ASPA: 인터넷 라 (새 탭에서 열림)

인터넷 라우팅의 핵심 프로토콜인 BGP는 설정 오류나 악의적인 공격으로 인해 트래픽이 엉뚱한 경로로 흐르는 '경로 리크(Route Leak)' 취약점을 안고 있습니다. 이를 해결하기 위해 기존의 목적지 검증 기술인 ROA를 넘어, 전체 이동 경로를 암호화 기술로 보호하는 새로운 표준인 ASPA(Autonomous System Provider Authorization)가 도입되고 있습니다. 클라우드플레어는 이러한 흐름에 발맞춰 ASPA 채택 현황을 실시간으로 추적할 수 있는 모니터링 기능을 Radar 서비스에 추가하며 더욱 안전한 인터넷 환경 구축을 지원합니다. ### ASPA의 개념과 필요성 * **기존 RPKI(ROA)의 한계**: 현재 사용되는 ROA(Route Origin Authorization)는 특정 IP 주소를 선언할 권한이 있는 AS(자율 시스템)가 누구인지, 즉 '목적지'만 확인하며 트래픽이 거치는 중간 경로는 검증하지 못합니다. * **경로 검증의 도입**: ASPA는 각 AS가 자신의 상위 프로바이더(Upstream Provider) 목록을 RPKI 시스템에 공식적으로 등록하게 함으로써, 데이터가 승인된 네트워크 체인을 통해서만 이동하는지 확인합니다. * **디지털 인증 기반**: ASPA 레코드는 일종의 인증서 역할을 하여, 수신 측 네트워크가 BGP 내의 AS_PATH를 보고 해당 경로가 사전에 정의된 상위 공급자 관계와 일치하는지 대조할 수 있게 합니다. ### "Valley-Free" 원리를 이용한 리크 탐지 * **상향 및 하향 램프 검증**: 인터넷 라우팅은 일반적으로 고객에서 프로바이더로 올라갔다가(Up-Ramp), 다시 목적지 고객으로 내려가는(Down-Ramp) 산 모양의 계층 구조를 가집니다. * **경로 일관성 확인**: ASPA는 경로의 양단에서 검증을 시작합니다. 출발지부터 상위 프로바이더로 이어지는 체인과 목적지부터 거꾸로 올라오는 체인이 정상적으로 만나는지 확인하여 경로의 유효성을 판단합니다. * **계곡(Valley) 현상 방지**: 고객 네트워크가 두 대형 프로바이더 사이에서 원치 않는 중계 역할을 할 때 발생하는 '경로 리크'는 ASPA 검증 과정에서 두 체인이 연결되지 않는 '단절'로 나타나며, 시스템은 이를 즉시 차단 대상으로 식별합니다. ### 위조된 근원지 하이재킹 방어 * **공격 차단**: 공격자가 실제 목적지 AS인 것처럼 속이면서 가짜 BGP 경로를 생성하는 '위조된 근원지 하이재킹(Forged-origin hijack)' 상황에서 ASPA는 강력한 방어 수단이 됩니다. * **관계의 진실성**: 공격자가 경로 상에 존재하더라도 피해 네트워크가 사전에 정의한 '승인된 프로바이더' 목록에 공격자가 포함되어 있지 않다면, 해당 경로는 유효하지 않은 것으로 간주되어 거부됩니다. * **기술적 한계**: 다만, 프로바이더가 자신의 고객에게 직접 가짜 경로를 광고하는 특수한 형태의 위조 공격 등은 ASPA만으로는 완벽하게 방어하기 어려운 영역으로 남아 있습니다. 인터넷 보안 강화를 위해 네트워크 운영자는 자신의 AS에 대한 ASPA 레코드를 발행하고, 클라우드플레어 Radar와 같은 도구를 통해 전 세계적인 ASPA 채택 추이를 주시하며 라우팅 보안 표준을 준수할 것을 권장합니다.

인턴에서 1인 디자이너로: 뾰족한 가설이 만든 성장 (새 탭에서 열림)

토스뱅크의 신입 디자이너가 비회원 가입 전환율을 높이기 위해 수행한 실험 설계 과정은 데이터 분석과 가설 검증의 유기적인 반복을 통해 정교해집니다. 실험의 성공 여부보다 중요한 것은 '왜'라는 질문을 바탕으로 선명한 가설을 세우는 것이며, 과거의 실험 데이터를 구조적으로 분석하여 승패의 패턴을 학습하는 것이 성장의 핵심입니다. 결국 명확한 문제 정의와 사용자 맥락을 반영한 작은 개선들이 모여 제품의 유의미한 비즈니스 임팩트를 만들어냅니다. **속도와 임팩트 중심의 우선순위 설정** * 비회원 가입 퍼널 중 이탈이 발생하는 인트로, 동의 화면, 신분증 인증 단계를 데이터로 분석했습니다. * 리걸(Legal) 및 컴플라이언스 검토가 필요한 공통 모듈 영역보다는, 수정이 자유롭고 첫 유입에 직접적인 영향을 주는 '인트로 화면'을 실험 대상으로 선정했습니다. * 즉각적인 반복 실험이 가능한 '속도'와 전체 전환율에 기여하는 '임팩트'를 기준으로 리소스를 배분하는 효율적인 접근 방식을 택했습니다. **과거 실험 데이터를 통한 위닝 패턴 학습** * 단순히 새로운 시안을 만드는 데 집중하기보다, 기존에 진행된 수많은 실험의 가설 구조와 문제 정의 방식을 먼저 분석했습니다. * 특정 시안의 승패 결과 자체보다는 어떤 맥락에서 해당 가설이 세워졌는지 '이유'에 집중하여 실패와 성공의 패턴을 흡수했습니다. * 실험 경험이 부족할수록 아이디어를 내는 시간보다 기존의 러닝(Learning)을 구조적으로 읽고 현재 맥락에 적용할 지점을 찾는 시간이 중요함을 확인했습니다. **명확한 가설 수립과 기술적 최적화** * 첫 실험의 실패를 통해 가설이 모호하거나 사용자 맥락을 놓치면 결과 분석이 어렵다는 점을 깨닫고, 한 번에 하나의 변수만 검증하는 원칙을 세웠습니다. * 사용자 반응이 좋았던 '고금리', '매일 이자 받기' 등의 키워드를 문구에 반영하고, 저사양 기기에서도 원활하도록 이미지 로딩 속도를 최적화(저용량 확장자 사용 등)하여 실제 전환율 상승을 이끌어냈습니다. * 기능 설명 중심의 문구에서 벗어나 유저가 혜택을 체감하는 장면을 상상하게 만드는 구체적인 표현으로 개선하여 CTR(클릭률)과 CVR(전환율)을 동시에 높였습니다. **신입 디자이너를 위한 실험 설계 제언** * 실험은 단순히 성공을 확인하는 도구가 아니라 다음 선택을 더 명확하게 하기 위한 과정임을 인지해야 합니다. * 거창한 해답을 찾으려 하기보다 퍼널을 세분화하고, 핵심 문제를 정의한 뒤 가설이 선명하게 드러나는 실험안을 설계하는 것이 중요합니다. * 실패한 실험에서도 다음 가설을 위한 힌트를 얻을 수 있도록 가설과 성공 지표를 사전에 정교하게 설정할 것을 권장합니다.

