퀵(Qwik)은 리액티브 UI에 대한 과감한 발상의 전환이다. 핵심 전제는 HTML과 함께 최소한의 자바스크립트, 즉 필요에 따라 상호작용성을 구현하는 데 충분한 만큼의 자바스크립트를 제공하도록 프레임워크가 처음부터 새로 구축된다는 점이다. 퀵은 수화(hydrated)되는 앱의 각 부분을 격리하기 위한 세분화된 모델을 사용한다. 기본부터 새로 개발해 다른 방식으로는 불가능한 성능을 실현하고 프론트엔드 자바스크립트를 위한 새로운 발전 방향을 제시한다.
ⓒ Getty Images Bank
퀵의 현재 상태
퀵은 아직 초기 단계지만 출범 당시와 비교하면 상당히 발전했다. 지금은 스택블리츠(StackBlitz)에 모든 기능이 포함된 예제가 있고 REPL 플레이그라운드와 명령줄 툴을 지원한다. 또한 더 개발자 친화적인 리액트(React)와 비슷한 구문도 지원한다. 내부에는 상태, 템플릿 및 리스너에 따라 리액티브 경계를 정의하는 독자적인 리액티브 엔진이 있다.
재개 가능성
퀵은 서버 측 렌더링과 클라이언트 측 렌더링의 조합을 사용해 현대 프레임워크에서 발생하는 이중 부담, 즉 서버와 클라이언트에서 한 번씩, 총 두 번 하이드레이션 작업을 수행하는 데 따르는 부담을 방지한다. 퀵을 만든 미스코 헤브리는 다음과 같이 설명했다.
SSR(서버 측 렌더링)을 사용하는 리액티브 프레임워크의 일반적인 흐름은 먼저 서버에 앱 버전을 생성한 후 이를 클라이언트로 보내면 클라이언트에서 이 골격이 갖춰진 앱을 렌더링하는 것이다. 이 시점에서 클라이언트 측 앱이 작업을 넘겨받아서 기능하는 클라이언트를 만들기 위해 같은 앱을 다시 부트스트랩한다. 이 프로세스를 하이드레이션(hydration)이라고 한다. 하이드레이션의 효율을 높이기 위한 여러 가지 방법이 있지만 퀵은 재개 가능성이라는 새로운 프로세스를 위해 그러한 방법을 포기한다. 정리하면 재개 가능성은 클라이언트에서 앱을 다시 빌드할 필요 없이 서버가 작업을 멈춘 부분을 클라이언트가 이어받을 수 있음을 의미한다.
상호작용 시간
퀵이 적극적으로 개선한 성능 지표는 상호작용까지 소요되는 시간(TTI)이다. TTI는 사용자가 웹 페이지에 요청을 하는 시점부터 페이지가 사용자의 상호작용에 응답하기까지 소요되는 시간을 의미한다.
이는 기존의 로드 시간(TTL)과 차이가 있다. TTL이 클라이언트가 필요한 데이터를 모두 수신할 때까지 걸리는 시간을 추적한다면(따라서 이 지표는 파일 크기와 네트워크 속도에 크게 좌우됨), TTI는 현대 JS 프레임워크의 중요한 사실, 즉 데이터가 다운로드되면 클라이언트는 페이지의 상호운용성을 구현하기 위해 필요한 자바스크립트 코드를 압축 해제해서 실행해야 한다는 점을 고려한다.
리액티브 엔진은 많은 작업을 수행한다. 엔진은 상태 변화를 기반으로 표시되는 내용을 수정하고 코드를 기반으로 동작 방식을 수정하는 표현식과 변수를 통해 JSX와 같은 모든 마크업을 풀어야 한다(파싱). 스펙트럼의 반대쪽 끝에는 간결한 HTML 페이지가 있다. 브라우저가 이 페이지를 확보하면 페이지가 작동할 준비는 완료된다. 구글의 페이지스피드 인사이트(PageSpeed Insights)가 원시 HTML에는 100점을 부여하면서 Reddit.com과 같은 페이지에 32점을 부여하는 이유가 여기에 있다.
클로저와 리스너
헤브리는 빠른 TTI를 가로막는 기술적 장애물을 '클로저(Closures)에 의한 사망'이라고 표현한다. 간단히 말해, 모든 클로저가 둘러싼 정보의 우주를 유지해야 한다는 사실은 런타임 앱이 즉시 로드된(eagerly loaded) 코드의 레이어 케이크라는 것을 의미한다.
