본문 바로가기
  • True knowledge exists in knowing that you know nothing. -Socrates-
ETC/일상

2020 회고록

by intadd 2021. 1. 29.

 

안녕하세요. 

zㅋㅋㅋㅋㅋㅋ? 그냥 짤이 웃겨서 가져왔습니다. 


2021 년 2월을 앞 둔 시점에서,, 2020 회고를 하려고 합니다. ㅋㅋ
"나는 2020 년에 무엇을 했는가?" 를 정리해 볼겸 작성해 봅니다. 

 

[서론]

- 2019년 10월에 전역을 했습니다. 

전역모에 Python 코딩을 해주신 상호형 

저는 (전)국군 0무사령부라는 곳에서 정보보호부대 정보보호병으로 근무를 했습니다.
군대에서 공부를 진짜 많이 한거 같아요,, 그래도 조금 공부를 존중?
해주는 문화여서 공부를 많이 했습니다. 

싸지방에서 주로 공부를 했던 거 같습니다.
근무 환경이 정보보호병이었기 때문에 도움이 된 것도 있지만, 
뭔가 정보보호를 공부하고 싶어서 정보보호병에 지원을 하는 것이라면,,
저는 살짝 지양하겠습니다. ㅎ

근무 부대에 따라서 장비와 환경이 상이하기도 하고,,  등등.. 때문에,,, 

+cf)
정보보호병으로 지원을 하면 1) 무슨 종이 시험?  2) 면접을 보고 통과하면 특기병으로 선발됩니다.
이런 정보보호 특기병들은 훈련소 갔다가 정보통신학교?에 가서 정보보호 18-2기 이런식으로 
따로 정보보호에 관련된 기초 교육을 받고, 각각 부대로 배치됩니다.
저 같은 경우에는 정보보호부대 였기 때문에, 필요한 부서에 동기들이 각각 배치되었습니다.
다른 부대같은 경우는 일반적으로 Cert반으로 간다고 들었습니다. 
풍문으로 들은거지만, 부대 규모가 작으면,,
Cert를 가장한 전산병... 이라고 하니 잘 판단해서 지원했으면

좋겠습니다.. 

국군 장병님들 화이팅...... 

[본론]

- 2020년 복학을 했습니다.

저는 세0대학교 정보보호학과에 재학중인 학생입니다. 
복학 후 2019년 까지 학점을 보니,, 2.93 .....?  (휴먼....?)

ㄹㅇ..

사실 대학 생활을 시작했을 때도, 컴퓨터 공부를 하는게 좋아서 수업은 잘 안들었던 것 같습니다...
동아리 활동하면서  공부하는게 재밌었기 때문에,, 학교 수업에 거의 관심이 없었습니돠.......
2020년은 학점 복구 및 졸업 조건 충족을 목표로 열심히 학교를 다닌 것 같습니다. 

결론 적으로 1학기 4.5/ 2학기 4.3? 인가 받아서 현 시점 3.43 까지는 복구를 시켰습니다... 
(복구 라는 단어는 아닌거 같네요... 높았던 적이 없어서... ) 

0종대학교에는 엄청 좋은 프로그램이 있습니다. "창의학기제" 라는 프로그램인데, 
최대 12학점으로 한 학기 동안 프로젝트를 진행하고, 그 결과로 등급을 주는 프로그램입니다. 

컴퓨터 잘하시는 형들이랑 팀 꾸려서 참가했습니다. "허니팟을 이용한 침해사고 훈련 시스템" 이라는 주제로 프로젝트를 수행했고,  논문도 쓰고 뭐 그랬습니다.  좋은 팀원들이랑 교수님 덕에 너무 재밌었습니다. 
(거의 반 죽은 상태의 진행 강도..)
Link(Youtube)
(온라인 발표해서 제출하는건데, 시간이 5분이라 영상을 짜르는게 더 힘들었습니다...)