워크플로우 랩: Figma의 (새 탭에서 열림)

Figma는 디자인 작업 중 발생하는 반복적이고 소모적인 과정을 줄이기 위해 AI 기반의 'Vectorize' 기능을 도입했습니다. 이 기능은 비트맵 이미지를 클릭 한 번으로 정교한 벡터 레이어로 변환하여, 디자이너가 수작업으로 패스를 따는 '트레이싱' 작업에서 벗어나게 해줍니다. 이를 통해 아이디어 스케치나 저해상도 에셋을 즉시 편집 가능한 고품질 디자인 요소로 전환할 수 있습니다. **이미지-투-벡터(Image-to-Vector) 변환의 자동화** * PNG, JPEG와 같은 픽셀 기반의 정적 이미지를 분석하여 수학적 경로로 이루어진 SVG 형태의 벡터 그래픽으로 변환합니다. * 과거에는 펜 도구를 사용해 수작업으로 외곽선을 그려야 했던 로고, 아이콘, 일러스트레이션 작업을 자동화하여 작업 시간을 획기적으로 단축합니다. * 저해상도 이미지를 고해상도 프로젝트에 사용할 때 발생하는 깨짐 현상(Pixelation)을 방지하고, 무한히 확장 가능한 에셋으로 재탄생시킵니다. **디자인 맥락을 이해하는 AI 모델링** * 단순한 색상 경계 추출을 넘어, AI가 이미지의 구조적 형태를 파악하여 최적화된 노드(Point)를 배치합니다. * 변환된 벡터 데이터는 불필요한 점들이 찍히는 현상을 최소화하여, 변환 후에도 디자이너가 직접 경로를 수정하거나 형태를 다듬기 용이한 '깨끗한' 패스를 제공합니다. * 이미지 내의 복잡한 레이어나 겹쳐진 형태를 구분하여 최대한 논리적인 벡터 그룹으로 나누어 생성합니다. **편집 가능성 및 디자인 시스템과의 통합** * 변환된 결과물은 Figma의 표준 벡터 객체와 완전히 호환되므로 채우기(Fill), 선(Stroke), 효과 등을 자유롭게 변경할 수 있습니다. * 스캔한 손그림이나 화이트보드 스케치를 디자인 캔버스로 가져와 즉시 컴포넌트화하거나 스타일을 적용하는 등 초기 아이디어를 실제 프로토타입으로 연결하는 가교 역할을 합니다. * 외부 변환 도구를 사용할 필요 없이 Figma 환경 내에서 모든 과정이 이루어지므로 디자인 워크플로우의 연속성이 유지됩니다. 이 기능은 단순한 편의 기능을 넘어, 아날로그적인 영감을 디지털 디자인 시스템으로 빠르게 편입시키는 강력한 도구입니다. 손으로 그린 거친 스케치나 오래된 로고 파일 등을 다룰 때 특히 유용하며, 디자이너는 단순 반복 작업인 트레이싱 대신 창의적인 레이아웃과 시스템 설계에 더 많은 시간을 할애할 수 있게 되었습니다.

AI는 취약점을 감지할 수 있지만, 누가 위험을 관리하는가? (새 탭에서 열림)

AI의 발전으로 취약점 탐지 및 수정 제안의 자동화가 가속화되고 있으나, 실제 기업 보안의 핵심은 탐지 그 이상인 거버넌스와 위험 관리에 있습니다. 소프트웨어가 AI에 의해 조립되고 의존성이 복잡해지는 현대적 환경에서 단순한 코드 분석만으로는 보안 책임을 다할 수 없으며, 정책 집행과 가시성을 제공하는 통합 플랫폼의 역할이 더욱 중요해지고 있습니다. 결국 AI를 통한 생산성 향상의 성패는 기술 자체보다 이를 안전하게 통제하고 신뢰할 수 있는 거버넌스 체계를 구축하느냐에 달려 있습니다. **AI 신뢰를 뒷받침하는 거버넌스 체계** * AI 시스템(예: Claude Code Security)은 취약점을 식별하고 수정을 제안하는 데 뛰어나지만, 이는 분석일 뿐 책임(Accountability)의 영역은 아닙니다. * 기업의 보안 정책이나 허용 가능한 위험 수준을 정의하는 것은 인간의 영역이며, AI 에이전트가 작동할 경계와 가드레일을 직접 설정해야 합니다. * AI에게 더 많은 자율성을 부여할수록 직무 분리, 감사 추적, 일관된 통제와 같은 강력한 거버넌스가 AI 개발 환경의 신뢰를 지탱하는 기초가 됩니다. **코드 이상의 맥락(Context) 파악의 중요성** * 거대언어모델(LLM)은 개별 코드를 격리된 상태에서 평가하지만, 보안 플랫폼은 해당 코드가 비즈니스에 미치는 영향도와 인프라 간의 상호작용 등 전체 맥락을 이해합니다. * 취약점이 실제 운영 환경에서 실행 가능한 경로에 있는지(Reachable), 혹은 외부 API 및 환경 설정에 의해 실제로 악용될 수 있는지 판단하여 보안 소음을 줄입니다. * 누가 변경을 수행했는지와 애플리케이션의 중요도를 결합한 맥락 정보가 있어야만 개발 속도를 늦추지 않고 효과적인 위험 우선순위 선정이 가능합니다. **동적 위험에 대응하는 지속적 보증** * 소프트웨어 위험은 의존성 변화와 환경 진화에 따라 끊임없이 변하므로, 배포 시점의 일회성 스캔만으로는 안전을 보장할 수 없습니다. * 개발 워크플로에 보안 제어를 직접 삽입하여 빌드, 테스트, 배포 전 과정에서 실시간으로 위험을 평가하는 지속적인 보증(Continuous Assurance) 체계가 필요합니다. * AI 생성 코드와 오픈 소스 라이브러리가 혼재된 복잡한 공급망을 관리하기 위해서는 전체 소프트웨어 수명 주기를 통합적으로 관리하는 오케스트레이션이 필수적입니다. AI 보조 도구는 개발 속도를 획기적으로 높여주지만, 기업은 이를 안전하게 확장하기 위해 거버넌스 중심의 접근 방식을 택해야 합니다. 단순히 똑똑한 AI 어시스턴트를 도입하는 것에 그치지 않고, GitLab과 같은 통합 플랫폼을 통해 정책 집행과 보안 스캔, 감사 기능을 개발 워크플로에 내재화함으로써 AI 시대에 걸맞은 보안 신뢰를 구축할 것을 권장합니다.

