Cloud Computing On Demand

요즘은 어느 업종이나 마찬가지일거란 생각이 들긴 하지만
IT 업종만큼 새로운 기술과 트렌드가 미친듯이 쏟아지고 
잠깐 방심하면 뒤처지는 도메인도 보기 드물다는 생각을 많이 합니다. 

트랜드를 따라가기 위해 가장 좋은 것은 결국 미디어를 활용하는 것!
유튜브도 좋지만 정갈하게 정제된 정보를 쉽게 확인하고 따라가는 것은 
IT 전문 미디어들의 최신 글을 살펴보는 것 만큼 좋은 것도 없다고 봅니다. 

글로벌 테크 미디어들의 최신글을 한번에!

개인적으로 즐겨보는 미디어는 The Verge와 Engadget 정도입니다. 
때문에 이쪽에서 다루지 않는 기술이나 트렌드는 한 템포 늦는 경우가 종종 있습니다. 
(네, 물론 그런 경우는 별로 발생하지 않기는 합니다 ㅎㅎ 제가 게으른 탓이지요...)
보완재로 트위터-_-를 애용하고 있는데 이쪽은 정제되지 않은 정보가 많아
다시 또 원문을 찾아 읽는 수고를 해야만 하는 단점이 있습니다. 

그런 관점에서 TECHURLS 라는 페이지는 보석과도 같은 서비스입니다. 
Hacker News, Slashdot 같은 커뮤니티의 Tech 관련 글에서 부터 
The VErge, TechCrunch, NY Times의 기술 섹션까지
다양한 테크 미디어들의 최신 글을 한 눈에 살펴볼 수 있는 곳입니다. 

어마어마하죠? 
단점이 있다면 기사 타이틀만 소개되기 때문에
무엇을 읽을 것인가를 생각하고 고민해야 한다는 점?
기왕이면 작은 썸네일이라도 있었으면 하는 아쉬움이 있습니다. 

번외편 : 테크 말고는 없나요?

TECHURLS 는 로고에서 추정 할 수 있는 것처럼 xxxURLS 시리즈(?)를 많이 운영하고 있습니다. 
과학, 개발, 금융 분야는 물론이고 물리학? 수학? 까지 개별 서비스가 있습니다. 
관심이 있다면 이런 곳를 또 찾아서 보시는 것도 흥미로운 경험이 될 것 같습니다. 

학습에 대한 다양한 이론들이 많습니다. 
그 중에서도 가장 널리 회자되는 것이 에빙하우스의 망각곡선(forgetting cureve)입니다. 
한 번 학습한 것은 10분이 지난 후부터 망각이 시작되며 
반복 학습을 하지 않았을 때 약 1개월이 지나면 80% 이상을 잊는다는 이론입니다. 
많은 선생님들과 <복습>에 대한 중요성을 강조할 때 워낙 많이 사용되서 
천재든 바보든 한 번쯤은 에빙하우스, 망각곡선에 대해 들어봤을 정도입니다. 

이것이 현대의 동영상 기반 학습에도 비슷하게 적용되는 것 같습니다. 
여기에 조금 더 옵션으로 들어간 것이 <몇 배속으로 동영상 강의를 시청하는가>인가 봅니다. 

동영상 강의는 특성상 "사족"이 많이 들어갑니다. 
유튜브처럼 광고와 관계 있는 경우 분량을 늘리느라 잡담이 많이 들어가기도 하고 
일반적인 동영상 강의도 학생, 학습자와의 "인터랙션"이 적을 수 밖에 없어 
불필요하게 많은 설명이 들어가는 경우도 종종 발생하곤 합니다. 
이로 인해 강의들이 전반적으로 초심자들에게도 친절해지는 효과도 분명 있습니다. 
다만, 한정된 시간을 활용해 공부를 해야 하는 사람들에게는 이를 줄일 수 있는 방법이 필요한 것도 사실입니다. 

동영상과 동영상 학습 방법이 학습 효과에 미치는 영향을 확인하기 위해 
UCLA 에서 학생 231명을 대상으로 실험이 수행되었습니다.
학습자들은 노트 필기를 하지 않는 조건으로 동일한 영상을
정상속도, 1.5배속, 2배속, 2.5배속으로 그룹을 나누어 시청하도록 했고
1주일 간격을 두고 다시 한 번 동일한 그룹별 속도로 동일한 영상을 시청을 한 뒤 시험을 쳤다고 합니다. 