이 문제에 대한 퀵의 해법은 직렬화된 리스너와 상호작용하는 전역 이벤트 리스너(listeners)를 사용하는 것이다. 즉, 클로저에서 (앞으로 실행될지 여부에 관계없이) 리스너가 다운로드되어 래핑되는 것이 아니라, 범용 이벤트 리스너를 사용해 요구 시 구현되는 리스너를 조율한다. 퀵은 HTML과 함께 반응성을 제공해서 모두 직렬화 가능하도록 하는 것을 목표로 한다. 그러면 마크업에 캡슐화된 정보에 따라 런타임에 반응성을 나타내기 위한 작은 실행 파일만 있으면 된다.
코드 분할의 세밀한 조정
이 부분을 바라보는 또 다른 시각은 퀵이 세밀한 코드 분할을 수행한다는 것이다. 퀵은 상호작용 코드를 필요에 따라, 사용자가 요구할 때 로드한다. 그러면 번들러(Bundlers)는 적당한 시점에 이 청크를 더 큰 비트로 패키징할 수 있다.
퀵은 상태, 템플릿, 리스너 만들기를 위한 3가지 기능으로 새롭게 만들어졌다. 덕분에 프레임워크는 당면한 작업에 필요한 부분만 로드하면 된다. 청크 부분에 대한 더 자세한 내용은 여기서 확인할 수 있다.
과거에는 상태, 템플릿, 리스너의 3가지 경계를 개발자가 직접 코딩했다. 그러나 백그라운드에서 리액트와 같은 구문을 경계로 변환해주는 새로운 옵티마이저(Optimizer) 툴 덕분에 익숙한 DX를 접할 수 있다. 또한 옵티마이저는 실제 코드를 필요에 따라 작은 덩어리로 앱을 재개할 수 있는 작은 스텁 모음으로 바꿔주는 작업을 한다.
옵티마이저에서 템블릿과 리스너는 달러 기호로 표시되며 상태는 useStore 후크로 처리된다. 퀵 코드의 최종 출력은 다른 프레임워크와 다른 형태지만 옵티마이저와 함께 퀵을 사용하면 다른 프레임워크와 대등해진다. 또한 퀵에는 풀 스케일 앱을 더 쉽게 빌드할 수 있게 해주는, 라우팅과 같은 고차적 기능 집합인 퀵시티(QwikCity)도 있다.
퀵 실전
이제 퀵의 개념을 이해했으니, 코딩을 살펴보자. <예시 1>은 퀵으로 작성한 간단한 구성요소를 보여준다. 퀵 FAQ에서 발췌했다.
<예시 1> 간단한 퀵 구성요소
import { component$ } from '@builder.io/qwik';
export const App = component$(() => {
console.log('render');
return <p onClick$={() => console.log('hello')}>Hello Qwik</p>;
});
<예시 1>은 퀵의 구성요소가 익명 함수로 정의돼 퀵 라이브러리의 component$ 함수로 전달되는 것을 보여준다. 퀵에 나오는 달러 기호($)는 옵티마이저에게 할 일이 있음을 알리는 역할을 한다. 퀵은 앱의 달러 기호가 붙은 부분에서 세분화된 지연 로드(lazy loading) 경계를 활용한다. <예시 1>의 onClick$은 특수한 퀵 구문의 또 다른 예다. 퀵은 몇 가지 트릭을 사용해 기능이 실제로 필요할 때 그 기능을 지원하는 데 필요한 자바스크립트만 로드한다. <예시 1>의 코드는 옵티마이저에 의해 <예시 2>와 같이 여러 세그먼트로 분할된다.
<예시 2> 컴파일 후의 퀵 구성요소
// The app.js file itself
import { componentQrl, qrl } from "@builder.io/qwik";
const App = /*#__PURE__*/
componentQrl(qrl(()=>import('./app_component_akbu84a8zes.js'), "App_component_AkbU84a8zes"));
export { App };
// app_component_akbu84a8zes.js
import { jsx as _jsx } from "@builder.io/qwik/jsx-runtime";
import { qrl } from "@builder.io/qwik";
export const App_component_AkbU84a8zes = ()=>{
console.log('render');
return /*#__PURE__*/ _jsx("p", {
onClick$: qrl(()=>import("./app_component_p_onclick_01pegc10cpw"), "App_component_p_onClick_01pEgC10cpw"),
children: "Hello Qwik"
});
};
// app_component_p_onclick_01pegc10cpw.js
export const App_component_p_onClick_01pEgC10cpw = ()=>console.
<예시 2>에서는 실제 구성요소 기능을 포함하는 대신 라이브러리의 componentQrl() 함수를 사용한 참조를 포함한다. 이 함수는 익명 함수를 사용해 생성된 구성요소 파일을 가져오는 qrl() 함수를 취한다. 구성요소 간의 이 연결은 모두 옵티마이저에 의해 내부적으로 관리되므로 개발자가 직접적으로 신경을 쓸 필요가 없다.