단기 팀 프로젝트라고 해봤지, 교외 해커톤? 정도의 경험이 있었는데, 한 학기 동안 프로젝트를 수행하다 보니, 많은 것들을 배운 것 같습니다. 팀원 모두 12학점 A+을 받았기 때문에,, 결과론적으로 매우 만족스러운 프로그램
이었습니다. 

본 프로젝트는 도커를 통해 허니팟을 구성하고 운영하는데,  플젝 시작 전에는,,
공격 안들어와서 데이터 없으면,, 

어떻게 하지...? 라는 고민을 했었습니다. 
생각 외로 공격들이 많이 들어와서 데이터는 좋았습니다.  :) 


침해사고가 발생된 도커 컨테이너를 다시 Run 해서 분석을 하는데,  그 중에 좀 신기했던 케이스를 말씀드릴까 합니다.


cf) 
정확히 어떤 종류의 컨테이너인지는 기억이 안나는데, redis one-day 통해서 root shell 획득한 케이스인가? 아니면 ssh root/root 컨테이넌가 ? 정확히 어떤 컨테이너인지는 기억이 안나지만,, 아무튼 공격 목적은 마이닝이었습니다. 

신기했던게, 일단 root shell을 획득하면,  특정 스크립트(.sh)를 다운받고 실행시킵니다. 
이 스크립트는 뭐 OS 버전에 맞게 마이닝 코드를 빌드하고 실행하는 목적이지만, 그 이전에 서버 장악? 하는 코드가 있었습니다. 

서버를 장악한다라고 거창한 표현을 쓰긴 했지만,
간단하게 ~/.ssh  ssh 키를 저장하는 기존 디렉토리  rm -rf  때리고,  자기 자신의 ssh 키만  저장합니다. 
그리고 마이닝 코드를 빌드하고 실행합니다.  
마이닝 코드를 다운받는 주소는 익명 텍스트 공유 서비스에서 다운받습니다. (이것도 신기했습니다.)

이렇게 두고 보면, 공격자를 특정할만한 단서가 없습니다. 피해 컨테이너 접속 IP가 본인 소유인지 확인할 수도 없고,
위에서 말씀드린 일련의 과정도 script로 짜저 있기 때문에, 허허  결론은 일단 root 권한이 넘어가면 ,, 일이 매우 복잡해 진다.. 입니다..

화났던 일들..

허니팟을 운영하는 서버는 제 자취방 홈서버 1, aws 3대? 사용했었습니다. 
근데 하필,, aws 서버에서 운영중인 서버의 컨테이너에 DDOS 당해서 서버비에서 눈물을 흘렸습니다. 

또 피해를 본게,, 군대 전역후, 설레는 마음으로  직접 조립까지 한 저의 데스크탑... 

케이스 '6팬' 진짜 개꿀.. 추천.. 3만원 대,, 기본 쿨러 6개 

한 달? 정도 허니팟 서버로 돌리다가,,, 어느 순간 꺼지더니 확인해 보니 램슬롯이 나가있었습니다...
2/4 슬롯 사용했었는데,, 2/4 슬롯에서 램을 인식하지 못해서, 현재는 1/3 슬롯에 넣고 사용중입니다.. (메인보드 b450)

Go 언어, docker 공부를 했었고 저는 Django Back 담당이었지만, 정말 재밌게 진행한 프로젝트였습니다. 
한 학기 동안이라는 짧은 시간에 개발도 하고, 논문 작업을 했던 터라 거의 주말에도 플젝을 한거 같습니다.. 
학기 도중에 교수님의 권유로 확장 저널 작업도 했고..
이 과정에서 전문 분야 박사님과 함께 진행했었는데 정말 큰 도움을 많이 받았습니다.  감사합니다 :) 
그리고 정말 고생하신 Nam(익)(명) 형님.. 정말 고생 많이 하셨습니다. 허허 ..... 
저널은 언제 투고할지는 미정인 것 같습니다.. 

 

- 2020 여름 방학 - 현장 실습

2020년 여름 방학에는 처음으로 기업 현장 실습을 나갔습니다.  이 경험은 사실 다른 글에서 작성 중인데 
아직 완성 되지 않아서,, 따로 검수허락을 받고 공개할 예정입니다. 

