security

Stripe Radar가 무료 체험 악용을 방지하는 방법 (새 탭에서 열림)

최근 Stripe의 데이터 분석에 따르면 AI 기업을 중심으로 무료 체험 남용(Free trial abuse) 사례가 6배 이상 급증하며 기업에 막대한 컴퓨팅 비용 손실을 초래하고 있습니다. 이에 Stripe는 방대한 결제 네트워크 데이터를 학습한 AI 모델을 기반으로, 클릭 한 번으로 악성 체험 가입을 90%의 정확도로 차단하는 기능을 Radar에 도입했습니다. 이 솔루션은 부정 가입을 사전에 식별함으로써 비즈니스의 수익성을 보호하고 인프라 자원의 낭비를 막는 데 핵심적인 역할을 합니다. ### AI 기업을 위협하는 무료 체험 남용의 급증 * 2025년 11월부터 2026년 2월 사이 Stripe 네트워크 내에서 탐지된 무료 체험 남용 사례는 6.2배 증가했습니다. * 특히 고가의 컴퓨팅 자원을 소모하는 AI 스타트업이 주요 표적이며, API 직접 액세스를 제공하는 셀프 서비스형 AI 기업은 엔터프라이즈급 기업보다 10배 더 많은 공격 시도를 받고 있습니다. * 공격자들은 유효하지 않은 결제 수단을 사용하거나 여러 계정으로 체험판을 반복 가입하는 수법을 통해 유료 전환 없이 자원만 소모하며, 이는 기업에 수십만 달러의 손실을 입힙니다. ### Stripe Radar의 AI 기반 탐지 기술 * 새로운 AI 모델은 Stripe 에코시스템 전반의 카드 정보, 기기 데이터, 결제 이력을 종합적으로 분석하여 체험판 약관 위반 여부를 90% 정확도로 예측합니다. * 은행 식별 번호(BIN) 범위를 정밀하게 분석하여 가상 카드 브랜드를 식별하고, 신규 또는 임시 이메일 도메인 사용 여부를 파악합니다. * 의심스러운 세션 타이밍과 결제 실패 가능성이 높은 카드 특성을 실시간으로 대조하여 고위험 결제 시도를 즉각 차단합니다. * 관리 콘솔 내의 분석 페이지를 통해 차단된 고위험 결제 내역과 기능 활성화 시 차단 가능한 잠재적 위협을 시각화하여 제공합니다. ### 실제 도입 효과와 비즈니스 영향 * 코딩 AI 도구인 Cursor를 비롯한 주요 비즈니스들이 이미 Radar를 도입하여 가입 시점에 악성 사용자를 차단하고 컴퓨팅 비용 상승을 방지하고 있습니다. * 실제 4개의 고성장 AI 기업을 대상으로 한 초기 2개월간의 운영 결과, 55만 건 이상의 고위험 체험 가입을 차단하여 약 440만 달러(약 60억 원)의 잠재적 손실을 예방했습니다. * 이 기능은 AI 산업에 국한되지 않고 SaaS, 마켓플레이스 등 무료 체험을 마케팅 수단으로 활용하는 모든 산업군에서 동일하게 적용 가능합니다. 무료 체험을 통해 신규 고객을 확보하려는 비즈니스는 고도화되는 부정 가입을 수동으로 관리하기에는 한계가 있습니다. Stripe Radar와 같이 방대한 글로벌 결제 데이터를 학습한 AI 도구를 활용하여 인프라 비용 낭비를 선제적으로 차단하고, 실제 유료 전환 가능성이 높은 고객에게 자원을 집중하는 전략이 필요합니다.

깃랩 컨테이너 스 (새 탭에서 열림)

GitLab은 컨테이너 라이프사이클 전반에서 발생할 수 있는 보안 위협에 대응하기 위해 파이프라인 기반 스캐닝부터 레지스트리 모니터링까지 다섯 가지 핵심 스캐닝 방식을 제공합니다. 이를 통해 개발자는 취약점을 조기에 발견하는 '시프트 레프트(Shift-left)' 보안을 실현하고, 프로덕션 환경에 배포된 이미지의 안전성을 지속적으로 확보할 수 있습니다. 결과적으로 GitLab의 컨테이너 스캐닝은 단순한 도구를 넘어 소프트웨어 구성 분석(SCA)의 필수 요소로서 통합적인 보안 관리 워크플로우를 구축하도록 돕습니다. ### 파이프라인 기반 컨테이너 스캐닝 * **기능 및 목적**: CI/CD 파이프라인 실행 단계에서 컨테이너 이미지를 검사하여 취약점이 포함된 이미지가 배포되는 것을 사전에 차단합니다. * **기술적 특징**: 오픈 소스 보안 스캐너인 Trivy를 활용하며, Free부터 Ultimate 티어까지 폭넓게 사용할 수 있습니다. * **설정 방법**: 프로젝트의 보안 구성 메뉴에서 머지 요청(MR)을 통해 자동 설정하거나, `.gitlab-ci.yml` 파일에 `Jobs/Container-Scanning.gitlab-ci.yml` 템플릿을 직접 추가하여 활성화합니다. * **사용자 정의**: `CS_IMAGE` 변수를 통해 특정 이미지를 지정하거나, `CS_SEVERITY_THRESHOLD` 변수를 사용해 'High' 또는 'Critical' 등 특정 수준 이상의 취약점만 필터링하여 리포팅하도록 설정할 수 있습니다. ### 취약점 가시성 및 관리 통합 * **머지 요청(MR) 위젯**: 스캔 결과가 MR 페이지 내 보안 위젯에 즉시 노출되어, 개발자가 코드를 병합하기 전에 영향받는 패키지와 해결 가이드를 확인할 수 있습니다. * **중앙 집중식 취약점 보고서**: 보안 팀은 'Vulnerability Report'를 통해 프로젝트 전체의 취약점을 통합 관리하며, 상태 관리(탐지됨, 확인됨, 해결됨 등) 및 담당자 할당이 가능합니다. * **의존성 목록(SBOM)**: 컨테이너 내부의 모든 운영체제 패키지와 애플리케이션 라이브러리를 카탈로그화하여 제공합니다. 이를 통해 소프트웨어 자재 명세서(SBOM)를 관리하고 공급망 보안을 강화할 수 있습니다. ### 레지스트리용 컨테이너 스캐닝 * **자동 모니터링**: GitLab 컨테이너 레지스트리에 푸시된 `latest` 태그 이미지를 대상으로 보안 정책 봇이 자동 스캔을 트리거합니다. * **지속적 취약점 탐지**: Ultimate 티어에서 제공되는 이 기능은 수동 파이프라인 실행 없이도 최신 취약점 데이터베이스(Advisories)를 바탕으로 이미지를 지속적으로 감시합니다. * **활성화 조건**: 프로젝트에 최소 하나 이상의 커밋이 있어야 하며, 컨테이너 레지스트리 알림 기능이 구성된 상태에서 '보안 구성' 메뉴의 토글 스위치를 통해 활성화할 수 있습니다. ### 성공적인 컨테이너 보안을 위한 제언 효과적인 보안 운영을 위해 먼저 **파이프라인 기반 스캐닝**을 도입하여 개발 초기 단계에서 취약점을 걸러내는 환경을 조성하는 것이 중요합니다. 이후 서비스 규모가 커지면 **레지스트리용 스캐닝**을 병행하여 배포된 이후에 새롭게 발견되는 제로데이 취약점 등에 실시간으로 대응하는 다층 방어 전략을 권장합니다.