GitHub Copilot 코딩 에 (새 탭에서 열림)

10년 이상의 개발자 도구 분야 경력을 보유한 GitHub의 Senior Developer Advocate 안드레아(Andrea)는 복잡한 엔지니어링 개념과 실제 구현 사이의 가교 역할을 수행하며 첨단 기술의 접근성을 높이는 데 주력하고 있습니다. 군 복무와 건설 관리직에서 소프트웨어 개발자로 전향한 그녀의 독특한 이력은 기술적 깊이와 실무적 적용을 결합하는 데 중요한 밑바탕이 됩니다. 현재 그녀는 글로벌 오픈 소스 이니셔티브를 통해 혁신을 주도하며 전 세계 개발자 커뮤니티의 성장을 지원하고 있습니다. ### 기술적 전문성과 경력 배경 * GitHub의 시니어 개발자 애드보킷으로서 10년 넘게 개발자 도구(Developer Tools) 분야에서 전문성을 쌓아왔습니다. * 미 육군 복무 및 건설 관리직에서 소프트웨어 엔지니어링으로 전향한 이색적인 경력을 통해 문제 해결에 대한 다각적인 시각을 보유하고 있습니다. * 이러한 배경은 복잡한 기술적 난제를 실무 중심의 언어로 풀어내고, 고급 기술을 더 넓은 사용자 층이 쉽게 수용할 수 있도록 돕는 기반이 됩니다. ### 기술 접근성 향상 및 오픈 소스 활동 * 추상적이고 복잡한 엔지니어링 개념을 실제 구현 가능한 단계로 연결하는 것을 핵심 미션으로 삼고 있습니다. * GitHub의 글로벌 이니셔티브에 참여하여 오픈 소스 생태계를 활성화하고, 개발자들이 최신 도구를 효과적으로 활용할 수 있도록 혁신을 추진합니다. * 온라인 채널(@acolombiadev)을 통해 기술 지식을 공유하며, 실무 환경에서 마주하는 엔지니어링 복잡성을 낮추는 데 기여하고 있습니다. 다양한 배경에서 비롯된 실무 중심의 기술 전달 능력은 복잡한 도구와 기술이 쏟아지는 현대 개발 환경에서 매우 중요한 가치를 지닙니다. 기술의 깊이를 유지하면서도 이를 대중화하려는 안드레아의 접근 방식은 복잡한 시스템을 설계하고 운영하는 엔지니어들에게 실용적인 통찰력을 제공합니다.

AWS Security Hub Extended, 엄 (새 탭에서 열림)

AWS Security Hub Extended는 기존 AWS 보안 서비스와 서드파티 파트너 솔루션을 단일 플랫폼으로 통합하여 기업 전체 스택에 대한 통합 보안 가시성을 제공합니다. 이 서비스를 통해 기업은 엔드포인트, ID, 네트워크, 데이터 등 광범위한 영역의 보안 위협을 하나의 인터페이스에서 관리하고 우선순위에 따라 대응할 수 있습니다. 결과적으로 복잡한 보안 도구 조달 과정을 간소화하고 운영 효율성을 극대화하여 엔터프라이즈 환경 전반의 보안 태세를 강화할 수 있습니다. **파트너 솔루션 통합을 통한 풀스택 보안 확장** * Amazon GuardDuty, Amazon Inspector 등 기존 AWS 서비스뿐만 아니라 CrowdStrike, Okta, Zscaler, Splunk 등 업계를 선도하는 주요 파트너 솔루션을 Security Hub 내에서 통합 운영할 수 있습니다. * 엔드포인트, 이메일, 브라우저, AI, 데이터, 보안 운영 등 클라우드 내외부를 아우르는 포괄적인 보안 포트폴리오를 구축할 수 있도록 지원합니다. * 사전에 검증된 파트너 오퍼링을 통해 기업의 전체 기술 스택에 걸쳐 통합된 보호 체계를 신속하게 구축할 수 있습니다. **구매 및 지원 프로세스의 단일화** * AWS가 판매 기록자(Seller of Record) 역할을 수행하여, 여러 벤더와 개별적으로 협상할 필요 없이 단일 통합 청구서를 통해 비용을 결제할 수 있습니다. * 장기 계약이나 대규모 초기 투자 없이 사용한 만큼 지불하는 종량제(Pay-as-you-go) 또는 정액제 방식을 선택할 수 있어 비용 유연성이 높습니다. * AWS Enterprise Support 고객은 AWS 서비스와 파트너 솔루션 모두에 대해 통합된 레벨 1 기술 지원을 받을 수 있어 문제 해결 과정이 간소화됩니다. **OCSF 표준 기반의 데이터 정규화 및 분석** * 모든 참여 파트너 솔루션의 보안 검색 결과(Findings)는 OCSF(Open Cybersecurity Schema Framework) 스키마를 준수하여 생성됩니다. * 서로 다른 환경에서 발생한 데이터가 표준화된 형식으로 Security Hub에 자동 취합되므로, 복잡한 데이터 변환 과정 없이 경계를 넘나드는 위협을 즉각적으로 식별할 수 있습니다. * Security Hub 콘솔 내에서 솔루션 구독부터 자동화된 온보딩까지 원스톱으로 진행되어 보안 운영의 연속성이 보장됩니다. 보안 인프라의 복잡성을 줄이고 가시성을 높이고자 하는 기업은 Security Hub Extended를 통해 통합 보안 운영 체계를 구축하는 것을 권장합니다. 특히 다수의 서드파티 도구를 개별적으로 관리하며 조달 및 통합에 어려움을 겪고 있다면, OCSF 기반의 데이터 통합과 AWS의 간소화된 결제 시스템을 활용하여 운영 리소스를 최적화하고 보안 대응 속도를 크게 향상시킬 수 있습니다.

