Saturday, August 28, 2021

랜섬웨어 해커 그룹 - 원퍼센트(OnePercent)


  • 개요

2021년 8월 25일, FBI가 무명에 가까운 신생 랜섬웨어(ransomware) 해커 그룹, 원퍼센트(OnePercent)에 대한 Flash report를 관련 IOC와 함께 발표하며 경고했다.

이 그룹은 2020년 11월부터 미국 내 조직들을 상대로 왕성하게 활동해 오고 있다. 피해자에게 피싱(phishing) 이메일을 보내고 심지어 전화까지 걸어 협박하는 것이 특징이고, 주로 코발트 스트라이크(Cobalt Strike)라는 모의 해킹 도구를 주로 활용한다.

* 관련 기사
FBI Releases Indicators of Compromise Associated with OnePercent Group Ransomware (CISA)
FBI, 새로운 랜섬웨어 그룹 원퍼센트에 대한 경고 발표해 (보안뉴스)

* 관련 FBI 보고서
FBI Flash CU-000149-MW (FBI, PDF)

* 참고 
FBI는 인터넷 범죄 신고 센터(Internet Crime Complaint Center, 일명 IC3)를 운영하고 있다. 이 온라인 사이트를 통해 대중은 인터넷을 통한 범죄 행위로 의심되는 활동에 관한 정보를 FBI에 제출할 수 있다.
2000년 이후 IC3는 지적 재산권(IPR) 문제, 컴퓨터 침입(해킹), 경제 스파이(영업 비밀 절도), 온라인 갈취를 포함한 다양한 형태의 온라인 사기를 포함하여 사이버 범죄 문제의 스펙트럼을 넘나드는 불만을 접수했다.
이전에 IFCC(Internet Fraud Complaint Center)로 알려졌던 IC3는 인터넷, 사이버 관련 문제의 광범위한 특성을 더 잘 반영하고 "인터넷 사기(Internet Fraud)"를 잠재적으로 중복될 수 있는 다른 사이버 범죄와 구별하기 위해 이름을 변경했다.
또한, FBI는 대중들의 경각심을 높이기 위해 해마다 인터넷 범죄의 동향 및 통계에 대한 보고서(IC3 Annual Report)를 발행하고 있다.


  • TTP (Tactics, Techniques, and Procedures)

악성 zip 파일이 첨부된 피싱(phishing) 이메일을 통해 최초 침투를 한다. 이 압축 파일은 악성 매크로(macro)가 담긴 MS 워드나 엑셀 문서를 담고 있고, 이 매크로가 실행되면 시스템에 아이스드아이디(IcedID)라는 뱅킹 트로이목마(Banking Trojan, 일명 뱅커Banker)가 설치된다.

이 아이스드아이디는 코발트 스트라이크(Cobalt Strike) 등 추가 페이로드를 다운로드받는다. 이후 PowerShell을 통해 네트워크 내의 다른 시스템으로 횡적 이동(Lateral Movement) 한다.

공격자들은 피해자의 네트워크에서 데이터 유출(Data Exfiltration)을 위해 rclone을 사용한다.
최대 한 달 동안 정보를 빼낸 후에 랜섬웨어로 암호화 공격을 한다.

랜섬웨어가 성공적으로 배포되면 피해자는 스푸핑된 전화번호를 통해 랜섬(돈)을 요구하는 연락을 받게 된다. 추가 연락을 위해서 ProtonMail 주소가 제공된다. 공격자들은 피해자 회사의 훔친 데이터를 공개하겠다고 위협하고 피해 기업이 대응하지 않을 경우, ProtonMail을 통해 데이터를 공개하겠다고 지속해서 위협 이메일을 보낸다.

그래도 답장을 보내지 않으면 공격자는 드디어 정보 일부를 공개하기 시작한다. 이 일부가 1% 정도 된다고 하며, 그래서 이들은 자신들을 원퍼센트(OnePercent) 그룹이라고 부른다.

* 참고 자료 및 출처
New Macro Word Malware Email Scams Hidden in Zip File Attachments (MailGuard)
“모바일 뱅킹 트로이목마 악성 파일 2.5배 증가” 카스퍼스키 (ITWorld)


  • 공격 도구

원퍼센트 그룹은 아래와 같은 도구들을 활용하고 있다.
AWS S3 cloud
‣ IcedID
‣ Cobalt Strike
‣ Powershell
‣ Rclone
‣ Mimikatz
‣ SharpKatz
‣ BetterSafetyKatz
‣ SharpSploit

* 참고 자료 및 출처
코발트 스트라이크(Cobalt Strike)는 최근 몇 년 동안 많은 사이버 범죄자들에게 인기를 얻고 있는 사용 침투 테스트 도구다.
- Cobalt Strike : 침투 테스팅 도구 (AEP코리아네트)
- 국내 기업 위협하는 코발트 스트라이크 심층 분석 (안랩)
‣ IcedID
‣ Mimikatz


  • 권고 조치(Recommended Mitigations)