QRL은 Qwik URL의 약어로, 퀵이 지연 로드된 대상을 참조하는 방식이다. 기본적으로 프레임워크는 뭔가의 로드를 연기해야 할 때마다 QRL을 삽입하고 이는 QRL별 소비자(구성요소, 상태 또는 템플릿 함수 등)에 의해 래핑된다. 예를 들어 componentQRL은 자식 구성요소에 있는 코드에서 적절한 시점에 로드할 수 있고 부모는 레이아웃을 빠르게 표시할 수 있다. onClick 핸들러와 마찬가지로 클릭이 발생할 때 평가할 수 있다.
퀵 CLI
명령줄 툴은 npm에서 받을 수 있고 생성, 개발 모드, 프로덕션 빌드를 포함해 기본적인 기능이 있다. 퀵 CLI는 바이트(Vite)를 빌드 툴로 사용한다. npm create qwik@latest로 인터랙티브 프롬프트를 실행해 새 앱을 시작할 수 있다. 간단한 앱을 만들고 프로덕션 빌드를 실행하면 앞서 설명한, 지연 로드된 앱의 개별적인 여러 청크가 모두 포함된 dist 디렉터리가 생성된다.
퀵 조정
퀵 구문을 재미있게 익힐 수 있는 방법으로 퀵 코드와 리액트 코드를 나란히 비교하여 보여주는 퀵 치트 시트(Qwik Cheat Sheet)가 있다. 이걸 보면 전체적으로 전환이 그렇게 어려운 일은 아니다. 매우 비슷한 부분도 있고 주로 사고의 전환이 필요한 부분도 있다. 더 중요한 점은 옵티마이저를 통해 얻는 구문의 유사성에도 불구하고 퀵의 리액티브 시스템은 리액트와 같은 프레임워크와는 매우 다르다는 것이다.
정리하면 코드 분할과 지연 로드에 대한 혁신적인 퀵의 접근 방식은 프론트엔드 자바스크립트를 위한 새로운 길을 제시한다. 앞으로 어떻게 전개될지 흥미롭게 지켜볼 만한 부분이다.
editor@itworld.co.kr
ⓒ Getty Images Bank 대중 교통 시스템, 의료 시설, 금융 서비스 기업의 공통점은 무엇일까? 바로 랜섬웨어 공격을 받았다는 것이다. 랜섬웨어는 사이버 범죄자가 개인과 기업기밀 시스템 및 파일 액세스를 차단한 후 해제하는 대가로 금전을 요구하는 악성 소프트웨어를 말한다. 전 세계 모든 업계의 기업 상당수가 랜섬웨어 경험이 있다. 사이버 보안 위험은 많지만 그 중에서도 랜섬웨어는 가장 심각한 사안이다. 랜섬웨어 공격을 받으면 기업 운영 중단을 넘어 데이터 유출과 평판 손상 같은 문제가 발생하기 때문이다. 사이버 보안 소프트웨어 기업 소포스(Sophos)가 전 세계적으로 실시한 설문 조사에 따르면, 2021년 조사에 참여한 기업의 66%가 랜섬웨어 공격을 받은 것으로 나타났다. 소포스는 “랜섬웨어로 인한 손해와 장애 복구에 평균 1개월이 걸렸다”라고 덧붙였다. 랜섬웨어의 심각성을 고려할 때, 내부 감사자는 전반적인 사이버 보안 위험과 랜섬웨어 위협을 함께 제거할 수 있도록 지원하는 목표를 세워야 한다. IT/사이버 보안 감사를 수행하고, 내부 감사 관리 소프트웨어 등의 기술로 내부 통제와 협업을 개선하는 조치를 수행하는 것이 한 방법이다. 