프로세스, 파일, 포트와 같은 모든 리소스에는 SELinux 컨텍스트로 레이블이 지정된다. SELinux는 /etc/ selinux/targeted/contexts/files/ 디렉터리에서 파일 레이블 지정 정책에 대한 파일 기반 데이 터베이스를 유지 관리한다.
새 파일은 해당 파일 이름이 기존 레이블 지정 정책과 일치하는 경우 기본 레이블을 가져온다. 새 파일의 이름이 기존 레이블 지정 정책과 일치하지 않는 경우에는 파일에 상위 디렉터리와 동일한 레이블이 상속된다. 레이블 상속을 사용하면 파일에 대한 명시적 정책이 존재하는지의 여부와 관계없이 모든 파일이 생성될 때 항상 레이블이 지정된다.
기존의 레이블 지정 정책이 있는 기본 위치에 파일이 생성되거나 사용자 지정 위치에 대한 정책이 있는 경우 새 파일에 올바른 SELinux 컨텍스트로 레이블이 지정된다. 그러나 기존 레이블 지정 정책 없이 파일이 예 기치 않은 위치에 생성되면 상속된 레이블이 새 파일의 의도된 용도에 맞지 않을 수 있다.
또한 파일을 새 위치에 복사하면 해당 파일의 SELinux 컨텍스트가 새 위치의 레이블 지정 정책 또는 상위 디렉터리 상속(정책이 없는 경우)으로 결정된 새 컨텍스트로 변경될 수 있다.
복사하는 동안 파일의 SELinux 컨텍스트를 보존하여 파일의 원래 위치에 대해 결정된 컨텍스트 레이블을 유지할 수 있다. 예를 들어 cp -p 명령은 가능한 경우 모든 파일 특성을 유지하고, cp -c 명령은 복사하는 동안 SELinux 컨텍스트만 유지한다.
SELinux 컨텍스트 변경
파일의 SELinux 컨텍스트는 semanage fcontext, restorecon, chcon 명령으로 변경한다. 파일의 컨텍스트를 설정하는 데 권장되는 방법은 semanage fcontext 명령을 사용하여 파일 컨텍스트 정책을 생성한 다음 restorecon 명령을 사용하여 정책에 지정된 컨텍스트를 파일에 적용하는 것이다.
이 방법을 사용하면 필요할 때마다 restorecon 명령을 사용하여 파일의 레이블을 올바른 컨텍스트로 쉽 게 다시 지정할 수 있다. 이 방법의 장점은 컨텍스트가 무엇인지 기억할 필요가 없으며 파일 집합에서 컨 텍스트를 쉽게 수정할 수 있다는 것이다.
chcon 명령은 SELinux 컨텍스트를 파일에 직접 설정하지만 시스템의 SELinux 정책은 참조하지 않는예다. chcon은 테스트 및 디버깅에 유용하지만 이 방법을 사용하여 컨텍스트를 수동으로 설정하는 것은 일시적이다. 수동으로 설정한 파일 컨텍스트는 재부팅 후에도 유지되지만 restorecon을 실행하여 파일 시스템 콘텐츠에 레이블을 다시 지정하는 경우 바뀔 수 있다.
semanage fcontext
파일 컨텍스트 매핑은 SELinux에서 시스템에 있는 파일 및 디렉토리의 보안 컨텍스트를 결정하는 데 사용되며, 이에 따라 적용되는 권한 및 액세스 제어가 결정된다.
semanage fcontext의 목적은 특정 파일 및 디렉토리에 대한 보안 설정 또는 "컨텍스트"를 정의하고 관리하는 것이다. 이러한 컨텍스트는 SELinux에서 각 파일 및 디렉토리에 대해 허용 또는 거부되는 작업(예: 읽기, 쓰기, 실행)을 결정하는 데 사용된다.
SELinux 기본 파일 컨텍스트 정책 정의
semanage fcontext 명령은 기본 파일 컨텍스트를 결정하는 정책을 표시하고 수정한다. semanage fcontext -l 명령을 실행하여 모든 파일 컨텍스트 정책 규칙을 나열할 수 있다. 이러한 규칙은 확장 된 정규 표현식 구문을 사용하여 경로 및 파일 이름을 지정한다.
정책을 볼 때 가장 일반적인 확장 정규 표현식은 (/.*)?이며, 일반적으로 디렉터리 이름에 추가된다. 이 표기법은 유머러스하게 해적이라고 한다. 얼굴에 눈 가리개가 있고 그 옆에 갈고리 손이 있는 것처럼 보이 기 때문이다.
이 구문은 '슬래시로 시작하고 그 뒤에 임의의 수의 문자가 있는 문자 집합'으로 설명되며, 집합은 있을 수도 있고 없을 수도 있다. 더 간단히 말하면 이 구문은 비어 있는 경우에도 디렉터리 자체와 일치하지만 해당 디렉터리 내에 생성된 거의 모든 파일 이름과 일치한다.
예
새 파일 컨텍스트 매핑을 추가한다.
semanage fcontext -a -t my_custom_type_t '/path/to/directory(/.*)?'
이 명령은 /path/to/directory 및 그 내용에 대한 새 파일 컨텍스트 매핑을 추가하여 SELinux 유형 my_custom_type_t를 지정된 파일 및 디렉토리에 할당한다.
애플페이, 손가락 동작 두 번에 결제 완료 단말기·교통카드 미지원 등 과제 산적 삼성페이에 결제 속도·거리 크게 앞서
요약
한국에 상륙한 애플페이가 첫날부터 가입자 100만 명을 돌파했다. 애플페이는 애플 생태계에서 강력한 위상을 지니며, 엄지와 검지를 두 번 부딪히는 간편한 결제 방법과 아이폰 2대에서 등록 및 이용이 가능한 등의 기능이 있어 소비자의 니즈를 파악한 애플의 ‘센스’가 돋보인다. 그러나 교통카드를 지원하지 않고 결제 범위도 한정적인 등의 한계가 있어, 앞으로는 교통카드 문제와 범용성 확대가 숙제로 남아있다. 반면, 삼성페이는 오프라인 결제 1위를 지키기 위해 온라인 결제 1위 네이버페이와의 연동을 시작했다. 이번 협력으로 네이버페이 이용자는 어디서든 간편하게 결제가 가능하다.
수치 및 이슈
1. 애플페이가 21일 한국에 상륙한 첫날 가입자 100만 명을 돌파하며 파란
2. 와이파이나 데이터 연결이 없어도 아이폰이나 애플워치로 애플페이 결제가 가능
3. 애플페이는 단말기에서 10cm 이상 멀리 떨어져도 결제가 이뤄졌다
본문
엄지와 검지를 두 번 맞대니 애플워치에서 애플워치가 켜졌다. 결제는 순식간에 이뤄졌다.
애플페이가 21일 한국에 상륙한 첫날 가입자 100만 명을 돌파하며 파란을 일으켰다. 돌풍 속에는 고객 편의를 고민한 애플페이의 신기능이 있었다.
애플 생태계 속 애플페이의 위력은 막강했다. 애플워치를 찬 손의 엄지와 검지를 집게 손 모양으로 두 번 부딪히니 곧바로 애플페이가 실행돼 결제까지 한 번에 이뤄졌다.
와이파이나 데이터 연결이 없어도 아이폰이나 애플워치로 애플페이 결제가 가능했다.
소비자의 니즈를 정확히 파악한 애플의 ‘센스’도 눈에 띈다. 애플페이는 아이폰 2대에서 등록 및 이용할 수 있다. 카드 하나를 둘이 같이 써야 하는 경우, 예컨대 소득공제를 이유로 카드를 같이 쓰는 부부를 배려한 것이다. 삼성페이는 1대만 등록 가능하다.