✓ 아래와 같은 IOCs(IP, Domain 및 URL)을 방화벽에서 차단하고 IDS/IPS에서 모니터링한다.
✓ 중요한 데이터를 오프라인으로 백업한다.
✓ 관리자(administrator)가 'Admin Approval' 모드를 사용하고 있지 않은지 확인한다.
✓ 가능하면 마이크로소프트 LAPS를 구현한다.
✓ 중요한 데이터의 복사본이 클라우드나 외장 하드 드라이브에 저장되어 있는지 확인한다. 이 정보는 침해받은 네트워크에서 접근이 안되도록 해야한다.
✓ 백업을 보호하고 데이터 수정 및 삭제를 위해서 원래 데이터가 있던 곳에서 접근이 안되도록 한다.
✓ 컴퓨터, 장치, 애플리케이션을 패치하고 최신 상태로 유지한다.
✓ 조직 외부에서 수신한 이메일에 이메일 배너를 추가하라.
✓ 사용하지 않는 원격 접근/RDP 포트를 비활성화하고 원격 접근/RDP 로그를 모니터링하라.
✓ 관리자 권한이 있는 사용자 계정을 감사(audit)하고 최소 권한(least privilege)으로 액세스 제어를 구성한다.
✓ 네트워크 세그멘테이션(network segmentation, or zoning)을 구현한다.
✓ 강력한 암호와 함께 다단계 인증(MFA)을 사용한다.

* 참고 자료 및 출처
Microsoft security advisory: Local Administrator Password Solution (LAPS) now available (Microsoft)
How to install and configure Microsoft LAPS (4sysops)


  • IOCs

▶ IPs and Domains
157.245.239.187
31.187.64.199
206.189.227.145
167.71.224.39
80.82.67.221
138.197.179.153
134.209.203.30
nix1.xyz
golddisco.top
delokijio.pw
june85.cyou
intensemisha.cyou
biggarderoub.cyou
d30qpb9e10re4o.cloudfront.net

▶ TOR URL
http://5mvifa3xq5m7sou3xzaajfz7h6eserp5fnkwotohns5pgbb5oxty3zad. onion

Sunday, August 1, 2021

홈 랩(Home Lab) 구축하기


이번 '홈 랩(Home Lab) 구축하기'에서는 주로 네트워크서버 엔지니어를 위한 랩을 구축하는데 초점을 맞추었다.

예전에 CCIE 자격증 취득을 위한 랩을 구축하기 위해서는 비싼 라우터, 스위치 등의 하드웨어 구매해야했었다. 그래서 혼자 CCIE 랩 장비를 구매하기 부담스러워 여러 명이 돈을 모아 같이 랩 장비를 사서 CCIE를 준비하기도 했다.

이후 VMware와 같은 가상화 기술, GNS3, EVE-NG와 같은 시뮬레이션 소프트웨어의 등장으로 네트워크/서버 실습을 위한 랩 구축은 정말 쉬워졌다. 여러 하드웨어로 인한 전력 소모도 줄어들고, 케이블링도 필요없다. 아주 강력한 서버용 하드웨어가 필요할 뿐이다.

물론 스위치, 방화벽(혹은 공유기) 등이 필요하지만 랩 구축의 핵심은 '서버'다.

홈 랩(Home Lab) 구축을 위해서 상당히 많은 시간을 들여 조사를 하고 고민도 많이 했다. 간단한 성능 좋은 PC를 구매해서 쉽게 구축할 수도 있지만, 장기적인 관점으로 제대로 된 랩을 구축하기 위해 고민을 많이 했다. 그런 고민의 흔적들을 이 글에서 풀어볼까 한다.

* 참고: 레딧(Reddit)에는 많은 사람들이 자신이 구축한 홈 랩의 사진과 구성도를 올린다. 분석맨은 이렇게 다른 사람들이 구축한 생생한 구성을 보면서 좋은 아이디어를 얻기도 했다.
Reddit - homelabbity (홈래비티)
Reddit - HomeLab Porn (홈랩 포르노?)


  • 하드웨어

홈 랩(Home Lab)의 가장 핵심 구성요소로 가장 조사를 많이 하고 고민했던 부분이다.

▶ 옵션 1. 엔터프라이즈급 1U 마운트 서버


<Dell EMC 1U PowerEdge Server>

기업이 많이 사용하는 1U(1.75 인치/44.45mm), 2U 형태의 엔터프라이즈 급 서버인 델(Dell) PowerEdge, HPE ProLiant 등의 서버가 있다. 일명, 피자 박스(pizza box) 서버라고도 한다.

미국 처럼 따로 차고(garage), 에어콘, 전력 소모 걱정을 하지 않는 재력이 있어 이런 서버를 사용해도 좋겠지만, 아무래도 시끄러운 소음과 부피 등을 홈 랩 서버로 부담스럽다.

실제로 미국에선 많은 Systems Engineer(SE)들이 차고에 이런 기업용 서버로 홈 랩을 구축하기도 한다.


▶ 옵션 2. 중형급 미니 타워 서버


이 옵션이 분석맨이 선택한 옵션이다. 처음엔 공간도 적게 먹고, 전력 소모도 적고, 가격 부담도 적은 옵션 3의 미니 PC를 생각했지만, 장기적으로 강력한 여러 랩을 돌리려면 나중에 또 업드레이드가 필요할 것이라는 생각에 좀더 강력한 서버 옵션을 선택했다.

<Supermicro SuperServer 5028D-TN4T Mini Tower Server>

분석맨이 구매한 서버는 슈퍼마이크로의 슈퍼서버(SuperServer) SYS-5028D-TN4T 서버다. '슈퍼 마이크로 컴퓨터(Super Micro Computer, Inc.)'는 대만계 미국인 찰스 량(Charles Liang)이 창업한 IT 회사로 미국 실리콘밸리 산호세에 위치해 있다. 나스닥(NASDAQ)에는 2007년에 상장됐다. 주로 서버 마더보드, 하드웨어 등을 제작하고 있다. 서버 3대 강자인 Dell, HPE, IBM과 경쟁하면서도 잘 버티며 성장하고 있다.