패스키를 통한 비밀번호 없는 로그인 및 2단계 인증이 GitLab에서 사용할 수 있습니다 (새 탭에서 열림)

GitLab이 계정 보안 강화와 사용자 편의성 증대를 위해 패스키(Passkeys) 지원을 공식적으로 시작했습니다. 이제 사용자들은 지문, 얼굴 인식 또는 PIN을 사용하여 비밀번호 없이 로그인하거나, 피싱 방지 기능이 탑재된 강력한 이중 인증(2FA) 수단으로 패스키를 활용할 수 있습니다. 이번 업데이트는 보안 환경을 개선하고 다중 인증(MFA) 사용률을 높이려는 GitLab의 '보안 설계(Secure by Design)' 서약 이행의 일환입니다. **패스키의 기술적 원리와 보안성** * 패스키는 WebAuthn 기술과 공개키 암호화(Public-key cryptography) 방식을 기반으로 작동합니다. * 개인키(Private Key)는 사용자의 기기에 안전하게 보관되어 절대 외부로 유출되지 않으며, GitLab 서버에는 공개키(Public Key)만 저장됩니다. * 이러한 구조 덕분에 설령 GitLab 서버가 침해당하더라도 공격자가 사용자의 계정에 접근할 수 있는 유효한 인증 정보를 탈취하는 것이 근본적으로 불가능합니다. **광범위한 호환성 및 설정 방법** * 데스크톱 브라우저(Chrome, Firefox, Safari, Edge)는 물론 모바일 기기(iOS 16+, Android 9+), FIDO2 하드웨어 보안 키를 모두 지원합니다. * 사용자는 자신의 프로필 설정 내 'Account > Manage authentication' 메뉴에서 패스키를 간단히 등록할 수 있습니다. * 여러 기기에서 편리하게 접속할 수 있도록 계정 하나에 다수의 패스키를 등록하여 사용하는 것이 가능합니다. **보안 설계(Secure by Design) 서약 준수** * GitLab은 CISA(미국 사이버보안 및 인프라 보안국)의 'Secure by Design' 서약에 동참하여 제품 전반의 보안 수준을 높이고 있습니다. * 패스키는 해당 서약의 핵심 목표 중 하나인 다중 인증(MFA) 채택률 확대를 달성하기 위한 핵심 요소입니다. * 기존에 2FA를 활성화한 사용자의 경우 패스키를 등록하면 해당 방식이 기본 인증 수단으로 자동 설정되어 더욱 매끄러운 로그인 경험을 제공합니다. 보안 사고의 상당수가 피싱을 통한 계정 탈취에서 시작되는 만큼, GitLab 사용자는 보안 수준을 높이기 위해 기존의 일회용 비밀번호(OTP) 방식을 대체하거나 보완할 수 있는 패스키를 적극적으로 등록해 사용할 것을 권장합니다.

실무에서의 지속적인 AI: 에 (새 탭에서 열림)

GitHub은 개발자 경험(DX)을 최우선으로 하는 세계 최고의 개발 플랫폼으로, 인공지능(AI) 기술과 강력한 보안 기능을 워크플로우 전반에 통합하여 제공합니다. 개발자는 이를 통해 복잡한 보안 위협이나 인프라 환경에 대한 고민 없이, 오직 코드 혁신과 가치 창출에만 집중할 수 있는 환경을 누리게 됩니다. **세계 최상의 개발자 경험(DX) 구축** * 개발자의 생산성을 극대화하기 위해 직관적이고 효율적인 작업 환경을 제공하며, 개발 생태계 내에서의 원활한 협업을 지원합니다. * 코드 작성부터 배포까지의 과정을 단순화하여 개발자가 본연의 업무인 '혁신'에만 전념할 수 있도록 돕습니다. **AI 기반의 지능형 개발 플랫폼** * 플랫폼의 모든 단계에 AI 기술을 내재화하여 코드 작성 보조, 자동화, 문제 해결 등 개발 주기의 전 과정을 스마트하게 개선합니다. * AI를 단순한 보조 도구를 넘어, 개발 프로세스의 속도와 품질을 동시에 높이는 핵심 엔진으로 활용합니다. **개발 전 단계에 통합된 보안 체계** * 보안을 별도의 단계로 분리하지 않고, 코드 설계부터 최종 배포까지 모든 과정에 보안 기능을 기본적으로 포함(Security incorporated into every step)합니다. * 개발자는 플랫폼 내에서 제공되는 보안 가이드를 통해 취약점을 조기에 발견하고 대응함으로써, 더욱 신뢰할 수 있는 소프트웨어를 개발할 수 있습니다. GitHub은 AI와 보안이 결합된 통합 생태계를 지향합니다. 개발 효율성을 높이고 보안 사고를 미연에 방지하고자 하는 팀에게 GitHub은 단순한 저장소 이상의 강력한 혁신 도구가 될 것입니다.