결제 범위도 애플이 앞섰다. 삼성페이의 경우 단말기에 기기를 가까이 대야 결제가 됐지만 애플페이는 단말기에서 10cm 이상 멀리 떨어져도 결제가 이뤄졌다.
한 이용자는 애플페이를 켜놓은 상태에서 줄을 서고 있다가 앞 사람의 물건이 대신 결제됐다는 웃지 못할 사연을 전하기도 했다.
물론 ‘반쪽 페이’라는 비판도 존재한다. 애플페이는 교통카드를 지원하지 않는다. 버스나 지하철 이용 시 교통카드를 지원하는 실물 카드를 따로 소지해야 한다.
‘복불복’ 결제도 아쉽다. 애플페이는 NFC(근거리무선통신) 결제를 지원한다. 그러나 하나금융경영연구소에 따르면 전국 신용카드 가맹점 290만 곳 중 NFC 단말기를 보유한 곳은 편의점, 신세계백화점, 롯데백화점, 스타벅스 등 약 10%에 불과하다. 가맹점 대부분 MST(마그네틱보안전송) 단말기를 갖췄다.
NFC 단말기를 갖춰도 애플페이가 된다는 보장은 없다. 스타벅스의 경우 NFC 단말기가 있지만 애플페이 결제가 불가능하다. 신세계그룹 계열 가맹점들이 당장 애플페이 서비스를 지원하지 않고 있기 때문이다.
애플페의 앞으로 숙제는 교통카드 문제 해결 및 범용성 확대다.
애플은 국내 교통카드 사업자인 티머니, 캐시비 등과 교통카드 탑재를 놓고 비용문제로 난항을 겪고 있는 것으로 알려졌다. 삼성그룹에 뿌리를 둔 신세계그룹 계열의 가맹점들이 당장 애플페이 서비스를 지원하지 않고 있어 애플의 세력 확장에도 난관이 예상된다.
한편, 애플페이의 침공에 맞서 오프라인 결제 1위 삼성페이는 23일부터 온라인 결제 1위 네이버페이와 연동한 간편 결제 서비스를 시작했다. 이번 협력으로 3150만 네이버페이 이용자는 앱에서 삼성페이를 작동시켜 간단 인증 후 단말기를 구비한 모든 곳에서 결제를 할 수 있게 된다.
광주광역시는 K-Health 사업을 통해 의료기관을 대상으로 클라우드 기반의 의료데이터 통합 플랫폼을 구축하여 인공지능(AI) 진단 지원 서비스와 AI 앰뷸런스 등을 제공하고 있다. 21종의 인공지능(AI) 진단솔루션이 전남대병원, 조선대병원, 기독병원 등에 도입되어 있으며, 응급의료시스템과 개인건강관리를 위한 공공의료앱 등도 개발하고 있다. 이를 통해 광주는 성공 모델을 확립하여 전국에 확산시키는 계기가 될 것으로 기대된다.
수치및이슈
1. 광주광역시는 과학기술정보통신부와 정보통신산업진흥원이 주관하는 ‘K-Health 국민의료 인공지능(AI)서비스 및 산업생태계 구축(이하 K-Health사업)’ 1차년도 사업을 완료하고 4월부터 2차년도 사업을 시작
2. 현재 광주지역 138개 병·의원이 참여하고 있으며, 사업이 완료되는 2025년까지 광주와 여수, 목포 등 인근 5개 도시 병·의원 450여곳 이상이 참여할 것으로 예상
3. 시민들은 앱을 통해 자신이 방문한 병·의원 진료·의료영상·건강정보 등 의료정보를 스마트폰으로 손쉽게 확인하고 이 정보들을 기반으로 개인의 건강관리 상담도 가능해진다
본문
광주광역시가 인공지능(AI)과 결합한 미래 의료로 혁신의 바람을 일으키고 있다.
광주광역시는 과학기술정보통신부와 정보통신산업진흥원이 주관하는 ‘K-Health 국민의료 인공지능(AI)서비스 및 산업생태계 구축(이하 K-Health사업)’ 1차년도 사업을 완료하고 4월부터 2차년도 사업을 시작한다고 밝혔다.
광주테크노파크가 주관하고 인공지능산업융합사업단, 전남대병원, 조선대병원, 한국스마트헬스케어협회가 협력해 추진하는 이 사업은 의료기관을 대상으로 클라우드 기반의 의료데이터 통합 플랫폼을 구축한다. 현재 광주지역 138개 병·의원이 참여하고 있으며, 사업이 완료되는 2025년까지 광주와 여수, 목포 등 인근 5개 도시 병·의원 450여곳 이상이 참여할 것으로 예상된다.
플랫폼이 구축되면 다양한 의료서비스를 통해 생성된 데이터를 기업과 연구소에서 활용할 수 있는 길이 열린다.
K-Health사업은 도시 전역 병의원의 의료데이터를 한데 모으는 클라우드 연계를 통해 시민들과 의료진들에게 한층 더 선진화된 의료 서비스를 제공한다.
먼저 인공지능(AI)진단지원서비스, 인공지능(AI)앰뷸런스 등 선진화된 의료서비스를 제공해 정확한 질병 진단 서비스와 긴급 후송되는 중환자들의 골든타임 확보 등의 해결책을 제시할 것으로 기대된다.
지금까지 폐질환진단 등 총 21종의 인공지능(AI) 진단솔루션이 전남대병원, 조선대병원, 기독병원 등에 도입돼 진료 때 활용되고 있다. 앞으로 수요조사를 통해 활용성이 높은 우수한 진단솔루션을 추가 도입할 예정이다.
또 소방본부에서 운영하고 있는 구급차와 광주지역 응급의료센터에 인공지능(AI)기반 응급의료시스템(AI앰뷸런스)을 도입했다. 앞으로는 응급환자의 상태와 병원 현황을 인공지능(AI)으로 분석해 신속한 이송이 가능해진다.
인공지능(AI)기반 응급의료시스템은 현재 8대의 구급차와 응급의료센터 5개소에 설치했으며, 2025년까지 소방본부 38대 구급차 전체와 지역 전체 응급의료센터 20곳에 시스템을 구축·운영할 계획이다.
빛고을노인건강타운에 시범적으로 구축해 운영하고 있는 라이프로그 건강관리소(헬스케어 실증센터)를 동구 창업지원센터(서석동)와 서구 서빛마루복지관(풍암동) 등 2곳에 추가로 구축해 시민의 기초체력 측정 등 개인건강관리를 할 수 있도록 지원한다.
이 밖에 개인이 자신의 건강데이터를 관리하고 활용할 수 있는 공공의료앱을 개발해 시민들에게 제공한다. 시민들은 앱을 통해 자신이 방문한 병·의원 진료·의료영상·건강정보 등 의료정보를 스마트폰으로 손쉽게 확인하고 이 정보들을 기반으로 개인의 건강관리 상담도 가능해진다.
향후에는 시민들의 데이터 제공에 대한 보상체계까지 별도로 마련해 개인건강관리 서비스에 대한 시민 체감이 높아질 것으로 전망된다.
김용승 시 인공지능산업국장은 “K-Health사업의 다양한 의료서비스와 인공지능(AI)기반 의료데이터 활용 환경 조성을 통해 광주에 성공모델을 정착시키고 이를 전국으로 확산시키는 계기가 될 것으로 기대한다”고 말했다.