2018년 10월 블룸버그의 중국산 스파이 칩 내장 보도로 주가가 곤두박칠 치고 위기에 빠졌지만, 제3자 기관에 의뢰해 진행한 검증 등을 통해서도 관련 증거가 발견되지 않아 위기를 잘 넘겼다. 슈퍼마이크로 서버는 아마존, 애플과 같은 빅테크 기업 뿐만 아니라, 미국 주요 통신사, 국방부(DoD), 중앙정보국(CIA), 국토 안보부(DHS), 나사(NASA) 등 국가 보안에 관련된 부처에서도 많이 사용하고 있기 때문에 만약 증거가 발견되었다면 회사가 파산했을 것이다.

* 관련 기사:
블룸버그 최초 보도 '슈퍼마이크로 해킹칩' 사건 진실은 (지디넷)
, 좁쌀만한 스파이칩으로…기업·CIA 기밀 털었다 (매일경제)

이런 사건에도 불구하고 조사를 하면 할 수록 많은 랩 구축 경험자들은 슈퍼마이크로 서버를 선택했다. 계속 구매를 미루다가 2020년 5월 드디어 주문을 했다. 슈퍼마이크로가 교회 가는 길 I-880 고속도로 바로 옆에 있어 지나가며 회사 건물을 볼 때 마다 리마인드가 되기도 했다.

✓ 스펙


슈퍼마이크로 SuperServer 5028D-TN4T 스펙은 아래와 같다.

- CPU: Intel® Xeon® processor D-1541
- Memory: 4x DDR4 DIMM sockets, Supports up to 128GB DDR4 ECC RDIMM
- HDD: 4x 3.5" Hot-swap drive bays, 2x 2.5" internal drive bays
- SATA: 6x SATA3 (6Gbps) ports
- PCI-E: 1x PCI-E 3.0 x16 (Low Profile) slot, 1x M.2 PCI-E 3.0 x4, M Key 2242/2280
- Network: 2x RJ45 10G Base-T, 2x RJ45 Gigabit Ethernet LAN, 1x RJ45 Dedicated IPMI LAN

분석맨은 RAM을 128GB로 장착하고, 이후 하드디스크(SSD, HDD)는 단계적으로 확장했다.

✓ 하드디스크(HDD, SSD)


1) HDD
일반 하드디스크를 지원하는 HDD 드라이브 베이는 Hot-swap 3.5인치 x 4개, 내장용 2.5인치 x 2개를 지원한다.

HDD는 직렬 ATA(SATA; Serial ATA, '새터' 혹은 '세이터'로 발음)를 지원하며 슈퍼서버는 6Gbps를 지원하는 SATA3를 지원한다.

<An mSATA SSD on top of a 2.5-inch SATA drive, Wikipedia>

* 참고: [sata1 sata2 sata3 차이] SATA1, SATA2, SATA3 뭐가 다른가요?


2) SSD
- SSD를 지원하는 인터페이스는 아래와 같이 2가지 타입이 있다.
NVMe (NVM Express; Non-Volatile Memory Express) 프로토콜을 사용하는 장치는 ① M.2 슬롯을 사용할 수도 있고, ② PCI-Express 슬롯을 사용할 수도 있다.

* 참고:
저장장치 M.2 SSD SATA와 NVMe의 차이
M.2 SATA vs. NVMe SSDs: Which Do You Need? (CDW)

① M.2

<Installing NVMe SSD into M.2 socket>

SYS-5028D-TN4T 서버는 1개의 M.2 슬롯이 있다. M.2 인터페이스는 울트라북, 태블릿 PC 등의 발전으로 기존 mPCIe(mini PCI-Express), mSATA(mini SATA)를 대체하기 위해 2013년에 발표된 커넥터 규격으로 인텔이 주도하여 만들었다.

M.2는 커넥터(슬롯) 규격이며 이 슬롯에 SATA 프로토콜 방식의 장비가 꽂힐 수도, PCIe 방식의 장비가 꽂힐 수도 있다.

같은 M.2 슬롯를 사용하더라도 SATA3 인터페이스라면 AHCI 기반의 SATA3 성능이 나오고, M.2 단자에 PCIe 3.0/4.0 4레인을 사용하는 NVMe 인터페이스를 사용하면야 SATA보다 높은 성능(더 큰 데이터 대역폭)이 나온다.

* 참고: M.2 (나무위키)

<분석맨 Supermicro SYS-5028D-TN4T 서버 내부>

분석맨은 처음에 Sabrent의 1TB SSD아마존에서 구매해서 장착했다. (2021년 8월 1일 현재, 아마존에서 $129.98불, 2020년 5월 27일 구매 시, $163.85) Sabrent SSD는 삼성 SSD에 비해 성능은 약간 떨어질지 모르지만 가성비가 좋다.

1TB Rocket NVMe PCIe M.2 2280 Internal SSD High Performance Solid State Drive (Model: SB-ROCKET-1TB)

* 참고: Sabrent 4TB Rocket NVMe M.2 High Performance SSD - FLIR thermal imagery, firmware tools, and speed tests for VMware ESXi 7.0 VMFS and Windows 10 NTFS (TinkerTry)


② PCI Express

<PCI Express slots, Wikipedia>

PCI Express는 2003년에 Intel, Dell, HP, IBM이 합작하여 PCI 의 후속 인터페이스로 발표하고 2004년부터 적용된 규격이다. 줄여서 보통 PCIe 혹은 PCI-e라고도 불린다.