작성 중인 글... 

이건 세0대 인턴십이라는 프로그램으로 인턴십 하면 전공 학점을 부여하는 프로그램이 있어서 스타트업 
회사에서 현장 실습을 수행했습니다. 

개발팀으로 짧게 근무했었는데, 거의 취약점 점검, 패치, 등등 작업을 수행했습니다. 
(파급력 높은 취약점도 찾아서  패치했습니다.. 이건,, 검수를 부탁드린 후,, 공개할 수 있으면 공개해보겠습니다..)

취약점 테스트하다가 5천억 승인 거절된 사건..

제가 근무 했던 회사는  GCP 기반이었고, ServerLess 로 구축되어 있다보니 경험해보지 못했던 공부를 
많이 한것 같습니다.  취약점 점검이 끝나고, 
FireStore  보안 룰 작성에 대한 업무도 조금 진행했었는데 , 이것도 시간이 되면  더 공부해서
나중에 글로 작성하여 공유할까 생각중입니다. 자료가 많이 없더라구요.. 
firestore/ firebase가 게임 서버 db로 많이 사용된다고 하더라구요

요롷게 생긴 친구입니다.

서버리스 환경에 대한 취약점 점검은 처음이기도 했고, 회사에 소속되어 일을 해본 것도 처음이라 
많은 경험을 했습니다.  개발 팀장님과는 지금도 친한 형동생으로 지내고 있습니다. 
근무 중에 기술 블로그 운영에 대해서도 논의했었는데 업무가 많아서 진행되지는 못한 기억이 나네요
업무 진행하면서 공부했던 것들을 공유하는 취지였는데 아쉽습니다.

아무래도 회사에서 일을 한것들이라 기술적인 내용을 공유하기에는 조금 무리가 있습니다. 

여담을 조금 써보자면, 팀장님이 개발도 잘하시고, 너무 착하십니다...
본인이 전날 과음 후, 출근했더니 책상에 여명이 올려져 있었다는.....

가끔 사무실에서 일이 잘 안되면, 팀장님과 팀원들이랑 같이 주변 카페가서 일을 했었습니다.  (쵴오..)

ㅇ ㅏ 찍지 ㅁ ㅏ  ㅎ.

스타트업이라 업무 분위기가 조금 자유로웠습니다.
같이 현장 실습했던 동기들도 다 친구인데,  지금은 휴학하고 다른 회사에서 근무하고 있습니다.

애들아.. 졸업은 도피만 있을 뿐이야... 
어차피 오게될 시련이란다....


전 회사 자랑만 너무 한 거 같네요.. 마지막 자랑 하나 하고 챕터 종료하겠습니다.
현장 실습이다 보니 (학점과 교환..)  본인 - 학교 - 회사 이렇게 중간에 학교가 끼고 계약을 했습니다. 
현장 실습을 잘 마무리 하고, 작지만 수당을 기다리고 있었는데,, 한 통의 전화를 받았습니다. 

"기존에 작성된 계약서에 착오가 조금 있어서, 학교측에서 입금은 힘들 것 같습니다.. 죄송합니다. "
- 학교 측 담당자
"계약서에 도장이..찍혀 있는데.. 그때 왜 확인을 잘 안하셨나요...?" - 본인, 회사 
"제가 실수 한거 같네요.. 죄송합니다..." - 학교 측 담당자

당시 내 심정

사실 저는 돈 때문에 근무한건 아니라서,, 어이만 조금 없을 뿐,, 
학교 측의 일처리에 감탄하며 그냥 넘어갔는데........ (블러 처리)

회사 자랑은 여기까지 하겠습니다. 무튼 공부도 많이 했고 재밌게 근무했습니다. :) 

스타트업인 회사의 단점이라고 하면, 제 분야에 대한 선임이 없거나 적다는 점이 있습니다. 
내가 작성한 코드가 최선의 코드인가? 에 대한 선임의 피드백이 없다는 점은 확실히 단점인 것 같습니다. 