Google Workspace로 GitLab SAML (새 탭에서 열림)

Google Workspace와 GitLab.com(SaaS)을 SAML SSO로 연동하면 중앙 집중식 사용자 인증과 자동 계정 생성이 가능해져 보안성과 관리 효율성을 크게 높일 수 있습니다. 특히 구글 워크스페이스의 그룹 정보를 GitLab 역할과 동기화함으로써, 복잡한 권한 관리를 자동화하고 구성원의 변경 사항을 실시간으로 접근 제어에 반영할 수 있는 보안 환경을 구축하게 됩니다. ### SSO 연동의 아키텍처와 기대 효과 * **인증 흐름:** 사용자가 GitLab SSO URL로 접속하면 구글 워크스페이스로 리다이렉트되어 인증을 거치며, 성공 시 SAML 응답을 통해 GitLab에 최종 로그인됩니다. * **자동 프로비저닝:** 구글에 계정이 있는 사용자가 처음 로그인할 때 GitLab 계정이 자동으로 생성되어 수동 관리의 번거로움이 사라집니다. * **동적 권한 관리:** 로그인할 때마다 구글 그룹 멤버십 정보를 확인하여 GitLab 내 그룹 권한을 최신 상태로 업데이트합니다. * **중앙 집중식 보안:** 구글 워크스페이스의 보안 정책(2단계 인증 등)을 GitLab 접근에도 동일하게 적용하여 보안 수준을 강화할 수 있습니다. ### GitLab 설정 정보 수집 및 준비 사항 * **설정 위치:** SAML SSO 설정은 반드시 GitLab의 최상위 그룹(Top-level group)에서 수행해야 하며, Premium 또는 Ultimate 티어 구독이 필요합니다. * **필수 URL 정보:** GitLab 설정 페이지(Settings > SAML SSO)에서 ACS URL(Assertion Consumer Service), Identifier(Entity ID), GitLab SSO URL을 미리 복사하여 보관합니다. * **권한 요구사항:** 구글 워크스페이스의 슈퍼 관리자 권한과 GitLab 그룹의 Owner 권한이 필요합니다. ### Google Workspace 커스텀 SAML 앱 구성 * **앱 생성:** 구글 관리 콘솔의 '웹 및 모바일 앱' 메뉴에서 커스텀 SAML 앱을 추가하고 GitLab 로고와 이름을 설정합니다. * **IDP 정보 확보:** 구글 측의 SSO URL을 복사하고 IDP 인증서(.pem)를 다운로드합니다. GitLab 등록을 위해 이 인증서는 향후 SHA-1 지문(Fingerprint) 형식으로 변환해야 합니다. * **서비스 제공업체(SP) 세부 정보:** 앞서 GitLab에서 복사한 ACS URL과 Entity ID를 구글 설정 화면에 정확히 입력합니다. * **앱 활성화:** 설정을 마친 후 '사용자 액세스' 설정에서 전체 조직 또는 특정 조직 단위(OU)에 대해 앱 사용을 활성화해야 합니다. ### 속성 매핑 및 그룹 동기화 핵심 설정 * **사용자 속성 연결:** 사용자의 이메일, 성, 이름을 GitLab 속성(email, first_name, last_name)에 각각 매핑하여 정보가 정확히 전달되도록 합니다. * **그룹 동기화 설정:** 구글 그룹 정보를 GitLab으로 전달하기 위해 앱 속성 이름을 반드시 소문자 `groups`로 지정해야 합니다. 이는 GitLab이 권한 동기화를 위해 인식하는 예약어입니다. * **그룹 선택:** 동기화할 구글 워크스페이스 그룹을 최대 75개까지 선택할 수 있으며, 이를 통해 엔지니어링, 보안팀 등 조직 구조에 맞는 권한 할당이 가능해집니다. 효율적인 사용자 관리를 위해 SSO 연동 후에는 반드시 그룹 동기화 기능을 활성화하여 관리 부하를 줄이는 것을 권장합니다. 특히 퇴사자 발생 시 구글 워크스페이스 계정만 정지하면 GitLab 접근 권한도 즉시 차단되므로, 보안 사고 방지를 위한 강력한 오프보딩 프로세스를 구축할 수 있습니다.

Delivering the Future: 글로벌 해커톤 2025, 준비부터 운영까지 | 우아한형제들 기술블로그 (새 탭에서 열림)

