You Lead!!

시스템적 사고

끄적끄적 — Sun, 8 Dec 2024 15:39:22 +0900

전체적인 시스템의 성격은 무엇이고, 그 시스템 안에서 각 객체들은 어떠한 힘들 받고 있으며 각 개체들 사이에서도 어떠한 영향을 서로 미치는지를 생각할 줄 알아야한다. 시스템 전체를 생각하지 않고 지금 당장 눈앞에 보이는 이득을 취하려 하거나 손쉬워 보이는 해결책을 실행할 경우 이익은 커녕 손해를 보거나 문제는 더 심각해 질 수 있다.

1990년대 초 펜실베니아와 뉴욕에서는 진료성적표 제도를 도입하였다. 진료성적표는 어떤 병원과 의사가 환자의 진료를 잘하는지를 시민들이 알게하기 위해 도입되었다. 일반 시민들은 '어떤 병원이 좋다더라'라는 풍문에 의지하기 보다는 각 병원과 의사의 공개된 성적을 통해 병원을 선택할 수 있게 되리라 기대되었다. 병원들은 경쟁의식 속에서 성적을 높이기위해 서로 높은 의료서비스를 위해 노력하리라 기대하였다.

그런데, 예상과 달리 진료성적표는 충격적인 부작용을 야기하였다. 나쁜 성적을 받는 것이 두려워 생명이 위중한 환자를 일부러 치료하지 않고, 굳이 수술할 필요가 없는 환자들을 수술하기 시작하였다. 진료성적표는 도입취지와 정반대로 병원과 의사들이 최악의 서비스를 제공하게 했으며, 환자들은 제대로 된 치료를 받지 못했다.

IT회사에서 배포주기나 반영성공율 등을 지표로 관리할때에도 동일한 부작용이 나타날 수 있다. 사람들은 리스크있는 개발은 하지 않을 것이고, 불필요하고 소모적인 개발만 집중하게 될 것이다.

[도서] 성장을 이끄는 팀장들

끄적끄적 — Sat, 16 Nov 2024 11:17:25 +0900

관리자들이 자신이 맡은 업무의 내용(content of what they do)과 시간(timing)을 적절히 통제하지 못한다는 지적이 많다.

업무 위임과 자율의 중요성을 강조하면서, 부하 직원들의 일까지 주섬주섬 떠 맡는 경우도 적지 않다.
이른바 온갖 원숭이(monkey)들이 관리자 어깨 위에 올라 타는데도 인식하지 못한다.

"원숭이는 언제 내 어깨에 올랐나?"

복도에서 부하 직원을 마주쳤는데, 업무에 어려움이 생겼다며 조언을 청한다. 이런 문제들에는 통상 두 가지 특징이 있다. 첫째, 상사가 해당 업무에 관여할 수 있을 만큼 잘 알고 있다. 둘째, 그러나 상사가 현장에서 바로 의사결정해줄 만큼 충분히 알고 있지는 못하다.

이 상황에서 상사의 반응은 이렇게 끝나기 쉽다. "이런 문제를 먼저 상의해줘서 고맙네. 그런데, 내가 다른 일을 먼저 처리해야 할 게 있어서, 내가 좀 생각해보고 나중에 알려주도록 하지." 그리고 자리를 뜬다.

일상적으로 벌어지는 상사와 직원의 대화처럼 보이지만 중요한 변화가 생겼다. 대화를 시작하기 전까지 부하 직원 어깨에 있던 "원숭이(monkey)"가 어느새 상사의 어깨로 자리를 옮긴다. 상사는 부하 직원에게 후속 일(the next move)을 약속했으며, 동시에 업무에 대한 책임까지 넘겨 받았다.

부하 직원은 다음날 아침에 상사의 기억을 돕기 위해, 사무실에 들려서 경쾌한 목소리로 묻는다. "어떻게 생각은 해보셨습니까?" 아이러니하지만 이는 통상 업무를 감독(supervision)하는 상사가 부하 직원에게 쓰는 제스처이다.

"왜 이런 일이 발생할까?"

업무를 수행하는 주도권의 5가지 단계

1. 지시가 있을 때까지 기다린다. (낮은 차원)
2. 무엇을 해야 하는지 묻는다.
3. 제안하고, 그에 따라 행동한다
4. 행동하되, 즉시 보고한다.
5. 스스로 행동한 후 정기적으로 보고한다. (높은 차원)

상사는 부하 직원들이 1번과 2번처럼, 낮은 차원에서 행동하지 않게끔 해야 한다. 3번 이상으로, 업무를 주도적으로 처리하도록 독려해야 한다.

