ITPE * JackerLab

ColPali (Collaborative Parallel Learning)

개요ColPali(Collaborative Parallel Learning)는 최신 인공지능 학습 구조 중 하나로, **대규모 모델의 병렬 학습과 협업 학습(Collaborative Learning)**을 결합하여 효율적인 분산 트레이닝을 구현하는 기법이다. 이 방식은 여러 GPU/노드가 독립적으로 학습하면서도 상호 정보를 공유해, 성능과 학습 안정성을 동시에 확보할 수 있다.ColPali는 기존의 Data Parallelism 및 Model Parallelism 한계를 극복하고, 각 학습 노드 간 협업적 업데이트를 통해 더 빠르고 효율적인 학습을 지원한다.1. 개념 및 정의ColPali는 이름 그대로 Collaborative(협업적) + Parallel(병렬적) 학습 개념을 결합한 프레임워크다. 각 노..

GaLore (Gradient Low-Rank Adaptation)

개요GaLore(Gradient Low-Rank Adaptation)는 2024년 제안된 대규모 언어 모델(LLM) 및 딥러닝 모델의 학습 효율화 기술로, GPU 메모리 사용량을 크게 줄이면서도 기존 성능을 유지하거나 개선하는 저랭크(低秩) 기반 적응 학습(Low-Rank Adaptation) 방법이다. LoRA(Low-Rank Adaptation)의 발전형으로, 학습 중 **Gradient(기울기)**에 저랭크 근사(Low-Rank Approximation)를 적용해 메모리 및 계산 효율을 동시에 확보한다.1. 개념 및 정의GaLore는 모델 학습 단계에서 Gradient 행렬을 저랭크(Low-Rank) 형태로 분해하여, 학습 시 필요한 메모리 사용량과 연산량을 줄이는 방법이다. 이는 기존 LoRA가 ..

Seccomp-BPF(Secure Computing Mode - Berkeley Packet Filter)

개요Seccomp-BPF는 리눅스 커널에서 제공하는 보안 기능으로, 애플리케이션이 수행할 수 있는 시스템 호출(syscall)을 필터링하여 공격 표면을 최소화합니다. 이 기술은 컨테이너, 샌드박스 환경, 보안 중심 애플리케이션에서 널리 활용되며, 시스템 자원 접근을 제어함으로써 취약점 악용 가능성을 줄여줍니다.1. 개념 및 정의 항목 설명 정의리눅스 커널에서 시스템 호출을 필터링하는 기능목적보안 강화를 위해 특정 시스템 호출 제한필요성최소 권한 원칙 적용 및 공격 벡터 감소리눅스는 시스템 호출을 통해 커널 기능을 이용하며, 이 지점을 제어하면 보안을 강화할 수 있습니다.2. 특징특징설명비교필터링 기반BPF 필터로 syscall 제어AppArmor: 파일 기반, SELinux: 정책 기반경량성성능 오버헤..

Semgrep

개요Semgrep은 정적 분석(Static Analysis)을 기반으로 코드 내의 보안 취약점, 규칙 위반, 스타일 문제를 탐지하는 오픈소스 SAST(Static Application Security Testing) 도구이다. 기존의 복잡한 정적 분석 도구와 달리, Semgrep은 빠르고 가벼우며 개발 워크플로우(CI/CD, GitOps)에 손쉽게 통합할 수 있도록 설계되었다.Semgrep은 ‘정규 표현식보다 더 정확하고, 정적 분석보다 가벼운’ 접근 방식을 통해 코드 패턴 매칭과 AST(Abstract Syntax Tree) 기반 검사를 수행한다.1. 개념 및 정의Semgrep은 코드 구조를 이해하는 패턴 매칭 도구로, 사용자가 정의한 정책(Policy)이나 규칙(Rule)에 따라 코드를 정적 분석한다..