* 참고: PCI Express (나무위키)

SYS-5028D-TN4T 서버는 1개의 M.2 슬롯 밖에 없지만, PCIe 슬롯에 장착할 수 있는 add-on 형태의 카드인 AOC-SLG3-2M2가 있어 이 카드에 추가로 2개의 M.2 인터페이스 타입 NVMe SSD를 추가할 수 있다. 가격은 현재 아마존에서 $49.84불이다. (2020년 12월 5월, 구매 시 $47.10)
<Supermicro PCI-E Add-On Card for two NVMe SSDs>

분석맨은 2번째 SSD로 삼성 970 EVO Plus SSD 2TBAOC-SLG3-2M2에 장착했다. 아마존에서 현재 $299불이다. (2020년 12월 5월, 구매 시 $273.11)

SAMSUNG 970 EVO Plus SSD 2TB - M.2 NVMe Interface Internal Solid State Drive with V-NAND Technology (Model: MZ-V7S2T0B/AM)

* 참고:
The best NVMe SSD in 2021 (PC Gamer)
The Best PCI Express NVMe Solid State Drives (SSDs) for 2021 (PC Magazine)


✓ 구매


슈퍼마이크로 서버는 아마존에서도 판매하지만, TinkerTry 사이트를 통해서 Wiredzone에서 구매하면 메모리 업그레이드는 맞춤 주문을 할 수 있다. TinkerTry 사이트를 통해서 번들로 구매하면 SATA 케이블 등 액세서리를 무료로 받을 수 있었는데, 2021년 7월 26일부로 슈퍼마이크로 주문을 할 수 없는 상태이다. 이제 Wiredzone을 통해서 바로 구매해야 한다.

하지만, 여전히 TinkerTry 사이트는 VMware, 서버, 스토리지 등의 장착 후기, 테스트, 각종 정보를 얻을 수 있는 좋은 곳이다.

한국에서 슈퍼마이크로 서버 구매를 원하시는 분들은 아래 한국 총판 블로그 사이트를 참고하시기 바란다. Wiredzone에서도 해외 배송이 가능하다고 하지만 아무래도 고객 지원 등 향후 지원을 위해서는 국내에서 구매하는 것이 좋을 것 같다.

* Supermicro 한국 총판 슈퍼솔루션 블로그


▶ 옵션 3. 소형 미니 PC


분석맨이 처음 고려했던 하드웨어로 소형 미니 PC라고 불린다. 인텔 미니 PC인 NUC()이 잘 알려져 있다.
<Intell NUC Kits, Intel>

처음엔 이 인텔 NUC과 슈퍼마이크로의 미니 PC인 SYS-E200, E300과 비교했다. 결정적으로 슈퍼마이크로로 선택이 기울게 된 건 VMware ESXi 때문이다. 네트워크·서버 랩을 돌리기 위해서는 가상화 소프트웨어가 필요하다. 물론, 윈도우나 리눅스 O/S를 설치하고 일반적인 많이 사용하는 VMware Workstation이나 VirtualBox를 설치해도 된다.

하지만 분석맨은 VMware도 공부해 보고 싶었기에 VMware ESXi에 더 적합한 하드웨어인 슈퍼마이크로 서버를 선택했다.

<Supermicro SuperServer SYS-E200-8D & SYS-E300-8D, TinkerTry>

SuperServer E200-8D
SuperServer E300-8D

분석맨이 구입한 SYS-5028D-TN4TSYS-300은 VMware 호환성 리스트에 공식적으로 올라가 있는 모델이다. 아래 VMware 사이트에서 ESXi 버전별로 지원하는 서버 제조사를 검색해 볼 수 있다.

VMware Compatibility Guide (VCG)

인텔 NUC의 경우, 공식 호환성 리스트에는 없지만 많은 엔지니어들이 ESXi를 올려서 사용하기 때문에 실제 사용하는데는 문제가 없다. 다만, ESXi 랩을 사용하는 대부분의 엔지니어들이 슈퍼마이크로 서버를 추천해서 분석맨도 가성비가 좋은 슈퍼마이크로 서버를 선택했다.


  • 서버 및 O/S


서버 하드웨어가 홈 랩 구축에 있어 가장 중요한 요소이고 돈이 많이 들지만, 이 위에서 돌아가는 가상화(Virtualization) 소프트웨어도 중요하다. 이 위에 각종 O/S, 네트워크 시뮬레이터를 돌릴 수 있기 때문이다.

서버 가상화 솔루션으로는 가장 많이 알려진 VMware의 ESXi, Microsoft의 Hyper-V, Red Hat의 KVM, Citrix의 XenServer 등이 있다.


▶ 옵션 1. VMware ESXi 서버


분석맨이 선택한 옵션으로 현재 슈퍼마이크로 SYS-5028D-TN4T 위에 VMware ESXi 7.0이 올라가 있다. 그리고 이 가상화 기반 위에 윈도우 2019 서버, 리눅스 서버(RHEL, Ubuntu, Kali), 네트워크 에뮬레이터(GNS3, EVE-NG) 등의 VM(Virtual Machine)들이 올라가 있다.