더욱 자세히 살펴보자. IT 관행 및 통제 수단 검토 일반적으로 내부 감사자는 사이버 보안 소프트웨어를 선택하고 랜섬웨어 위험 인지에 대한 직원 교육을 실시할 책임자는 아니지만, IT 감사 같은 IT 관행과 통제 수단에 대한 확신을 제공할 수는 있다. IT 팀이 랜섬웨어 이메일 사기를 당한 직원이 있는지를 확인하는 피싱 테스트를 수행한다면, 그 후 내부 감사자가 결과를 검토하고 사회 공학적 공격 방지 기준을 충족하는지를 확인할 수 있다. 랜섬웨어나 다른 사이버 보안 위험에 대한 기업의 대비 상태가 미흡하다고 판단될 경우, 내부 감사자는 이사회와 고위 경영진 같은 다른 이해 관계자에게 위험을 알려야 한다. 내부 감사 리더는 또한, 원격 근무 정책을 검토하여 IT 팀이 재택 근무 환경에 필요한 기능에만 집중하지 않고 랜섬웨어 위험을 염두에 두고 적절하게 관리하는지를 확인할 수도 있다. 보통은 IT 부서장의 지침에 의존하지만, 내부 감사자가 액세스 로그 같은 영역을 감사하고 적절한 위협 인텔리전스와 데이터 보호 기술을 갖춘 승인된 장치만 네트워크에 연결되도록 지원하는 것도 가능하다. 주요 이해 관계자의 연결 필요 랜섬웨어 방어 역량을 향상하려면, 내부 감사자가 단순히 IT 부서와 협업하는 것이 아니라 주요 이해 관계자를 연결해야 한다. 모든 사람이 같은 목표를 위해 협력할 수 있도록 여러 부서의 정보를 취합해야 한다는 의미다. 내부 감사자는 랜섬웨어 공격 대응에 필요한 비용 계산 방식을 재무 팀에게 확인한 다음, 이사회와 고위 경영진 등 다른 주요 이해관계자가 접근 방식을 이해하고 동의하도록 설득한다. 그렇지 않으면 랜섬웨어 공격 후 복구 예산이 충분하지 않아 문제가 발생할 것이다. 가트너 감사 및 위험 관행 연구 책임자인 재커리 긴즈버그는 보도 자료에서 "기업은 규모나 매출에 관계없이 모두 랜섬웨어의 표적이 될 수 있다고 가정하고, 예방, 탐지, 방어, 대응 및 복구 조치를 검토해야 한다”라고 설명했다. 내부 감사 관리 소프트웨어 활용 내부 감사자는 내부 감사 관리 소프트웨어를 활용하여 랜섬웨어 위험을 제거할 수 있다. 사이버 보안 위험 관리를 지원할 기술은 많지만, 감사 관점에서 볼 때 가장 확신할 수 있는 솔루션은 내부 감사 관리 소프트웨어다. 팀메이트+(TeamMate+)는 일반적인 감사 작업을 자동화하고 협업을 개선하며, 내부 감사 팀이 연례 감사만 수행하면서 랜섬웨어 위험을 도외시하지 않고, 지속적인 감사를 활용하도록 지원한다. 우수한 내부 감사 관리 소프트웨어는 대규모 데이터 세트와 보고서 결과를 쉽게 테스트할 수 있으므로 직관적인 프레젠테이션을 만들어 많은 경영진의 이해를 돕는다. 내부 감사팀은 랜섬웨어 위험 관리를 혁신할 도구를 보유해야 한다. 공격 발생 전에 미리 계획하고 내부 연결에 집중하면 랜섬웨어 공격과 그 외 많은 사이버 보안 위험을 줄일 수 있다. 팀메이트+ 오딧(TeamMate+ Audit) 팀메이트는 업계에 혁신을 불러왔으며 모든 규모의 감사 부서에 필요한 역량을 제공하는 감사 관리 소프트웨어다. 문의와 데모 체험을 통해 감사 혁신을 담당하는 팀메이트+ 오딧의 특징과 이점을 직접 확인할 수 있다.
