알리는 이번에도 무슨 잘못을 했나요?

공개 계정: 다슈 향장

어제 공업정보화부는 알리바바 클라우드의 공업정보화부 네트워크가 신속하게 보고하지 않았기 때문에 6개월 동안 정지하기로 결정했습니다. 발견된 보안취약점 정보는 법률에 의거하여 산업정보기술부에 통보합니다.

곧바로 알리바바의 미국 주가는 4.21포인트 급락했고, 앞으로도 계속 하락세가 예상된다.

바로 오늘 Alibaba Cloud는 취약성 관리를 강화하고, 규정 준수 인식을 강화하며, 네트워크 보안 위험을 규제하기 위해 모든 당사자와 적극적으로 협력할 것이라는 성명을 발표했습니다.

사건 이후 많은 사람들이 글을 썼고, 마을 친구들도 그 내용을 구체적으로 언급하지 않겠습니다. 교통사고를 이용해 한 가지를 다음 단계로 끌어올리는 행위 국가 안보를 위협하는 행위, 중국과 미국의 대결, 중국의 네트워크 보안 침해 등

우선 알리바바 클라우드가 실수를 했지만 너무 과장하지 말고, 서두르지 말고 소리 지르고 죽이지 마세요.

클라우드 컴퓨팅은 인류 발전에 매우 중요합니다. 클라우드 컴퓨팅은 기존 분산 방식에 비해 비용을 크게 절감하고 확장성이 뛰어납니다. 장비가 클라우드에 있기 때문에 전체 정보 시스템의 신뢰성과 안정성이 크게 향상되고 서버 장애로 인한 손실이 방지되며 지속적인 업데이트 및 유지 관리가 가능합니다. 업그레이드를 통해 작업 이동성이 크게 향상되었습니다.

따라서 클라우드 컴퓨팅이 가져온 변화는 혁명적이며 따라서 강대국 간의 투쟁의 핵심 영역 중 하나가되었습니다. 물론 직설적으로 말하면 여전히 중국과 미국입니다. 주.

클라우드 컴퓨팅 분야에서는 세계 5대 클라우드 컴퓨팅 벤더 중 미국이 3개, 중국이 2개인데, 미국이 거의 1위와 2위를 차지하고 있다. 특히 2020년 1위를 차지한 아마존이 압도적이다. 2018년에는 글로벌 시장 점유율이 40%를 넘어섰고, 2위 마이크로소프트가 19.7%의 시장 점유율을 기록했고, 그 뒤를 알리바바 클라우드가 9.5%로 뒤를 이었다. Cloud는 5위를 차지했으며 전 세계 점유율은 4.2로 4위 Google Cloud와 거의 동일합니다.

전체 규모로 보면, 2020년 기준 미국 3대 제조사가 글로벌 시장의 66.6%를 차지했고, 중국 2대 제조사가 13.7%, 기타 기업을 합친 경우 19.7%를 차지했다.

디지털 경제 시대에 중국과 미국만이 유일한 경쟁자가 되었고, 다른 분야에서도 마찬가지라는 점에서 힘의 균형은 분명하다.

국가적 관점에서 보면 알리바바 클라우드와 화웨이 클라우드는 모두 중국 기업이다. 비록 몇 가지 단점이 있더라도, 빨리 돈을 버는 데 집착하는 일부 기업만큼 절망적이고 비진보적이지 않은 한, 여전히 지원을 받아야 합니다. 이것이 결국 그들 자신의 첨단 기술 경쟁력입니다.

물론 잘못하면 맞고 교훈을 얻어야 하지만 이는 작은 처벌이지만 큰 경고다.

작은 처벌과 큰 처벌의 전제는 실제로 큰 해를 끼치 지 않는다는 것인데, 이는 문제 자체로 돌아갑니다.

둘째: 기술적인 관점에서 보면 Alibaba Cloud 프로그래머가 하는 일은 잘못된 것이 없습니다.

한 가지 강조해야 할 점은 아파치 재단은 일부 셀프 미디어가 과장하는 것처럼 결코 '사악한' 외국 세력이 아니라는 점입니다. 실제로는 오픈 소스 소프트웨어 프로젝트를 관리하는 비영리 조직입니다. 이번에 문제의 log4j 프로젝트는 아파치 재단의 차기 오픈소스 프로젝트이다.

프로그래머의 세계에서 개방성은 언제나 인터넷 세계의 기초였습니다. 가상 세계에서 모든 인류가 직면한 많은 공통 문제는 모든 프로그래머의 힘을 모아 공동으로 해결해야 합니다. 다양한 오픈소스 프로젝트입니다.