LLM을 활용한 인간 (새 탭에서 열림)

Dropbox Dash는 검색 관련성(Relevance)을 높이기 위해 소수의 고품질 인간 라벨링 데이터를 LLM을 통해 대규모로 증폭시키는 하이브리드 학습 전략을 채택하고 있습니다. 이 방식은 LLM을 '교사 모델'로 활용하여 수백만 개의 학습 데이터를 생성하고, 이를 통해 실시간 서비스에 적합한 효율적인 랭킹 모델을 구축하는 데 목적이 있습니다. 결과적으로 인간의 판단력과 AI의 확장성을 결합하여 RAG(검색 증강 생성) 시스템의 답변 품질을 결정짓는 핵심 요소인 검색 정확도를 극대화했습니다. ## Dash 검색 순위 모델과 학습 방식 * Dash는 수작업으로 조정된 규칙이 아닌, XGBoost와 같은 머신러닝 기법을 활용하여 검색 결과의 순위를 결정합니다. * 모델은 검색어와 문서 쌍에 대해 1점(관련 없음)부터 5점(매우 관련 있음)까지의 점수를 부여하는 관련성 라벨을 학습하며, 점수가 높은 문서가 상단에 배치되도록 가중치를 조정합니다. * 기업 내 수억 개의 문서 중 LLM이 답변 생성에 사용할 최적의 소수 문서만 선별해야 하므로, 랭킹 모델을 학습시키는 데이터의 품질이 RAG 시스템 전체의 성능을 좌우합니다. ## 기존 라벨링 방식의 한계와 LLM 도입의 필요성 * **사용자 행동 데이터:** 클릭이나 이탈 정보는 유용하지만, 기존 순위에 영향을 받거나 데이터가 불균등하게 분포되는 편향성 문제가 있습니다. * **인간 라벨링:** 숙련된 검토자가 직접 점수를 매기는 방식은 가장 정확하지만, 비용이 많이 들고 확장이 어려우며 기업의 민감한 내부 데이터를 외부 인력이 검토하기 어렵다는 보안 이슈가 존재합니다. * **LLM 평가:** LLM은 인간보다 비용이 저렴하고 일관성이 있으며, 대규모 후보군을 다국어로 신속하게 처리할 수 있습니다. 또한 정의된 규정 준수 범위 내에서 고객 콘텐츠를 분석할 수 있는 장점이 있습니다. ## 인간과 LLM의 협업을 통한 데이터 증폭 과정 * **검증 및 보정:** 먼저 인간 검토자가 소규모의 고품질 데이터셋을 라벨링합니다. 이 데이터는 LLM의 프롬프트와 매개변수를 미세 조정하고 성능을 검증하는 '골드 표준'으로 사용됩니다. * **데이터 증폭:** 성능이 검증된 LLM은 인간의 노력을 수백 배로 증폭시켜 수십만에서 수백만 개의 관련성 라벨을 생성합니다. 인간이 LLM을 가르치고, LLM이 대규모 학습 데이터를 생산하는 구조입니다. * **오프라인 학습과 온라인 서빙:** 실시간 검색 시 LLM을 직접 사용하면 지연 시간(Latency)과 비용 문제가 발생합니다. 따라서 LLM은 오프라인에서 '교사'로서 대량의 데이터를 생성하고, 실제 서비스에서는 이 데이터를 학습한 가볍고 빠른 모델(XGBoost 등)이 검색 순위를 계산합니다. ## 실용적인 결론 성공적인 AI 검색 시스템을 구축하기 위해서는 단순히 최신 LLM을 사용하는 것에 그치지 않고, 검색 모델의 학습 데이터를 어떻게 확보할 것인지가 중요합니다. Dropbox Dash의 사례처럼 **"인간의 가이드라인 → LLM의 대규모 라벨링 → 경량 모델의 학습 및 서빙"**으로 이어지는 파이프라인을 구축하면 품질, 비용, 속도라는 세 가지 토끼를 동시에 잡을 수 있습니다.

Codex와 Figma로 프론트 (새 탭에서 열림)

피그마는 디자인과 개발의 경계를 허물고, 캔버스와 코드가 하나로 통합되는 디자인의 미래를 제시합니다. 단순한 시각적 도구를 넘어 실제 프로덕션 코드와 긴밀하게 연결된 시스템을 통해 협업의 마찰을 줄이고 구현의 정확도를 높이는 것이 핵심입니다. 이를 위해 AI 기술을 워크플로우 전반에 도입하고 개발자 모드(Dev Mode)를 대폭 강화하여 디자인의 의도가 코드까지 매끄럽게 이어지는 생태계를 구축하고자 합니다. ### AI를 통한 디자인 워크플로우의 자동화와 확장 * **AI 기반 디자인 생성(Make Design):** 텍스트 프롬프트를 통해 모바일 및 웹 인터페이스의 초안을 빠르게 생성함으로써 디자이너가 빈 화면에서 시작하는 부담을 줄여줍니다. * **지능적인 에셋 관리:** AI가 레이어의 이름을 자동으로 지정하고 적절한 텍스트 콘텐츠를 채워넣으며, 이미지 배경 제거와 같은 반복적인 편집 작업을 자동화합니다. * **시각적 검색 및 탐색:** 팀 내 방대한 디자인 라이브러리에서 특정 컴포넌트나 화면을 시각적 유사성을 기반으로 빠르게 찾아내어 재사용성을 극대화합니다. ### 디자인과 코드의 실시간 동기화, Code Connect * **실제 코드 조각 연결:** 'Code Connect' 기능을 통해 디자인 시스템의 컴포넌트와 실제 개발에 사용되는 코드 라이브러리를 직접 연결하여, 개발자가 디자인 환경 내에서 즉시 구현 코드를 확인할 수 있습니다. * **개발자 모드(Dev Mode) 고도화:** 디자인 변경 사항을 더 명확하게 추적하고, 현재 작업 상태(In Progress, Done 등)를 공유하여 디자이너와 개발자 간의 소통 오류를 최소화합니다. * **컴포넌트 문서화 자동화:** 디자인 속성과 코드의 속성을 일치시켜 수동으로 가이드를 작성할 필요 없이 항상 최신 상태의 문서를 유지합니다. ### 정교한 프로토타이핑과 협업 환경 개선 * **강화된 프로토타이핑 기능:** 복잡한 변수(Variables)와 조건부 로직을 더 직관적으로 설정하여, 실제 제품과 거의 동일하게 작동하는 고충실도(High-fidelity) 프로토타입을 제작할 수 있습니다. * **UI 재설계 및 사용성 향상:** 피그마 인터페이스 자체를 더욱 간결하게 재구성하여 디자인 작업 공간을 넓히고, 도구 접근성을 높여 창의적인 작업에 집중할 수 있는 환경을 제공합니다. * **슬라이드 기능 도입:** 디자인 결과물을 별도의 도구 없이 피그마 내에서 바로 프리젠테이션으로 전환하여 이해관계자와의 공유 및 피드백 과정을 효율화합니다. 디자이너는 이제 개별 화면을 그리는 것을 넘어 디자인 시스템이 코드와 어떻게 상호작용하는지 이해해야 합니다. Figma가 제공하는 AI 도구를 워크플로우에 적극적으로 통합하여 단순 반복 작업 시간을 줄이고, Code Connect를 통해 개발 팀과 단일화된 진실 공급원(Single Source of Truth)을 구축함으로써 제품의 완성도를 높이는 전략이 필요합니다.

