요즘은 어느 업종이나 마찬가지일거란 생각이 들긴 하지만 IT 업종만큼 새로운 기술과 트렌드가 미친듯이 쏟아지고 잠깐 방심하면 뒤처지는 도메인도 보기 드물다는 생각을 많이 합니다.
트랜드를 따라가기 위해 가장 좋은 것은 결국 미디어를 활용하는 것! 유튜브도 좋지만 정갈하게 정제된 정보를 쉽게 확인하고 따라가는 것은 IT 전문 미디어들의 최신 글을 살펴보는 것 만큼 좋은 것도 없다고 봅니다.
글로벌 테크 미디어들의 최신글을 한번에!
개인적으로 즐겨보는 미디어는 The Verge와 Engadget 정도입니다. 때문에 이쪽에서 다루지 않는 기술이나 트렌드는 한 템포 늦는 경우가 종종 있습니다. (네, 물론 그런 경우는 별로 발생하지 않기는 합니다 ㅎㅎ 제가 게으른 탓이지요...) 보완재로 트위터-_-를 애용하고 있는데 이쪽은 정제되지 않은 정보가 많아 다시 또 원문을 찾아 읽는 수고를 해야만 하는 단점이 있습니다.
그런 관점에서 TECHURLS 라는 페이지는 보석과도 같은 서비스입니다. Hacker News, Slashdot 같은 커뮤니티의 Tech 관련 글에서 부터 The VErge, TechCrunch, NY Times의 기술 섹션까지 다양한 테크 미디어들의 최신 글을 한 눈에 살펴볼 수 있는 곳입니다.
어마어마하죠? 단점이 있다면 기사 타이틀만 소개되기 때문에 무엇을 읽을 것인가를 생각하고 고민해야 한다는 점? 기왕이면 작은 썸네일이라도 있었으면 하는 아쉬움이 있습니다.
번외편 : 테크 말고는 없나요?
TECHURLS 는 로고에서 추정 할 수 있는 것처럼 xxxURLS 시리즈(?)를 많이 운영하고 있습니다. 과학, 개발, 금융 분야는 물론이고 물리학? 수학? 까지 개별 서비스가 있습니다. 관심이 있다면 이런 곳를 또 찾아서 보시는 것도 흥미로운 경험이 될 것 같습니다.
이미 돈도 많이 벌고 충성 사용자층도 두터운데... 가상공간에서의 게임에 방점이 찍힌 느낌
교육과의 연결고리가 있고 CPU 를 만드는 것과 같은 흥미로운 일도 있지만...
로블록스 - 상장사.
저작권 침해의 바로미터로 핫한 이슈가 재빠르게 반영되는 곳
로벅스라는 가상 화폐가 상당히 Active 하게 사용되고 있기도 함
하지만 그래픽이 마음에 들지 않는다는 것이 일반적인 평이고 아이들이 노출되기 안좋은 컨텐츠도 많이 뿌려짐
NFT / 코인에 진입하는 많은 회사들 - 메타버스 세상에도 돈이 필요하다는 전제하에...
Unity / Epic (Unreal) - xR 이 메타버스에 꼭 필요한지와 별개로... 일단 키워드 관련하여 가장 핫한 곳.
단상
가만히 살펴보면 지금 우리가 `메타버스`라고 부르고 있는 것들이 과연 메타버스인지 좀 의문입니다. 결국 모두가 가두리 양식을 하고 있는 중이고 영화 <레디플레이어원>에서 봤던 것처럼 모든 사람들이 공통으로 사용하는 진짜 `메타`공간은 그 어디에도 아직 없습니다.
20억 이상의 사용자를 갖고 있는 페이스북도 결국 10~20대 사용자들이 거부감을 느끼면서 새로운 사용자 유입에 어려움을 겪고 있으며, 결정적으로 그 누구도 FB를 공통 플랫폼이라고 생각하지 않습니다. 다만 사용자가 많이 몰려 있는 공간이니 비즈니스 기회가 많아 정도의 인식으로 접근한다는 느낌입니다.
현재의 `마이크로버스`를 넘어선 `메타버스`가 탄생하려면 결국 수많은 `유니버스`들 간에 연결고리가 있어야 하고 공통된 규격이 있어야 하지 않을까 싶습니다. `닷컴`열풍처럼 또 하나의 `트렌드`로서 끝날 것인지 주목해 봅시다.
