달존킴

오라클 라이선스 감사 전/후 추가 대응에 대해 알아보겠습니다.

1. OSW(Oracle Sever Worksheet) 작성하기

- 아래 5가지 부분에 대해 작성하여 오라클에 제출해야 합니다.

1. Server 정보  - > Hostname등 기본 정보

2. Database 정보 -> 설치되어 있는 제품 정보

3. Licensing 정보 -> CSI 번호(Customer Support Identifier (CSI)

                           - 오라클에서 CSI에 기재 되어 있는 DB 라이선스 총 수량만 맞으면 됩니다.  

                           - 따라서 지금 쓰고 있는 DB와 오라클과 계약된 수량을 맞춰 기재하면 됩니다.

4. Application 정보 -> 불특정 다수가 사용하는지, 특정인만 사용하는지 판단하기 위해 조사하는듯합니다.

                              -멀티플렉싱 환경의 최상단(front end)에서 해당 오라클 프로그램을 이용하는 모든 사용자수를

                               카운트 해야한다고 오라클에서는 말함

                             - 불특정 다수의 어플리케이션일 경우 DB 라이선스는 Core 라이선스로 할당

                             - 특정인만 사용하는 어플리케이션일 경우 DB 사용자 스키마에 맞게 NUP 라이선스로 할당

5. Hardware 정보 -> CoreFactor 계산을 위한 DB가 설치되어있는 HW 정보

                           오라클 제품이 설치 되어 있는 HW 마다 오라클에서 코어팩터 기준이 틀리기 때문에 반드시

                           사용하고 있는 코어 라이선스 수량과 맞춰야 합니다.

                           - VMware에 환경에 올라가있는 오라클 제품의 경우 가상 host들의 총 Core 개수 만큼

                             오라클 라이선스가 필요하다고 함

                           www.oracle.com/us/corporate/contracts/processor-core-factor-table-070634.pdf

2. LMS Collection Tool  실행하기

- OSW를 제출하고 나면 오라클에서 LMS Tool을 실행해서 결과값을 회신하라고 합니다.

- LMS Web Portal에서 다운로드 받아 실행 결과를 업로드 하면 됩니다.

- 업로드 하시기전 스크립 실행 결과가 텍스트 파일 형식으로 나오기 때문에 제출한 OSW와 꼭 비교해야합니다.

  (OSW와 틀리다면, 원하는 결과가 나올수 있도록 구성 변경 후 Tool 재실행 하는것도.....)

3. 제공 데이터 확인/검증 및 현장 검증

- LMS 결과값과 OSW를 비교를 위해 정말 그렇게 사용하는지 해당 서버에서 명령어 실행 후 캡쳐 보내달라고 합니다.

  (특히 가상화 부분에  esxcli hardware cpu list, Power CLI, 가상화 설정 정보, Core info 등 )

- 현장 검증은 불가하는 입장을 고수하는게 좋을 듯 합니다.  해줘야 되는 의무도 없구요

3. Review Report 초안 

- 보유라이선스 - 사용량 = 과부족에 대한 부분 리포팅 해줍니다. 

- 부족분이 나올 경우 잘못 계산된거라고 소명하여 수정 할 수 있습니다. (물론 증빙이 필요합니다.)

  (e.g., OSW를 잘못 작성해서 그렇다.  이 부족분에 해당되는 CSI는 이거다 등)

- 오라클에선 제출한 OSW와 LMS툴 결과로 과부족을 판단하기 때문에 부족분이 나왔을 경우 수정해야합니다.

4. Final Report 

- Audit Report 실물 문서는 금일 등기우편으로 발송 되며, 친절하게 스캔도 해서 메일로 보내줍니다.

- 친절하게 부족분에 대해 요약해서 구매 하라고도 해줍니다. 담당 영업도 안내해 줍니다.

   " Audit Report 발행일로부터 30일 이내에 부족분을 해소(구매)하실 것을 요청드립니다." 