GitLab을 이용한 Google Agent Engine으로의 안전하고 빠른 배포 (새 탭에서 열림)

Google의 AI 에이전트 전용 관리형 런타임인 'Agent Engine'에 GitLab CI/CD를 활용하여 안전하고 효율적으로 배포하는 방법을 안내합니다. GitLab의 네이티브 Google Cloud 통합과 워크로드 아이덴티티 페더레이션(Workload Identity Federation) 기술을 활용하면 복잡한 인프라 관리 없이 보안이 강화된 자동 배포 환경을 구축할 수 있습니다. 이를 통해 개발자는 서버 관리나 보안 설정의 번거로움에서 벗어나 에이전트 로직 개발에만 집중할 수 있는 최적화된 DevSecOps 워크플로우를 확보하게 됩니다. **Agent Engine의 역할과 가치** * AI 에이전트를 위해 설계된 Google Cloud의 관리형 런타임으로, 인프라의 구축, 확장, 세션 관리 및 메모리 저장소를 자동으로 처리합니다. * 개발자가 하위 인프라를 직접 관리할 필요가 없으며, Google Cloud의 로깅, 모니터링, IAM(ID 및 액세스 관리) 시스템과 네이티브하게 통합됩니다. * 에이전트가 운영 환경에서 안정적으로 실행되고 확장될 수 있는 최적화된 환경을 제공합니다. **GitLab을 통한 배포의 보안 및 효율성** * **내장 보안 스캐닝:** 별도의 구성 없이도 의존성 스캐닝, SAST(정적 애플리케이션 보안 테스트), 비밀 정보 탐지 등의 보안 검사가 배포 과정에서 자동으로 수행됩니다. * **키리스(Keyless) 인증:** 워크로드 아이덴티티 페더레이션을 사용하여 서비스 계정 키 파일 없이 Google Cloud에 인증하므로, 키 유출로 인한 보안 위험을 근본적으로 제거합니다. * **파이프라인 간소화:** GitLab의 CI/CD 템플릿과 Agent Development Kit(ADK)를 결합하여 복잡한 배포 로직을 체계적으로 관리할 수 있습니다. **IAM 통합 및 환경 설정** * GitLab 프로젝트의 통합 설정에서 Google Cloud 프로젝트 ID, 워크로드 아이덴티티 풀 ID 등을 입력하여 플랫폼 간 신뢰 관계를 구축합니다. * 배포를 위해 서비스 주체(Service Principal)에 `roles/aiplatform.user`와 `roles/storage.objectAdmin` 권한을 반드시 부여해야 합니다. * 이 설정 과정을 통해 생성된 스크립트를 Google Cloud Shell에서 실행함으로써 안전한 인증 기반을 마련합니다. **CI/CD 파이프라인 구성 및 실행** * `.gitlab-ci.yml` 파일을 통해 테스트(보안 스캔)와 배포(Deploy) 두 단계로 구성된 파이프라인을 정의합니다. * 배포 단계에서는 `identity: google_cloud` 지시어를 사용하여 키리스 인증을 활성화하고, ADK CLI의 `adk deploy agent_engine` 명령어를 사용하여 에이전트를 패키징 및 배포합니다. * 파이프라인 캐싱 기능을 활용하여 pip 의존성 설치 속도를 높이고 전체적인 배포 사이클을 단축합니다. **실용적인 결론** AI 에이전트의 배포와 운영에서 가장 큰 걸림돌은 보안 설정과 인프라 관리입니다. GitLab과 Google Agent Engine을 결합한 이 방식은 보안 스캔을 자동화하고 인증 과정을 간소화함으로써, 엔터프라이즈 급의 안전성을 유지하면서도 배포 속도를 획기적으로 높일 수 있는 최선의 선택이 될 것입니다.

클로드와 함께하는 GitLab Duo Agent 플랫폼이 개발을 가속화합니다 (새 탭에서 열림)

GitLab Duo Agent Platform은 Anthropic의 Claude와 같은 외부 AI 모델을 GitLab 워크플로우에 직접 통합하여 소프트웨어 개발 전 과정을 자동화합니다. 기존 AI 도구들이 개발 워크플로우와 분리되어 발생했던 맥락 단절 문제를 해결하고, 프로젝트의 요구사항을 깊이 이해하여 코드 생성부터 파이프라인 구축까지 복잡한 다단계 작업을 자율적으로 수행합니다. 이를 통해 팀은 개발 속도를 획기적으로 높이는 동시에 코드의 일관성과 보안을 유지할 수 있는 강력한 협업 환경을 구축하게 됩니다. ### 아이디어에서 코드로의 전환 (From Idea to Code) * 프로젝트 이슈에 기재된 사양과 설명을 기반으로 외부 에이전트가 애플리케이션 개발 전체 프로세스를 주도합니다. * 에이전트는 프로젝트의 맥락을 분석하여 풀스택 Java 웹 애플리케이션, 비즈니스 로직, UI 컴포넌트를 생성하고 리뷰 준비가 완료된 병합 요청(Merge Request)을 자동으로 생성합니다. * 백엔드 Java 클래스, 프론트엔드 HTML/CSS/JS, 빌드 구성 파일이 포함된 결과물을 제공하며, 개발자는 자연어 대화를 통해 이를 즉시 테스트하고 반복적으로 개선할 수 있습니다. ### 자동화된 지능형 코드 리뷰 (Code Review) * 병합 요청 단계에서 에이전트를 호출하여 코드의 강점, 취약점, 우선순위별 개선 사항을 포함한 종합적인 분석 보고서를 제공받을 수 있습니다. * 보안 평가, 테스트 노트, 코드 메트릭 및 승인 상태 권장 사항을 포함하여 시니어 개발자가 아키텍처 결정과 같은 고차원적인 작업에 집중할 수 있도록 돕습니다. * 일관된 리뷰 기준을 적용함으로써 운영 환경에 배포되기 전 잠재적인 오류를 선제적으로 차단합니다. ### CI/CD 파이프라인 및 컨테이너화 자동화 (Pipeline Creation) * 배포 자동화가 설정되지 않은 환경에서 에이전트에게 요청하여 완전한 형태의 CI/CD 파이프라인 구성을 생성할 수 있습니다. * 프로젝트의 Java 버전에 최적화된 Dockerfile을 생성하고, GitLab 컨테이너 레지스트리에 이미지를 빌드 및 배포하는 단계를 자동으로 구성합니다. * 수동 설정 없이도 빌드, 이미지 생성, 레지스트리 푸시 단계가 포함된 파이프라인이 즉시 가동되어 배포 효율성을 극대화합니다. GitLab Duo Agent Platform은 AI를 단순한 보조 도구가 아닌, 조직의 표준을 준수하고 자율적으로 업무를 완수하는 '신뢰할 수 있는 협업자'로 격상시킵니다. 반복적인 수동 작업을 줄이고 개발 사이클 전반의 지능형 자동화를 구현하고자 하는 팀에게 이 플랫폼은 생산성 혁신을 위한 핵심적인 솔루션이 될 것입니다.