기타
주식시장에서 메타버스 ETF 가 핫한데... 대표적으로 TIGER Fn메타버스(400907) 같은 것이 있다. 그런데 이 ETF의 구성종목을 한번 보면...?
전세계를 휩쓸고 있는 log4j 보안 취약점에 대한 대응이 슬슬 후반부로 들어가는 느낌입니다. log4j 보안 취약점에 대한 대응이 진행되지 못한 곳도 여전히 보이지만 주요한 글로벌 소프트웨어들은 log4j 의 새로운 버전 릴리즈에 맞추어 새롭게 패키징 된 버전들을 속속 공개하고 있습니다.
취약점이 제거된 log4j의 2.16 버전 공개
이번 사태의 원흉(?)이 된 log4j의 새로운 2.16버전이 13일에 공개되었습니다. 어떻게 대응을 했는가 가만히 살펴보니 기본적으로 JNDI 기능을 Disable 상태로 변경한 것으로 보입니다.
(2021.12.14 업데이트) 그 사이 log4j 의 패치 버전이 나오고, 패치된 log4j를 탑재한 Logstash의 새로운 버전이 공개되었습니다. 자세한 내용은 새로 올린 아래 포스팅을 참고해 보세요!
주말 내내 log4j 에 대한 폭풍이 계속 이어지고 있습니다. 직접 개발한 소스코드를 이용하는 경우 새로 공개된 log4j 의 바이너리(2.15.0+)를 이용해 빌드를 다시 하면 되지만 그렇지 않은 오픈소스나 외부의 패키지를 이용한 경우들이 계속 발견되고 보고되고 있습니다.
저 역시 로그 수집을 위해 Logstash 클러스터를 운영하고 있던 관계로 log4j 에 대한 취약점 대응을 해야 했습니다. 직접 만든 코드가 아니다보니 log4j 에 대한 대응을 어떻게 해야 하나 찾아본 결과를 정리해 봅니다.
혹시나, "이게 머선일이고!?" 하는 분이 계시다면 아래의 링크로 빠르게! 취약점을 내것으로 만들어 보시기 바랍니다!
Logstash의 6.8.20 이하, 혹은 7.16.0 이하 버전은 모두 영향범위에 들어갑니다. 오래된 버전은 log4j 의 낮은 버전이 탑재되어 있을 수 있겠지만 기본적으로 현시점까지 릴리즈된 버전은 모두 영향범위로 보는 것이 맞겠습니다.
// logstash의 경로는 사용 환경에 따라 다를 수 있습니다
//
$ /usr/share/logstash/bin/logstash --version
logstash 7.3.1
새로운 버전의 릴리즈는?
가장 확실한 방법은 새로운 버전의 릴리즈를 기다리는 것입니다. Logstash의 가장 최신 버전은 7.16.0 버전으로 확인됩니다 (2021.12.13 오전 7:38 기준) 이 버전에서 사용하고 있는 log4j 는 취약점이 있는 버전으로 조치가 필요합니다.
현재 예고되어 있는 패치 버전의 공개는 한국 시간으로 늦어도 14일까지 릴리즈 될 예정입니다. 따라서 아직까지는 보안 취약점이 제거된 새로운 릴리즈 버전을 사용할 수 없고, log4j 의 취약점 대응을 다른 방식으로 해야만 합니다.
Logstash core-jar 파일에서 jdni 클래스를 삭제하기
elastic 에서 logstash 의 log4j 취약점 제거를 위해 공식 가이드하고 있는 방법은 logstash 패키지에 포함된 core-jar 파일에서 jdni 클래스를 제거하는 방법입니다. 느낌이 왔겠습니다만 아주 확실하고 강려크한 방법이라고 생각합니다. 참고로 한때 유통되던 log4j 의 실행시 옵션을 주는 방법은 유효하지 않다고 합니다. 클래스를 확 날려버리는게 현재로서는 가장 확실한 방법입니다.
// jdnilookup.class 를 삭제합니다
// 경로 (/usr/share/logstash)는 각자의 환경에 맞추어 수정합니다
//
sudo zip -q -d /usr/share/logstash/logstash-core/lib/jars/log4j-core-2.* org/apache/logging/log4j/core/lookup/JndiLookup.class
// 자바 클래스 재로딩을 위해 logstash 를 재기동합니다
//
sudo systemctl restart logstash
log4j 처럼 광범위하게 사용되는 패키지의 취약점 발견으로 여기저기 들썩들썩합니다. 모두들 무탈히 이슈 대응 하시길 기원합니다!