공동 창업자 토미슬라프 페리신은 본지에 “소프트웨어 개발자가 리포지터리에서 다운로드받아 설치한 패키지에 악성코드가 포함되어 있지 않도록 만들 보호책이 거의 없다. 악성코드 탐지가 전문인 소프트웨어 공급업체들은 통상 개발자 환경과 통합되어 있지 않다. 현재 악성코드 탐지 임무는 엔드포인트 보호 솔루션으로 아웃소싱 되는데, 이런 솔루션은 최종 사용자를 표적으로 하는 여러 종류의 악성코드에 초점이 맞춰져 있다. 시장에 허점이 있고, 악성코드 개발자들이 이를 악용한다”라고 설명했다. 공격자가 암호화폐를 훔치는 데 관심을 뒀던 이번 공격의 경우에도, 이들이 사용한 클립보드 하이재킹 스크립트를 손쉽게 바꿔 피해자가 ...

트로이목마 루비 개발자 2020.04.21

“미래를 생각하는 개발자를 위한” 지금 배워야 하는 프로그래밍 언어

프로그래밍 언어 배우기는 어렵지 않다. 경험만 있다면 24시간 이내에 기본은 익힐 수 있다. 구직 시장에서 경쟁력을 높이기 위해 새로운 프로그래밍 국제 공용어를 찾는 중이라면 지금 사용하는 언어도 감안해 선택해야 한다. 다음 중에서 이미 알고 있는 언어를 기반으로 새로운 언어를 선택해 익힐 것을 권한다. 자바에 익숙한 사람이 선택할 만한 언어 자바에 익숙한 사람은 더 이상 참신한 인재는 아니다. 대부분의 비즈니스 소프트웨어가 자바로 작성된 것은 사실이지만 웃돈을 주고라도 자바 개발자를 모셔가던 시절은 진작에 끝났다. 자바 개발자가 선택할 만한 다음 단계는 무엇일까? 다음 언어 중에서 선택해 보자. 스칼라 스칼라는 함수형 자바와 같다. 순수한 함수형을 추구하는 사람들은 스칼라를 무척 선호하는데, 사실 자바에서 스칼라까지의 거리는 상당히 짧다. 더구나 AI와 머신러닝이 뜨고, 아파치 스파크도 스칼라로 작성되는 요즘이라면 고민할 필요도 없어 보인다. 자바스크립트 자바 개발자라면 대형 아웃소싱 업체에서 일하는 경우를 제외하고 통계적으로 35세 이상이 대부분이다. 이들이 기억하는 자바스크립트는 “DHTML”을 만들고 “자바”라는 단어를 같다 붙이기 위해(그만큼 자바가 인기 있었으므로) 넷스케이프 브라우저에 집어넣었던 저급한 스크립트에 머물러 있을 것이다. 그러나 자바스크립트는 바뀌었고 서버 측 소프트웨어도 바뀌었다. 이미 자바를 알고 있으니 함수형 구조를 익혀야 한다. 자바스크립트는 서버 측 및 클라이언트 측 언어가 됐고 “임기응변” 스크립팅 언어가 필요한 거의 모든 곳에 사용된다. 자바스크립트는 개발자의 도구 상자에 넣어두면 쓸모가 있는 언어다. C C를 배운 적이 없는 사람도 있겠지만 요즘 C가 다시 부상 중이다. 게다가 프로그램에 C를 사용하지 않는다 해도 자바의 작동 원리, 동시성 문제 및 경합 조건과 같은 중대한 문제를 디버그하는 방법을 이해하는 데 ...