딜리버리히어로 산하 전 세계 7개 엔티티의 기술직군 구성원들이 참여한 ‘글로벌 해커톤 2025’는 글로벌 기술 인재들을 하나로 연결하고 미래의 고객 경험을 혁신하기 위해 개최되었습니다. 우아한형제들 DR팀은 이번 행사의 오거나이저로서 한국에서의 커뮤니티 운영 노하우를 발휘해 서로 다른 시차와 환경을 가진 팀들이 기술적으로 협업할 수 있는 온·오프라인 하이브리드 환경을 구축했습니다. 이를 통해 전 세계 270여 명의 참가자는 구글 클라우드 등 최신 기술 스택을 활용하여 비즈니스 아이디어를 실현하며 글로벌 기술 시너지를 확인했습니다. **글로벌 협업을 위한 행사 기획과 소통 구조** * 전 세계 70여 개국에 퍼져 있는 구성원들의 참여를 독려하기 위해 각국의 공휴일과 휴가 시즌을 면밀히 분석하여 가장 참여도가 높을 것으로 예상되는 일정을 확정했습니다. * 물리적 거리의 한계를 극복하고자 각 엔티티 오피스를 '베이스캠프'로 지정해 오프라인의 몰입감을 유지하는 동시에, 라이브 중계와 온라인 채널을 연계해 전 세계를 실시간으로 연결했습니다. * 시간대 차이로 발생하는 소통의 병목 현상을 해결하기 위해 정기 회의 대신 엔티티별 개별 미팅을 진행하고, 표준화된 가이드 문서와 체크리스트를 배포하여 운영 효율성을 높였습니다. **규제와 실험의 자유를 고려한 기술 환경 구축** * 참가자들이 GCP, AWS, ML 모델 등 각자 익숙한 기술 스택을 자유롭게 활용하면서도, GDPR(EU 일반 개인정보 보호 규정)과 같은 엄격한 글로벌 보안 및 컴플라이언스 규정을 준수하도록 인프라를 설계했습니다. * 딜리버리히어로 중앙 조직이 직접 조율한 공통 기술 가이드를 마련하여 리소스 제공 범위와 데이터 접근 절차를 명확히 규정함으로써 기술적 파편화를 방지했습니다. * 구글 클라우드와의 파트너십을 통해 Google AI 기반 환경을 폭넓게 제공하여, 참가자들이 실제 현업 환경과 유사한 조건에서 고도화된 기술적 실험을 수행할 수 있도록 지원했습니다. **현지 운영과 글로벌 네트워크의 확장** * 근무 형태가 서로 다른 엔티티들이 같은 도시 내 오피스를 개방하고 공유하도록 독려하여, 소속에 관계없이 글로벌 구성원들이 자연스럽게 섞여 협업할 수 있는 분위기를 조성했습니다. * 각 엔티티의 CTO와 CPO가 예선 심사에 직접 참여하고, 딜리버리히어로 글로벌 CTO 및 구글 클라우드 디렉터가 최종 심사를 맡아 프로젝트의 비즈니스 가치와 기술적 완성도를 다각도로 검증했습니다. * 수상 팀에게는 상금과 함께 미국에서 열리는 'Google Cloud Next 2026' 참가 기회를 제공하여 해커톤 이후에도 기술적 성장이 이어질 수 있는 동기를 부여했습니다. 이번 글로벌 해커톤은 거대한 조직 규모와 지리적 제약 속에서도 공통의 기술 가이드와 명확한 운영 원칙이 있다면 전 세계 엔지니어들이 하나의 팀처럼 혁신을 만들어낼 수 있음을 보여주었습니다. 서로 다른 배경을 가진 개발자들이 기술로 소통하며 시너지를 내는 과정은 글로벌 기술 기업으로서의 결속력을 다지는 중요한 발판이 됩니다.

Athenz 엔지니어는 왜 Kubestronaut에 도전했는가? (새 탭에서 열림)

보안 플랫폼 Athenz를 담당하는 엔지니어가 쿠버네티스 전문가의 상징인 'Kubestronaut' 칭호를 얻기까지의 도전과 성장을 다루고 있습니다. 실무에서 마주한 기술적 한계를 극복하기 위해 시작된 이 여정은 단순한 자격증 취득을 넘어 클러스터 운영, 보안, 그리고 오픈소스 거버넌스에 대한 깊은 통찰로 이어졌습니다. 결국 체계적인 학습으로 쌓은 전문 지식은 더 견고한 아키텍처를 설계하고 팀의 기술적 역량을 끌어올리는 핵심 자산이 되었습니다. **Kubestronaut과 5단계 인증 체계** * Kubestronaut은 CNCF(Cloud Native Computing Foundation)에서 수여하는 칭호로, 쿠버네티스 관련 5가지 핵심 자격증을 모두 보유한 전문가를 의미합니다. * 인증 자격은 실무 능력을 평가하는 실습형 시험인 CKA(관리자), CKAD(개발자), CKS(보안)와 지식 수준을 측정하는 KCSA, KCNA로 구성됩니다. * 특히 CKA, CKAD, CKS는 실제 터미널 환경에서 제한 시간 내에 문제를 해결해야 하므로 국제적으로 실무 역량을 입증하는 지표가 됩니다. **역할에 따른 단계별 역량 확장** * **CKAD(Application Developer):** Athenz라는 애플리케이션을 쿠버네티스에 안정적으로 배포하기 위해 가장 먼저 취득했으며, 상황 파악 및 대응 속도를 높이는 데 집중했습니다. * **CKA(Administrator):** 여러 클러스터를 관리하고 매니페스트 파일을 분석하는 능력을 배양했습니다. 쿠버네티스 내부 컴포넌트 간의 유기적인 연동 원리를 파악하여 대규모 시스템 설계의 기초를 다졌습니다. * **CKS(Security Specialist):** 보안 플랫폼 담당자로서 클러스터 자체의 보안을 책임지기 위해 도전했습니다. 취약점 분석, 네트워크 정책 설정 등 실무적인 클러스터 강화 기술을 습득한 가장 난도 높은 과정이었습니다. **전문 지식이 실무에 미친 영향** * 오픈소스 거버넌스 이해: SIG(Special Interest Groups)나 PR 규칙 등 거대 프로젝트의 운영 방식을 체계적으로 이해하게 되었으며, 이는 Athenz 프로젝트의 성장 전략 수립에 영감을 주었습니다. * 아키텍처 설계 역량: 최근 진행 중인 'BMaaS(Bare Metal as a Service) 환경에 Athenz 제공' 프로젝트에서 더 안정적이고 효율적인 구조를 설계하고 동료들을 설득하는 근거가 되었습니다. * 문제 해결 속도 향상: 실습 위주의 준비 과정을 통해 실무 환경에서 발생하는 기술적 난제를 더 빠르고 정확하게 진단할 수 있게 되었습니다. **지속 가능한 성장을 돕는 환경과 철학** * '우보천리(牛步千里)'의 자세로 매일 새벽 공부와 GitHub 커밋을 실천하며 꾸준함을 유지했습니다. * 회사의 Udemy Business 지원, 하이브리드 근무 환경, 그리고 자격 취득 비용 지원 제도 등을 적극적으로 활용하여 학습 효율을 높였습니다. * 단순 작업을 넘어 시스템 전체의 이상적인 아키텍처를 고민하고 토론하는 팀 문화가 성장의 강력한 동기부여가 되었습니다. 쿠버네티스의 방대한 생태계 앞에서 망설이고 있다면, 자격증 취득을 하나의 이정표로 삼아 도전해 보길 권장합니다. 단계별 학습을 통해 얻는 넓은 시야와 깊은 기술적 디테일은 엔지니어로서 한 단계 더 도약할 수 있는 확실한 발판이 되어줄 것입니다.