시험에 참가한 학생들은 보통 속도와 1.5배속 정도가 학습하기 좋았다고 답했지만
실제 시험 결과를 기준으로 봤을때는 1.5배속과 2배속이 학습 효율이 가장 좋았던 것으로 나타났습니다. 
(2배속으로 본 학생들은 학습 시간도 절반으로 줄일 수 있었기도 합니다. )

다만 이번 시험은 1주일 간격이라는 조건이 있었기 때문에 
재학습 시점이 미치는 영향에 대해서는 조금 더 연구가 필요해 보인다고 합니다. 

어쩔 수 없이 아이들도 인강을 많이 들어야 하는 요즈음.
어떻게 인강을 활용하게 할 것인가에 대한 고민이 많았는데
실험 결과의 내용에 따라 1.5~2배속 + 1주일 정도 간격으로 재학습하는 방식을
아이들에게 한 번 적용해봐야겠다는 (아이들의 의지와 관계없이..) 생각이 듭니다.

당장 저부터도 수집하듯 사놓고 안듣는 강의 영상들을 
시간도 아낄겹 2배속으로 듣고, 1회더 반복해보는 시도를 해봐야겠습니다!

초등학교 2학년 막내가 즐겨보는 채널은 참 다양합니다.
본인이 잘하는 스피드 스케이트에서부터 컬링, 야구, 축구, 배드민턴에 이르기까지
종목도 참 다양하게, 골고~루 섭렵하고 있어 아빠로서는 온갖 종목을 "실제로" 해줘야 하는 부담이 있을 정도입니다.

스포츠 이외에 이 녀석이 좋아하는 또 하나의 장르가 있었으니
그건 바로 3D펜을 이용한 작품 만들기 영상들입니다. 
그 중에서도 최애 채널이 있었으니 바로 `사나고` 채널입니다. 
(사나고는 `3D펜 장인` 이라는 컨셉으로 300만 구독자를 보유한 대형 채널입니다)

그래서인지 크리스마스 선물로 산타할아버지가 사나고펜을 줬으면 좋겠다고 하여
(...라고 적고 산타는 없고 아빠인걸 다 안다. 3D펜을 사내라로 읽습니다)
급하게 사나고 3D 펜을 공수하여 무사히 크리스마스 선물 잔치를 마쳤습니다.

막상 3D 펜을 구입하고 나니 최근에 봤던 기사가 떠오릅니다. 
3D 프린터를 이용한 창의수업을 하시던 선생님들이 암으로 고생하고 있다는 뉴스였죠.
실제로 3D 프린터가 원인인지 확실하게 밝혀진 것 같지는 않지만 
비슷한 증상과 고통을 받고 있는 선생님들의 공통점이 3D 프린터였다고 하니 합리적 의심이긴 합니다. 

때문에 막상 3D 펜을 아이들이 쓰게 하는게 맞는가 하는 걱정이 들었습니다.
이미 다 사주고 열심히 쓰게 만들어 놓고 걱정이라니... 선구매 후걱정은 부모자격 박탈입니다 ㅜㅜ
그래도 일단 질렀으니 위험요소를 확인해 보기로 했고
3D펜의 재료로 사용되는 필라멘트의 소재를 살펴보기로 했습니다.

ABS 필라멘트 vs. PLA 필라멘트

더 많은 종류가 있는지 모르겠습니다만, 사나고 펜과 함께 동봉된 안내장에서 
인체에 해롭지 않은 PLA로 만든 필라멘트를 사는 것이 중요하다는 문구를 찾아냈습니다.

PLA 필라멘트는 Poly Lactic Acid 의 약자로 옥수수와 사탕수수가 주 재료라고 합니다. 
플라스틱 화학 제품인 ABS에 비해 친환경적이고 독성이 없어 신체 내부에도 사용된다고하며
식기류, 음식 포장 용기 등에 많이 사용되는 소재입니다.
다만 가격이 ABS에 비해 다소 비싸고 강도가 약하다는 단점이 있다고 합니다.