GitLab 관리 서비스 제공업체(MSP) 파트너 프로그램 소개 (새 탭에서 열림)

GitLab은 기업들이 현대적인 DevSecOps 플랫폼을 효율적으로 도입하고 운영할 수 있도록 지원하기 위해 새로운 'GitLab MSP(Managed Service Provider) 파트너 프로그램'을 글로벌 출시했습니다. 이 프로그램은 MSP 파트너가 고객에게 GitLab을 완전 관리형 서비스로 제공할 수 있도록 체계적인 보상 체계와 기술 지원을 제공하며, 이를 통해 기업은 복잡한 도구 관리 부담에서 벗어나 본연의 소프트웨어 개발에만 집중할 수 있게 됩니다. 특히 AI 도입이 가속화되는 시장 환경에서 MSP가 전문성을 바탕으로 안전한 DevSecOps 환경을 구축하고 수익성 있는 비즈니스를 창출할 수 있는 기회를 제공한다는 점에 큰 의의가 있습니다. **MSP 프로그램의 핵심 가치와 고객 경험** * **운영 부담 완화:** 많은 기업이 현대적인 DevSecOps 플랫폼의 필요성을 절감하면서도, 이를 직접 배포·관리하고 최적화할 인력과 시간 부족을 겪고 있습니다. * **전문적인 관리 서비스:** MSP 파트너는 플랫폼 배포, 마이그레이션, 관리 및 지속적인 지원을 담당하여 고객의 복잡한 도구 체인과 보안 요구사항을 해결합니다. * **일관된 품질 보장:** 고객은 MSP를 통해 문서화되고 반복 가능한 구현 방법론, 정기적인 비즈니스 검토(QBR), 그리고 명확한 응답 및 에스컬레이션 경로가 포함된 체계적인 서비스를 제공받게 됩니다. **파트너를 위한 재무 및 기술적 혜택** * **다각화된 수익 모델:** 파트너는 모든 거래와 갱신에 대해 기존 파트너 마진 외에 추가적인 MSP 프리미엄 수익을 얻을 수 있으며, 배포·교육·컨설팅 등의 서비스 수수료를 100% 보유하여 다기능 수익 구조를 구축할 수 있습니다. * **역량 강화 프로그램:** 분기별 기술 부트캠프를 통해 최신 기능 및 모범 사례를 학습하며, AWS 솔루션 아키텍트나 GCP 클라우드 엔지니어와 같은 권장 클라우드 인증을 통해 기술적 토대를 강화할 수 있습니다. * **시장 진출 지원:** 'GitLab Certified MSP Partner' 배지 제공, 공동 마케팅 자산 활용, 마케팅 개발 기금(MDF) 접근 권한 등을 통해 브랜드 신뢰도를 높이고 신규 수요를 창출할 수 있습니다. **AI 도입 촉진 및 전문성 확장** * **GitLab Duo 활용:** 조직들이 AI를 소프트웨어 개발 워크플로우에 안전하게 도입하려고 함에 따라, MSP 파트너는 GitLab Duo Agent Platform을 활용해 AI 기반 워크플로우 가이드를 제공할 수 있습니다. * **거버넌스 및 준수:** MSP는 고객이 데이터 상주(Data Residency) 및 컴플라이언스 요구사항을 준수하면서 AI를 대규모로 채택할 수 있도록 돕는 핵심적인 역할을 수행합니다. **파트너 참여 요건 및 가입 절차** * **대상 기업:** 클라우드·인프라·애플리케이션 운영 분야에서 관리형 서비스를 제공하고 있거나, 장기적인 고객 관계를 기반으로 고부가가치 DevSecOps 포트폴리오를 추가하려는 기업에 적합합니다. * **유연한 진입 장벽:** 프로그램 가입을 위한 최소 연간 반복 매출(ARR)이나 고객 수 제한이 없어 전문성을 갖춘 파트너라면 누구나 도전할 수 있습니다. * **온보딩 프로세스:** 파트너 포털을 통한 신청 후, 약 90일간의 온보딩 과정을 통해 계약, 기술 교육, 영업 훈련 및 첫 번째 고객 참여를 준비하게 됩니다. 현재 클라우드 관리 서비스나 인프라 운영을 전문으로 하는 기업이라면, GitLab MSP 파트너 신청을 통해 DevSecOps 전문성을 확보하고 반복적인 수익 모델을 구축해 보시기 바랍니다. 기존 GitLab 파트너는 담당자에게 연락하여 MSP 서비스로의 전환 방안을 논의할 수 있으며, 신규 파트너는 GitLab 파트너 포털을 통해 신청 및 90일간의 체계적인 온보딩 과정을 시작할 수 있습니다.

쓰기 쉬운 Toss Front SDK (새 탭에서 열림)