[도서] 성과로 말하는 사람들

끄적끄적 — Sat, 2 Nov 2024 11:10:08 +0900

[직장] 어떻게 일에서 의미가 사라지는가?

관리자가 주의해야할 사례

관리자가 구성원의 일이나 아이디어의 중요성을 무시하는 경우 : 리더가 팀 회의 등에서 수행하는 업무의 중요성을 무시하거나, 의미가 없다고 표현할 경우, 기분이 상하고 의욕을 상실할 수가 있다. 반대로 관리자가 업무에 필요한 자원이 충분한지를 묻는 등 자신이 중요하고 가치있는 일을 하고 있다는 신호를 받으면, 실무자는 전진을 위한 촉진요인을 받는다.
일에 대한 구성원들의 주인의식을 무너뜨리는 경우 : 수시로 업무를 재배치하거나 할때 주인의식을 잃게된다. 거의 마무리단계까지 왔던 프로젝트를 다른 사람에게 넘겨주거나 하는 일이 반복될 경우
관리자가 구성원들이 하고 있는 일이 빛을 보지 못할 것이라는 메시지를 보낼때 : 다른 대안으로 현재 하고 있는 일이 의미없을 것이라는 것을 알게 되면 누가 열심히 할 것인가
우선순위가 변경되었으나 이를 제때 알리지 못한 경우 : 본인이 쏟은 시간과 노력이 시간낭비가 될 수 있는 경험을 자주하면 의욕을 상실한다.

마이크로 매니징(팀원들이 제대로 일을 하고 있는지 '검사'하는 대신 팀원들의 상황을 확인해야 한다.)

마이크로 매니징 관리자의 특성

일을 할때 구성원의 자율성을 허용하지 않고, 모든 행동을 일일이 지시한다(목표를 달성하는 방법과 팀원 각자의 생각을 존중해야)
팀원에게 실질적인 도움을 주지 않으면서 일에 관해 자주 물어본다.(대안적 해석의 가능성을 열어둔 채 분석을 도와야 한다)
문제가 발생했을 때 개인에게 책임을 전가하는 경향이 있다.(구성원들이 정직하게 논의하기보다 숨기도록 유도된다)
자신의 비밀 무기로 사용하기 위해 정보를 축적하고 공유하지 않는다.

Spring Security CSRF와 CORS

끄적끄적 — Sun, 17 Sep 2023 21:24:32 +0900

CSRF(Cross Site Request Forgery) : 사용자가 웹에 로그인 한 상태에서 악성 스크립트 등을 통해 원하지 않는 변경(POST, PUT, DELETE)를 할 수 있는 것을 대비하기 위한 기능이다. (예시로, 페이스북에 로그인된 상태에서 원하지 않는 광고글이 게시되는 등)
GET호출시에 CSRF 토큰을 발급하며, 변경(POST등) 메서드를 하고자 할 경우에는 헤더에 X_CSRF_TOKEN에 토큰값을 넘겨줘야 정상적으로 변경을 수행한다.

CSRF 처리

아래와 같이 hidden값으로 클라이언트에서 변경시 token값을 올려주도록 구현할 수 있다.

<!DOCTYPE HTML>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
    <head>
    </head>
    <body>
        <form action="/product/add" method="post">
            <span>Name:</span>
            <span><input type="text" name="name" /></span>
            <span><button type="submit">Add</button></span>
            <input type="hidden"
                    th:name="${_csrf.parameterName}"
                    th:value="${_csrf.token}" />
        </form>
    </body>
</html>

CORS(Cross-Origin Resource Sharing) : 보안상의 이유로 브라우저는 동일출처(도메인, 포트)가 아니면 호출을 제한한다. 이를 허용해 주기 위한 공유이다.
- Access-Control-Allow-Origin : 접근할 수 있는 외부 도메인 지정
- Access-Control-Allow-Methods : 특정 HTTP 방식만 허용
- Access-Control-Allow-Headers : 특정요청에 이용할 수 있는 헤더 제한 추가