메신저에 도입되는 키 투 (새 탭에서 열림)

메타(Meta)는 메신저의 종단간 암호화(E2EE) 보안을 한 단계 강화하기 위해 '키 투명성(Key Transparency)' 시스템을 도입했습니다. 이 시스템은 사용자가 대화 상대의 공개 키가 변조되지 않았음을 자동으로 검증할 수 있게 하여, 메타를 포함한 그 누구도 중간에서 메시지를 가로챌 수 없도록 보장하는 강력한 신뢰 계층을 제공합니다. **키 투명성의 개념과 사용자 편의성** * 키 투명성은 메시지 암호화에 사용되는 공개 키의 변경 이력을 누구나 확인하고 감사할 수 있도록 기록하는 시스템입니다. * 기존에는 사용자가 보안 코드를 직접 비교하는 수동 검증 방식이 있었으나, 여러 기기를 사용하거나 기기를 교체할 때마다 매번 확인해야 하는 번거로움이 있었습니다. * 새로운 시스템은 이러한 검증 과정을 자동화하여, 사용자가 복잡한 절차 없이도 자신의 대화가 올바른 키로 암호화되고 있음을 확신할 수 있게 합니다. **신뢰성 확보를 위한 외부 감사 아키텍처** * 메타는 자사의 AKD(Auditable Key Directory) 라이브러리를 활용하여 키를 안전하게 배포하고 관리합니다. * 시스템의 객관성을 높이기 위해 클라우드플레어(Cloudflare)를 독립적인 외부 감사자(Auditor)로 지정했습니다. * 클라우드플레어는 키 투명성 대시보드를 통해 실시간 로그를 유지하며, 이를 통해 누구나 키 배포 과정이 투명하게 이루어지고 있는지 직접 확인할 수 있습니다. **대규모 데이터 처리를 위한 기술적 최적화** * 메신저의 방대한 규모로 인해 약 2분마다 수십만 개의 새로운 키가 추가되며, 현재 데이터베이스에는 이미 수십억 개의 키 항목이 저장되어 있습니다. * 데이터가 기하급수적으로 늘어나는 상황에서도 빠른 검증을 유지하기 위해, 키 버전이 증가해도 증명(Proof) 데이터의 크기가 일정 수준을 유지하도록 알고리즘 효율성을 대폭 개선했습니다. * 과거 트리 높이에 따라 선형적으로 증가하던 증명 크기 문제를 해결하여, 수십억 개의 노드가 존재하는 트리 구조에서도 실시간 조회가 가능하도록 최적화했습니다. * 왓츠앱(WhatsApp)의 키 투명성 운영 경험을 바탕으로, 일시적인 장애 상황에서도 데이터 순서가 뒤섞이지 않고 신속하게 복구될 수 있는 인프라 탄력성을 확보했습니다. 이 기능은 현재 메신저의 1:1 채팅에 적용되어 있으며, 사용자들은 별도의 설정 없이도 자동화된 보안 검증의 혜택을 누릴 수 있습니다. 보안에 민감한 사용자라면 클라우드플레어의 공개 대시보드를 통해 시스템의 무결성을 직접 모니터링해 보는 것을 추천합니다.

테크 컨퍼런스 Tech-Verse 2025를 개최합니다 (새 탭에서 열림)

LY Corporation은 오는 6월 30일부터 7월 1일까지 양일간 글로벌 테크 컨퍼런스인 'Tech-Verse 2025'를 개최합니다. 이번 행사는 AI와 보안을 메인 테마로 하여 전 세계 그룹사 엔지니어들이 경험한 127개의 기술 세션을 온라인으로 공유할 예정입니다. 누구나 무료 사전 등록을 통해 참여할 수 있으며, 한국어, 영어, 일본어 실시간 통역이 제공되어 글로벌 기술 트렌드를 깊이 있게 파악할 수 있는 기회를 제공합니다. **Tech-Verse 2025 행사 개요 및 참여 방법** * **일정 및 방식**: 2025년 6월 30일(월)부터 7월 1일(화)까지 매일 오전 10시에서 오후 6시 사이에 진행되며, 전 세션 온라인 스트리밍으로 생중계됩니다. * **참여 대상**: 공식 사이트에서 사전 등록만 하면 누구나 무료로 시청할 수 있어 접근성이 높습니다. * **글로벌 협업**: 한국의 LINE Plus를 비롯해 일본, 대만, 베트남 등 LY Corporation 그룹사 전체의 엔지니어, 디자이너, 프로덕트 매니저가 참여하여 폭넓은 기술 생태계를 다룹니다. **12개 분야의 방대한 기술 세션 구성** * **일자별 트랙 구성**: 1일 차에는 AI, 보안, 서버사이드, 프라이빗 클라우드 등 인프라 중심의 세션이 배치되며, 2일 차에는 AI 유즈 케이스, 프론트엔드, 모바일 앱, 디자인 및 제품 관리 등 사용자 접점 기술을 중점적으로 다룹니다. * **다국어 지원**: 총 127개의 세션에 대해 3개 국어(한/영/일) 실시간 통역을 지원하여 언어 장벽 없이 기술적 디테일을 학습할 수 있습니다. * **핵심 테마**: 최근 IT 업계의 화두인 생성형 AI의 실무 적용과 고도화된 보안 전략이 전체 컨퍼런스의 중심축을 이룹니다. **분야별 주목해야 할 주요 기술 사례** * **AI 및 데이터 파이프라인**: 단순한 코드 작성을 넘어 전문적인 AI 코딩 프로세스로의 진화와 생성형 AI를 활용한 데이터 파이프라인 구축 및 분석 자동화 사례가 소개됩니다. * **인프라 및 서버사이드**: 'Central Dogma Control Plane'을 활용해 수천 개의 마이크로서비스를 연결하는 대규모 인프라 관리 기법과 LINE Call의 영상 품질 개선을 위한 서버 기술이 공유됩니다. * **앱 개발 및 사용자 경험**: 배달 서비스 '데마에칸(Demae-can)'의 개발 환경을 React Native에서 Flutter로 전면 교체한 과감한 이행 전략과 데이터 기반의 LINE Talk 사용자 인사이트 도출 과정이 포함되어 있습니다. **참여 권장 및 실용 가이드** 최신 기술 트렌드와 대규모 서비스 운영 노하우를 얻고 싶은 개발자라면 Tech-Verse 2025 공식 사이트를 통해 관심 있는 세션을 미리 타임테이블에 등록해 두는 것이 좋습니다. 특히 현업에서 AI 도입을 고민하거나 대규모 트래픽 처리를 위한 인프라 구조를 연구하는 엔지니어들에게 실질적인 기술적 영감을 줄 것으로 기대됩니다.