ABS 필라멘트는 Acrylonitil, Butadiene, Styyrene 의 축약어로
흔히 볼 수 있는 플라스틱 장난감 제품들이 ABS 로 만들어진다고 합니다. 
우리가 흔히 플라스틱의 추출 방법으로 알고 있는 것처럼 석유 추출물로 만들어 지며 
강도와 내구성이 뛰어나지만 냄새가 심하고 유독물질이 발생할 수 있다고 알려져 있습니다.

3D 프린터에 ABS가 많이 쓰이는 이유는?

PLA 소재로 만든 산출물은 ABS 산출물에 비해 약하다고 합니다. 
60도 정도의 온도에 장시간 방치될 경우 모양이 변형되거나 할 수 있다고 하니
튼튼하게 오랫동안 사용해야 하는 물건에는 ABS가 많이 쓰일 수 밖에 없겠죠? 

또 한편으로는 가공시 ABS가 더 높은 열을 사용해야 하고
이로 인해 가공할때의 편리함?이 더 있다고 하는 글들을 볼 수 있었습니다. 
상대적으로 PLA는 가공이 어렵다고 합니다. 

결론적으로

PLA 소재는 상대적으로 안전하지만 몇 가지 화학 첨가물이 들어간다고 합니다. 
이 화학 첨가물이 ABS에 들어가는 것에 비해 상대적으로 안전한 것은 맞지만 
PLA를 쓰더라도 반드시 환기에 신경을 써야 한다는 것이 중론이었습니다. 

메타버스와의 접점도 될 수 있는 영역이 xR 영역입니다. 
VR과 AR이 가장 대표적인 xR 기술들이고 이미 경험해 볼 수 있는 것들이 꽤 많습니다.
애플이 사실상 이 시장으로의 참전을 선언한 상태에서
구글도 오래전 구글 글래스를 떠올리게 하는 뉴스가 있는 것 같습니다. 

구글은 오래전 구글 글래스라는 기기를 들고 나와 시장에 센세이션을 일으켰습니다. 
기기를 가지고 있는 한국 개발자들도 꽤 있었던 것 같은데 요즘은 아예 소식이 업기도 하죠. 

마이크로소프트는 홀로렌즈 시리즈를 통해 계속 xR에 대한 태핑을 하고 있습니다. 
현재까지는 철저하게 엔터프라이즈 시장에 대한 공략으로 보이지만 
기기의 가격이 내려가고 조금 더 경량화 될 수 있다면 
B2C 시장에도 충분히 진출 가능성을 타진해 볼거라 생각합니다. 

애플은... 이러고 있고...

마이크로소프트는... 이러고 있고...

제일 빠른 축에 들었던 구글이 다시 움직이고 있습니다.
코로나가 생각보다 더 길어지면서 각 기업은 원격 근무, 복합 근무, 가상 근무를
어떻게든 도입하면서도 직원들 사이의 끈끈함을 찾을 방법을 계속 찾고 있습니다. 

xR 은 워크스페이스라는 공간에 대해서도 분명 한 축을 담당할 것 같습니다.
요즘 많은 컨퍼런스나 연말 온라인 송년회에서 게더타운이나 ZEP 등을 쓰는 모습이 보입니다. 
사람들은 점점 이런식의 모임에 익숙해져가고 있지만
여전히 2D 의 평면 모니터 공간속은 뭔가 자연스럽다는 느낌이 들진 않습니다. 

xR 이 새로운 전장이 되면 삼성전자도 다시 한 번 비상을 할거라 기대하며...
다시 또 주식을 줍줍 해봐야겠습니다.
언젠간 가겠지 하는 마음으로다...

메타버스가 핫 키워드가 되면서 메타버스의 본질을 연구하는 사람들부터
메타버스에 편승하여 이익을 취하는 조직들까지 다양한 양태가 현실과 산업 전반을 휩쓸고 있습니다.

이게 정말 실체가 있는 것인가?
메타버스가 도대체 뭔데? 하는 생각을 하다보니...
스스로 한번 정의도 정리해보고 관련된 기업이나 산업도 정리해 볼 필요가 있어서 포스팅을 열어봅니다.

메타버스의 정의

여러가지 정의들이 있지만 마음에 들어나 와닿았던 것들을 한 번 적어보면...