5. 최종 리포트 수신후 대응

- 감사 자료 제출 후 LMS팀에서의 역활은 끝났으며, 이제 오라클 담당 영업과의 부족분 구매에 대해 진행 해야 합니다.

- 담당 영업은 LMS 결과로 나온 구매분이라 통상 적용되었던 Special DC를 받을 수 없다고 주장합니다.

- 감사받는 담당자로써는 년 중 계획에 없던 부분이라, 비용 집행품의 올리는것을 꺼리게 됩니다.(C레벨이 싫어함)

- 결국 서로간 합의점을 찾아 부족분에 대한 라이선스 구매를 합니다.  (꼭 30일안에 해소 할 필요는 없습니다.)

오라클 등 글로벌 엔터프라이즈 SW 회사는 정기적으로(대략 2~3년 기준)으로 LMS라고 오딧을 진행하고 있는데요.

올바른 대응을 위해 오라클 라이선스 종류 및 LMS 절차에 대해 알아 보도록 하겠습니다.

오라클 라이선스 방식

- SE라이선스는 EOS로 SE2로 대체됨

 - SE2라이선스는 2소캣 최대 16코아까지 사용 가능함

오라클 오딧 공문

등기 우편으로 담당자에게 날라 옵니다. 못 받았다고 잡아 뗄 수 없게 하려는  의도가 보임

오라클 LMS 절차

오라클 라이선스 Audit 절차 (오라클에서 실제 보내온 메일을 요약함)

- OSW는 엑셀 형태로 작성 되며, Script는 오라클에서 파일을 보내옴

오라클 LMS 대응
실제 오딧을 받은 회사의 담당자들의 대응은 일반적으로 같습니다.

1. 오라클과의 계약서 준비

2. 사용 현황과 오라클 계약 현황 맞추기

3. 시간끌기 (전화 안받기, 시간 약속 안잡기 등)

4. 영업 담당자 불러서 오라클 신규 구매하기

나열해 보니 별 방법이 없는거 같은데, 최대한 시간을 끌어서 사전 준비를 하던가

(Namd User로 구매된 수량 맞추기, Core 라이선스로 구매된 db에 몰아 넣기, 다른 솔루션으로 이관하기)

오라클 담당 영업을 통해서 자진납세해서 어느 정도 신규 구매하고 감사 안받기 정도가 될 듯합니다.

오라클 감사팀에서 감사하고 라이선스 위반 사항에 대해 부족분이 나오면, 영업이 투입되는 형태 이기 떄문에

어느 정도 신규 구매하고 넘어가는 것도 방법인 듯 합니다.

오라클 감사 후 예상 되는 상황

실제 감사 후 관리자들의 반응입니다.

1. 리미니스트리트로 오라클 유지보수 전환

2. 타 솔루션 DB로 전환
 

오라클 제 3자 지원 회사 리미니 스트리트에 따르면,  IT 관리자가 주목해야할 6가지 트랜드가 있습니다.

1. 폭증하는 앱의 관리(App Explosion)

2. 직원과 관리자 간의 앱 소유권 전쟁(Owner Ship Attack)

3. 격화되는 사이버 공격

4. 전 세계적인 개인 정보 보호 강화

5. 디지털 기술을 도입해 파괴적 혁신

6. 기존 공급 업체의 적의

그중에 6번 기존 공급 업체의 적의는 고객 ,수익 마진에 대한 권리를 이어가려고 하는 건데요.

그 떄문에 감사, 법률적 조치를 취하는 경우가 증가 하고 있는것 같습니다.

1. regulation(규제) + technology(기술) = 레그테크(RegTech)

•   금융 산업 내에서 급증하는 규제준수, RMS(Risk Management), FDS(이상금융거래탐지), 내부통제 등을 IT 기술과 결합하여 자동화 하여 대응 할 수 있는 핀테크 기술

2. 레그 테크 적용 IT 기술

3. 적용 고려사항

XAI ,설명 가능한 AI(Explainable AI)?