VMware 가상화 소프트웨어는 상용이지만, 무료로 라이센스를 얻을 수 있는 방법이 있다. 아래 링크를 참고하시라.

Free ESXi 7.0 - How to Download and get License Keys (Virten.net)
Free ESXi 6.5 - How to Download and get License Keys (Virten.net)

ESXi 6.5에선 2개 물리 CPU, VM당 8 vCPU 지원 등 제한 사항들이 있었지만, ESXi 7.0 버전에선 이런 제한이 없어졌다. 하지만, 여전이 기술지원을 받을 수 없고, ESXi를 vCenter 서버에 추가할 수도 없다.


VMUG Advantage
분석맨은 VMUG Advantage라는 멤버십에 가입을 해서 VMware 소프트웨어를 사용 중이다. 이 멤버십에 가입하면 거의 모든 VMware 소프트웨어를 무제한으로 사용할 수 있다. 1년 평가판 라이센스를 얻을 수 있어 무료로 사용할 수 없는 vCenter 서버, 네트워크 가상화 솔루션인 VMware NSX, 스토리지 가상화인 VMware SAN 등도 사용해 볼 수 있다.

이외에 세미나도 제공하고, VMware 교육 20~35% 할인 혜택 등도 제공된다. 단, 회비가 1년에 $200불이다. 보통 10%의 할인 코드를 상시 제공하니, $180불에 가입하는 셈이다. 아래 사이트에서 자세한 정보를 확인할 수 있다.
VMUG Advantage Membership


▶ 옵션 2. 윈도우 O/S with VMware Workstation


가장 쉽게 이용할 수 있는 옵션은 윈도우 10과 같은 O/S를 설치 후, VMware Workstation을 돌리는 방법이다. VMware Workstation은 크게 2가지 제품인 VMware Workstation PlayerPro가 있다. 각각 $149, $199불 이다. 고객지원(Support)가 추가된 Pro 버전은 $241불이다.

아래 사양 비교표를 참고하길 바란다.

Player 버전은 NAT와 같은 가상화 네트워크 조정 등을 지원하지 않으니 홈 랩을 돌리기 위해서는 Pro 버전이 적합할 것이다.

VMware Workstation Features Comparison
<VMware Workstation Features Comparison>

▶ 옵션 3. 리눅스 with VMware Workstation


VMware Workstation은 Ubuntu, Red Hat Enterprise Linux (RHEL), CentOS 등 리눅스 플랫폼에도 설치할 수 있다. 윈도우 O/S 라이센스 구입에 대한 비용을 절감하거나, 리눅스을 사용해보고 싶은 사용자에게 알맞은 옵션이다.

레드햇 계열의 리눅스를 설치하는 경우, 예전엔 대부분 CentOS를 설치했다. 하지만, 2020년 8월 레드햇이 CentOS 프로젝트를 중단한다는 발표를 하면서 리눅스 커뮤니티에 큰 충격을 주었다. 레드햇은 많은 논란 때문이었는지, 2021년 2월 RHEL 리눅스를 16대까지 무료로 설치해도 된다는 발표를 했다. 이후, 분석맨도 CentOS가 아닌 RHEL 8.4를 옵션 1을 이용해 설치했다. 관련한 자세한 내용은 아래 링크를 참고 하시길.

* 참고:
CENTOS 종료 – CENTOS 8은 2021 년 종료, 앞으로는 CENTOS STREAM (Opennaru)
CentOS is gone—but RHEL is now free for up to 16 production servers (Ars Technica)
No-cost Red Hat Enterprise Linux Individual Developer Subscription: FAQs (Red Hat)

* 참고 자료 및 출처


  • 네트워크 및 스위치


서버와 더불어 네트워크도 홈 랩에서 중요한 요소다. 보통 가정용 스위치는 일반적으로 더미(dummy) 허브와 같이 특별한 기능이 없는 'Unmanaged 스위치'와 VLAN, QoS, Link Aggregation 등 네트워크 기능을 지원하는'Managed 스위치'로 크게 나뉜다.

홈 랩을 하다 보면 스토리지와 연동하거나 각종 기능을 사용할 수 있어서 홈 랩을 구축할 정도의 생각을 가졌다면 Managed 스위치를 구매하길 추천한다.

일반적으로 SMB용 스위치 벤더로는 D-Link, TP-Link, NETGEAR, TRENDnet 등의 벤더가 있고, Cisco도 이런 종류의 스위치를 판매한다.


▶ 스위치 포트

Managed 스위치는 포트 기준으로 5, 8, 12, 16, 24, 48 포트는 다양하다. 연결할 기기들을 적어보고 확장성을 염두에 두어 적정한 포트 수량을 선정한다.

▶ PoE(Power over Ethernet)

무선 AP 등을 사용하거나 무선 랩을 구축하는 경우, 추가 전원 어댑터 없이 AP에 Ethernet 케이블로 전원을 공급할 수 있는 PoE 포트가 있는 스위치가 필요하다. 12포트 스위치의 경우, 4포트는 PoE 겸용 등 전체 포트 중 일부 포트를 PoE로 제공하는 경우가 많다.

▶ 기능(Features)

랩을 위해서는 VLAN, 802.1q, Link Aggregation 기능이 있는 스위치는 고르는 것을 추천한다. 홈 랩을 하다보면 여러 VLAN을 나누는 경우가 생길 수도 있고, 스토리지와 연동을 위해서 1Gbps 2개를 묶어 2Gbps로 Link Aggregation 할 수도 있다.