그래서 작성한 코드나 패치들이 실제 서비스에 다이렉트로 적용된다고 생각하고 업무를 진행하면,
책임감? 부담감? max를 경험해 볼 수 있습니다. 
저의 팀은 일주일에 한 번 씩 작성한 코드에 대한 리뷰 + task 진행 상황 공유를 했던 것 같습니다. 


 

- 취약점 

2020년에도 버그바운티를 조금 했었습니다.  
네이버를 대상으로 했었고, 이전 년도에도 했었고 2020년에도 수행했습니다. 
명예의 전당이 년도가 나눠젔더라구요, 2019/ 2020 이렇게 되어 있습니다. 

2021년도가 된 기념으로 어제도 호다닥 취약점을 찾고 2건 제보했습니다. 
저는 개인적으로 제보 취약점 풀이 작아서 좀 더 다양하게 찾아보고 싶어서 공부를 하고 있습니다. 

웹 취약점에 관심이 많으시면, 네이버, 리디 북스, 해커원, 버크 에서 버그 바운티를 찾아보시는 걸 추천드립니다. 

취미로 옳다.

저는 개인적으로 CTF 보다는 버그 바운티가 좀 더 좋더라구요, 그냥.. 개인 취향입니다..

한창 허니팟 프로젝트를 진행하고 있을 때, 지인으로 부터 연락이 와서  한국 남부 발전에서 진행하는 
웹 서비스 경진 대회에 같이 참여하자고 해서, 참여하게 되었습니다. 

기사 사진, 스크린에 번개맨 입니다. ㅋㅋ

지인2분 (예전 sqli '~~' 글에 도움을 주신 서비형), 본인,  다른 소속 2분, 이렇게 5인 팀으로 참여했습니다. 
대회는 15시간? 정도 진행되었고, 실제 남부 발전 서비스를 다른 서버에 구현해서 취약점을 찾고, 
보고서 써서 제출하는 형태로 진행되었습니다. 

팀명은 '번개맨'  입니다. ㅋㅋㅋㅋㅋㅋ 제가 제안했습니다. 
매우 재밌었습니다.  버그 바운티로 대회를 하는 느낌? 이었습니다. 

취약점을 찾는 도중에 서버가 조금 삐걱 거려서 아쉬운 점은 조금 남습니다. 
온라인으로 진행됬고, 저희 팀은 15시간 동안 000개 취약점을 찾아서 제출했습니다.
15시간 동안 거의 쉬지 않고 취약점을 찾았었는데, 너무 재밌었습니다. 

잘하시는 분들이 많이 참가하셔서, 입상에 큰 기대는 없었는데 운 좋게 우수상을 수상했습니다. 
이 대회 후원이 국정원이여서 상금과 함께 절대시계를 받았습니다. 

영롱한 케이스
이쁘게 생겼습니다. 

좋은 팀원들이랑 재밌게 놀다온 느낌입니다.  재밌었습니다. :) 



- 졸업의 문턱  3대장 고전 시험 

저희 학교는 졸업을 하기 위해서는 책을 여러개 읽고, 시험을 보고 통과해야하는 조건이 있습니다. 
10권을 패스해야 졸업을 시켜주는데,, 다 고전 독서입니다. 
서양 고전, 동양 고전, 동서양 고전, 과학사 고전 이렇게 다 합쳐서 10권을 수행해야합니다. 
저에게는 거의 "시련" 이었습니다...... 미리 해둘껄...

9권은 고전독서 수업을 들어서 대체로 수행했고, 1권은 책을 읽었는데,, 시험이 너무 어려웠습니다....
8 Try 만에 패스 했습니다....

이거 오프라인으로 보는 시험이라 일주일에 한 번씩 시험장 가는 기분은 ........정말... 50점이 합격 커트인데,, 40 점 나오면 그자리에서 울었습니다...

근데 또 책을 읽다보면, 재밌었습니다.  '존 스튜어트 밀 자유론' 은 개인적으로 정말 재밌게 읽었습니다. 