다양한 오픈소스 프로젝트의 프로그래머들은 전 세계에서 왔습니다. 아파치 재단은 오픈소스 프로젝트의 관리자 역할만 할 뿐 특정 코드 개발에는 참여하지 않습니다.

프로젝트가 오픈 소스이고, 소스 코드가 전 세계에 공개되어 있고, 프로그래머들이 전 세계에서 오기 때문에 기본적으로 미국 정부가 재단에 물어보는 것은 물론이고, 아파치 재단을 강요하기 위해 다양한 수단을 사용하는 상황도 없습니다. 오픈 소스 프로젝트는 취약점을 숨겨 미국인이 원하는 것은 무엇이든 할 수 있도록 합니다.

이유는 간단합니다.

오픈 소스의 기본 원칙은 소스 코드가 세상에 공개되어 있다는 것입니다. 즉, 자격을 갖춘 프로그래머가 소스 코드를 읽을 수만 있다면 누구나 소스 코드를 읽고 작동하거나 개발할 수 있습니다. 조심스럽게 그는 소위 핵폭탄 수준의 log4j 취약점을 발견할 수 있습니다.

log4j는 오픈소스 로깅 구성요소로서 원래 무료로 제공되며, 오픈소스 계약에 따라 취약점이 발견되면 해당 오픈소스를 관리하는 아파치 재단에 신고해야 합니다. 이전에는 취약점 악용을 방지하기 위해 제3자에게 공개할 필요가 없었습니다.

우리나라가 발견 후 2일 이내 신고를 의무화하고 있지만, 최대한 빠른 시일 내에 우선 신고를 요구하지 않는 이유도 여기에 있다.

제보된 취약점은 오픈소스 커뮤니티에서도 동시에 업데이트되는 것이 원칙으로, 다양한 국가, 대기업 등의 많은 프로그래머들이 기술 발전을 따라잡는 것이 일상이 되었습니다. 이러한 오픈 소스 커뮤니티에 접속하여 보고 배울 수 있습니다. 일반적으로 취약점이 보고된 지 1~2일이 지나면 문제가 발견되어 처리됩니다.

여러 기업에 흩어져 있는 프로그래머들은 산업정보부의 요청을 받고 허점을 메우기 시작하는 것 자체가 빠른 대응이 필요하다.

물론 여기에는 누락된 부분이 있습니다. 즉, 일부 조직에서는 처리하기 전에 산업 정보 기술부의 공식 명령을 기다려야 할 수도 있고, 일부 조직의 프로그래머는 적극적으로 작업할 동기가 부족할 수도 있습니다. , 일부 리더는 위험을 이해하지 못하거나 심지어 무시할 수도 있습니다.

하지만 프로그래머 스스로가 오픈소스 프로젝트 관리 측에 보고하는 것을 우선시하는 것은 문제가 되지 않습니다. 다른 나라나 다른 회사에서도 거의 같은 방식으로 처리될 것입니다.

하지만 이번에는 세 가지 매우 다른 점이 있습니다.

첫째: 발견자는 대규모 플랫폼이자 감독이 강화된 환경에 있는 Alibaba Cloud입니다.

두 번째: 발견된 log4j 취약점은 정말 터무니없습니다.

세 번째: 보고가 있은 지 15일 후에도 Alibaba Cloud는 이를 신고하는 데 앞장서지 않았으며 중국에서는 누구도 이를 발견하고 보고하지 않았습니다. .네 번째 나라가 다툼을 시작할 때까지 우리는 그것을 알지 못했고, 중국인이 그것을 가장 먼저 발견한 것으로 밝혀졌습니다.

여러 가지 이유로 산업 정보 기술부는 Alibaba Cloud를 처벌했습니다.

셋째: 알리바바 클라우드는 내부 관리와 의사소통에 실수를 저지른다

대형 인터넷 기업에서는 조직 규모가 커서 내부 의사소통 문제가 자주 발생하고 내부 마찰이 매우 심각하다. 대형 플랫폼에는 내부 조직이 너무 복잡해서 내부자조차 이해하기 힘들고, 조정하기도 어렵습니다.

각 부서 역시 차이점이나 장점과 단점이 많습니다.

정부와의 연결을 담당하는 공무부서나 공무부서는 기본적으로 기술에 대한 이해도 없고, 정책에 대해서도 잘 모르는 경우가 많다. 저는 중앙 부처와 위원회의 부서 수준에서 일하지만 실제로는 인지 수준이 바로 그 수준입니다.