Conftest

개요Conftest는 Open Policy Agent(OPA)를 기반으로 한 정책 기반 구성 검증 도구로, YAML, JSON, HCL 등 구성 파일을 정책(Policy)으로 정의하여 자동 검증하는 오픈소스 솔루션이다. IaC(Infrastructure as Code), Kubernetes, Terraform, Docker, CI/CD 파이프라인 등에서 구성 오류나 보안 규정을 사전에 감지하여 DevSecOps 환경을 강화한다.1. 개념 및 정의Conftest는 Rego 정책 언어를 사용해 구성 파일을 분석하고, 보안·컴플라이언스·운영 기준을 자동으로 검증하는 도구다. 개발자는 코드 수준에서 정책을 정의하여, 배포 전 구성의 적합성을 테스트할 수 있다.즉, Conftest는 ‘정책을 코드로 관리(Poli..

SOPS (Secrets OPerationS)

개요SOPS(Secrets OPerationS)는 Mozilla가 개발한 파일 기반 시크릿(Secret) 암호화 및 관리 도구로, 개발자가 YAML, JSON, ENV 등 설정 파일 내의 민감한 데이터를 안전하게 저장하고 버전 관리 시스템(Git 등)에 보관할 수 있도록 지원한다. Kubernetes, Terraform, Ansible 등과 결합하여 GitOps 기반 환경에서 보안과 자동화를 동시에 구현할 수 있다.1. 개념 및 정의SOPS는 평문으로 노출되기 쉬운 비밀번호, API 키, 인증서 등의 **민감 데이터(Secrets)**를 암호화된 형태로 관리하며, 사용 시 필요한 시점에만 복호화하여 애플리케이션 또는 인프라에 전달한다.즉, Git 저장소에 보안을 유지하면서도 DevOps 프로세스 내에서 ..

Zeek

개요Zeek(구 Bro)은 고성능의 오픈소스 네트워크 보안 모니터링 도구로, 패킷 캡처를 통해 네트워크 레벨의 메타데이터를 수집하고 분석하는 프레임워크다. IDS(침입 탐지 시스템)로도 활용 가능하며, 트래픽 기반 이상 탐지, 포렌식, 위협 헌팅 등에 유용하다. 로그 중심 구조를 기반으로 하여 운영자, 보안 분석가, 포렌식 전문가에게 강력한 분석 기반을 제공한다.1. 개념 및 정의 항목 설명 정의패킷을 분석하여 세션 단위의 이벤트 기반 로그를 생성하는 네트워크 모니터링 프레임워크목적실시간 및 사후 네트워크 위협 탐지와 가시성 확보필요성기존 시그니처 기반 IDS의 한계 보완 및 고급 보안 분석 수요 대응Zeek은 보안 운영뿐 아니라 연구 및 데이터 분석 목적으로도 널리 사용된다.2. 특징특징설명비교이벤트..

DSSE (Dead Simple Signing Envelope)

개요DSSE(Dead Simple Signing Envelope)는 소프트웨어 아티팩트 또는 메타데이터에 대해 안전하고 일관된 디지털 서명을 가능하게 하는 경량의 서명 포맷이다. in-toto와 sigstore 프로젝트를 통해 사용되며, 간단한 구조와 일관된 검증 메커니즘을 통해 서명된 데이터의 무결성과 인증을 보장한다.1. 개념 및 정의 항목 설명 정의서명 대상과 메타데이터를 함께 포함한 JSON 기반의 서명 포맷목적서명 검증의 표준화 및 무결성 검증 신뢰성 향상필요성다양한 환경에서 신뢰 가능한 서명 전달 수단 제공DSSE는 서명 자체와 서명된 데이터를 포맷 상으로 결합해 위·변조를 방지한다.2. 특징특징설명비교Self-contained서명과 대상 데이터가 하나의 객체로 존재detached 서명보다 ..