클라우드 마이그레이션 시 부실한 계획, 오해, 안일한 활용, 낮은 데이터 접근성 등의 주요 도전과제를 안고 있다. 전문가들은 실용적이고 구조화된 아키텍처 접근방식과 전략적인 계획이 필수적이며, 마이그레이션을 베드락 프로젝트로 오해하지 말아야 한다는 것을 강조했다. 또한 클라우드 비용이 많이 들며, 숨겨진 비용도 계획 시 고려해야 한다는 것을 경고했다. 클라우드 컴퓨팅의 진화로 하이브리드 멀티클라우드 환경이 생겨나고 있으며, 기업은 진화된 클라우드와 함께 추진해 나갈 필요가 있다.
클라우드 채택 과정에서 주의해야 할 5가지 사항에 대해 설명했다. 첫째, 무질서한 플랫폼 확산을 피하기 위해 멀티모달 데이터베이스를 사용하고, 소프트웨어 리소스 사용 상황을 파악해야 한다. 둘째, 불충분한 보안으로 인한 문제를 방지하기 위해 클라우드 보안 관련 실수를 피하고 보안 평가를 철저히 해야 한다. 셋째, 필요한 역량을 과소평가하지 말고 클라우드 배포 및 관리에 필요한 기술 및 경험을 충분히 고려해야 한다. 넷째, 마이그레이션을 서두르지 말고 디지털화를 추진할 때는 적절한 단계를 거쳐야 하며, 클라우드의 진화를 지속적으로 파악하며 비즈니스 전략을 정렬해야 한다. 다섯째, 클라우드 채택에 따른 리스크와 비용을 최소화하기 위해 명확하고 신중한 프레임워크를 갖추는 것이 필수적이다. 이러한 조치들을 통해 기업은 클라우드 채택을 보다 안정적이고 성공적으로 수행할 수 있다.
수치및이슈
해당 내용은 전체적으로 참고할 만한 내용들 임으로 한번씩 읽어보는 것을 추천한다.
본문
부실한 계획 세부적인 클라우드 전략이 없다면 문제가 될 수 있다. 엔터프라이즈 컨설팅 회사인 캡제미니 아메리카스(Capgemini Americas)의 수석 이사이자 전문가 조직(Center of Excellence) 책임자인 윌리엄 펠저스는 “클라우드로 전환 시 실용적이고 구조화된 아키텍처 접근방식이 상당히 중요하다”라고 강조했다.
특히 그는 클라우드로 전환 시 전략적으로 생각하는 게 필수적이라고 지적한다. 그는 “적절한 아키텍처를 설계하고 준비한다면, 이슈 발생 시 트러블슈팅(troubleshooting) 및 디버깅(debugging) 기간을 적어도 며칠은 줄일 수 있다”라고 말했다.
계획에서 마이그레이션에 이르는 과정에서 발생한 모든 실수로부터 배우는 것 또한 중요하다. 그는 “클라우드에 다짜고짜 뛰어들어 무작정 파악하고자 하는 이들은 성공하지 못할 것이다”라고 경고했다.
마이그레이션에 대한 오해 클라우드 마이그레이션은 일회성 프로세스가 아니다. 엔터프라이즈 자문 회사 액센츄어(Accenture)의 클라우드 퍼스트(cloud first) 리드인 칼틱 나레인은 “이는 복잡한 상호 관련 이슈가 있는 지속적인 여정이다”라고 설명했다.
많은 IT 리더들은 클라우드 마이그레이션을 베드락(bedrock) 시작일 및 종료일을 가진 전통적인 프로젝트로 오해하고 있다. 그러나 최근의 액센츄어 연구에 따르면, 자신의 클라우드 여정이 완료된 것으로 간주하는 기업의 32%는 실제로 조직을 위험에 빠뜨리며 얻을 수 있는 가치를 잃고 있다.
나레인은 “조직이 비용 절감에만 좁게 초점을 맞출 경우, 퍼블릭, 프라이빗 및 엣지를 비롯한 많은 역동적 형태의 클라우드를 더욱 전략적으로 사용하는 조직에 비해 불리해질 수 있다. 실제로 우리의 연구에 따르면, 클라우드를 전략적으로 검토한 이러한 조직은 효율성에만 주안점을 둔 조직보다 더 많은 비용을 절감한 것으로 나타났다”라고 설명했다.
클라우드 비용의 과소평가 클라우드 마이그레이션은 늘 즉각적인 비용 절감으로 이어진다는 것은 흔한 오해다. 존 와일리 & 선즈(John Wiley & Sons)의 CTO인 아레프 마틴은 “실제로 클라우드 마이그레이션은 비용이 많이 든다. 또한 모든 비용을 완전히 파악하지 못할 경우 비즈니스가 실패할 수 있다”라고 경고했다.
클라우드 마이그레이션은 흔히 비용 절감으로 이어진다. 그러나 신중하고 세부적인 계획이 필수적이다. 그럼에도 클라우드 마이그레이션이 진행됨에 따라 숨겨진 비용은 필연적으로 나타나고 증가할 것이다. 마틴은 “프로젝트 시작 시 전반적인 클라우드 예산을 확보하도록 해야 한다”라고 조언했다.
클라우드 비용은 다양한 형태로 나타난다. 때로는 기존 데이터시설에서 떠나는 비용과 같이 쉽게 확인할 수 있는 비용도 있다. 그러나 많은 비용의 경우 이처럼 확실하지는 않다. 그는 “리스킬링(reskilling), 업스킬링(upskilling) 및 적합한 클라우드 인재 발굴 등과 같은 인재 관련 비용 혹은 비즈니스 구조를 재구성하는 데 드는 비용이 그 예다. 이러한 모든 비용은 계획 시 고려되어야 한다”라고 설명했다.
안일한 활용 클라우드 컴퓨팅의 첫 시대가 저물고 있다. 하이브리드 클라우드 데이터 서비스 및 데이터 관리 회사 넷앱(NetApp)의 클라우드 스토리지 총괄 매니저이자 수석 부사장인 로넨 슈워츠는 대부분의 기업이 이미 어떤 형태로든 클라우드 인프라를 마련해 놓았다고 언급한다.
그는 클라우드가 변곡점에 있다고 설명한다. 대부분의 조직은 클라우드로 지속적으로 마이그레이션하는 동안에도 여전히 상당한 양의 데이터, 애플리케이션 및 워크로드를 온프레미스에 보유하고 있다. 그러나 이러한 많은 기업의 경우, 이제 진화된 클라우드, 즉 클라우드 서비스가 조직의 아키텍처 및 운영에 완전히 통합되는 하이브리드 멀티클라우드 환경으로 진입하고 있다고 그는 생각한다.
그는 “이는 관리를 간소화하고 모든 곳에서 관측 가능성(observability)을 제공하기 위해 사일로를 해체한다. 이러한 진화된 클라우드는 이름이 시사하는 바 그대로다. 최종 상태가 아니다”라고 언급했다.
기업이 진화된 클라우드에 진입하게 되면 정체를 피하기 위해 계속 추진해 나갈 것을 슈워츠는 권장한다. 그는 “애플리케이션을 마이그레이션했을 경우, 이제 클라우드에 맞게 리팩토링 할 수 있다. 리팩토링을 했다면 이제 성능 혹은 비용에 맞게 최적화할 수 있다”라고 설명했다. 어느 경우든 클라우드와 함께 추진해 나가고 진화할 것을 슈워츠는 조언한다.
낮은 데이터 접근성 많은 대기업이 직면하는 주요 도전과제는 각기 다른 시스템에 분산된 데이터를 활용하는 것이다. 소프트웨어 개발 회사인 로켓 소프트웨어(Rocket Software)의 CIO인 달린 웰리엄스는 “클라우드에서 실행되는 애플리케이션은 물론이고 온프레미스에서도 다수의 환경에 걸쳐 데이터의 접근성 및 안전성을 보장하는 일은 점차 골칫거리가 되고 있다”라고 지적했다. 메인프레임(mainframe) 기술 사용자를 대상으로한 설문조사에서 응답자의 80%는 메인프레임 기술이 비즈니스 운영에 여전히 중요하다고 생각하는 것으로 나타났다고 그는 전했다.