자바 프로그래밍 루비 2018.03.27

애슐리 메디슨, 데이터 유출 사고 관련해 160만 달러 합의

불륜 조장 웹사이트인 애슐리 메디슨(Ashley Madison)을 운영하는 루비(Ruby)는 지난해 3,600만 사용자 정보를 유출한 사건과 관련해 160만 달러를 지불하기로 합의했다. Credit: Techworld 미국 FTC(Federal Trade Commission)는 애슐리 메디슨의 운영업체인 캐나다 토론토 소재의 루비가 계정 정보를 보호하지 못하고 가짜 사용자 프로파일을 만들어 고객들을 기망한 것에 대해 160만 달러에 합의했다고 밝혔다. 2015년 7월, 임팩트 팀(Impact Team)이라는 해킹 그룹은 계정 세부 정보를 훔친 후, 이 정보를 온라인에 게시해 불륜 조장 사이트를 사용하는 고객의 평판을 손상시켰다. FTC는 애슐리 메디슨 사이트가 보안상의 허점으로 인해 2014년 11월부터 2015년 6월까지 해커가 여러 차례 침입할 수 있는 여지를 제공했다고 주장했다. 또한 이 서비스는 사용자의 개인 정보를 삭제하기 위해서는 사용자가 19달러를 지불해야 했다고 말했다. 이 당국은 또한 애슐리 메디슨이 미국에서만 1,900만 명을 비롯해 전세계 고객들을 유료 회원 가입을 유치하기 위해 가짜 여성 프로필을 이용했다고 밝혔다. 미국 수사관들은 초기 합의 금액으로 1,750만 달러를 제시했지만, 미국 뉴욕주 검찰총장 에릭 슈나이더맨은 공식 성명에서 회사의 지불능력 상실로 인해 금액을 삭감했다고 밝혔다. 지난 14일, 사고 해결을 위해 루비는 고객 정보를 보호하기 위해 포괄적인 데이터 보안 프로그램을 마련해야 하며, 준수 여부를 확인하기 위해 제 3자의 감사를 받기로 했다. 160만 달러 가운데 절반은 FTC가, 나머지는 이번 수사에 참여한 주 당국에게 지불된다. 루비는 "오늘의 합의는 회사의 지난 과거에 대해 중요한 장을 닫고 성실히 운영하겠다는 공약을 강화하는 것"이라면서도 FTC가 발표한 조사 내용에 대해 '인정하지도, 부인하지도 않는다'는 입장을 취했다. 올해 초, ...

루비 데이터유출 애슐리메디슨 2016.12.15

자바스크립트에 코드를 이식하는 유용한 도구

개발자라면 자신이 유독 좋아하는 언어 한두 개쯤은 꼽을 것이다. 이 가운데서도 가장 행복한 개발자는 자바스크립트를 좋아하는 사람들이 아닐까 조심스레 추측해본다. 자바스크립트의 경우 인터넷 영역을 지배하고 있는데, 인터넷은 곧 세상을 지배하는 녀석이 아니던가. 반면, 그 이외의 언어를 좋아하는 개발자라면 난처한 상황에 직면해있을 수도 있다. 주류의 주변을 떠돌면서 HTML, CSS, 자바스크립트, Node.js의 창궐에 저주를 퍼붓든지, 아니면 이를 수용하는 방안을 모색할지를 결정해야 한다. 다행히 좋아하는 언어를 계속 사용하면서도 저변을 확대하고 있는 자바스크립트에 코드를 이식하는 방법이 있는데, 이는 놀랍도록 쉽게 코드를 바꿔준다. 물론, 성능이 조금 떨어질 수는 있는데, 생각보다는 그 격차가 크지 않을 가능성도 높다. 이 방법으로 코드를 브라우저로 이식하면 사람들은 실행 파일을 설치할 필요도 없다. 이를 좋아하는 언어를 고수한다는 원칙에서 한 발짝 물러나는 비참한 후퇴 또는 비굴한 항복으로 생각하는 사람들도 있을 것이다. 혹자는 동료를 저버리는 배신행위라고도 생각할 수는 있겠다. 또 일부는 이 방법을 적용하기가 쉽지 않을 것이라고 운운할 것이다. 일단 실행되는 코드를 구현하기는 쉽지 않으며, 코드를 통합해 UI를 구현하는데 큰 공을 들여야 하기 때문이다. 이런 수고에 유감을 표명한다. 그러나 이런 아이디어가 도움된다는 점을 뒷받침하는 증거들이 많다. 첫째, 자바스크립트 엔진은 과거 어느 때보다 빨라졌다. 둘째, 프레임워크와 HTML/CSS 설계 부문의 인재들 덕분에 웹 UI 구현이 과거 어느 때보다 쉬워졌다. 셋째, 자바스크립트가 일종의 '공통 언어(Lingua Franca)'로 자리 잡고 있다. 무수히 다양한 언어를 자바스크립트로 변환할 수 있다면, 이들 모두를 연결시킬 수 있다. 이에 가장 많이 쓰이는 프로그래밍 언어 가운데 일부를 자바스크립트로 컴파일링 할 수 있는 가벼운 언어들을 조사해봤다. 루비(Ruby) ...