허용방법
- Controller에 @CrossOrigin 추가
- CorsConfigurer로 전체적으로 적용

public class ProjectConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.cors(c -> {
            CorsConfigurationSource source = request -> {
                CorsConfiguration config = new CorsConfiguration();
                config.setAllowedOrigins(List.of("*"));
                config.setAllowedMethods(List.of("*"));
                return config;
            };
            c.configurationSource(source);
        });

        http.csrf().disable();

        http.authorizeRequests()
                .anyRequest().permitAll();
    }
}

Spring Security Filter

끄적끄적 — Sun, 17 Sep 2023 20:31:40 +0900

기존 FilterChain 내에서 앞뒤로 원하는 Filter를 붙일 수 있다.

public class RequestValidationFilter implements Filter {

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException,
        ServletException {
        var httpRequest = (HttpServletRequest) request;
        var httpResponse = (HttpServletResponse) response;
        String requestId = httpRequest.getHeader("Request-Id");
        // if (requestId == null || requestId.isBlank()) {
        //     httpResponse.setStatus(HttpServletResponse.SC_BAD_REQUEST);
        //     return;
        // }

        filterChain.doFilter(request, response);
    }
}

뒤에 붙일 필터를 정의한다.

public class AuthenticationLoggingFilter implements Filter {

    private final Logger logger =
            Logger.getLogger(AuthenticationLoggingFilter.class.getName());

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException,
        ServletException {
        var httpRequest = (HttpServletRequest) request;
        String requestId = httpRequest.getHeader("Request-Id");
        logger.info("Successfully authenticated request with id " +  requestId);
        filterChain.doFilter(request, response);
    }
}

아래와 같이 BasicAuthenticationFilter 앞 뒤로 원하는 필터 주입할 수 있다.

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {

    return http
        .csrf(AbstractHttpConfigurer::disable)
        .addFilterBefore(new RequestValidationFilter(), BasicAuthenticationFilter.class)
        .addFilterAfter(new AuthenticationLoggingFilter(), BasicAuthenticationFilter.class)

아래는 Header에 키를 체크하는 필터의 예시

@Component
public class StaticKeyAuthenticationFilter implements Filter {

    @Value("${authorization.key}")
    private String authorizationKey;

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException, ServletException {
        var httpRequest = (HttpServletRequest) request;
        var httpResponse = (HttpServletResponse) response;

        String authentication = httpRequest.getHeader("Authorization");

        if (authorizationKey.equals(authentication)) {
            filterChain.doFilter(request, response);
        } else {
            httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
        }
    }
}

Spring Security Authorization(권한 부여)

끄적끄적 — Sun, 17 Sep 2023 20:06:16 +0900

Authority : String형태(Read, Write 등)의 권한을 정의하거나 ROLE(Autority에는 ROLE_권한형태로 저장) 사용
AuthorizationFilter에서 AuthorizationManager(주로 AuthorityAuthorizationManager)에 의해 체크됨

AuthorizationFilter

권한부여

mvcMatchers : *는 한 경로 이름 대체, **는 여러 경로이름 대체, 정규식 가능
- antMatchers : 사용법은 유사하나 /hello 경로에 지정할 경우 /hello/ 경로는 제외된다(mvcMatcher는 둘다 포함됨)

http.authorizeRequests()
    .mvcMatchers(HttpMethod.GET, "/a").authenticated()
    .mvcMatchers(HttpMethod.POST, "/a").permitAll()
    .anyRequest().denyAll();
                
http.authorizeRequests()
    .mvcMatchers( "/a/b/**").authenticated()
    .anyRequest().permitAll();
    
http.authorizeRequests()
    .mvcMatchers( "/product/{code:^[0-9]*$}").permitAll()
    .anyRequest().denyAll();

Spring Security Authentication(인증)

끄적끄적 — Sun, 17 Sep 2023 13:11:55 +0900

Authentication(인증) : 사용자가 맞는지 확인

FormLogin

AuthorizationFilter에서 AccessDeniedException 발생

FilterChainProxy

FilterChainProxy에 보면 정의된 filters를 리스트로 가지고 있음

FilterChainProxy에 보면 filters를 가지고 있음

AuthenticationManager(인증관리자) : 주로 ProviderManager 사용됨
ProviderManager 는 다음 Build된 Provider를 이용해서 인증을 수행
OTP인증 등 인증방법을 변경하고 싶으면 Provider를 별도로 만들어서 추가해주자(HttpSecurity.authenticationProvider)

ProviderManager에서 Provider의 authenticate 호출

ProviderManager에서 사용하는 Provider 들

authentication Flow

인증 성공/실패에 따른 후속처리

SecurityContextHolder : 인증된 사용자 세부정보 저장하는 곳. 어떻게 채워지는지는 신경쓰지 않음

SecurityContext : Authentication 객체가 담겨있음. Principal(사용자정보), Credentials(비밀번호), Authorities(권한)