구식 시스템에 저장된 데이터를 포기할 경우 부서는 잠재적으로 중요한 인사이트에 대한 액세스를 박탈당할 수 있다. 클라우드로 과도하게 치우친 기업은 구식 하드웨어에 고정된 데이터의 고유한 가치를 잊어버릴 위험이 있다고 윌리엄스는 경고했다.
플랫폼의 무질서한 확산 IT 리더는 비용 절감 및 플랫폼 스프롤(sprawl)을 피하기 위해 가능한 한 클라우드 기반 서비스를 통합 및 병합해야 한다고 클라우드 데이터베이스 기술 공급업체인 카우치베이스(Couchbase)의 엔지니어링 부문 부사장인 웨인 카터는 지적했다.
그는 “예를 들어, 다수의 데이터베이스를 사용하는 대신 멀티모달(multimodal) 데이터베이스를 사용할 경우, 단일 통합 백엔드에서 각기 다른 데이터 유형 및 모델을 처리할 수 있어 데이터 스프롤 및 불필요한 자금 지출을 방지할 수 있다”라고 말했다.
카터는 소프트웨어 리소스가 어떻게 사용되고 있는지 이해하기 위해 조직 내부를 자세히 살펴보라고 IT 리더들에게 조언했다. 그는 “회사 전체에 걸쳐 둘 이상의 팀이 사용할 수 있도록 다수의 라이선스를 추가할 수 있는 소프트웨어가 있음을 알게 될 수 있다”라고 전했다.
불충분한 보안 느슨한 보안으로 인해 클라우드 이니셔티브가 IT 악몽이 될 수 있다. IT 컨설팅 회사 SPR의 클라우드 설계자인 엠마누엘 노딤은 “클라우드 보안 관련 실수를 피하려면 클라우드 환경을 이해하고 외부 및 내부 보안 위협으로부터 인프라를 보호하기 위한 가드레일이 마련되도록 해야 한다”라고 이야기했다.
외부 및 내부 위협으로부터의 보호에 실패할 경우 심각한 상황이 초래될 수 있다. 조직의 명성이 위험에 빠지고, 고객의 신뢰는 약화되며, 상당한 재정적 손실이 발생할 수 있기 때문이다. 노딤은 클라우드 계획의 모든 단계에 철저한 보안 평가를 포함할 것을 권장했다.
필요 역량의 과소평가 많은 기업의 경우, 실제 설계 및 운영 문제 해결에 필요한 계획 및 작업의 양을 과소평가한다. 글로벌 기술 연구 및 자문 회사 ISG의 이사인 수닐 무어자니는 “그리고 러한 도전과제에 직면할 경우, 기업은 문제 해결에 필요한 기술 및 경험을 찾기 위해 고군분투한다”라고 지적했다.
멀티 클라우드 환경의 도래와 지속적인 인재 부족 문제가 결합되어 클라우드 배포 및 관리가 더욱 복잡해졌다고 무어자니는 설명했다. 그 결과, 많은 채택자들은 ‘클라우드 퍼스트’ 결과에 실망했다. 최근 ISG 조사에 응한 응답자의 거의 70%가 주요 목표의 20%만을 달성했으며, 대다수는 예산을 상당히 초과했고 데드라인을 놓쳤다고 그는 전했다.
클라우드 채택을 현실적인 관점에서 바라보더라도 많은 IT 리더는 클라우드 채택이 단순한 기술적 연습이 아님을 이해하지 못하고 있다. 그는 “기업들은 계약상의 의무에도 주의를 기울여야 한다”라고 경고하면서, 다년 계약의 경우 부주의한 클라이언트를 비싸고 경직된 소비 모델에 가둘 수 있다는 점을 언급했다.
마이그레이션 서두르기 과도하게 의욕적인 클라우드 마이그레이터들은 오래된 애플리케이션 최적화 실패와 관련된 장기적 비용을 과소평가하며 ‘리프트 앤 시프트(lift and shift)’ 마이그레이션 접근방식을 선호하는 경향이 있다.
이-코어(e-Core)의 북미 현장 운영 책임자인 마르코 로만은 “적절한 단계를 마련하지 않고 디지털화를 추진하는 기업은 평균보다 10% 더 높은 클라우드 비용, 무려 400% 더 늦은 구식 애플리케이션 제공 시간, 고위험 보안 취약성, 엄청난 유지보수 및 컴플라이언스 요구사항으로 인한 손실에 직면할 것이다. 이처럼 초기에 절차를 무시하는 것은 분명 소탐대실이다”라고 지적했다.
앞을 내다보지 않기 클라우드는 지속적으로 진화하고 있으며, 계속해서 다양한 방식으로 핵심 비즈니스 운영을 지원 및 개선하고 있다. 기업은 멀티클라우드, 클라우드 에지 컴퓨팅 및 기타 발전을 수용할 수 있도록 비즈니스 전략을 정렬하며 늘 앞을 내다보아야 한다고 엔터프라이즈 컨설팅 회사 EY 아메리카스(EY Americas)의 금융 서비스 기술 리드인 마티아스 로는 조언했다.
CIO들은 어떤 클라우드 전략을 추구해야 할지 고민하면서 사일로를 피하고, 새롭고 수익성 있는 성장을 주도하며, 효율성, 보안 및 투명성을 유지하기 위해 클라우드 설계를 어떻게 가장 잘 퓨처 프루핑(future-proof) 및 설계할 수 있을지를 고려해야 할 것이다. 그는 “클라우드와 관련된 리스크 및 비용을 가장 잘 해결하는 방법에 대한 명확하고 신중한 프레임워크를 갖추는 게 필수적이다”라고 덧붙였다.
남양주시가 급변하는 디지털 수요에 대응하고 대민 서비스를 제공하기 위해 대표 홈페이지를 KT클라우드로 전환했다. 이번 사업은 디지털 혁신 및 디지털 뉴딜 정책의 일환으로 진행되었으며, 클라우드 통합 운영을 통해 갑작스러운 트래픽 증가에 대응해 신속하고 유연한 대응이 가능해져 안정적인 대민 서비스를 제공할 것으로 예상된다. 클라우드 서비스를 통한 모니터링과 보안 인증을 획득해 보안성을 더욱 강화하고, 안정적인 서비스를 제공할 계획이다.
수치및이슈
1. 남양주시(시장 주광덕)가 대표 홈페이지를 KT클라우드로 전환
2. 클라우드 통합 운영은 갑작스러운 트래픽 증가에 대응해 자원을 탄력적으로 확장할 수 있어 신속·유연한 대응으로 안정적인 대민 서비스 운영이 가능할 것으로 기대
본문
[헤럴드경제(남양주)=박준환 기자]남양주시(시장 주광덕)가 급변하는 디지털 수요에 신속·탄력적으로 대응하고, 안정적인 대민 서비스를 제공하기 위해 대표 홈페이지를 KT클라우드로 전환했다.
23일 市에 따르면 이번 사업은 소규모 전산 환경에서 운영되는 서버(H/W)를 전문성·효율성·안정성·보안성이 검증된 클라우드 통합 운영 환경으로 전환하는 사업으로, 정부의 디지털 혁신 및 디지털 뉴딜 정책에 따라 「행정·공공기관 정보자원 클라우드 전환·통합 추진」의 일환으로 진행했다.