참고로, 분석맨은 예전에 Cisco SG300-10 10포트 Gigabit Managed Switch를 썼고, 지금은 Extreme Networks의 X440G2-12p-10G4 스위치를 사용하고 있다.
보통 아마존 평점이 좋은 것으로 고르면 무방하다. 아래와 같이 2개의 모델을 아마존에서 골라보았다.


※ 추천 모델

현재 (2021년 8월) Cisco SG350-10P 스위치의 경우 아마존에서 $325불로 아래와 같은 스펙을 제공한다.
- 총 10포트, 8포트 10/100/1000, 2 x 1G 업링크(SFP), 8포트 PoE 지원
- Static routing, QoS, voice/guest VLAN, MSTP, IGMP snooping, time-based access control lists, 802.1x, Web-based Authentication, IPv6 First Hop-Security, IP Source Guard

가격이 좀더 싼 TP-Link TL-SG2210MP 모델은 아마존에서 $149.99불로 아래와 같은 스펙을 제공한다.
- 총 10포트, 8포트 10/100/1000, 2 x 1Gbps SFP, 8포트 PoE 포트 지원
- Static routing, 802.1Q VLAN, IP-MAC-Port binding, ACL, Port Security, DoS defend, Storm control, DHCP Snooping, 802.1X radius authentication, L2/L3/L4 QoS, IGMP Snooping, Link Aggregation, Flow Control.

  • 라우터, 방화벽 혹은 공유기


인터넷 연결을 위해서 Wi-Fi 라우터 혹은 유무선 공유기로 불리는 유무선 겸용 라우터를 사용하는 것이 일반적이다. 보통은 이런 기기도 스위치와 비슷하게 TP-Link, NETGEAR, Linksys 등의 벤더가 있다. (한국산은 EFM ipTIME)
따로 방화벽을 설치하지 않으려면, Wi-Fi 라우터에 방화벽(firewall)이나 VPN 서버 기능이 있는 모델을 고르는 것을 추천한다.
예전에 분석맨은 Wi-Fi 라우터에 DD-WRT를 올려 사용하기도 했다. DD-WRT를 사용하면, Wi-Fi 라우터에서 지원하는 기능 이외의 여러 추가 기능을 이용할 수 있다.


▶ Wi-Fi 라우터(Router)


아마존에서 평점이 좋은 모델은 아래와 같다.
TP-Link AC4000 Tri-Band WiFi Router, $124.99
TP-Link AC1750 Smart WiFi Router, $64.99
Linksys WRT3200ACM Dual-Band Open Source Router for Home, $214.99


▶ 방화벽(Firewall)


Wi-Fi 라우터에 있는 방화벽이나 VPN 기능을 쓰지 않고 좀 더 전문적이고 다양한 기능을 사용하려면 아래와 같은 방화벽을 추천한다.


▶ 옵션 1. 오픈소스 방화벽


오픈소스 방화벽의 장점은 크게 무료라는 점과 오픈 소스 기반이라 각종 Plugins, Packages를 올릴 수 있다는 점이다. 사이버보안에 관심이 있는 엔지니어라면 SNORT, Suricata IDS 등과 연동이 가능한 이 옵션을 추천한다.

분석맨은 오랜 조사와 고민 끝에 Home Firewall로 OPNsense를 설치했다. 여러 오픈소스 무료 방화벽 중에 후보로 pfSense, OPNsense, Untangle, Sophos UTM이 올랐었다.
OPNsense 방화벽에 관해서는 아랫글을 참고하시길.

* 함께 읽어보면 좋은 관련 글: 오픈소스 무료 방화벽(Firewall) - OPNsense


▶ 옵션 2. SMB용 상용 방화벽


SMB용 혹은 홈 랩용 유료 방화벽으로 분석맨이 고민한 기기는 USG(Ubiquiti Unifi Security Gateway) Pro다.
Ubiquiti Networks의 USG-PRO-4가 아마존에서 $274.28로 고가인 편이다. 하지만, 많은 홈 랩 구축자들이 이 모델을 선택했음을 Reddit을 통해 알 수 있었다.
이외에 Sophos XG, SonicWall, Zyxel 과 같은 가정용 방화벽 벤더와 모델이 있다.

좀 더 비용을 투자하여 현재 Next-Gen Firewall 시장의 리더 업체인 Palo Alto NetworksFortinet 방화벽을 고려해 볼 수 있다. 하지만, 이 경우 Ubiquiti 등의 벤더에 비해 2~3배 이상으로 비용이 올라간다.

팔로알토 방화벽은 PA-220이 약 1,000불, 각종 보안 기능 서비스을 포함하면 $1,699불 정도 한다.
Palo Alto Networks PA-220 Lab Unit Next-Gen Firewall Bundle (Amazon)

포티넷 방화벽은 아래와 같은 FortiGate 60E, 50E 모델이 있다.
FORTINET FG-60E-BDL Fortigate Next Generation (Ngfw) Firewall Appliance Bundle with 8x5 Forticare and Fortiguard, $619.99 (Amazon)
FORTINET FortiGate-60E / FG-60E Next Generation (NGFW) Firewall Appliance, 10 x GE RJ45 Ports, $329.00 (Amazon)
Fortinet FortiGate 50E and 1YR 24x7 UTM Protection BDL (FG-50E-BDL-950-12), $562.82 (Amazon)
Fortinet FG-50E Next Generation (Ngfw) Firewall Appliance, 7X GbE RJ45 Ports, $264.44 (Amazon)

대체로 포티넷 방화벽이 팔로알토 방화벽에 비해 총소유비용(TCO)는 좋은 편이다.