• 통용되는 의미 - 현실세계와 같은 사회적, 경제적 활동이 통용되는 3차원 가상공간 (출처 : 위키)
• 데이브 바즈키 (Roblox CEO) - 메타버스는 실제처럼 보이는 것이 아닌, 실제처럼 느껴지는 것이다
• 김국현 (IT 평론가) - 현실의 재구성
• 류철균 (교수) - 생활형 가상세계, 실생활과 같이 사회, 경제적 기회가 주어지는 가상현실공간

...대략 위의 정도 메세지들이 기억에 남습니다. 

메타버스를 정의한 여러 사람들의 이야기를 듣다보면 재미있는 현상이 있습니다. 
기술에 가까운 일을 했던 사람들은 3차원 가상공간에 많이 주목을 하는 느낌이고
학술적인 연구를 많이 헀던 분들은 경제, 현실과의 접점에 많은 무게를 두고 있습니다.

어느 순간이 되면 메타버스도 현실과 경계가 무너질거라 생각하기 때문에
두 정의중 어느것이 맞다, 틀리다라고 생각하기 보다는 
이 두가지가 결국 만나는 접점에서 사용자들의 흥미를 잘 이끌어내는
상품이나 서비스가 사용자들에게 사랑 받을 거라는 예상을 해봅니다.

메타버스를 추구하는 회사/서비스들

자신들의 정의에 따라 메타버스를 from the scratch 로 만드는 곳들도 있지만 
이미 있던 회사들이 자신들의 성격을 메타버스로 재정의 하는 경우도 많습니다. 
뭐가 되었던 간에 `메타버스`를 언급하는 것만으로도 주가 폭ㄷ... 같은 현상들이 나타나고 있습니다.

• 메타 - 구 페이스북. 아직 실체는 없지만 Oculus 를 갖고 있어서 왠지 선두주자처럼 느껴지는 회사
• 제페토
  • 네이버의 자회사인 스노우의 자회사인 네이버제트의 서비스
  • 원래 얼굴 인식을 통한 아바타 제작 앱으로 시작했지만 본격적으로 메타버스로 방향 전환한 사례
• 슈퍼캣 - 네이버제트와 손잡고 협업메타버스라는 장르에 잽(Zep) 서비스로 진출. 게더류의 서비스?
• 마인크래프트 - 설명이 필요없는 곳.
  • 이미 돈도 많이 벌고 충성 사용자층도 두터운데... 가상공간에서의 게임에 방점이 찍힌 느낌
  • 교육과의 연결고리가 있고 CPU 를 만드는 것과 같은 흥미로운 일도 있지만... 
• 로블록스 - 상장사.
  • 저작권 침해의 바로미터로 핫한 이슈가 재빠르게 반영되는 곳
  • 로벅스라는 가상 화폐가 상당히 Active 하게 사용되고 있기도 함
  • 하지만 그래픽이 마음에 들지 않는다는 것이 일반적인 평이고 아이들이 노출되기 안좋은 컨텐츠도 많이 뿌려짐
• NFT / 코인에 진입하는 많은 회사들 - 메타버스 세상에도 돈이 필요하다는 전제하에...
• Unity / Epic (Unreal) - xR 이 메타버스에 꼭 필요한지와 별개로... 일단 키워드 관련하여 가장 핫한 곳.

단상

가만히 살펴보면 지금 우리가 `메타버스`라고 부르고 있는 것들이 과연 메타버스인지 좀 의문입니다. 
결국 모두가 가두리 양식을 하고 있는 중이고 영화 <레디플레이어원>에서 봤던 것처럼
모든 사람들이 공통으로 사용하는 진짜 `메타`공간은 그 어디에도 아직 없습니다.

20억 이상의 사용자를 갖고 있는 페이스북도 결국 10~20대 사용자들이 거부감을 느끼면서
새로운 사용자 유입에 어려움을 겪고 있으며, 결정적으로 그 누구도 FB를 공통 플랫폼이라고 생각하지 않습니다.
다만 사용자가 많이 몰려 있는 공간이니 비즈니스 기회가 많아 정도의 인식으로 접근한다는 느낌입니다.

현재의 `마이크로버스`를 넘어선 `메타버스`가 탄생하려면 결국 
수많은 `유니버스`들 간에 연결고리가 있어야 하고 공통된 규격이 있어야 하지 않을까 싶습니다.
`닷컴`열풍처럼 또 하나의 `트렌드`로서 끝날 것인지 주목해 봅시다.