장인정신과 아름다움 (새 탭에서 열림)

Linear는 서비스 마비 수준의 DDoS 공격을 단순한 보안 위협이 아닌, 시스템 전반의 기술 부채를 해결하고 성능을 극한으로 끌어올리는 기회로 삼았습니다. 공격자가 악용한 비효율적인 쿼리와 아키텍처의 약점을 근본적으로 개선함으로써, 사건 종료 후 Linear는 공격 전보다 훨씬 더 빠르고 안정적인 서비스로 거듭났습니다. 이는 보안 대응이 단순히 방어벽을 세우는 것을 넘어 시스템의 기초 체력을 강화하는 과정임을 시사합니다. ### DDoS 공격의 양상과 초기 대응의 한계 * 단순한 네트워크 트래픽 과부하가 아니라, 데이터베이스에 과부하를 주는 고비용 API 호출을 집중적으로 노린 정교한 애플리케이션 계층(L7) 공격이었습니다. * IP 차단이나 속도 제한(Rate Limiting) 같은 전통적인 방어 수단은 공격자가 패턴을 지속적으로 변경함에 따라 '두더지 잡기'식의 한계에 부딪혔습니다. * 공격이 지속되는 동안 시스템의 가장 느린 부분들이 병목 현상을 일으키며 전체 서비스 중단으로 이어지는 과정을 목격했습니다. ### 데이터베이스 성능 최적화와 쿼리 개선 * 공격자가 검색 및 필터링 기능을 악용한다는 점에 착안하여, 실행 계획(Query Plan) 분석을 통해 인덱스가 제대로 작동하지 않던 지점들을 대대적으로 수정했습니다. * 특히 '소프트 삭제(Soft Delete)' 처리를 위한 필터 조건이 쿼리 성능을 저하시키는 주요 원인임을 파악하고, 이를 최적화하여 데이터 조회 속도를 획기적으로 높였습니다. * Postgres 데이터베이스의 불필요한 Full Table Scan을 제거하고, 가장 빈번하게 호출되는 엔드포인트의 응답 시간을 밀리초 단위로 단축했습니다. ### 동기화 엔진 및 아키텍처 재설계 * Linear의 핵심인 오프라인 우선(Offline-first) 동기화 아키텍처에서 발생하는 오버헤드를 줄이기 위해 동기화 로직을 전면 재검토했습니다. * 클라이언트와 서버 간의 데이터 상태 비교 프로세스를 효율화하여, 동일한 작업을 수행할 때 발생하는 CPU 및 메모리 점유율을 대폭 낮췄습니다. * 결과적으로 인프라를 증설하지 않고도 이전보다 몇 배나 많은 동시 요청을 처리할 수 있는 구조적 회복 탄력성을 확보했습니다. 보안 사고는 시스템의 가장 취약한 고리를 드러내는 가혹한 테스트 베드가 될 수 있습니다. Linear의 사례처럼 공격에 단순히 방어적으로 대응하기보다 시스템 내부의 효율성을 높여 '공격의 가성비'를 떨어뜨리는 전략은, 보안과 성능이라는 두 마리 토끼를 잡을 수 있는 탁월한 접근 방식입니다. 성능 최적화가 곧 최선의 보안 대책이 될 수 있다는 점을 시사합니다.

FedRAMP를 향한 (새 탭에서 열림)

피그마(Figma)는 미국 연방 정부의 보안 인증 제도인 FedRAMP(Federal Risk and Authorization Management Program) 'Moderate' 등급의 인증 절차를 본격적으로 시작하며 공공 부문으로의 확장을 공식화했습니다. 이번 인증 추진은 공공 부문의 디지털 전환과 사용자 경험 개선을 지원하기 위한 핵심 단계로, 이를 통해 정부 기관은 피그마의 협업 기능을 안전하게 활용하여 더 나은 공공 서비스를 설계할 수 있게 됩니다. 피그마는 전담 팀을 구성하고 보안 표준을 강화함으로써 공공 분야에서도 민간 수준의 혁신적인 디자인 협업 환경을 구축하는 것을 최종 목표로 하고 있습니다. ### FedRAMP 인증 추진 배경과 의미 * 미국 정부 데이터를 다루는 애플리케이션에 필수적인 보안 인증인 FedRAMP 'Moderate' 등급 획득을 위한 '진행 중(in process)' 상태로 Marketplace에 등재되었습니다. * 이는 피그마가 연방 정부의 엄격한 보안 및 개인정보 보호 표준을 준수하기 위한 기술 감사를 거쳤으며, 최종 인증을 위한 마지막 단계에 진입했음을 의미합니다. * 팬데믹 이후 가속화된 공공 부문의 원격·하이브리드 근무 환경에서, 보안이 담보된 클라우드 기반 협업 도구에 대한 수요를 충족시키기 위한 결정입니다. ### 공공 부문에 제공하는 기술적 가치 * 정부 기관, 계약업체 및 공공 프로젝트 수행자들이 피그마 내에서 직접 소프트웨어를 설계하고 신속하게 프로토타입을 테스트할 수 있는 환경을 제공합니다. * 플랫폼에 구애받지 않는 브라우저 기반 협업 특성을 통해, 기술 도입이 늦었던 정부 조직 내에서도 부서 간 장벽을 허물고 디자인 반복 주기를 단축할 수 있습니다. * 더 접근성 높고 포용적인 디자인을 가능하게 함으로써, 궁극적으로 정부 애플리케이션의 UI/UX를 개선하고 대국민 서비스의 신뢰도를 높이는 데 기여합니다. ### 조직 역량 강화 및 향후 전략 * Zscaler, Datadog 등에서 공공 분야 경험을 쌓은 전문가를 영입하여 민간 부문의 성공 사례를 공공 부문의 요구사항에 맞춰 이식하는 0 to 1 전략을 실행 중입니다. * 내부적으로 상업용 팀과 정부 전담 팀 간의 양방향 지식 공유 체계를 구축하여, 서로 다른 규제 환경에서도 최적의 사용자 경험을 제공할 수 있도록 역량을 결집하고 있습니다. * 인증 완료 이후에는 연방 정부 규모의 대규모 데이터를 안전하게 호스팅하고, 복잡한 이해관계자들이 참여하는 공공 프로젝트의 효율성을 극대화할 예정입니다. 피그마의 이번 행보는 보안이 최우선인 공공 영역에서도 현대적인 협업 디자인 도구가 필수적임을 시사합니다. 공공 서비스 관련 프로젝트를 운영하거나 준비 중인 조직이라면, 피그마의 FedRAMP 인증 완료 이후 제공될 고수준의 보안 환경을 활용해 정부 표준에 부합하는 디지털 혁신을 계획해 볼 수 있습니다.