OCSP Stapling

개요OCSP Stapling은 HTTPS 통신 중 서버 인증서의 폐기 여부를 클라이언트가 실시간으로 확인하기 위한 기술로, 서버가 인증서 상태 정보를 미리 OCSP(Online Certificate Status Protocol) 응답 형태로 준비해두고 TLS 핸드셰이크 중 클라이언트에게 전달하는 방식이다. 이는 보안성과 성능을 동시에 개선하며, CA(Certificate Authority) 의존도를 줄여 개인정보 보호와 응답 지연을 최소화한다.1. 개념 및 정의 항목 설명 정의서버가 CA로부터 받은 OCSP 응답을 TLS 핸드셰이크 시 클라이언트에 첨부하는 인증서 상태 검증 기법목적인증서 폐기 상태를 안전하고 빠르게 확인필요성클라이언트-CA 직접 통신의 보안, 속도, 프라이버시 문제 해결RFC 6066..

Perfetto

개요Perfetto는 Google이 개발한 고성능 트레이싱(Tracing) 및 프로파일링 플랫폼으로, 안드로이드, 리눅스, 크롬, 서버 애플리케이션 등 다양한 환경에서 시스템 및 애플리케이션 성능을 정밀하게 분석할 수 있는 오픈소스 도구이다. Perfetto는 커널 이벤트부터 사용자 공간 애플리케이션까지 전체 스택의 성능 데이터를 수집하고, 직관적인 시각화 툴을 통해 분석할 수 있다.1. 개념 및 정의Perfetto는 시스템 레벨에서 발생하는 이벤트(스케줄링, 메모리, I/O, CPU 사용률 등)를 고정밀 타임라인 형태로 기록하는 Event Tracing Framework이다. 이는 Chrome Tracing의 차세대 버전으로, 대규모 데이터 수집 및 분석을 효율적으로 수행하기 위해 설계되었다.Perfe..

개요OpenTelemetry Semantic Conventions(이하 OTel SemConv)은 분산 추적(Tracing), 메트릭(Metrics), 로그(Logs) 데이터를 공통된 규칙과 명명 체계로 구조화하기 위한 표준 규약이다. 이는 서로 다른 서비스, 언어, 프레임워크 간에도 일관된 관측 데이터(Context)를 생성하고 분석할 수 있도록 한다.SemConv는 단순한 명명 규칙이 아닌, **Telemetry 데이터의 스키마 표준(Schema Definition)**으로서, Observability의 신뢰성과 상호운용성을 보장한다.1. 개념 및 정의OpenTelemetry Semantic Conventions는 Telemetry 데이터의 필드 이름, 속성(Key/Value), 단위(Unit), 네..

개요monoT5는 Google의 T5(Text-to-Text Transfer Transformer) 모델을 기반으로 구축된 랭킹 모델로, 정보 검색(IR)에서 쿼리와 문서의 관련성을 평가하고 정렬하는 데 사용된다. 주로 Dense Retrieval 또는 BM25 등 초기 검색 결과(candidate set)에 대해 재정렬(rerank)하는 용도로 활용되며, Pointwise 방식으로 학습된다.1. 개념 및 정의 항목 설명 정의T5 모델을 활용하여 문서-쿼리 쌍의 관련성 점수를 예측하는 랭킹 모델목적정보 검색 결과의 정밀도 향상 및 사용자 응답의 질 개선필요성초기 검색 결과의 의미적 정합성을 보완하여 정밀한 문서 추천 실현monoT5는 다양한 쿼리-문서 데이터셋(MSMARCO 등) 기반으로 사전학습되었다..