좋은 SDK는 단순히 기능을 제공하는 것을 넘어, 사용자가 올바른 방법으로만 사용하도록 유도하고 휴먼 에러를 구조적으로 방지해야 합니다. 이를 위해 복잡한 내부 로직을 사용자의 ‘의도’를 중심으로 추상화하는 퍼사드(Facade) 패턴을 적용하여, 사용자가 최소한의 코드로도 안정적인 결과물을 만들 수 있는 환경을 구축해야 합니다. 고수준 인터페이스를 통해 대다수의 유즈케이스를 해결하면서도, 특수한 상황을 위한 저수준 인터페이스라는 ‘탈출구’를 마련하는 것이 설계의 핵심입니다. ### 의도 기반의 퍼사드(Facade) 패턴 재정의 - 퍼사드 패턴의 본질은 단순히 복잡한 기능을 숨기는 것이 아니라, 내부 구현을 ‘사용자의 의도(Intent)’를 기준으로 재구성하는 데 있습니다. - "서버를 열고, 핸들러를 등록하고, 에러를 처리한다"는 개별적인 절차를 "서버를 시작한다"는 하나의 자연스러운 목적으로 통합합니다. - 인증, 재시도 로직, 상태 관리, 클린업(Cleanup) 등 인지 부하를 일으키는 요소들을 SDK 내부로 은닉하여 사용자 측의 실수를 원천 차단합니다. ### AWS CDK 사례를 통한 추상화 계층의 이해 - AWS CDK의 L1 구문은 리소스의 모든 속성을 제어하는 저수준(low-level) 인터페이스인 반면, L2 구문은 직관적인 의도 기반의 고수준(high-level) 추상화를 제공합니다. - S3 버킷 생성 시 L1은 모든 세부 설정을 직접 챙겨야 하지만, L2는 자주 쓰이는 옵션을 간단한 프로퍼티로 제공하고 내부적인 변환은 SDK가 담당합니다. - SDK 설계 시에도 이와 같이 복잡한 주변 구성을 자연스러운 API 흐름으로 이어 붙일 수 있도록 설계해야 합니다. ### 파레토 법칙을 적용한 인터페이스 설계 - 전체 사용 사례의 80%에 해당하는 공통 유즈케이스는 고수준 인터페이스(Facade)를 통해 워크플로우를 자동화하여 제공합니다. - 나머지 20%의 특수한 요구사항이나 세밀한 제어가 필요한 상황을 위해 저수준 API인 ‘탈출구(Escape Hatch)’를 함께 유지합니다. - 이러한 이중 구조는 단기적인 개발자 경험(DX) 향상뿐만 아니라, SDK의 장기적인 호환성과 확장성을 보장하는 핵심 전략이 됩니다. ### 편의성과 유연성 사이의 트레이드오프 관리 - 추상화 수준이 높아지면 사용자는 편리해지지만, SDK 내부에서는 더 정교한 오케스트레이션 로직을 관리해야 하는 유지보수 비용이 발생합니다. - 세밀한 제어가 차단될 경우 특정 상황에서 제약이 될 수 있으므로, 고수준 인터페이스에만 의존하지 않고 저수준 조작이 가능한 균형점을 찾는 것이 중요합니다. - 결과적으로 잘 설계된 인터페이스는 사용자가 별도의 가이드 없이도 올바른 패턴을 유지하며 메모리 누수와 같은 장애 상황을 방지하게 합니다. 단순히 "동작하는" SDK를 만드는 단계를 넘어, 사용자가 직관적으로 이해하고 안전하게 사용할 수 있는 "쓰기 쉬운" SDK를 지향해야 합니다. 이를 위해 사용자의 의도를 최우선으로 고려한 추상화 계층을 설계하고, 대다수의 편의성과 소수의 유연성을 동시에 잡을 수 있는 다층적 구조를 도입할 것을 권장합니다.

Software 3.0 시대, Harness를 통한 조직 생산성 저점 높이기 (새 탭에서 열림)

현재 많은 개발팀이 LLM을 도입하고 있지만, 실제 생산성은 엔지니어 개개인의 'LLM 리터러시'에 따라 극심한 격차를 보이고 있습니다. 이러한 '각자도생'의 한계를 극복하기 위해서는 LLM을 개인의 도구가 아닌 팀 차원의 시스템으로 편입시켜 전체적인 생산성의 저점(Floor)을 높이는 전략이 필요합니다. Claude Code와 같은 생태계를 활용해 팀의 노하우를 '실행 가능한 지식(Executable SSOT)'으로 자산화하는 것이 Software 3.0 시대의 핵심 경쟁력이 될 것입니다. **컨텍스트 엔지니어링과 LLM 리터러시의 격차** * 단순 질문을 반복하는 방식과 작업 전 팀의 가이드라인, 린트 규칙, 코드 패턴 등 '컨텍스트'를 먼저 주입하는 방식은 결과물에서 큰 차이를 만듭니다. * 이러한 생산성 격차는 코딩 실력이 아닌 LLM을 제어하는 노하우의 차이이며, 이를 개인의 센스에만 맡기는 것은 조직적 손실입니다. * 팀 전체의 역량을 상향 평준화하기 위해서는 누구나 최적의 맥락 위에서 작업할 수 있도록 돕는 시스템적 장치(Harness)가 필요합니다. **Claude Code와 마찰 없는 워크플로우 이식** * 브라우저 기반 챗봇으로 코드를 복사·붙여넣기 하는 과정에서 발생하는 문맥 교환(Context Switching) 비용을 최소화해야 합니다. * Claude Code가 제공하는 TUI(Terminal User Interface) 환경은 터미널 안에서 자연어와 코드가 끊김 없이 섞이는 매끄러운 경험을 제공합니다. * 이러한 낮은 진입 장벽은 설계된 AI 워크플로우를 팀원들에게 저항감 없이 전파할 수 있는 기반이 됩니다. **실행 가능한 진실의 원천(Executable SSOT)** * 기존의 위키나 노션 문서는 작성 즉시 낡은 정보가 되지만, 플러그인 형태의 지식은 사람이 읽는 매뉴얼인 동시에 LLM이 즉시 실행하는 시스템 프롬프트가 됩니다. * RAG(검색 증강 생성) 방식은 내부 로직의 불투명성으로 인해 어떤 컨텍스트가 주입될지 예측하기 어렵다는 단점이 있습니다. * 반면 플러그인 방식은 명시적인 코드로서 개발자가 주입되는 맥락을 100% 통제할 수 있어 높은 예측 가능성과 신뢰성을 제공합니다. **계층화된 아키텍처를 통한 거버넌스와 전파** * 지식을 전사 공통(Global), 팀/비즈니스 도메인(Domain), 특정 프로젝트(Local)의 3단계 레이어로 계층화하여 관리함으로써 지식의 파편화를 방지합니다. * `/new-feature`와 같은 슬래시 커맨드를 통해 숙련된 엔지니어의 노하우(이슈 발급, 브랜치 생성, 구현 계획 수립 등)를 모든 팀원에게 즉시 배포할 수 있습니다. * 단순한 린터를 넘어, 메인 브랜치 커밋 시도를 감지하고 정책에 맞는 브랜치 생성을 가이드하는 등 AI 에이전트 기반의 강력한 거버넌스 구현이 가능합니다. **엔지니어링의 본질: 플랫폼 엔지니어링과 데이터 플라이휠** * Software 1.0 시대에 공통 라이브러리로 중복 작업을 줄였듯, Software 3.0에서는 AI 워크플로우 플러그인을 통해 팀의 생산성을 최적화해야 합니다. * 규격화된 플러그인을 통해 축적된 양질의 데이터는 향후 도메인 특화 모델(sLLM)을 파인튜닝하고 평가하는 기반이 됩니다. * 사용자가 많아질수록 데이터가 쌓이고 모델이 정교해지는 '데이터 플라이휠' 구조를 구축하는 것이 AI-Native 조직의 최종 목표입니다. 이제 LLM 활용 능력은 개인의 역량을 넘어 팀이 설계하고 배포해야 할 시스템의 영역입니다. Claude Code의 마켓플레이스와 같은 도구를 활용해 팀 내에 흩어진 암묵지를 명시적인 워크플로우로 엮어내고, 우리 조직에 최적화된 '시스템 하네스'를 구축하는 것부터 시작해 보기를 추천합니다.