市는 클라우드 전환을 위해 지난해 4월 한국지능정보사회진흥원(NIA)과 업무 협약을 체결했으며, 같은 해 12월부터 본격적으로 사업을 추진해 올해 데이터 이관, 시스템 및 기능 테스트, 서비스 전환 작업을 거쳐 지난 20일 대표 홈페이지 공식 서비스를 개시했다.
특히, 클라우드 통합 운영은 갑작스러운 트래픽 증가에 대응해 자원을 탄력적으로 확장할 수 있어 신속·유연한 대응으로 안정적인 대민 서비스 운영이 가능할 것으로 기대된다.
한편, 市는 24시간 전문 인력을 통한 모니터링과 보안 인증(CSAP)을 획득한 클라우드 서비스를 활용해 보안성을 더욱 강화하고, 안정적인 서비스를 제공하기 위해 지속적으로 노력할 계획이다.
최대 1.2조원 투자…6월 착공 中의존도 95% 달하는 전구체 10만t 규모 국내서 생산·조달
요약
SK온과 에코프로머티리얼즈, 그리고 중국 전구체 기업 GEM은 새만금국가산업단지에 전구체 공장을 건설하기 위해 3자 합작법인 '지이엠코리아뉴에너지머티리얼즈'를 설립하기로 합의했다. 이들은 최대 1조2100억원을 투자하여 연간 생산량 10만t 수준의 전구체 공장을 2025년에 착공하고, 2027년까지 2개 공장을 가동시키기로 했다. 이 공장에서 생산한 전구체는 향후 국내 기업의 북미 양극재 생산공장으로 수출될 예정이다. 이로 인해 SK온의 중국 의존도가 줄어들 것으로 예상되며, 에코프로머티리얼즈의 모회사 에코프로는 주가 변동을 겪었다.
수치및이슈
1. SK온과 에코프로머티리얼즈, 중국 전구체 기업 GEM(거린메이)이 새만금국가산업단지에 전구체 생산시설을 짓는다
2. 3사는 최대 1조2100억원을 투자해 새만금국가산업단지에 연간 생산량 10만t 수준의 전구체 공장 건립을 추진
본문
배터리 회사인SK온과 전구체 기업 에코프로머티리얼즈, 중국 전구체 기업 GEM(거린메이)이 새만금국가산업단지에 전구체 생산시설을 짓는다. 23일 새만금개발청에 따르면SK온과 에코프로머티리얼즈,GEM은 서울 종로구SK서린사옥에서 3자 합작법인인 '지이엠코리아뉴에너지머티리얼즈' 설립 양해각서(MOU)를 체결했다고 밝혔다.
투자협약에 따라 3사는 최대 1조2100억원을 투자해 새만금국가산업단지에 연간 생산량 10만t 수준의 전구체 공장 건립을 추진한다. 공장은 오는 6월 착공해 2025년 1공장, 2027년에는 2공장 가동을 목표로 하고 있다. 해당 공장에는 1100여 명의 신규 인력이 고용될 것으로 예상된다.
전구체는 배터리 핵심인 양극재 원가의 65~70% 이상을 차지하는 원료로, 니켈·코발트·망간 등을 섞은 화합물이다. 전구체 10만t으로 전기차 60만여 대분(1대당 105kwh 기준) 배터리에 필요한 양극재를 생산할 수 있다.
새만금 공장에서 생산한 전구체는 인도네시아에 있는 별도의 3사 합작법인에서 생산하는 니켈 중간재(MHP)를 원료로 사용할 예정이다. 3사는 지난해 11월MHP생산법인 설립 협약을 체결하고, 2024년 3분기부터 연간 순수 니켈 약 3만t에 해당하는MHP를 양산할 계획을 밝힌 바 있다.
SK온이 합작법인을 설립한 것은 전구체의 중국 의존도를 줄이고 글로벌 공급망을 강화하기 위한 전략으로 풀이된다. 한국무역협회 수출입 무역통계에 따르면 지난해 전구체의 중국산 비중은 95.3%에 달했다. 새만금 공장에서 생산하는 전구체는 향후 에코프로머티리얼즈의 관계사인 에코프로비엠에 공급돼 양극재로 만들어진 뒤SK온에 전달될 것으로 보인다.
새만금 공장에서 생산한 전구체는 대부분 국내 기업의 북미 양극재 생산공장으로 수출될 예정이다.SK온은 전구체 원료인MHP를 미국과 자유무역협정(FTA)을 체결하지 않은 인도네시아에서 들여오지만, 해당 원료를 사용한 배터리 소재가 미국 인플레이션 감축법(IRA) 보조금 혜택을 받을 것으로 보고 있다.IRA는 북미 또는 미국과FTA를 체결한 국가에서 채굴·가공한 원료에 보조금 혜택을 제공하는데, 인도네시아에서 수입한MHP를 이용해 국내에서 전구체로 생산·조달하면IRA조항을 충족할 것이라는 설명이다.
에코프로머티리얼즈의 모회사인 에코프로는 이날 장중 극심한 변동을 기록했다. 장중 전 거래일 대비 9.4% 급등하며 사상 최고가(49만5500원)를 기록한 뒤 오후 3시께 매도 물량이 쏟아지며 17.96% 하락한 40만6500원까지 떨어졌다가 전 거래일과 비슷한 45만5000원에 장을 마감했다.
Python 대화형 셸은 Python 코드를 실시간으로 대화형으로 작성, 실행 및 테스트할 수 있는 명령줄 인터페이스입니다. 이것은 REPL(Read-Eval-Print Loop) 환경입니다. 즉, 사용자의 입력을 읽고, 코드를 평가하고, 결과를 인쇄한 다음 루프백하여 추가 입력을 읽습니다. 이는 Python 프로그래밍을 탐색하거나 코드를 디버그하거나 아이디어와 개념을 신속하게 테스트하는 편리한 방법을 제공합니다.
대화형 셸은 Python 인터프리터의 필수 부분이며 Python 구문, 내장 함수, 라이브러리 및 모듈을 학습하고 실험하는 데 자주 사용됩니다. 코드 실행에 대한 즉각적인 피드백을 제공하여 사용자가 Python 동작을 이해하고 잠재적인 문제를 식별하는 데 도움이 됩니다.
사용 예
셸 시작
$ python3 혹은 $ python
성공시 아래 메시지 출력
Python 3.9.7 (default, Sep 16 2021, 13:09:58) [GCC 7.5.0] on linux Type "help", "copyright", "credits" or "license" for more information. >>>
산술 연산을 수행합니다.
>>> 4 + 7 11 >>> 6 * 3 18
변수 정의 및 사용
>>> a = 10 >>> b = 5 >>> a * b 50
내장 함수 사용
>>> len("Hello, Python!") 14 >>> print("Welcome to the Python interactive shell!") Welcome to the Python interactive shell!
Python은 웹 개발, 작업 자동화, 데이터 분석 및 시각화를 포함한 광범위한 목적에 사용되는 널리 사용되는 프로그래밍 언어로 이는 높은 수준의 인터프리터형 대화형 개체 지향 프로그래밍 언어다.
Python의 주요 기능 중 하나는 단순성과 사용 용이성으로 초보자에게 이상적인 언어다. Python은 또한 필수 및 선택적 인수, 키워드 인수 및 정의 함수에서 임의의 인수 목록을 허용하는 다목적 언어다.
Python은 오픈 소스이며 개발에 기여하고 라이브러리와 모듈을 공유하는 대규모 개발자 커뮤니티가 있다. Python은 Windows, Mac 및 Linux를 비롯한 다양한 운영 체제에 설치할 수 있다. Python은 현재 Java와 C 다음으로 세계에서 가장 널리 사용되는 프로그래밍 언어 중 하나다.