기타

주식시장에서 메타버스 ETF 가 핫한데... 대표적으로 TIGER Fn메타버스(400907) 같은 것이 있다.
그런데 이 ETF의 구성종목을 한번 보면...?

전세계를 휩쓸고 있는 log4j 보안 취약점에 대한 대응이 슬슬 후반부로 들어가는 느낌입니다. 
log4j 보안 취약점에 대한 대응이 진행되지 못한 곳도 여전히 보이지만 주요한 글로벌 소프트웨어들은
log4j 의 새로운 버전 릴리즈에 맞추어 새롭게 패키징 된 버전들을 속속 공개하고 있습니다. 

취약점이 제거된 log4j의 2.16 버전 공개

이번 사태의 원흉(?)이 된 log4j의 새로운 2.16버전이 13일에 공개되었습니다. 
어떻게 대응을 했는가 가만히 살펴보니 기본적으로 JNDI 기능을 Disable 상태로 변경한 것으로 보입니다. 

https://logging.apache.org/log4j/2.x/changes-report.html?fbclid=IwAR2MKfhkCHCqeWzJ2LbTuRugBrshBGZfkDBS-5vWhI2y7fXNxUQPGCxWdrM#a2.16.0 

취약점이 제거된 Logstash의 새로운 버전 7.16.1과 6.8.21 버전 공개

Logstash는 7버전과 6버전의 두개의 스트림이 존재합니다. 
이번 취약점은 7버전과 6버전 모두에 해당되었기에 양쪽의 버전이 하나씩 올라갔습니다.

Logstash의 릴리즈 노트를 살펴보면 의존성 라이브러리로 포함되어 있는 log4j의 버전을 
취약점이 제거된 2.15.0 버전으로 변경했다는 것을 확인할 수 있습니다. 

지난 포스팅에서 소개했던 것처럼 임시로 JNDI를 Logstash의 core-jar 에서 제거한 상태로 써도 무방하지만 
기왕 새로운 버전이 나온 김에 릴리즈 노트를 살펴보고 오래된 Logstash 버전들을 개비해주는 것도 좋은 선택입니다. 

• Logstash 7.16.1 다운로드 : https://www.elastic.co/kr/downloads/logstash

• Logstash 6.8.21 다운로드 : https://www.elastic.co/.../past-releases/logstash-6-8-21

Logstash 업그레이드 방법은?

설치되어 운영중인 Logstash의 버전 업그레이드는 사용 환경에 따라 다릅니다.
패키지 매니저를 이용해서 설치한 경우라면 운영체제 버전에 맞추어 아래의 명령을 사용하시면 되겠습니다. 

# Ubuntu
apt-get upgrade logstash

# CentOS / Redhat
yum update logstash

# Mac
brew upgrade logstash

널리 사용되는 라이브러리에서 발생하는 문제는 늘 많은 어려움을 낳습니다. 
특히 의존성 관계를 갖게 되는 라이브러리라면 그 파급효과가 엄청납니다. 
아무쪼록 이번 보안 취약점으로 인해 큰 탈을 겪지 않았길 바래봅니다.

(2021.12.14 업데이트) 그 사이 log4j 의 패치 버전이 나오고, 패치된 log4j를 탑재한 Logstash의 새로운 버전이 공개되었습니다. 자세한 내용은 새로 올린 아래 포스팅을 참고해 보세요!

주말 내내 log4j 에 대한 폭풍이 계속 이어지고 있습니다. 직접 개발한 소스코드를 이용하는 경우 새로 공개된 log4j 의 바이너리(2.15.0+)를 이용해 빌드를 다시 하면 되지만 그렇지 않은 오픈소스나 외부의 패키지를 이용한 경우들이 계속 발견되고 보고되고 있습니다. 

저 역시 로그 수집을 위해 Logstash 클러스터를 운영하고 있던 관계로 log4j 에 대한 취약점 대응을 해야 했습니다. 직접 만든 코드가 아니다보니 log4j 에 대한 대응을 어떻게 해야 하나 찾아본 결과를 정리해 봅니다.

https://ondemand.tistory.com/345

영향받는 logstash 버전은?