개요ESI-LAG(Ethernet Segment Identifier - Link Aggregation Group)는 EVPN(Ethernet VPN) 환경에서 구현되는 멀티홈링 기술로, 기존의 MLAG(Multi-Chassis Link Aggregation Group)를 대체하는 차세대 구조이다. EVPN의 제어 평면을 기반으로 여러 장비 간 링크를 논리적으로 하나의 LAG로 묶어, 루프 없는 L2 연결과 고가용성(High Availability)을 동시에 달성한다.1. 개념 및 정의ESI-LAG는 하나의 CE(Customer Edge)가 두 개 이상의 PE(Provider Edge)에 연결될 때, 동일한 **Ethernet Segment Identifier(ESI)**를 사용하여 해당 링크를 하나의 L..

개요EVPN Multihoming(Ethernet VPN Multihoming)은 데이터센터 및 서비스 프로바이더 네트워크에서 다중 링크(링크 중복) 연결을 제공하는 기술로, **고가용성(High Availability)**과 **루프 없는 이더넷 포워딩(Loop-free Forwarding)**을 동시에 달성한다. 이는 전통적인 MLAG(Multi-Chassis Link Aggregation) 구조를 대체하며, EVPN(BGP 기반) 제어 평면을 통해 분산 환경에서도 안정적인 트래픽 분산을 구현한다.1. 개념 및 정의EVPN Multihoming은 **BGP EVPN(Control Plane)**을 이용하여 다수의 PE(Provider Edge) 장비가 동일한 CE(Customer Edge) 장비와 연..

개요MetalLB는 온프레미스(베어메탈) 환경에서 Kubernetes 서비스에 외부 IP를 할당하고, 로드밸런싱 기능을 제공하는 네트워크 로드밸런서다. 클라우드 환경의 로드밸런서(AWS ELB, GCP LB 등)를 대체하며, Layer 2 또는 BGP 기반 네트워크 통합을 통해 트래픽을 효율적으로 분산시킨다.1. 개념 및 정의MetalLB는 Kubernetes 클러스터에서 Service Type: LoadBalancer를 사용할 수 있도록 해주는 오픈소스 네트워크 부하 분산 솔루션이다. 일반적으로 클라우드 외부의 베어메탈 환경에서는 LoadBalancer 타입이 동작하지 않는데, MetalLB는 이를 해결하여 외부 IP 할당 및 트래픽 라우팅을 가능하게 한다.즉, MetalLB는 Kubernetes 네이..

개요Argo Workflows는 Kubernetes 상에서 복잡한 데이터 처리, 머신러닝 파이프라인, CI/CD 파이프라인 등을 선언형(Declarative) 방식으로 자동화할 수 있는 오픈소스 워크플로 엔진이다. YAML 정의를 기반으로 작업(Task) 간 의존성을 관리하며, 컨테이너 기반 실행 환경을 활용해 재현성과 확장성을 극대화한다.1. 개념 및 정의Argo Workflows는 Kubernetes 네이티브 워크플로 관리 시스템으로, 워크플로를 ‘Pod’의 집합으로 실행한다. 각 단계(Step)는 하나의 컨테이너로 구성되며, 워크플로 정의 파일(YAML)을 통해 실행 순서, 입력/출력, 조건 분기 등을 정의한다.즉, Argo는 Kubernetes의 오브젝트로서 워크플로를 배포하고 관리할 수 있게 하..

개요WORM(Write Once, Read Many)은 한 번 기록된 데이터를 수정하거나 삭제할 수 없도록 설계된 데이터 저장 방식으로, 데이터의 무결성과 규제 준수를 보장하기 위한 핵심 기술이다. 금융, 의료, 공공기관 등에서 장기 데이터 보존 및 법적 증거 보호 목적으로 널리 사용된다.1. 개념 및 정의WORM은 이름 그대로 한 번 쓰고(Write Once), 여러 번 읽을 수(Read Many) 있는 저장 방식이다. 이는 데이터를 기록한 후에는 수정, 덮어쓰기, 삭제가 불가능한 구조로, 데이터 조작이나 위·변조를 원천적으로 차단한다.이 기술은 법적 요구사항(예: SEC 17a-4(f), FINRA, GDPR, ISO 27040 등)에 대응하기 위해 설계되었으며, 클라우드 스토리지(AWS S3 Obj..