나에게 고전이란.. 이런 느낌..

 

 

 

- 지금은 뭐하고 있나

요즘은 개인 개발 프로젝트를 진행하고 있고, Docker와 Go 언어에 대해서 공부하고 있습니다. 

아직 개발 중인 프로젝트 EHI

Python3, Java(엔진) 을 통해서 자체 proxy 서버 돌리고, Selenium(웹 브라우저)으로 연결합니다. 
프록시 서버에서는 패킷 캡처해서 .har 파일로 저장하고, 이를 분석하여  각각의 패킷을 Python 코드화(requests)
시켜주고, 기타 다른 서비스를 제공하는 프로젝트를 개발하고 있습니다.  좀 오래한 프로젝트라 규모가 조금 있습니다.
결과를 html 파일로 제공하는데, 렌더링 하는 것도 작업할게 많고, 그렇습니다.. 허허  언제 공유가 될지... 
기타 프록시 툴이랑 차이점을 둘려면,, 어떤 기능을 추가해야할지 고민하고 있습니다... 

 

22.. 

 

+앱조디아

이번 년도에는 앱조디아에 한 발 짝 가까워 졌습니다. 
2019 년에는 맥북과 아이폰을 샀습니다. 
2020 년에는 에어팟과 아이패드를 샀습니다. 
2021 년에는 애플 워치를 샀습니다. . .

느낌상  if (yearByProdctCount %2 ==0 ) : 인 느낍입니다.... 

+ 붕어 향기

저는 지인들 PC를 자주 조립해줍니다. 취미 아닌 취미??
뭔가 데스크탑을 맞추면, 부품들을 모아서 하나의 생명을 탄생시키는 느낌을 받습ㄴ디ㅏ.. 

내가 조립한 PC가 나중에는 서버가 되기도 하고,  영화 감상용 취미가 되기도 하고, 
코딩을 하기 위한 에디터가 돌아가기 때문에,, 이건 거의 생명체입니다,, 반박시,, 정상인

생산성 측면에서 데스크탑이나 노트북은 미친 존재감이 있다고 생각합니다. 
300만원을 주고 맥북을 샀지만,  맥북을 이용해서 300만원 이상의 일을 한다거나, 등등 
남는 장사.. 라고 생각합니다. 

아 참고로, 저는 지인 PC를 맞추다가 메인보드를 실수로 잘못 사서, 처음으로 중고로
거래 한적도 있습니다... 2만원 손해 봤습니다... 참고로,  컴퓨터 중고 부품을 거래하실려면 
번개 장터 추천드립니다. 
"당근 마켓", "중고 나라", "번개 장터" 3개에 동시에 올렸는데,
"번개 장터" 에서만 연락이 많이 왔습니다. 
거래 하신분이 카카오톡 아이디가 붕어 향기였습니다. 
(SKT 대리점 운영하고 계신 인천 향기님.. 잘 사용하고 계신가요? 새 상품이라 제가 쓸까 하다가
올렸습니다..)

 

[결론]

2020년 01월  VS 2021년 01월 저를 비교했을 때, 
배운 것들이 너무 많기 때문에 후자가 더 잘하는 것 같습니다.  (머쓱..)
2020년은 정말 바쁘게 살았던 것 같습니다.. 
개인적으로 너무 힘든 한 해였습니다. 
기술적으로나 사적으로 많은 일들이 있었지만, 더 성장했던 것 같습니다. 

2020년 01월 < 2021년 01월  < 2022년 01월이 될 수 있도록 
더 열시미 공부할 생각 입니돠.
올해에는 개발 공부를 조금 해보고 싶습니다.
+ 낚시를 취미로 해볼까 생각중에 있습니다.  ㅋㅋ 

그럼 저는 이만

 

'ETC > 일상' 카테고리의 다른 글

근황 (Bug bounty, Hackerton, braille)  (3) 2019.11.21
동아리 엠티  (0) 2016.12.29
방학 평가  (0) 2016.09.01

댓글