Figma 데이터의 안전한 보호 및 (새 탭에서 열림)

Figma는 사용자가 직접 도구를 확장할 수 있는 플러그인 시스템을 구축하면서, 서드파티 코드가 메인 앱의 성능을 저하시키거나 보안 위협이 되지 않도록 하는 데 집중했습니다. 이를 위해 기존의 웹 샌드박싱 기술인 `<iframe>`이나 Web Worker의 한계를 넘어서는 새로운 구조를 설계했습니다. 최종적으로 Figma는 WebAssembly를 통해 QuickJS라는 경량 자바스크립트 엔진을 브라우저 내에서 실행함으로써, 안전하면서도 고성능을 유지하는 독자적인 플러그인 실행 환경을 구현해냈습니다. **기존 웹 기술 기반 샌드박싱의 한계** * **iframe 샌드박스:** 보안을 위해 `sandbox` 속성을 사용할 수 있지만, 동일한 메인 스레드를 공유하기 때문에 플러그인의 무거운 연산이 Figma 전체 UI를 멈추게 할 위험이 있습니다. 또한, 수백 개의 플러그인을 동시에 실행할 경우 메모리 오버헤드가 급증합니다. * **Web Worker:** 별도의 스레드에서 실행되므로 메인 UI를 방해하지 않지만, DOM에 직접 접근할 수 없고 메인 스레드와의 통신(postMessage)이 비동기적으로 이루어져야 하므로 성능 병목 현상이 발생합니다. * **보안과 성능의 트레이드오프:** 기존 방식들은 보안을 강화하면 성능이 떨어지고, 성능을 올리면 보안이나 구현 복잡도가 높아지는 딜레마가 있었습니다. **QuickJS와 WebAssembly를 활용한 격리 환경** * **Sandboxing inside Sandbox:** Figma는 C 언어로 작성된 경량 자바스크립트 엔진인 QuickJS를 WebAssembly(Wasm)로 컴파일하여 브라우저 위에서 실행했습니다. * **메모리 및 자원 제어:** Wasm 환경은 호스트 시스템(브라우저)과 완전히 격리된 선형 메모리 공간을 사용하므로, 플러그인 코드가 Figma의 내부 데이터나 브라우저 API에 직접 접근하는 것을 원천 차단합니다. * **결정론적 실행:** 플러그인이 사용할 수 있는 CPU 시간과 메모리 할당량을 세밀하게 제어할 수 있어, 악성 코드나 무한 루프에 빠진 플러그인이 전체 앱의 가용성을 해치지 않도록 방어합니다. **효율적인 플러그인 API 설계** * **가상 API 브릿지:** 플러그인이 Figma의 문서 구조(Scene graph)에 접근할 때, 실제 데이터를 복사하는 대신 프록시(Proxy) 객체를 통해 필요한 데이터만 동기적으로 가져오도록 설계하여 통신 비용을 최소화했습니다. * **로직과 UI의 분리:** 플러그인의 비즈니스 로직은 QuickJS-Wasm 환경에서 실행되지만, 사용자 인터페이스(UI)는 별도의 `<iframe>`에서 실행되도록 분리했습니다. 이를 통해 안전한 UI 렌더링과 강력한 로직 격리를 동시에 달성했습니다. **시스템 안정성과 확장성 확보** * **동기적 실행 모델:** 개발자들에게 익숙한 동기 방식의 프로그래밍 모델을 제공하면서도, 내부적으로는 Wasm 기반의 격리 계층을 두어 복잡한 플러그인도 안정적으로 구동되게 했습니다. * **브라우저 독립성:** 특정 브라우저의 보안 버그나 패치에 의존하지 않고, Figma가 직접 제어하는 런타임 엔진을 통해 일관된 보안 수준을 유지합니다. 웹 환경에서 신뢰할 수 없는 외부 코드를 실행해야 한다면, 브라우저가 제공하는 기본 기능을 넘어 WebAssembly를 활용한 자체 런타임 환경 구축을 고려해야 합니다. 이는 구현 난이도가 높지만, 사용자 보안과 애플리케이션의 성능이라는 두 마리 토끼를 잡을 수 있는 가장 확실한 방법입니다. 특히 대규모 협업 툴이나 확장성이 중요한 플랫폼 서비스라면 Figma와 같은 "계층화된 샌드박스" 접근 방식이 훌륭한 레퍼런스가 될 것입니다.