개요Amazon S3 Object Lock은 객체(Object)를 지정된 기간 동안 변경하거나 삭제하지 못하도록 보호하는 불변(Immutable) 스토리지 기능이다. 이는 데이터 무결성을 보장하고, 금융, 의료, 공공기관 등 규제 산업에서 요구하는 WORM(Write Once, Read Many) 요건을 충족한다.S3 Object Lock은 랜섬웨어 공격 방어, 데이터 복구, 규제 준수(Compliance) 등 다양한 보안 시나리오에서 핵심적인 역할을 수행한다.1. 개념 및 정의S3 Object Lock은 S3 버킷에 저장된 객체에 대해 WORM(Write Once, Read Many) 정책을 적용해, 지정된 보존 기간 동안 데이터를 변경하거나 삭제할 수 없게 하는 기능이다. AWS는 이를 통해 기업이 ..

개요Zstandard(Zstd)는 Facebook(현 Meta)이 개발한 범용 압축 알고리즘으로, 높은 압축률과 빠른 압축/복원 속도를 동시에 제공하는 것이 특징이다. Zstd는 기존의 zlib, gzip, LZ4 등을 대체하거나 보완하기 위해 설계되었으며, 대용량 로그, 데이터베이스 백업, 네트워크 전송 등 다양한 분야에서 활용되고 있다.1. 개념 및 정의Zstandard는 LZ77 계열의 압축 알고리즘으로, 허프만 부호화(Huffman Coding)와 Finite State Entropy(FSE) 기술을 결합해 높은 압축 효율을 달성한다. 또한, 압축 레벨을 조정할 수 있어 사용자는 속도 중심(LZ4 수준) 또는 압축률 중심(Zlib 수준)의 모드를 선택할 수 있다.Zstd는 빠른 스트리밍 처리, 딕..

개요IEEE 802.1Qci는 Time-Sensitive Networking(TSN) 기술군 중 하나로, 네트워크 장치가 수신하는 트래픽에 대해 인게스트(Ingress) 수준에서의 필터링 및 폴리싱 기능을 제공하는 표준이다. 이 기능은 산업 자동화, 자동차, 방송, 항공 등 초저지연·고신뢰 네트워크에서 필수적인 네트워크 안정성과 보안을 확보하는 데 핵심 역할을 한다.1. 개념 및 정의 항목 설명 정의수신 트래픽에 대한 흐름 기반 필터링과 속도 조절을 제공하는 TSN 표준목적네트워크 엣지에서 비인가·초과 트래픽을 사전에 차단필요성결정론적 네트워크에서 예측 불가능한 트래픽을 제어하기 위함802.1Qci는 IEEE 802.1Q 기반 브리지의 기능 확장이다.2. 특징특징설명비교흐름 기반 필터링특정 조건(주소,..

개요ZAB(Zookeeper Atomic Broadcast)는 Apache Zookeeper에서 분산 시스템의 데이터 일관성과 합의를 보장하기 위해 설계된 원자적 브로드캐스트(Atomic Broadcast) 프로토콜이다. Paxos와 유사한 구조를 가지지만, Zookeeper의 리더-팔로워(Leader-Follower) 아키텍처에 특화되어 고가용성과 일관성(consistency)을 모두 달성한다.ZAB는 데이터 복제, 리더 선출, 장애 복구 과정에서 핵심적인 역할을 하며, 모든 노드가 동일한 순서로 동일한 상태 변경(Log)을 적용하도록 보장한다.1. 개념 및 정의ZAB는 ‘원자적 브로드캐스트(Atomic Broadcast)’를 기반으로, 분산된 노드 간에 동일한 순서의 상태 업데이트를 보장하는 프로토콜..