아래는 OPNsense, Untangle과 같은 오픈소스 방화벽과 Ubiquiti의 USG를 비교한 표이다. 


* 참고 자료 및 출처


  • 랙/캐비넷


▶ Rack/Cabinet

랙은 정말 많은 장비가 있지 않은 이상 Half Rack 정도면 대부분 장비를 장착할 수 있을 것이다. 분석맨은 아래 19인치 표준랙, 12U 사이즈를 $152.83에 구입했다.

TUFFIOM 12U Casters Network Enclosure, $219.99 (Amazon)

<분석맨의 Home Lab in 12U Rack>

▶ Cooling Fan

랙에는 보통 쿨링 팬이 붙어 있지만, 랙 안의 장비가 많아지면 발생하는 열을 충분히 식혀주기에는 부족하다. 이럴 때는 장비 위나 아래에 바로 쿨링 팬을 놓아주면 발열을 많이 감소시킬 수 있다.
분석맨이 구입한 쿨링 팬은 아래와 같다.

AC Infinity MULTIFAN S3, Quiet 120mm USB Fan (Amazon, $12.99)
AC Infinity MULTIFAN S7, Quiet Dual 120mm USB Fan (Amazon, $19.99)


▶ Cabling

랙 안의 네트워크 케이블을 좀 깔끔하게 정리하려면 길이가 짧고 랜 선의 두께가 얇은 케이블을 사용하면 좋다. 분석맨이 사용한 Ethernet 케이블은 아래와 같다.

Monoprice - 115154 SlimRun Cat6A Ethernet Patch Cable (Amazon, $11.99)


  • 스토리지


각종 랩을 돌리거나 사진, 동영상 등을 보관하기 위해서는 NAS (Network Attached Storage)가 필요하다. 홈 랩 서버와 NFS, SMB 등의 프로토콜을 연동하여 스토리지를 사용할 수 있다.

관련 벤더는 Synology, QNAP 등이 있는데 역시 지존은 Synology(시날로지)다.
시날로지 관련 정보는 아래 네이버 카페에서 얻거나 궁금한 점을 질문할 수 있다.

분석맨은 Synology DS916+ 모델에 WD Red 6TB NAS HDD 3개를 아래와 같이 사용하고 있다.
Storage Pool 1, WD Red 6TB x 2, RAID 1 with data protection (각종 중요 데이터, 가족사진, 동영상)
Storage Pool 2, WD Red 6TB x 1, SHR without data protection (손실되어도 괜찮은 일반 데이터, 로그 데이터 등)

Synology 스토리지는 Virtual Machine Manager 기능이 있어서 VMware ESXi 처럼 Windows, Linux 등 각종 VM을 올릴 수 있다. 또한, Docker container를 포함한 수많은 Add-on 패키지를 지원한다.
이 스토리지에 VM을 올려서 홈 랩 서버를 돌릴 수도 있지만, 홈 랩은 상당히 많은 CPU 리소스와 메모리를 소비하므로 전용 서버를 따로 두는 것을 추천한다.

* 참고 자료


  • 무정전 전원 장치(UPS)


분석맨이 거주하는 실리콘밸리 지역은 정전이 꽤 발생하는 편이어서 무정전 전원 장치 UPS(Uninterruptible Power Supply)를 구입하게 되었다. 무엇보다 중요 데이터가 저장된 스토리지를 보호하기 위해서다.
이외에도 정전 상황에서도 2~3시간 정도 인터넷을 추가로 사용하고 휴대폰을 충전할 수 있는 장점이 있다.

UPS 벤더로는 APC가 가장 유명한데, 단점은 가격이 비싸다. 분석맨은 가성비가 좋은 CyberPower의 아래 UPS를 $218.35불에 구입했다.

CyberPower CP1500PFCLCD PFC Sinewave UPS System, 1500VA/1000W, 12 Outlets, AVR, Mini Tower, $249.48 (Amazon)

UPS 스펙을 보면 Pure Sinewave순수 사인파(정현파)와 Modified Sinewave유사 정현파(구형파)가 있는데, 전원 품질이 중요한 장비를 사용한다면, 순수 사인파가 출력되는 PFC(Power Factor Correction) Sinewave UPS를 구매하길 추천한다. 순수정현파는 가격이 상당히 비싸다.

순수정현파는 간단히 말해서, 전력회사에서 제공하는 불안정한 전력을 정제한 파형이다. 랩탑 등 민감한 전자기기의 손상을 줄여주기 위해서 사용한다. 랩탑과 같은 민감한 기기들은 Active PFC를 지원한다.

분석맨의 CyberPower UPS는 Synology 스토리지와 UPS로 연결되어 있어, 정전 시 스토리지는 Safe Mode로 동작하여 모든 서비스를 중단하고 볼륨을 umount 하여 데이터 손실을 방지한다. 이후 UPS 배터리 용량이 낮아지면, 스토리지는 자동으로 shutdown 한다.

Synology가 지원하는 UPS 벤더와 모델은 아래 사이트에서 검색할 수 있다.