• 설명 : 어떤 대상에 대해 자세히 이야기하는 것 
  
• AI     : 기계로부터 만들어진 지능
  

미디어에서 AI에 대한 기사, 뉴스, 광고 등을 많이 보고 있는데요

그런데 설명가능한 XAI는 무엇일까요?

 - 심지어 요세 신기술을 예기 할때  AICBM(AI, IoT, Cloud, Bigdata, Mobile) 이라고 하죠.

1. 개념도 

 사용자에게 인공지능의 최공 결과가 올바른지 결과물에 대한 과정을 근거로 제공하는 알려주는 AI 모델입니다. 

즉 왜 그런 판단을 했는지, 구체적인 정보를 제공합니다.

기존 : 이 사진 고양이 임

XAI  : 털있고, 수염있고, 발톱있고, 기타등등

          판단해보니 고양이임

음 AI 결과를 못믿는 사람들을 위한 건가?  어떻게 활용 될까요?

관련 기사들을 찾아 봤습니다.

2. 설명가능한 AI 관련 기사

설명   가능한   AI ' 심머신(simMachines)'   일본  공급  시작

"설명 가능한 AI? 정확성 보장 어렵다" 구글 연구 책임자

[IT 신트렌드] 설명 가능한 AI가 주는 선물/추형석 소프트웨어정책연구소 선임연구원

결과만 알려주는 AI 넘어···“왜”까지 설명해주는 XAI(설명가능 인공지능) 뜬다

• 알고리즘에 의한 ‘자동화된 불평등’ 해소 
• 범죄 위험성 판단, 인사 평가, 군사작전, 의료 분야 등 잘못된 AI의 판단에 의하여 
• 불완전하고 불공정할 수 있는 일반적인 알고리즘의 문제를 해결하고 보완할 수 있는 한 수단에 사용

AI 판단의 품질?을 확보하기 위한 방안이라고 생각됩니다.

개인정보보호와 관련한 첫 국가공인 자격증을 신설 추진

기사에 따르면, 방통위는 내년 '개인정보보호 전문관리사' 자격제도 신설키로 하고, 

예산 확보를 위해 협의 중이라고 합니다.

관련 기사

개인정보보호 관련 첫 국가공인 자격증 만든다

방통위, 개인정보 보호 첫 국가공인 자격증제 추진

개인정보보호와 관련한 첫 국가공인 자격증을 신설하는 방안을 추진

기존 개인정보보호관련 자격증은  CPPG, PIP, CIPP 등이 있는데요.  첫 국가공인 자격증이라는 차이점이 있을꺼 같습니다.

개인정보 보호 관련 자격증

CPPG (개인정보관리사)

         - 홈페이지 들어가보니 자격증 취득시 채용 우대하는 기업들이 많군요

           - 개인정보 관리사 활용 현황

 PIP (개인정보보호사)

              - 온라인으로 볼 수 있는게 장점 인듯 합니다.

                 - PIP 시험 보기

CIPP (개인정보관리사)

- 음 설명이 영어로 되어 있군요. 예 맞습니다. 생각한대로 국외 자격증입니다.

- CIPP 인증 사이트

위 CIPP, CIPM, CIPT의 간략한 설명입니다.

• 개인 정보 관리 표준화를 통해, 민간 자격증과의 차별성을 둬야...
• GDPR에 대응 할 수 있도록 공신력이 있어야 할꺼 같구요
• 개인정보에 대해 좀 더 실무적으로 관리 할수 있는 능력을 평가했으면 좋겠습니다.
• 자격 시험 비용이 좀 저렴했으면.....

요즘 AI 기반의 Regal Tech (법률(legal) + 기술(technology))가 개인정보관리와 법적 문제를 자동으로 판단해주고 해결해주지 않을까 싶습니다.