개요CRDTs(Conflict-Free Replicated Data Types)는 분산 환경에서 데이터의 일관성을 유지하면서도 충돌 없는 병합을 가능하게 하는 데이터 구조다. 서버 간 네트워크 지연이나 오프라인 상태에서도 로컬 업데이트가 가능하며, 최종적으로 모든 복제본이 동일한 상태로 수렴하는 것을 보장한다. 이는 실시간 협업 도구, 분산 데이터베이스, 엣지 컴퓨팅 환경에서 핵심 기술로 사용된다.1. 개념 및 정의CRDT는 여러 노드에서 독립적으로 데이터 변경이 일어나더라도 충돌(conflict) 없이 자동으로 병합될 수 있는 데이터 구조다. 전통적인 락(lock)이나 중앙 집중형 동기화 없이, 수학적 합병 규칙을 통해 ‘최종 일관성(Eventual Consistency)’을 보장한다.CRDT의 기본 ..

개요SCRAM(Simple Authentication and Security Layer (SASL) Mechanism): Salted Challenge Response Authentication Mechanism은 네트워크 기반 시스템에서 안전한 사용자 인증을 제공하기 위한 현대적인 프로토콜이다. 특히 SCRAM-SHA-256 및 SCRAM-SHA-512는 비밀번호를 직접 전송하지 않고, 해시 및 솔트 기반 검증을 수행하여 중간자 공격(MITM)과 재사용 공격을 방지한다.1. 개념 및 정의SCRAM-SHA-256/512는 SASL(Simple Authentication and Security Layer) 프레임워크 내에서 사용되는 인증 메커니즘으로, 비밀번호 대신 해시된 챌린지-응답을 교환하여 인증을 수..

개요EU Digital Identity Wallet(EUDI Wallet)은 유럽 시민들이 자신의 디지털 신원 정보를 안전하게 저장하고, 필요 시 선택적으로 공유할 수 있도록 EU에서 추진하는 통합 디지털 ID 지갑 시스템이다. 2021년 유럽연합 집행위원회(EC)에 의해 제안된 개정 eIDAS 2.0 규정의 핵심 구현 수단으로, 공공 및 민간 서비스에 걸쳐 EU 전역에서 신뢰 기반의 디지털 신원 생태계를 형성하는 데 목적이 있다.1. 개념 및 정의 항목 설명 정의EU 시민이 공식적으로 발급받는 디지털 신원 및 자격 증명을 관리하는 디지털 지갑목적국가 간 경계를 넘는 인증 및 자격 검증 표준화필요성개인정보 보호와 신뢰 기반 디지털 거래 수단 제공EUDI는 단일 시장의 디지털 전환을 위한 핵심 인프라이다..

개요OIDC CIBA(OpenID Connect Client-Initiated Backchannel Authentication)는 사용자가 직접 브라우저나 앱을 통해 인증하지 않아도, 백채널(Backchannel)을 통해 인증 과정을 수행할 수 있도록 설계된 프로토콜이다. 이는 비대면 인증, IoT 환경, 콜센터 인증 등 사용자 입력이 제한된 환경에서 안전하고 유연한 인증을 지원한다.1. 개념 및 정의CIBA는 OpenID Connect(OIDC)의 확장 규격으로, 클라이언트가 사용자 대신 인증 요청을 시작하고 인증 서버가 별도의 채널(Backchannel)을 통해 사용자와 상호작용하는 구조를 가진다. 즉, 브라우저가 아닌 백엔드 간 통신을 통해 인증이 이루어진다.CIBA의 핵심은 사용자가 클라이언트에 ..

