“Research that cloud-security vendor Aqua Security recently conducted uncovered some 250 million software artifacts and more than 65,000 container images lying exposed and Internet-accessible in thousands of registries and repositories.”
-DarkReading-


[이미지 = gettyimagesbank]

- IT 분야에서 말하는 artifact를 대신할 한국말은 딱히 존재하지 않습니다. 그래서 어디서나 발음 그대로 ‘아티팩트’라고 쓰고 말합니다. 그렇기 때문에 처음 이 분야에 들어오는 사람들에게는 더더욱 모를 단어로 남아 있습니다.

- artifact에는 여러 가지 뜻이 있습니다. 사전을 찾아보면 ‘인공물’, ‘잡음’이라는 뜻이 나옵니다. 고고학에서 유물을 말할 때 artifact라고 많이 합니다.

- ‘인공물’과 ‘잡음’의 의미를 동시에 갖고 있는 게 IT 분야에서의 artifact라고 볼 수 있습니다. 자연스럽게 생겨난 것도 아니고, artifact를 만드는 게 본연의 목적인 경우가 거의 없기 때문입니다.

- 제일 먼저 IT, 특히 소프트웨어 개발 분야에서 말하는 artifact는 기본적으로 ‘부산물’입니다. 다만 쓸데없이 만들어진 불필요한 잉여물로서 부산물이 아니라, 개발자가 만들고자 하는 소프트웨어의 전체 구조와 기능을 설명하는 데 도움이 되는 것들을 말합니다. 데이터베이스, 데이터 모델, 소프트웨어 매뉴얼, 스크립트 내에 적혀 있는 코멘트 등 다양한 형태가 될 수 있습니다. 원래 만들고자 하는 건 소프트웨어인데, 그 과정에서 다른 필요에 의해 만들어지는 부차적인 요소들인 것입니다.

- 어쩌다 자연스럽게 생겨난 부산물이었다면 ‘인공물’이라는 의미를 담고 있는 artifact라는 단어가 어울리지 않았을 겁니다. 하지만 개발자나 개발 팀에서 직접 만든 것은 사실이기 때문에 artifact라는 단어를 써도 무방합니다.

- 위의 기사 문구처럼 소프트웨어 아티팩트들이 무방비로 노출되어 있다면, 그 자체로 취약점이 노출된 것은 아니겠으나 소프트웨어에 대한 충분한 묘사가 유출된 것이므로 공격자가 취약점을 찾아내기에 용이합니다.

- 그래서 아티팩트를 일종의 ‘소프트웨어 청사진’으로 여기기도 합니다.

※ 이 코너는 보안뉴스에서 발간하는 프리미엄 리포트의 [데일리 보안뉴스+] 콘텐츠를 통해 2주 빨리 만나실 수 있습니다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>