이런 사람들은 회사에 가면 시스템에 오래 머물렀다는 사실과 아는 사람이 있다는 사실을 이용해 회사와 정부를 오가며 협박을 하는 경우가 많다. 비즈니스 및 기술 부서는 플랫폼 자원 등을 가지고 정부에 갑니다. 회사에서 자란 일부 사람들은 시스템에 대한 감각이 부족합니다.

물론, 일반적인 상황에서는 공무 업무를 자주 수행하는 사람들은 여전히 ​​어느 정도 민감성을 가지고 있습니다. 하지만 기술 부서로부터 알림을 받으면 제때에 보고할 것입니다. 완전하고 동적으로 조정되는 시스템이 형성되지 않습니다. 메커니즘은 어떻습니까?

예를 들어 정책 변경에 대한 시기적절한 후속 조치 및 해석, 정책 변경 사항을 회사 내 관련 부서와 동기화, 정보 동기화 프로세스 및 내용에 대한 해당 조정 등이 있습니다. 이러한 메커니즘은 기본적으로 부족합니다.

조직이 너무 큰 것, 정책이 적시에 이행되지 않는 것, 부서 간 내부 의사소통이 어려운 것, 심지어 개인적인 문제까지 있는 데에는 몇 가지 이유가 있습니다.

제가 말씀드리는 것은 이런 터무니없는 실수가 어떻게 발생했는지 최대한 깊이 분석하라는 것입니다. 알리가 '반역자'라는 등의 과장이 아닙니다. 이는 실제로 다양한 우연에 의해 큰 조직 질환이 중첩되어 발생합니다. 물론 인식이 부족하다는 문제도 있습니다.

알리바바 클라우드의 책임을 면제하기 위해 이 말을 하는 것이 아니라, 더 많은 기업이 이를 해결하는 방법에 대해 신중하게 생각하도록 상기시키려는 것입니다.

일부 회사는 솔루션이 아닌 솔루션을 내놓았습니다. 예를 들어 대규모 플랫폼에서는 모든 직원이 자신의 책임에 관계없이 안전 감독 문제를 책임지고 직위를 채우도록 요구합니다. 업무량이 크게 증가했지만, 적어도 긴급 조치였기 때문에 회사의 문제는 확실히 줄어들었고 주가도 훨씬 안정적이었습니다.

물론 중국의 막대한 발전 이익과 우대 정책을 누린 알리바바는 그 이유가 무엇이든 그에 상응하는 책임을 져야 한다는 비판을 받아야 한다. 이행되지 않은 경우 문제가 있는 경우 처벌을 받습니다.

기술자도 기술감독관에게 문제를 보고해야 한다.

우리나라도 대기업의 경우 고위 경영진이 정보보안 조직을 설치하도록 요구하고 있다. 이러한 문제는 정보 보안을 담당하는 고위 경영진에게 보고되어야 합니다. 여기서 발생한 문제는 무엇입니까?

물론 Alibaba 그룹 전체의 핵심 사업은 실제로 Alibaba Cloud가 이끄는 전자상거래, 금융, 기술 산업이라는 3대 사업입니다.

올해 전자상거래는 심각한 영향을 받았고, 최고 앵커들은 일련의 세금 문제에 직면하게 될 것입니다. 원래 알리바바의 주가는 올해 3분의 2나 하락했습니다. 1/3은 Alibaba Cloud와 같은 기반으로 지원됩니다.

산업정보기술부로부터 6개월 간 파트너 자격 정지 처분을 받으면 국내 여러 기관과 알리바바 클라우드 간의 협력에 영향을 미칠 수밖에 없어 실적 차질이 불가피하다.

그래서 어젯밤 알리바바의 미국 주식시장이 폭락하면서 손실이 컸다.

마지막으로 말씀드리고 싶은 점은

알리바바가 실수를 하긴 했지만, 그들의 실수가 치명적이지는 않다는 것입니다. 중국 클라우드 컴퓨팅의 두 기둥 중 하나가 심각하게 손상되면 미국만이 이점을 누릴 수 있습니다.

작은 처벌과 큰 처벌을 사용하면 효과를 볼 수 있습니다.

알리바바는 중국에 뿌리를 둔 회사로서 무엇을 해야 할지 전혀 이해하지 못할 것이며 적극적으로 바로잡을 것이라고 믿습니다. 그러나 많은 기업은 조직 내 커뮤니케이션 문제를 과소평가해서는 안 되며, 보안은 위험선입니다. 그렇지 않으면 Alibaba Cloud는 과거로부터 교훈을 얻게 될 것입니다.