ⓒ Getty Images Bank 사이버 사기 공격 위험이 점차 증가하는 현대 환경에서 내부 감사자는 어떤 조치를 취할 수 있을까? IT 부서라면 이미 사이버 사기를 겨냥한 내부 통제와 탐지 툴을 사용하고 있겠지만, 내부 감사 부서의 담당자도 사이버 사기 리스크 관리를 지원할 수 있다. 국제 감사 재단(Internal Audit Foundation, IIA)과 미국 컨설팅 업체 크롤(Kroll)이 공동으로 실시한 설문조사에 따르면, 사기 리스크가 증가하면서 내부 감사자의 36%는 내부 관리에, 29%는 데이터 분석에 더 많은 자원을 투입한 것으로 나타났다. IIA CEO 앤서니 퍼글리시는 보도 자료를 통해 "기업이 신기술 투자를 늘리고 있는 상황에서 독립적 내부 감사 기능으로 내부 통제와 리스크 관리 체계를 보장할 경우 사이버 사기 위험이 줄어든다는 사실이 명확하게 나타났다”라고 밝혔다. 내부 감사 부서가 사이버 사기 위험을 줄이는 몇 가지 단계를 상세히 살펴보자. 다른 부서와의 협력을 통한 사기 리스크 평가에서 전체 데이터 세트를 테스트하는 데이터 분석 툴 활용에 이르기까지 내부 감사자의 역할은 매우 다양하다. 리스크 환경 평가 사기 행위에 대한 내부 통제를 개선하고 전반적인 리스크를 줄이고자 하는 내부 감사자가 거쳐야 하는 첫 번째 단계 중 하나는 어떤 위협이 존재하는지를 이해하는 것이다. 식별된 주요 위협 요소와 취약한 영역에 따라 실행 계획은 달라진다. 기업 리스크 관리 팀 등 다른 부서와 협력하고 IT 감사 활동을 수행하면, 기업이 피싱 공격에 얼마나 많이 노출되어 있는지를 알게 된다. 실제 사이버 공격을 식별하지는 못했으나 직원 개인 디바이스 사용이 늘어나 위험이 심각해졌음을 알게 되기도 한다. 다른 부서의 리더와 직원 관행에 대해 이야기하면서 인사이트를 얻는 방법도 있다. 어떤 경우에든, 기본 토대를 마련하고 미래에 발생할 새로운 위협을 위협을 고려하여 보다 잘 대비하는 것이 좋다. 고위 경영진으로부터 새로운 사기 모니터링 시스템이나 사기 방지 서비스를 구현하기 위해 예산을 확보하려는 경우, 이러한 리스크가 어떤 형태로 나타나는지를 명확하게 설명하는 것이 중요하다. 내부 통제 수단 추가 및 검토 사이버 리스크 환경을 잘 이해할 수록, 사기를 예방하고 사기 활동을 줄이는 내부 통제 수단을 잘 추가하고 검토할 수 있다. 내부 감사자는 재무 팀이나 회계 팀과 협력하여 더 나은 재무 보고 프로토콜과 승인 프로세스를 구축할 수 있다. 이렇게 하면 사이버 공격자가 공급업체를 겨냥해 자금 이체를 유도하거나 세무 서류 등 민감 정보를 공개하려는 경우, 더욱 철저한 검토 절차를 통해 공격을 미연에 방지할 수 있다. 2018년 SEC(Securities and Exchange Commission)는 ‘비즈니스 이메일 침해’ 유형의 위협을 다룬 보고서를 발표하며 강력한 내부 통제를 필요로 하는 목소리가 커질 것으로 예상했다. SEC는 “이러한 공격이 만연해지고 지속적으로 확대됨에 따라, 기업은 사이버 관련 사기가 야기하는 위험을 염두에 두고, 내부 회계 통제 시스템이 자산을 충분히 보호하는지를 숙고해야 한다”라고 조언했다. 데이터 분석 활용 사이버 사기 리스크를 줄이는 또 다른 방법은 데이터 분석을 사용하는 것이다. 모든 트랜잭션, 모든 액세스 로그를 수동으로 검토하면 내부 감사 팀이 할 일이 너무 많아진다. 그러나 팀메이트 애널리틱스(TeamMate Analytics)같은 데이터 분석 툴을 사용하면 샘플링에 의존하지 않고 전체 데이터 세트를 테스트하여 사기 행위를 발견할 수 있다. 또한 수동 프로세스를 줄이고 지속적으로 감사를 수행할 수 있어 사이버 범죄가 빠르게 진화하면서 새로운 위협이 발생할 때마다 내부 감사자가 완벽하게 파악할 수 있다. 데이터 분석 툴은 보고 작업을 간소화하고 능률을 높인다. 내부 감사자가 이사회와 고위 경영진에게 사이버 사기 리스크에 대해 보고하거나 외부 감사자와 커뮤니케이션해야 하는 경우, 분석 인사이트를 쉽게 공유할 수 있으면 모든 직원이 같은 목표를 향해 협력할 수 있다. 기업을 둘러싼 사이버 사기 리스크가 높기는 하지만, 이러한 조치를 취하면서 내부 감사자는 조직 내에서 사기 공격에 대한 인식을 제고할 수 있다. 애초부터 사기가 발생할 가능성을 낮추고 사기 발생 시 악영향도 줄인다. ⓒ Getty Images Bank 팀메이트 애널리틱스를 활용한 보편 테스트 수행하기 팀메이트 애널리틱스는 모든 감사자가 강력한 데이터 분석을 수행할 수 있도록 지원한다. 소프트웨어를 통해 기업의 확신을 높이고 리스크 노출을 줄이는 방법, 그리고 전체 데이터 세트를 대상으로 한 테스트를 쉽게 수행하는 방법을 찾고 있다면, 전 세계 모든 업계의 감사 부서에 전략적 인사이트를 제공하는 프리미엄 전문 솔루션인 팀메이트 데모를 신청할 수 있다.