기본 구성
클래스 클래스는 해당 클래스의 객체가 갖게 될 일련의 속성 및 메서드를 정의하는 객체 생성을 위한 청사진 또는 템플릿이다. 클래스는 해당 클래스에서 인스턴스화된 개체의 동작을 정의하는 속성(멤버 변수) 및 메서드(멤버 함수)로 구성된다. Python 클래스는 클래스 변수와 인스턴스 변수를 가질 수 있으며 @staticmethod는 클래스 수준 작업에 사용할 수 있다.
모듈 모듈은 Python 정의 및 명령문을 포함하는 파일이다. 함수, 클래스 및 변수를 정의할 수 있으며 실행 가능한 코드도 포함할 수 있다. 모듈은 코드를 구성하는 데 사용되며 코드를 깨끗하고 유지 관리할 수 있도록 유지하는 데 도움이 된다. Python 프로그램은 일반적으로 모듈로 구성되며 모듈은 다른 모듈이나 스크립트로 가져올 수 있다.
객체 Python에서는 숫자, 문자열, 함수 및 클래스를 포함한 모든 것이 객체다. 개체에는 동작을 정의하는 특성(데이터)과 메서드(함수)가 있다. 객체는 클래스에서 생성될 수 있으며 코드에서 조작 및 전달될 수 있다.
인터페이스 인터페이스는 개체가 외부 세계와 상호 작용하는 방법을 정의하는 메서드 집합이다. 구현 방법을 지정하지 않고 개체가 제공할 수 있는 동작을 정의한다. Python에서는 추상 기본 클래스를 사용하여 인터페이스를 구현할 수 있다.
표현식 표현식은 값으로 평가되는 코드 조각이다. Python에서 식은 일부 작업을 수행하는 완전한 명령인 문에서 사용할 수 있다. 표현식은 변수와 같이 간단할 수도 있고 인수가 있는 함수 호출과 같이 복잡할 수도 있다.
장점.
대규모 개발자 커뮤니티 Python에는 규모가 크고 활동적인 개발자 커뮤니티 가 있다. 이것은 세계에서 가장 인기 있는 프로그래밍 언어 중 하나이며 개발자가 지식을 공유하고 프로젝트에 대한 도움을 받을 수 있는 Stack Overflow와 같은 웹사이트에서 강력한 존재감을 가지고 있다. 즉, Python 프로젝트에 문제가 발생하면 다양한 문제에 대한 솔루션을 쉽고 빠르게 찾을 수 있다.
배우기 쉬움 Python에는 간단하고 배우기 쉬운 구문가 있다. 구문은 초보자에게 친숙하도록 설계되었으며 영어처럼 보인다. 결과적으로 프로그래밍을 막 배우기 시작한 초보자에게 인기 있는 선택이다.
확장 가능 Python은 그 자체로 강력한 언어이지만 다른 라이브러리 및 프레임워크로 확장할 수도 있다. 즉, 처음부터 모든 것을 작성할 필요 없이 Python 프로젝트에 새로운 기능을 빠르고 쉽게 추가할 수 있다.
생산성 향상 Python은 생산성으로 유명하다. 단순성과 사용 용이성으로 인해 생산적인 언어가 되며 개발자는 구문에 얽매이지 않고 문제 해결에 쉽게 집중할 수 있다.
해석된 언어 Python은 해석된 언어다. 즉, 별도의 컴파일 단계 없이 코드를 한 줄씩 직접 실행할 수 있다. 이렇게 하면 개발 프로세스의 속도가 빨라져 코드를 테스트하고 디버그하기가 더 쉬워진다.
대형 표준 라이브러리 Python은 대형 표준 라이브러리와 함께 제공된다. 즉, 개발자는 처음부터 모든 것을 작성할 필요 없이 일반적인 작업을 수행하는 데 사용할 수 있는 다양한 사전 구축 모듈 및 기능에 액세스할 수 있다.
교차 플랫폼 Python은 교차 플랫폼 언어다. 즉, 한 플랫폼에서 작성된 코드를 크게 수정하지 않고도 다른 플랫폼으로 쉽게 이식할 수 있다.
웹 개발에 적합 Python은 웹 개발에 널리 사용되는 언어다. 웹 애플리케이션을 빠르고 쉽게 개발할 수 있도록 하는 Django 및 Flask와 같은 여러 프레임워크가 있다.
단점
Python의 단순성은 구문이 매우 단순하여 프로그래머가 Java와 같은 다른 복잡한 언어를 배우기 어렵게 만들기 때문에 경우에 따라 단점이 될 수 있다.
Python은 컴파일된 언어에 비해 실행 시간이 느린 것으로 알려져 있으므로 더 빠른 처리 시간이 필요한 응용 프로그램에는 적합하지 않다.
Python에는 보안 문제가 있으며 동적으로 유형이 지정되는 특성으로 인해 때때로 감지하기 어려운 보안 취약점이 발생할 수 있다.
Python의 메모리 소비는 상대적으로 높을 수 있으며 가비지 수집은 때때로 성능 문제를 일으킬 수 있다.
Python은 모바일 운영 체제의 기본 구성 요소와 잘 상호 작용하지 않기 때문에 모바일 앱 개발에 적합하지 않다.
SELinux(Security-Enhanced Linux)는 필수 액세스 제어(MAC)를 포함하여 액세스 제어 보안 정책을 지원하는 메커니즘을 제공하는 Linux 커널용 보안 모듈이다. 파일, 포트 및 기타 리소스에 대한 액세스가 매우 세밀한 수준으로 제어된다.
SELinux는 Linux 기반 시스템의 보안을 강화하기 위해 오픈 소스 커뮤니티와 협력하여 미국 NSA(National Security Agency)에서 개발했다.
SELinux는 "최소 권한" 원칙에 따라 작동한다. 즉, 프로세스와 사용자는 작업을 수행하는 데 필요한 최소한의 권한을 가져야 한다. 이렇게 하면 악의적인 사용자나 소프트웨어가 악용할 수 있는 무단 액세스, 보안 위반 및 취약성으로부터 시스템을 보호할 수 있다.
프로세스는 해당 SELinux 정책 또는 SELinux 부울 설정에서 지 정하는 리소스에만 액세스할 수 있다. 파일 권한은 특정 사용자 또는 그룹의 파일 액세스 권한을 제어한다. 그러나 파일 권한은 파일 액세스 권한 이 있는 승인된 사용자가 파일을 의도하지 않은 용도로 사용하는 것을 방지하지 못한다.
예를 들어 파일에 대한 쓰기 권한이 있는 경우, 다른 편집기나 프로그램에서 특정 프로그램만 작성할 수 있도록 설계된 구조화된 데이터 파일을 여전히 열고 수정할 수 있으며, 이로 인해 손상 또는 데이터 보안 문제가 발 생할 수 있다. 파일 권한은 파일 사용 방법은 제어하지 않고 파일을 읽거나 쓰거나 실행할 수 있는 사람만 제어하므로 이처럼 원하지 않는 액세스를 차단하지 않는다.
SELinux는 애플리케이션 개발자가 애플리케이션에서 사용하는 각 바이너리 실행 파일, 구성 파일, 데이터 파 일에 대해 허용되는 조치와 액세스 권한을 정확히 선언하기 위해 정의한 애플리케이션별 정책으로 구성됩니 다. 하나의 정책이 애플리케이션 하나의 활동을 정의하기 때문에 이 정책을 타겟 정책이라고 한다. 정책은 개별 프로그램, 파일, 네트워크 포트에 구성된 사전 정의 레이블을 선언한다.
