11월 11일
ⓒ CIO korea, Susan Morrow, ciokr@idg.co.kr
조직들이 구축 시간 단축과 비용 절감을 바람에 따라 기업 내에서의 오픈소스 사용이 증가하고 있다. ‘기업 오픈소스 현황(The State of Enterprise Open Source)’이라는 제목의 2019년 레드햇 보고서에 따르면 응답자 중 95%가 오픈소스를 ‘전략적으로 중요’하다고 생각하는 것으로 나타났다.
하지만 기업 환경에서의 오픈소스 적용을 보면 ID 관리(identity management ) 분야는 다소 동떨어져 있다. 이유는 ID 관련 서비스가 설계하고 구축하기에 유독 복잡한 시스템이기 때문일 수 있다. ID 분야에서도 오픈소스를 현명하게 활용하고 보안과 사용성을 유지할 수 있을까?
ID 프로젝트를 위해 오픈소스를 선택할 때 8가지 고려사항
오픈소스 사용에 관한 생각에는 두려움, 불확실성, 의심(FUD)이 존재하는 경우가 많다. 그럴 만한 이유가 있다. 2018년의 에퀴팩스(Equifax) 유출이 적절한 사례다. 오픈소스 사용 시 FUD가 사라지지 않는 것이다. 이 사건에는 오픈소스 마젠토 플랫폼에 대해 무차별 대입 공격을 사용하는 사이버 범죄자들이 연루되어 있었다.
오픈소스를 사용해야 하는 이유가 있다. 누군가 기초 작업을 해 놓았기 때문에 사내 개발자가 그 일을 다시 할 필요가 없다. 이론상 여러 사람(오픈소스 커뮤니티)이 코드를 살펴보고 검증했다.
단 코드가 단위 시험을 통과했다고 볼 수 있지만 기능 시험에서는 이야기가 달라진다. 거기에 문제가 있다. IT 주도 서비스는 다기능 시스템인 경우가 많다. 이런 시스템의 기능 시험, 많은 사용자 여정, 대체 경로는 코드를 꼬이게 만들어 익스플로잇 공격이 발생할 수 있다.
오픈소스 주도 ID 프로젝트에 착수하기 전에 여러 고려사항을 따져보자. 우선, 무엇보다도 중요한 것은 소프트웨어 개발 라이프 사이클(SDLC)이 만족스러운지 여부이다. 오픈소스 코드를 사용한다고 해서 일반적인 SDLC 프로세스에서 예외일 수는 없다. 오픈소스는 수준급 애플리케이션으로 가는 만능 티켓이 아니다. 외부 또는 내부에서 개발된 시스템과 같은 수준의 시험과 유지보수가 필요하다. 고려해야 할 영역은 다음과 같다.
(후략)
※ 본 내용은 한국아이디지(주) (https://www.idg.co.kr/)의 저작권 동의에 의해 공유되고 있습니다.
Copyright ⓒ 2020 2016 International Data Group. 무단전재 및 재배포 금지.
[ 원문출처 : http://www.ciokorea.com/news/171664 ]
0개 댓글