개요PIR(Private Information Retrieval)은 클라이언트가 서버에 저장된 데이터 중 특정 정보를 검색할 때, 어떤 데이터를 요청하는지 서버가 알 수 없도록 보장하는 암호학적 프로토콜이다. 이는 데이터 프라이버시를 강화하면서, 정보 검색의 효율성과 보안을 동시에 달성하기 위한 기술로, 클라우드 데이터베이스, 검색엔진, 의료 정보 시스템 등에서 활용된다.1. 개념 및 정의 항목 내용 비교 개념사용자가 서버에 요청한 데이터의 인덱스를 노출하지 않고 안전하게 검색하는 프로토콜단순 암호화 검색보다 프라이버시 강화목적데이터 제공자는 쿼리 내용을 알 수 없고, 사용자는 원하는 데이터만 복호화 가능사용자 프라이버시 보호필요성개인정보 유출 및 데이터 분석 공격 방지GDPR, HIPAA 등 규제 ..

개요CEL(Common Expression Language)은 Google이 개발한 표현식 기반 평가 언어(Expression Evaluation Language) 로, 다양한 시스템에서 보안 정책, 데이터 유효성 검증, 조건식 평가 등을 수행하기 위해 설계되었다. CEL은 경량, 빠른 실행 속도, 언어 중립성을 특징으로 하며, Kubernetes, Envoy, Firebase Rules 등에서 사용되는 정책 평가 엔진의 핵심 언어로 자리 잡았다.1. 개념 및 정의 항목 내용 비교 개념선언적(Expression-based) 형태의 데이터 평가 언어JavaScript, Python 표현식보다 단순화된 문법목적정책 로직, 조건식, 필터링을 코드 수준에서 안전하게 평가임베디드 환경에서도 실행 가능필요성서비..

개요XACML 3.0은 OASIS(Open Advanced Systems for Information Standards)가 정의한 표준 접근 제어 정책 언어(Policy Language) 로, XML 기반의 정책 정의와 평가를 통해 세밀한 권한 관리(Fine-Grained Authorization) 를 구현한다. 대규모 시스템, 클라우드, 정부기관, 금융권 등에서 일관되고 확장 가능한 정책 기반 접근 제어(PBAC: Policy-Based Access Control)를 제공한다.1. 개념 및 정의 항목 내용 비교 개념접근 요청(Request)에 대해 정책 기반으로 허용 또는 거부를 결정하는 표준 언어Role-Based Access Control(RBAC)보다 유연함목적복잡한 조건의 접근 제어를 표준화..

개요SpiceDB는 Google Zanzibar의 설계 철학을 오픈소스로 구현한 분산형 접근 제어 데이터베이스(Distributed Authorization Database) 이다. 개발자는 SpiceDB를 통해 대규모 애플리케이션 환경에서 Fine-Grained Authorization(세밀한 권한 제어) 을 구현할 수 있으며, 관계 기반 권한 모델을 효율적으로 저장, 평가, 검증할 수 있다.1. 개념 및 정의 항목 내용 비교 개념사용자, 리소스, 권한 간 관계를 그래프 형태로 모델링하여 권한 검증 수행RBAC, ABAC의 한계를 보완목적애플리케이션 수준의 세밀하고 일관된 접근 제어글로벌 권한 시스템 Zanzibar 기반필요성대규모 SaaS 및 멀티테넌트 환경에서 권한 관리 단일화서비스 간 접근 정..

개요Zanzibar는 Google이 내부적으로 개발하여 Gmail, Google Drive, YouTube 등에서 사용 중인 분산형 권한 관리 시스템(Access Control System) 이다. 수십억 개의 사용자와 리소스에 대해 초당 수백만 건의 접근 제어 결정을 일관성 있게 처리할 수 있도록 설계되었다. 이후 Zanzibar 모델은 오픈소스화되어 AuthZed(SpiceDB), OpenFGA, Permit.io 등 다양한 상용 및 오픈소스 솔루션의 기반이 되었다.1. 개념 및 정의 항목 내용 비교 개념관계 기반 접근 제어(RBAC + ABAC) 모델을 확장한 글로벌 권한 관리 시스템전통적 RBAC보다 유연하고 확장 가능목적대규모 분산 환경에서 일관된 권한 검증 수행Google Workspace..