루비 자바스크립트 파이썬 2015.04.16

코더 지망생을 위한 알짜배기 무료 코딩 학습 툴

코딩은 강력한 마술이고, 코드를 배운다는 것은 곰팡이 뒤덮인 마법책 더미를 읽으면서 연금술 재료를 고운 가루로 가는 것과도 같았다. 최소한 과거엔 그랬다. 하지만 새롭고 인터랙티브한 학습 툴은 연습과정을 강화해 사용자의 학습 속도에 맞춰 견습생에서 마법사로 성장시켜 준다. 일부 학습 툴은 진도를 나아가기 전에 사용자가 확실히 이해했는지 확인하여 학습 과정을 더욱 능동적으로 만들어 이해도를 높여주기도 한다. 초보자용만 있는 것도 아니다. 경험있는 코더들도 가끔씩 새 언어를 익혀야 한다. 하지만 이들 모두가 웹에 올라와있고, 대부분 무료다. 코드카데미 : 초보 친화적인 무료 학습 코드카데미(Codecademy)는 CSS, HTML, 자바스크립트 등에 대한 다양한 브라우저 기반 인터랙티브 튜토리얼을 제공하는데, 모두 무료다. 만약 짧은 강의 이상을 원한다면, 네 가지 “트랙” 중 하나를 선택할 수 있는데, 이들 트랙은 몇 가지 코스를 묶은 구조화된 학습 과정이다. 신택스 하이라이트와 실시간 오류 검사 기능을 갖춘 우아한 코드 편집기가 코드카데미 인터페이스 대부분을 차지하고 있다. 코드카데미에서 프로그래밍 시작하기(Getting Started With Programming)라는 다가가기 쉬우면서도 잘 구성된 초보단계 강좌를 테스트해 보았는데, 이미 아는 내용은 건너뛸 수 있었다. 또 이 사이트는 전문 프로그래머들이 자바스크립트, 파이썬(Python), 루비(Ruby) 교육을 위한 자체 강좌를 무료로 열 수 있게 해준다. 코드 스쿨 : 동영상 강좌와 코드가 만나다 코드카데미와 달리, 코드 스쿨(Code School)은 사용자들에게 월 25달러씩 받지만, 기트(Git) 튜토리얼과 레일스 포 좀비(Rails for Zombies)라는 루비 온 레일(Ruby on Rails) 프로그래밍 강좌 등 몇 가지 무료 강좌도 제공하고 있다. 코드 스쿨의 기트 튜토리얼 프로그램에서는 다운로드 없이 단순히 브라우저 내 가상 콘솔...

루비 코딩 기트허브 2013.12.10

IDG 블로그 | 프로그래밍 언어 춘추전국 시대

마이크로소프트가 옳았던 것일까. 앞으로는 한 플랫폼에 일곱 가지 프로그램 언어로 프로젝트를 작성하게 될지도 모른다. 실론(Ceylon)의 개빈 킹, 클로저(Clojure)의 리치 히키, 루비(Ruby)의 찰스 너터 등 프로그래밍 언어 창시자들과 인터뷰를 하면서 한 가지 공통점을 발견할 수 있었다. 바로 이들이 “다중 언어” 소프트웨어 개발에 대한 믿음을 가지고 있었다는 점이다.   몇 년 전, ECMA닷넷 CLI (ECMA.Net CLI)의 상임 이사회의 일원이었던 샘 루비는 트라이앵글 자바 사용자 그룹(Triangle Java User Group)에서 연설을 한 적이 있다. 루비는 닷넷에 대한 프리젠테이션을 상당히 건방진 발언으로 마무리했는데, 필자의 기억이 맞다면 “당신이 한 플랫폼에서 일곱 가지 프로그래밍 언어로 프로젝트를 작성하고 싶다면 닷넷을 선택하라. 만약 당신이 일곱 가지 플랫폼에서 한 가지 프로그램 언어로 프로젝트를 작성하고 싶다면 자바를 선택하라”라고 말했다. 사용자 그룹은 마이크로소프트를 비꼰 이 발언에 대해 기립 박수로 응답했다.   오랜 시간 동안 핵심 비즈니스 소프트웨어는 메인프레임 환경일 경우에는 코볼이나 RPG로 혹은 둘 다를 사용해 작성되었다. PC 프로그래밍은 훨씬 다양하게 분열된 시장이었는데, C/C++언어의 물결은 펄(Perl)등의 스크립트 언어에게 밀려나는 모습도 보았다.    지난 10년 동안은 자바, 비주얼 베이직/ASP, 그리고 그냥 광고에 가까웠던 다중언어 지원을 보여줬던 닷넷 등으로 비교적 안정적인 시장이 유지되어 왔다. 오래된 자바가 시장을 지배하면서, 다른 JVM 언어들은 비즈니스 소프트웨어 작성에 그다지 쓰이지 않았고, 닷넷 소프트웨어는 C# 언어로 작성되었다.   하지만 시대가 바뀌었고, 프로그래밍 언어 시장은 더욱 다변화되었다. 자바는 2001년과 같은 지배적인 위...