SecurityContext 안에는 authentication 객체가 담겨있음

소스로 살펴보는 인증 흐름

1. AbstractAuthenticationProcessingFilter

2. UsernamePasswordAuthenticationFilter

3. ProviderManager

4. AbstractUserDetailsAuthenticationProvider

5. DaoAuthenticationProvider

6. UserDetailsService 에서 User 찾기

Spring Security 3.1.1 적용

끄적끄적 — Sat, 16 Sep 2023 21:54:17 +0900

SecurityFilterChain : 기존에 2.x버전에서 WebSecurityConfigurerAdapter 상속받아 configure 재정의하던 방식에서 @Bean으로 생성하도록 변경되었다

	@Bean
	public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {

		return http
			.csrf((csrf) -> csrf.disable())
			.authorizeHttpRequests(request -> request.requestMatchers(PathRequest.toStaticResources().atCommonLocations()).permitAll()
				.requestMatchers(staticPath.toArray(new String[0])).permitAll()
				.requestMatchers("/", "/inventory/**",  "/account/**", "/api/**")
				.permitAll()
				.requestMatchers("/admin/**", "/report/**").hasAnyRole( AdminRole.MANAGER.name(), AdminRole.ADMIN.name())
				.requestMatchers("/manage/**").hasAnyRole(AdminRole.USER.name(), AdminRole.ADMIN.name())
				.anyRequest()
				.authenticated())
			.formLogin(Customizer.withDefaults())
			.build();
	}

PasswordEncoder : @Bean으로 생성해줘야 한다. 주로 BCryptPasswordEncoder 를 많이 사용한다.
- BCryptPasswordEncoder 는 해쉬값이 동일한 것을 방지하기 위해, 해쉬처리의 반복과 솔트처리(원문에 임의의 문자열 붙이기)를 이용
- strengh는 반복횟수에 영향을 주어 크게 줄 경우 해쉬작업이 오래걸릴 수 있음. salt처리를 통해
- BCryptPasswordEncoder 는 생성할때 strength(4~31)와 random 값을 줄 수 있는데,
  특별히 지정하지 않으면 strength 는 10을 사용하고, random값은 자체적으로 SecureRandom을 주입해준다.

	public BCryptPasswordEncoder(BCryptVersion version, int strength, SecureRandom random) {
		if (strength != -1 && (strength < BCrypt.MIN_LOG_ROUNDS || strength > BCrypt.MAX_LOG_ROUNDS)) {
			throw new IllegalArgumentException("Bad strength");
		}
		this.version = version;
		this.strength = (strength == -1) ? 10 : strength;
		this.random = random;
	}

	private String getSalt() {
		if (this.random != null) {
			return BCrypt.gensalt(this.version.getVersion(), this.strength, this.random);
		}
		return BCrypt.gensalt(this.version.getVersion(), this.strength);
	}
    

	public static String gensalt(String prefix, int log_rounds) throws IllegalArgumentException {
		return gensalt(prefix, log_rounds, new SecureRandom());
	}

UserDetailsService 를 구현한 Bean을 등록해줘야 한다

@RequiredArgsConstructor
@Service
public class AuthorizationService implements UserDetailsService {

    private final UserRepository userRepository;
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        User user = userRepository.findById(username).get();
        Set<GrantedAuthority> grantedAuthority = new HashSet<>();
        grantedAuthority.add(new SimpleGrantedAuthority(user.getRoleKey()));
        return new org.springframework.security.core.userdetails.User(user.getUserId(), user.getPassword(), grantedAuthority);
    }
}

추가로 로그인 성공시 동작을 구현할 수 있다. AuthenticationSuccessHandler

@RequiredArgsConstructor
@Service
public class CustomAuthenticationSuccessHandler implements AuthenticationSuccessHandler {

	private final HttpSession httpSession;
	@Override
	public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
		Authentication authentication) throws IOException, ServletException {
		UserDetails userDetails = (UserDetails) authentication.getPrincipal();
		httpSession.setAttribute("login_user", userDetails.getUsername());
		response.sendRedirect("redirect:/");
	}
}