기본 SELinux 개념
SELinux의 기본 목적은 손상된 애플리케이션 또는 시스템 서비스로 인한 부적절한 사용으로부터 사용 자 데이터를 보호하는 것이다. 대부분의 Linux 관리자는 필요에 따라 파일 권한을 설정하기 때문에 DAC(Discretionary Access Control)라는 표준 사용자, 그룹, 월드 파일 권한 보안 모델에 익숙하다. SELinux는 MAC(Mandatory Access Control)이라는 세분화된 규칙에 정의된 오브젝트 기반 보안 기능을 추 가로 제공한다.
MAC 정책은 모든 사용자에게 적용되므로 임의 구성 설정을 통해 특정 사용자에게 적용되 지 않게 할 수 없다. 예를 들어 웹 서버의 개방형 방화벽 포트는 웹 클라이언트에 대한 원격 익명 액세스를 허용한다. 그러나 해 당 포트에 액세스하는 악의적인 사용자가 기존 취약점을 이용해 시스템을 손상시킬 수도 있다.
예를 들 어 취약점이 apache 사용자 및 그룹의 권한을 손상시키는 경우, 악의적인 사용자가 /var/www/html 문 서 루트 콘텐츠 또는 시스템의 /tmp 및 /var/tmp 디렉터리 또는 기타 액세스 가능한 파일 및 디렉터리에 직접 액세스할 수 있다.
SELinux 정책은 특정 프로세스가 관련 파일, 디렉터리, 포트에 액세스하는 방법을 정의하는 보안 규칙이다. 파일, 프로세스, 디렉터리 또는 포트와 같은 모든 리소스 엔터티에는 SELinux 컨텍스트라는 레이블이 있다.
컨텍스트 레이블은 프로세스에서 레이블이 지정된 리소스에 액세스할 수 있도록 정의된 SELinux 정 책 규칙을 찾는다. 기본적으로 SELinux 정책은 명시적 규칙에서 액세스 권한을 부여하지 않는 한 어떠한 액세스도 허용하지 않는다. 허용 규칙이 정의되지 않은 경우 모든 액세스가 허용되지 않는다.
SELinux 레이블에는 user, role, type, security level 필드가 있다. 타겟 정책은 RHEL에서 기 본적으로 활성화되어 있으며, type 컨텍스트를 사용하여 규칙을 정의한다. 유형 컨텍스트 이름은 대개 _t로 끝난다.
최소 권한 원칙
최소 권한 원칙(The principle of least privilege, POLP)은 사용자와 프로세스가 의도한 작업을 수행하는 데 필요한 최소한의 권한 또는 액세스 권한을 제공하도록 권장하는 컴퓨터 보안 개념이다. 이 원칙은 SELinux(Security-Enhanced Linux)의 근본적인 측면이며 Linux 기반 시스템의 보안을 강화하는 데 도움이 된다.
최소 권한 원칙을 구현함으로써 SELinux의 목표
보안 위반으로 인한 잠재적 피해 제한 사용자 또는 프로세스에 필요한 최소한의 권한만 있는 경우 취약성을 악용하는 공격자는 액세스 및 기능이 제한된다. 이렇게 하면 무단 액세스, 데이터 유출 및 시스템 취약성의 추가 악용 위험이 줄어든다.
공격 표면 감소 상승된 권한으로 실행되는 프로세스 수를 최소화하면 공격자의 잠재적인 대상이 줄어든다. 이로 인해 공격자가 취약점을 찾기가 더 어려워지고 성공적인 악용 가능성이 줄어든다.
보안 감사 및 모니터링 간소화 사용자와 프로세스에 필요한 최소한의 권한이 있으면 의심스러운 활동을 보다 쉽게 식별하고 모니터링할 수 있다. 비정상적인 동작 또는 액세스 요청을 보다 신속하게 감지하여 관리자가 조치를 취하고 위협을 완화할 수 있다.
SELinux 최소 권한 원칙 구현 방법
필수 액세스 제어(MAC) SELinux는 보안 컨텍스트를 기반으로 주체(사용자 및 프로세스)와 개체(파일, 디렉터리, 소켓 등) 간에 허용되는 상호 작용을 정의하는 정책을 적용한다. 프로세스를 필요한 최소 권한으로 제한함으로써 SELinux는 수행할 수 있는 작업을 효과적으로 제한한다.
보안 컨텍스트 SELinux는 사용자, 역할 및 도메인(또는 유형)에 대한 정보를 포함하여 사용자, 프로세스 및 개체에 보안 컨텍스트(레이블)를 할당한다. SELinux는 보안 컨텍스트를 사용하여 세분화된 액세스 제어 결정을 내리고 최소 권한 원칙을 적용할 수 있다.
제한 및 비제한 도메인 SELinux 정책은 프로세스가 제한된 액세스 및 권한을 갖는 제한된 도메인 또는 프로세스가 보다 광범위한 액세스를 갖는 제한되지 않은 도메인을 정의할 수 있다. 대부분의 Linux 배포판에 대한 기본 정책인 대상 정책은 특정 프로세스만 제한하는 반면 엄격한 정책은 시스템의 모든 프로세스를 제한한다.
SELinux는 최소 권한 원칙을 적용하여 보안 위반, 무단 액세스 및 취약성으로부터 Linux 시스템을 보호한다. 사용자 및 프로세스에 필요한 최소 권한을 적용하여 보안 사고로 인한 잠재적 피해를 제한하면서 작업을 수행하는 데 필요한 액세스 권한만 갖도록 한다.
SELinux에는 세 가지 기본 구성 요소
정책 정책은 시스템의 프로세스, 파일 및 기타 개체에 대한 보안 컨텍스트를 정의하는 일련의 규칙이다. 주체(사용자 및 프로세스) 및 개체(파일, 디렉터리, 소켓 등)의 보안 컨텍스트를 기반으로 허용 또는 거부되는 작업을 결정한다.
보안 컨텍스트 보안 컨텍스트는 프로세스 또는 개체와 관련된 사용자, 역할 및 도메인(또는 유형)에 대한 정보를 포함하는 레이블이다. SELinux는 이러한 레이블을 사용하여 정책에 따라 액세스 제어 결정을 내린다.
시행 SELinux는 프로세스에서 생성된 시스템 호출을 가로채고 주체와 객체 모두의 보안 컨텍스트를 확인하여 작업을 허용할지 또는 거부할지 결정함으로써 정책을 시행한다.
SELinux에는 작동 모드
Enforcing 이 모드에서 SELinux는 정책 규칙을 시행하고 정책에 따라 액세스를 거부한다. 정책을 위반하는 모든 작업을 기록하므로 관리자가 잠재적인 보안 문제를 모니터링하고 식별할 수 있다.
Permissive 이 모드에서 SELinux는 정책 규칙을 시행하지 않지만 시스템이 시행 모드에 있었다면 거부되었을 모든 작업을 기록한다. 이는 시스템 기능에 영향을 주지 않고 정책을 테스트하고 문제를 해결하는 데 유용한다.
Disabled 이 모드에서는 SELinux가 완전히 비활성화되고 시스템이 MAC 없이 작동한다.
SELinux에는 두 가지 주요 정책 유형
Targeted 대상 정책은 특정 서비스 및 시스템 리소스 보호에 중점을 둔 대부분의 배포판에서 기본 정책이다. 이 정책에서는 선택한 프로세스만 제한되고 나머지 시스템은 제한되지 않고 실행된다.
Strict 엄격한 정책은 보다 포괄적이며 시스템의 모든 프로세스를 제한한다. 이 정책은 더 높은 수준의 보안을 제공하지만 구성 및 유지 관리가 더 어려울 수 있다.