자바 개발 프로그래밍 2012.07.16

썬 JRuby 개발팀, 엔진 야드로 이적

썬마이크로시스템즈의 JRuby 팀이 썬을 떠나 애플리케이션 호스팅 업체인 엔진야드(Engine Yard)로 적을 옮겼다. 오라클의 썬 인수로 생긴 불확실성이 가장 큰 이유인 것으로 알려졌다.   썬은 2년 반 전에 "JRuby Guy"로 알려진 찰스 너터와 토마스 에네보를 고용해 자바 가상머신에 루비 프로그래밍 언어를 적용하는 작업을 맡겼다. 몇 개월 후 썬은 또 한 사람의 핵심 JRuby 개발자인 닉 시거도 불러들였다.   이 3명이 다음 주부터 엔진야드에서 일을 시작할 예정이다. 너터는 오라클의 썬 인수로 자신들의 미래가 불확실한 상황이기 때문에 썬을 떠나기로 결정했다고 밝혔다.   너터는 “솔직히 오라클이 JRuby를 지원하지 않을 것이란 증거는 없다. 하지만 그러리란 증거 역시 없다”며, “우리는 JRuby가 다음 단계로 발전하기를 바라며, 그러기 위해서는 결정을 해야만 했다”고 설명했다.   오라클은 자바 기술의 거대 사용자이기도 하고, 썬 인수의 이유 중 하나로 자바 기술을 언급했다. 하지만 자바에 대한 구체적인 계획이 제시된 것은 없는 상태.   너터는 “썬에 채용되어 JRuby 개발에 전념할 수 있었던 시간은 매우 소중했다”고 밝혔다. 이 팀은 독립적으로 개발 작업을 진행했지만, 글래스피시나 넷빈, JVM 소프트웨어 등 썬의 엔지니어링 리소스에 액세스할 수 있도록 지원을 받았다.   그리고 JRuby는 여러 번의 발표를 통해 발전했으며, 일부 크리티컬한 애플리케이션에 적용되기도 했다. 대표적인 사례가 미국 유타주의 전염병 보고 및 관리 시스템이다.   루비 애플리케이션을 호스팅하는 엔진야드는 자바 웹 개발자들 사이에서 JRuby를 사용하는 경우가 증가하고 있지만, 이 분야의 전문지식이 없기 때문에 이 팀을 고용한 것으로 알려졌다. 에반스 데이터...

오라클 루비 2009.07.28

썬, 글래스피시 기반 오픈소스 통합 웹 플랫폼 출시

썬이 자사의 글래스피시(GlassFish) 자바 애플리케이션 서버를 기반으로 한 최초의 오픈소스 웹 애플리케이션 플랫폼을 출시했다.   이번에 출시된 썬 글래스피시 포트폴리오(Sun GlassFish Portfolio)는 이미 제품화된 오픈소스 기술을 사전 통합한 것이 특징이다. 애플리케이션 서버를 제외하고는 모두 아파치 톰캣 서블렛 컨테이너나 루비, PHP, 라이프레이 포털 등의 오픈소스 프로젝트를 기반으로 구축된 것.   썬은 이들 구성 요소를 테스트해 생산성을 높이고 적기에 시장에 출시한 것이라며, 미션 크리티컬한 환경과 공공 애플리케이션에 적합한 플랫폼이라고 강조했다. 썬 엔터프라이즈 매니저를 제외한 모든 구성 요소는 오픈소스로 제공된다.   썬의 미들웨어 마케팅 담당 부사장 마크 헤링은 “이번 제품이 갖는 의미는 오픈소스를 기반으로 애플리케이션을 구축하려는 사용자가 겪는 구성요소 간의 통합의 문제를 해결한 것”이라고 강조했다.   글래스피시 포트폴리오의 구성은 다음과 같다.   - 글래스피시 웹 스택 : LAMP 통합 스택으로 경량화된 웹 솔루션을 제공한다. 톰캣, 멤캐시드를 포함하고 있으며, PHP, 루비, 자바를 지원한다. 지원 운영체제는 레드햇 엔터프라이즈 리눅스. - 글래스피시 웹 스페이스 서버 : 라이프레이를 기반으로 웹 사이트 개발 기능 제공 - 글래스피시 ESB : 공공/SOA 개발을 위한 경량화된 엔터프라이즈 서비스 버스 - 글래스피시 2.1 애플리케이션 서버 : - 엔터프라이즈 매니저 : 유일하게 오픈소스가 아닌 컴포넌트로, 글래스피시 포트폴리오 전반의 관리 기능을 담당한다.   글래스피시 포트폴리오는 가입 기반의 가격제가 적용되며, 기본 가격은 서버당 999달러다.   한편, 썬은 글래스피시 포트폴리오의 애드온으로...

오픈소스 자바 2009.02.11

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2023 International Data Group. All rights reserved.