디자이너 Q&A: (새 탭에서 열림)

피그마는 대규모 조직에서 디자인 시스템의 무결성을 유지하면서도 협업의 효율성을 높이기 위해 '고급 프로젝트 권한(Advanced Project Permissions)' 기능을 도입했습니다. 이 기능은 디자인 시스템 파일을 편집할 수 있는 인원을 엄격히 제한하는 동시에, 일반 디자이너들이 시스템을 원활하게 활용할 수 있도록 권한 관리의 유연성을 제공합니다. 이를 통해 의도치 않은 시스템 변경을 방지하고 전사적인 디자인 일관성과 보안을 동시에 확보할 수 있습니다. ### 디자인 시스템 관리의 한계 극복 * 기존의 팀 단위 권한 설정 체계에서는 팀에 편집 권한이 있는 모든 사용자가 디자인 시스템 라이브러리까지 수정할 수 있는 위험이 있었습니다. * 디자인 시스템의 규모가 커짐에 따라, 숙련되지 않은 작업자의 실수로 컴포넌트나 스타일이 변경되어 수천 개의 하위 파일에 예기치 못한 영향을 주는 사례가 빈번했습니다. * 시스템 관리자는 자유로운 자산 공유와 엄격한 소스 보호라는 상충하는 목표 사이에서 권한 설정에 어려움을 겪어왔습니다. ### 프로젝트 수준의 세밀한 권한 제어 * 이제 팀 전체에 편집 권한이 있더라도, 디자인 시스템 라이브러리가 포함된 특정 프로젝트에 대해서는 별도의 독립적인 권한을 설정할 수 있습니다. * 디자인 시스템 전담 운영진에게만 '편집 가능(Can edit)' 권한을 부여하고, 나머지 디자이너들에게는 '보기 전용(Can view)' 권한을 할당하여 소스 파일을 안전하게 보호합니다. * 특정 프로젝트에 접근할 수 있는 인원을 명확히 제한함으로써 조직 내 민감한 디자인 자산에 대한 보안 계층을 강화할 수 있습니다. ### 효율적인 거버넌스 및 워크플로우 구축 * '보기 전용' 권한을 가진 디자이너들도 라이브러리의 컴포넌트를 자신의 작업 파일로 가져와 사용하는 데에는 아무런 제약이 없어 협업 흐름이 끊기지 않습니다. * 디자인 시스템의 업데이트와 배포 권한을 가진 주체를 명확히 정의함으로써, 조직 내 디자인 거버넌스(Governance)를 더욱 체계화할 수 있습니다. * 권한 요청 및 승인 프로세스를 간소화하여 관리자의 운영 리소스를 줄이고 시스템의 신뢰도를 높입니다. 디자인 시스템을 운영하는 팀이라면 시스템 전용 프로젝트를 별도로 분리하고, 핵심 관리자 외의 인원에게는 '보기 전용' 권한을 부여하는 설정을 즉시 적용할 것을 권장합니다. 이를 통해 라이브러리의 안정성을 물리적으로 확보하는 동시에, 전사 디자이너들이 최신 시스템 자산을 안전하게 소비하는 환경을 조성할 수 있습니다.

디자인 면접에서 포트폴 (새 탭에서 열림)

제공해주신 Figma의 **'디자인 시스템을 위한 고급 프로젝트 권한(Advanced Project Permissions for design systems)'** 블로그 내용을 바탕으로 요약해 드립니다. Figma는 대규모 조직 내에서 디자인 시스템의 일관성을 유지하고 보안을 강화하기 위해 더욱 세분화된 '고급 프로젝트 권한' 기능을 도입했습니다. 이 기능은 디자인 라이브러리의 관리자와 일반 사용자의 권한을 명확히 분리하여, 시스템의 무결성을 보호하는 동시에 전사적인 협업 효율성을 극대화하는 것을 목표로 합니다. 관리자는 이를 통해 누가 디자인 자산을 수정할 수 있는지, 그리고 누가 단순 조회만 가능한지를 프로젝트 단위로 정교하게 제어할 수 있습니다. **디자인 시스템 관리의 효율성 및 무결성 확보** * 디자인 시스템은 모든 팀원이 사용해야 하지만, 소수의 관리자만이 수정해야 하는 특성을 가집니다. * 새로운 권한 설정을 통해 시스템 유지보수 담당자(Maintainers)에게는 '수정 가능(Can edit)' 권한을 부여하고, 일반 디자이너(Consumers)에게는 '보기 전용(Can view)' 권한을 부여하여 의도치 않은 시스템 변경을 방지합니다. * 라이브러리 업데이트 시 발생할 수 있는 혼선을 줄이고, 디자인 가이드라인의 '단일 진실 공급원(Single Source of Truth)' 역할을 공고히 합니다. **세분화된 접근 제어 및 사용자 경험 개선** * 팀 수준의 권한 설정 외에도 개별 프로젝트 단위로 접근 권한을 다르게 설정할 수 있어, 조직 구조에 맞춘 유연한 운영이 가능합니다. * '초대된 사람만 접근 가능(Invited users only)' 옵션을 통해 민감한 초기 프로젝트나 비공개 디자인 자산을 특정 인원에게만 노출할 수 있습니다. * 일반 사용자들은 권한에 따라 최적화된 인터페이스를 제공받아, 불필요한 편집 도구 없이 디자인 자산을 조회하고 활용하는 데에만 집중할 수 있습니다. **콘텐츠 보안 및 복제 방지 기능 강화** * '보기 전용' 사용자들에 대해 복제(Duplicate), 복사(Copy), 내보내기(Export) 기능을 제한할 수 있는 옵션을 제공합니다. * 이는 기업의 지적 재산권을 보호하고, 검증되지 않은 디자인 에셋이 외부로 유출되거나 무단으로 복제되어 사용되는 리스크를 최소화합니다. * 보안이 중요한 엔터프라이즈 환경에서 디자인 시스템의 안전한 배포와 관리를 지원합니다. **실용적인 권한 관리 팁** 성공적인 디자인 시스템 운영을 위해서는 모든 팀원에게 '수정' 권한을 주기보다, 시스템 관리 전담 조직을 구성하고 그들에게만 편집 권한을 집중시키는 것이 좋습니다. 또한, 새로운 프로젝트를 시작할 때 '복제 제한' 옵션을 검토하여 보안 수준을 결정하고, 정기적으로 프로젝트 참여자 리스트를 검토하여 권한 오남용을 방지할 것을 권장합니다.