[도서] 유연함의 힘

끄적끄적 — Sat, 16 Sep 2023 17:00:04 +0900

마인드셋의 차이

성과증명 마인드셋과 학습 마인드셋

학습마인드셋 실천방법
- 유연성 강화 : 개선하고 학습하기 위해 구체적(누군가에게 지시하면 무엇을 해야할지 알아들을 정도로)이고, 진짜 목표가 되도록(그것을 달성하면 원하는 능력을 얻을 수 있도록) 목표를 세우기 : 글로 써야 효과 증대
- 피드백의 중요성 : 형식적 피드백보다는 편하고 진솔하게 주고받을 수 있는 피드백 공유 문화형성 필요. 피드백을 통해 성장목표와 학습계획을 수립해야 함
- 성찰의 중요성 : 성찰을 기피하고 바쁘게 행동만 하려는 경향을 대부분의 사람들이 가짐. 성찰을 통해 고통과 취약성을 드러내고, 자신의 경험을 체계적으로 성찰해야 함.
  1. "경험은 단순히 당신에게 일어난 일이 아니다. 당신에게 일어난 일로 무엇을 하는가가 바로 경험이다" - 올더스 레너드 헉슬리
  2. 프로젝트에서 회고, 장애 포스트모텀 등이 중요한 것과 같다.

성과지향 조직에서 보이는 대표적인 특징
- 회사는 동료들보다 특출한 재능이 있다고 여기는 소수의 스타 직원이 이룬 성취를 추켜세우고 칭송함
- 직원 채용의 주된 기준이 성장 잠재력이 아니라 지원자의 측정 가능한 인지적 능력으로 평가
- 회사가 표창, 상여 등의 형태로 포상할 때 노력과 헌신이 아니라 정량적 성과를 주된 선발 기준으로 삼음
- 회사는 직원이 실수하고 실패했을때 그 일로 교훈을 얻을 기회를 주는 대신 잘잘못을 따져 처별하는데 치중
- 직원들은 자신의 실수를 감추고, 자신의 프로젝트가 더 성공적으로 보이게 결과를 조작하고, 직무 성과가 돋보이도록 포장하느라 기를 씀

마이크로소프트(사티아 나델라 취임이후)의 맥박체크시 질문리스트
- 당신이 현재 추진하는 모든 프로젝트를 설명하세요.
- 그 프로젝트에서 당신이 어떤 진전을 이루었는지 설명하세요.
- 당신은 회사에서 다른 직원의 프로젝트나 성공을 어떤 식으로 활용했습니까?
- 당신은 회사에서 다양성과 포용성을 어떤 방식으로 구현했습니까?
- 당신은 회사에서 성장 마인드셋을 어떻게 실천했습니까?

마이크로소프트에서 리더가 직원들에게 면담시 묻는 질문
- 지난번 대화이후에 당신은 무엇을 했습니까?
- 만약 그 일에서 배운 게 있다면 무엇입니까?

※ 이런 질문을 반복적으로 받다보면 일상적인 업무 중에도 지속적인 학습과 성장에 관해 생각하게 됨

실수나 실패로 좌절하는 구성원에게 하는 질문
- 당신은 이 일에서 무엇을 잘했습니까?
- 당신은 이 일에서 무엇을 다르게 할 수 있었을까요?
- 당신은 이 일에서 어떤 교훈을 얻었습니까? 또는 무엇을 다시 배웠습니까?
- 당신은 다음 번에 어떤 교훈을 실천하겠습니까?

당신의 임금곡선보다 학습 곡선에 더 신경쓰세요

[영화] 패러다이스

끄적끄적 — Sun, 6 Aug 2023 20:27:16 +0900

패러다이스

Netflix에서 패러다이스를 보았다. 미래에 사람들간에 수명을 사고 팔수 있는 기술이 개발되었을때 어떤 일이 벌어질 수 있을지를 그려볼 수 있는 영화다. 가난한 사람은 자신의 수명을 10년, 20년 팔아서 그 돈으로 빨리 늙기는 했지만, 남은 여생을 좀더 낫게 살아갈 수 있게 된다. 부자는 자신이 가진 돈으로 젊음을 사게되어 영생을 추구할 수 있는 시대다.

얼핏 보면 말이 되는 얘기같지만, 사람들의 욕심으로 인해, 이민자들을 불법적으로 납치해서 수술을 하거나, 기증자를 얻기위해 일부러 파산하게 만드는 조작을 저지르는등 부작용이 속출한다. AI,로봇, 생명공학 등 기술이 발전하지만 그 이면에서 벌어질 부작용에 대해서도 깊이 고민해야 한다는 것을 시사해 주는 영화다.