Logstash의 6.8.20 이하, 혹은  7.16.0 이하 버전은 모두 영향범위에 들어갑니다. 오래된 버전은 log4j 의 낮은 버전이 탑재되어 있을 수 있겠지만 기본적으로 현시점까지 릴리즈된 버전은 모두 영향범위로 보는 것이 맞겠습니다.

// logstash의 경로는 사용 환경에 따라 다를 수 있습니다
//
$ /usr/share/logstash/bin/logstash --version
logstash 7.3.1

새로운 버전의 릴리즈는?

가장 확실한 방법은 새로운 버전의 릴리즈를 기다리는 것입니다. Logstash의 가장 최신 버전은 7.16.0 버전으로 확인됩니다 (2021.12.13 오전 7:38 기준) 이 버전에서 사용하고 있는 log4j 는 취약점이 있는 버전으로 조치가 필요합니다.

현재 예고되어 있는 패치 버전의 공개는 한국 시간으로 늦어도 14일까지 릴리즈 될 예정입니다. 따라서 아직까지는 보안 취약점이 제거된 새로운 릴리즈 버전을 사용할 수 없고, log4j 의 취약점 대응을 다른 방식으로 해야만 합니다.

Logstash core-jar 파일에서 jdni 클래스를 삭제하기

elastic 에서 logstash 의 log4j 취약점 제거를 위해 공식 가이드하고 있는 방법은 logstash 패키지에 포함된 core-jar 파일에서 jdni 클래스를 제거하는 방법입니다. 느낌이 왔겠습니다만 아주 확실하고 강려크한 방법이라고 생각합니다. 참고로 한때 유통되던 log4j 의 실행시 옵션을 주는 방법은 유효하지 않다고 합니다. 클래스를 확 날려버리는게 현재로서는 가장 확실한 방법입니다.

// jdnilookup.class 를 삭제합니다
// 경로 (/usr/share/logstash)는 각자의 환경에 맞추어 수정합니다
//
sudo zip -q -d /usr/share/logstash/logstash-core/lib/jars/log4j-core-2.* org/apache/logging/log4j/core/lookup/JndiLookup.class

// 자바 클래스 재로딩을 위해 logstash 를 재기동합니다
//
sudo systemctl restart logstash

log4j 처럼 광범위하게 사용되는 패키지의 취약점 발견으로 여기저기 들썩들썩합니다. 모두들 무탈히 이슈 대응 하시길 기원합니다!

지난주 후반부, 한국 뿐만 아니라 전세계가 시끌시끌했습니다. 
사실상의 서버측 로깅 표준으로 자리잡힌 log4j 로깅 모듈의 보안 취약점이 발견되었고
공격방법이 인터넷에 고개되면서 Zero Day Vulnerability 가 발생했기 때문입니다.

취약점을 간단히 요약하자면,
"로그로 기록되어야 하는 문자열에 악의적인 내용을 집어넣어 원격지에서 서버의 코드, 명령을 실행할 수 있는 취약점이 있었음"
입니다.

취약점을 통해 외부에 노출되지 않은 LDAP 서버 등으로 악의적인 코드가 담긴 자바 클래스를 전송하고 
log4j 를 통해 이 클래스를 메모리에 로딩하는 방식으로 서버에 침투하게 됩니다. 
이번 취약점은 오래전 SSL 프로토콜의 취약점으로 명성을 날렸던 하트블리드(heartbleed)급으로 알려졌습니다.

취약점에 대한 대응은 크게 두가지 방식으로 진행되었습니다. 
1. 취약점이 패치된 log4j 가 배포되기 전까지는 코드 인젝션이 발생할 수 있는 JNDI 의 옵션을 끈다
2. 취약점 패치 버전 (2.15.0+) 가 배포된 후에는 새로운 log4j 로 교체한다

이런 대응이 여러 회사의 개발조직 중심으로 대응되는 동안 
물들어올때 노를 저어야 한다는 것을 잘 알고 있는 클라우드 벤더들은 
열심히 관련된 포스팅을 날리며 자사의 보안 솔루션들을 홍보하기 시작했습니다. 

간만에 글로벌 초대형 급의 취약점으로 주말이 시끌시끌 했습니다. 
아직까지 취약점은 현재 진행형이기 때문에 두눈 부릅뜨고
log4j 를 쓰는 곳이 없는지 살펴봐야 하겠습니다!