SELinux는 sestatus, getenforce, setenforce, semanage, chcon 및 restorecon과 같은 명령줄 도구를 사용하여 관리할 수 있다. 또한 'system-config-selinux'와 같은 그래픽 도구를 사용하여 일부 배포판에서 SELinux를 관리할 수 있다.
Linux의 nice 및 renice 명령어은 실행 중인 프로세스의 우선 순위를 조정하는 데 사용되므로 시스템 리소스가 다른 작업에 할당되는 방식을 제어할 수 있다. 우선 순위를 조정하여 CPU 시간을 늘리거나 줄이는 프로세스에 영향을 주어 특정 작업이나 시나리오에 대한 시스템 성능을 최적화할 수 있다. 이 명령어를 이해하기 위해 먼저 알아야할 몇가지를 아래에 정리해 놓았다.
Linux 프로세스 스케줄링
최신 컴퓨터 시스템은 여러 명령어 스레드를 동시에 실행할 수 있는 멀티 코어, 멀티 스레드 CPU를 사용한다. 가장 큰 고성능 슈퍼 컴퓨터는 CPU당 처리 코어 및 스레드 구조가 수백 개인 CPU를 수백 또는 수천 개 포함 할 수 있으며, 수백만 개의 명령어 스레드를 병렬로 처리할 수 있다.
단일 사용자가 여러 애플리케이션을 실 행하는 경우 일반적인 데스크탑 시스템이나 개인용 워크스테이션은 CPU 활동으로 포화 상태가 될 수 있지 만, 적절한 규모로 적절하게 구성된 워크스테이션은 사용자가 의도한 워크로드에 맞게 설계된다.
그러나 일반적인 엔터프라이즈 또는 인터넷 서버는 사용자 및 애플리케이션의 요청을 초당 수백 또는 수천 개씩 처리 하므로 CPU가 쉽게 포화 상태가 될 수 있다.
CPU 부하가 있는 모든 시스템은 스레드를 즉시 예약하는 데 필요한 CPU 처리 장치보다 더 많은 프로세스 스레드를 처리해야 하는 시나리오를 경험한다. Linux 및 기타 운영 체제는 타임 슬라이싱 또는 멀티태스킹이라는 기술을 사용하여 프로세스를 관리한다.
운영 체제의 프로세스 스케줄러는 사용 가능한 각 CPU 코어의 프로세스 스레드를 빠르게 전환한다. 이 동 작은 상당한 수의 프로세스가 동시에 실행되고 있다는 인상을 준다.
프로세스 우선순위
각 프로세스에는 이전에 프로세스 우선순위로 알려진 다양한 중요도 측정치가 있다. Linux에서는 CPU 처리 시간을 확보하기 위해 프로세스 구성 및 우선순위 지정 규칙을 정의하는 스케줄링 정책을 구현한다.
Linux에는 대화형 애플리케이션 요청, 비 대화형 배치 애플리케이션 처리, 실시간 애플리케이션 요구 사항을 처리하도록 설계된 다양한 스케줄링 정책이 있다. 실시간 스케줄링 정책에서는 여전히 프로세스 우선순 위와 대기열을 사용하지만, 최근의 비 실시간(일반) 스케줄링 정책에서는 CPU 시간을 기다리는 프로세스를 바이너리 검색 트리로 구성하는 CFS(완전 공정 스케줄러)를 사용한다. 이 프로세스 우선순위 소개에서는 SCHED_NORMAL 또는 SCHED_OTHER라는 기본 스케줄링 정책을 설명한다.
모든 시스템 실시간 프로세스에 일반 프로세스보다 높은 우선순위가 지정되도록 SCHED_NORMAL 정책하에 실행 중인 프로세스에는 정적 실시간 우선순위 0이 할당된다. 그러나 이 정적 우선순위 값은 CPU 스케줄링 을 위해 일반 프로세스 스레드를 구성할 때 포함되지 않는다. 대신 CFS 스케줄링 알고리즘에서 일반 프로 세스 스레드를 이전에 사용한 CPU 시간이 가장 짧은 첫 번째 항목부터 누적 CPU 시간이 가장 긴 마지막 항목 까지 시간가중 바이너리 트리로 정렬한다.
nice 값
바이너리 트리의 순서는 사용자가 수정할 수 있는 프로세스별 nice 값에 따라 추가로 영향을 받는다. 해당 값은 범위가 -20(우선순위 증가)에서 19(우선순위 감소)까지이고 기본값은 0이다. 프로세스는 해당 상위 프 로세스에서 시작 nice 값을 상속한다. nice 값이 클수록 프로세스 우선순위가 기본값에서 감소했음을 나타내며, 해당 프로세스가 다른 프로세스보 다 더 적합한 것으로 기억될 수 있다.
nice 값이 적을수록 프로세스 우선순위가 기본값에서 증가했음을 나타내며, 해당 프로세스가 다른 프로세스보다 덜 적합한 것으로 기억될 수 있다. 프로세스에서 nice 값을 수정하면 바이너리 트리에서 프로세스 스레드의 위치가 높아지거나 낮아진다. nice 값을 늘리면 스레드의 위치가 낮아지고, 값을 줄이면 스레드의 위치가 높아진다
nice 값 수정 권한
권한 있는 사용자는 프로세스의 nice 값을 줄여 프로세스 적합도를 낮출 수 있다. 그러면 프로세스가 바 이너리 트리에서 반복적으로 더 높은 위치에 배치되어 더 자주 예약된다. 포화된 시스템에서는 다른 프로세 스에서 사용할 수 있는 전체 CPU 시간이 줄어든다. 권한이 없는 사용자는 자신의 프로세스에서 nice 값을 늘릴 수만 있다. 그러면 자신의 프로세스 적합도가 높아져 프로세스가 바이너리 트리에서 더 낮은 위치에 배치된다. 권한이 없는 사용자는 중요도를 높이기 위 해 프로세스의 nice 값을 줄일 수 없으며 다른 사용자의 프로세스에 해당하는 nice 값을 조정할 수도 없습니 다.
명령어 사용예
1. nice 명령어
nice 명령어은 지정된 우선 순위("niceness" 값이라고도 함)로 새 프로세스를 시작하는 데 사용된다. 우선 순위 수준의 범위는 -20(가장 높은 우선 순위)에서 19(가장 낮은 우선 순위)까지다. 기본적으로 새 프로세스는 일반적으로 niceness 값이 0인 부모 프로세스의 우선 순위를 상속한다.
nice 명령어의 구문
nice [OPTION] [COMMAND [ARG]...]
예를 들어 우선 순위가 낮은(높은 niceness 값) 프로세스를 시작하려면 다음을 사용한다.
nice -n 10 command_name
2. renice 명령어
renice 명령어은 이미 실행 중인 프로세스의 우선 순위를 수정하는 데 사용된다. 프로세스 ID(PID), 프로세스 그룹 ID(PGID) 또는 사용자 ID(UID)를 지정하여 프로세스의 우선 순위를 조정할 수 있다.
renice 명령어의 구문은 다음과 같다.
renice [-n] PRIORITY [-g|-p|-u] IDENTIFIER...
옵션
-n: 새로운 우선순위(niceness) 값을 지정한다. -g: 주어진 IDENTIFIER는 PGID다. -p: 주어진 IDENTIFIER는 PID다(옵션이 제공되지 않은 경우 기본 동작). -u: 주어진 IDENTIFIER는 UID다.
예를 들어 PID가 12345인 프로세스의 우선 순위를 niceness 값 5로 변경하려면 다음을 사용한다.
renice -n 5 -p 12345
특정 사용자가 소유한 모든 프로세스의 우선 순위를 조정하려면 사용자의 UID와 함께 -u 옵션을 사용한다.