GitLab 메트릭스 및 레지스트리 기능이 CI/CD 병목 현상을 줄이는 데 도움을 줍니다. (새 탭에서 열림)

GitLab이 새롭게 선보이는 CI/CD 작업 성능 메트릭과 컨테이너 가상 레지스트리 기능은 개발 및 운영 팀이 직면한 인프라 복잡성과 파이프라인 병목 현상을 직접 해결하는 데 중점을 둡니다. 별도의 타사 도구 없이도 GitLab 내부에서 작업별 성능 데이터를 분석하고 여러 외부 소스의 컨테이너 이미지를 통합 관리 및 캐싱함으로써, 전체적인 개발 워크플로우의 속도와 안정성을 동시에 개선할 수 있습니다. ## CI/CD 작업 성능 메트릭을 통한 병목 지점 시각화 그동안 파이프라인의 성능 저하나 실패 원인을 파악하기 위해 별도의 대시보드를 구축하거나 로그를 수동으로 분석해야 했던 번거로움이 해결되었습니다. * **성능 지표 제공**: 각 작업(Job)별로 중앙값(P50) 및 최악의 케이스(P95) 실행 시간을 제공하여, 평상시 속도와 비정상적으로 느려진 시점을 명확히 구분할 수 있습니다. * **실패율 추적**: 특정 작업의 실패 빈도를 파악하여 불안정한(flaky) 작업을 식별하고 파이프라인의 신뢰도를 높일 수 있습니다. * **통합 분석 대시보드**: 프로젝트 수준의 CI/CD 분석 페이지에서 지난 30일간의 데이터를 기반으로 작업 이름, 단계(Stage)별 정렬 및 검색이 가능합니다. * **기술적 요구사항**: GitLab Premium 및 Ultimate 티어에서 사용 가능하며, 셀프 호스팅 환경의 경우 ClickHouse가 구성되어 있어야 합니다. 향후 빌드, 테스트, 배포 단계별 그룹화 기능이 추가될 예정입니다. ## 컨테이너 가상 레지스트리를 활용한 이미지 관리 최적화 Docker Hub, Harbor, Quay 등 여러 레지스트리에 흩어져 있는 이미지를 개별적으로 관리하며 발생하는 인증 및 대역폭 비용 문제를 단일 엔드포인트를 통해 해결합니다. * **단일 엔드포인트 통합**: 여러 업스트림 레지스트리를 하나의 GitLab 가상 레지스트리 주소로 통합하여, 파이프라인 설정에서 번거로운 개별 인증 과정을 줄일 수 있습니다. * **풀스루 캐싱(Pull-through Caching)**: 첫 번째 호출 이후 이미지를 GitLab 내부에 캐싱하여 외부 네트워크 대역폭 비용을 절감하고 이미지 풀 속도를 향상합니다. * **지원 범위**: 현재 Docker Hub, Harbor, Quay 등 장기 토큰 인증을 사용하는 레지스트리를 지원하며, 향후 AWS ECR이나 Google Artifact Registry 같은 클라우드 기반 레지스트리로 확장될 계획입니다. * **운영 방식**: GitLab 18.9 버전부터 API를 통해 설정 가능하며, SaaS 사용자는 기능 플래그 활성화를 통해 베타 버전에 참여할 수 있습니다. 성능 저하로 고민하는 플랫폼 팀이라면 이번 베타 기능을 통해 파이프라인의 병목 구간을 우선적으로 점검해 보길 권장합니다. 특히 여러 외부 레지스트리를 혼용하는 환경에서는 가상 레지스트리를 도입함으로써 관리 포인트를 일원화하고 대역폭 비용을 효과적으로 줄일 수 있습니다. 해당 기능들은 커뮤니티 피드백을 바탕으로 개선되고 있으므로, 실제 도입 후 개선 제안을 공유하는 것도 좋은 방법입니다.

패스키를 통한 비밀번호 없는 로그인 및 2단계 인증이 GitLab에서 사용할 수 있습니다 (새 탭에서 열림)

GitLab이 계정 보안 강화와 사용자 편의성 증대를 위해 패스키(Passkeys) 지원을 공식적으로 시작했습니다. 이제 사용자들은 지문, 얼굴 인식 또는 PIN을 사용하여 비밀번호 없이 로그인하거나, 피싱 방지 기능이 탑재된 강력한 이중 인증(2FA) 수단으로 패스키를 활용할 수 있습니다. 이번 업데이트는 보안 환경을 개선하고 다중 인증(MFA) 사용률을 높이려는 GitLab의 '보안 설계(Secure by Design)' 서약 이행의 일환입니다. **패스키의 기술적 원리와 보안성** * 패스키는 WebAuthn 기술과 공개키 암호화(Public-key cryptography) 방식을 기반으로 작동합니다. * 개인키(Private Key)는 사용자의 기기에 안전하게 보관되어 절대 외부로 유출되지 않으며, GitLab 서버에는 공개키(Public Key)만 저장됩니다. * 이러한 구조 덕분에 설령 GitLab 서버가 침해당하더라도 공격자가 사용자의 계정에 접근할 수 있는 유효한 인증 정보를 탈취하는 것이 근본적으로 불가능합니다. **광범위한 호환성 및 설정 방법** * 데스크톱 브라우저(Chrome, Firefox, Safari, Edge)는 물론 모바일 기기(iOS 16+, Android 9+), FIDO2 하드웨어 보안 키를 모두 지원합니다. * 사용자는 자신의 프로필 설정 내 'Account > Manage authentication' 메뉴에서 패스키를 간단히 등록할 수 있습니다. * 여러 기기에서 편리하게 접속할 수 있도록 계정 하나에 다수의 패스키를 등록하여 사용하는 것이 가능합니다. **보안 설계(Secure by Design) 서약 준수** * GitLab은 CISA(미국 사이버보안 및 인프라 보안국)의 'Secure by Design' 서약에 동참하여 제품 전반의 보안 수준을 높이고 있습니다. * 패스키는 해당 서약의 핵심 목표 중 하나인 다중 인증(MFA) 채택률 확대를 달성하기 위한 핵심 요소입니다. * 기존에 2FA를 활성화한 사용자의 경우 패스키를 등록하면 해당 방식이 기본 인증 수단으로 자동 설정되어 더욱 매끄러운 로그인 경험을 제공합니다. 보안 사고의 상당수가 피싱을 통한 계정 탈취에서 시작되는 만큼, GitLab 사용자는 보안 수준을 높이기 위해 기존의 일회용 비밀번호(OTP) 방식을 대체하거나 보완할 수 있는 패스키를 적극적으로 등록해 사용할 것을 권장합니다.