* 참고 자료 및 출처
CyberPower - PFC Sinewave UPS and Active PFC Red logo (YouTube, 3:30)

  • 네트워크 시뮬레이터

마지막으로 네트워크 랩을 돌리기 위해서는 네트워크 시뮬레이터(Network Simulator)을 사용한다. 네트워크 공부를 막 시작한 엔지니어의 경우, Cisco Packet Tracer와 같이 간단한 시뮬레이터 소프트웨어를 사용하면 되지만 좀 더 전문적인 랩을 돌리기 위해서는 아래와 같은 시뮬레이터를 사용한다.

▶ 옵션 1. GNS3

GNS3(Graphical Network Simulator-3)는 가장 오래되고 신뢰할 수 있는 네트워크 시뮬레이터 소프트웨어로 오랫동안 사랑을 받고 있다. 아래 마켓플레이스에서 지원하는 수많은 벤더와 랩을 볼 수 있다.

▶ 옵션 2. EVE-NG

EVE-NG는 GNS3 이후에 나온 네트워크 시뮬레이터로 GNS3와 더불어 많이 사용한다. 지원하는 각종 랩 벤더는 아래 사이트에서 확인할 수 있다.

EVE-NG는 무료인 Community 버전과 유료 Professional (약$115불/1년) 버전 등이 있다. Edition 별 사양 비교표는 아래에서 확인할 수 있다.


GNS3, EVE-NG 이외에도 아래 '참고 자료 및 출처'에 있는 다른 네트워크 시뮬레이터도 있으니 참고하시기 바란다.

* 참고 자료 및 출처


  • 원격 접속(Remote Access)


원격 접속은...


▶ VPN


OpenVPN


▶ Remote Desktop Application


Remote 
① Microsoft Remote Desktop


② Team Viewer


③ AnyDesk


④ NoMachine



▶ 기타


이외에...


EOF

Sunday, July 11, 2021

미스터 로봇(Mr. Robot) 줄거리 및 결말 해석


미스터 로봇(Mr. Robot)을 두 번째로 정주행했다. 이미 한번 봤는데도 워낙 반전이 심한 드라마고 오래전에 봐서 그런지 자세한 내용이 기억나지 않았다. 이번에 다시 한번 보며 내용을 완전히 이해하고 블로그에 줄거리와 해석을 적는다.

시즌 4까지 아직 끝내지 않은 분들은 완전히 다 보신 후에 이 글을 읽어보시길 권한다. (스포일러 가득)


2015년 5월 케이블 채널인 USA 네트워크에서 방영한 미국 드라마인 미스터 로봇(Mr. Robot)은 지금까지 나온 해킹 영화와 드라마를 통틀어 가장 실제에 가까운 해킹 장면을 담고 있다.

미스터 로봇은 로튼 토마토 평균 신선도 97%에 관객점수 95% (시즌 4 기준), IMDB 평점 10점 만점에 8.5을 받았다. (마지막 시즌 4 에피소드 13 피날레의 경우 9.8로 거의 만점에 가까운 평가다.)

2019년 10월 시즌 4로 종영되기까지 골든글로브, 에미상의 작품상, 남우주연상 등을 거의 매해 수상했다. 특히, 라미 멜렉 Rami Malek(엘리엇 앤더슨 Elliot Alderson 역)의 연기는 정말 끝내준다!

미드에 나오는 나오는 해킹툴과 기법들은 나중에 따로 다루고 여기에선 줄거리와 해석에만 집중한다.

이중인격을 다룬 유명한 영화로 '파이트 클럽(Fight Club, 1999)'이 있다. 감독이 이 영화의 팬이라 미스터 로봇 스토리에 많은 영향을 받았다고 한다. 주인공이 이중인격이고 과격한 다른 인격이 금융 기록을 지워버려 세상을 바꾸려 한다는 점도 같다. 세상에 분노하는 인격은 '파이트 클럽'에선 타일러 더든(브래드 패트 분)이고 '미스터 로봇'에선 미스터 로봇 (크리스찬 슬레이터 분)이다.


  • 줄거리


 시즌 1


#1, 에피소드 1, "eps1.0_hellofriend.mov"

엘리엇(Elliot)은 낮에는 사이버보안 회사 AllSafe에서 일하는 사이버 보안 기술자, 밤에는 해커로 살아가고 있는 20대 청년이다. (극중 엘리엇의 생일은 1986년 9월 17일생) 그는 다중인격 장애로 혼잣말하며 정신과 상담을 받으러 다닌다. 밤에 활동하는 해커는 악한 사람들을 해킹해 경찰, FBI 신고하는 사이버 세상의 슈퍼히로어인 셈이다.

엘리엇은 AllSafe의 가장 큰 고객인 E Corp에 대한 DDoS 공격을 막는다. 그는 fsociety00.dat이라는 파일과 E Corp 서버에 숨겨져 있는 말웨어(malware)을 파괴하지 말라는 텍스트 파일을 발견한다.

엘리엇은 뉴욕 지하철에서 해커 그룹 fsociety의 리더인 미스터 로봇(Mr. Robot)을 만난다. 미스터 로봇은 E Corp이 보유한 거의 모든 사람들의 부채 기록을 삭제해 가진 자들이 가진 부를 못 가진 자들에게 나누겠다는 원대한 계획을 가지고 있다. 엘리엇은 fosociety와 함께 E Corp의 CTO를 DDoS 공격의 배후로 잘못 연루 시켜 FBI에 넘긴다.


 시즌 2



 시즌 3



 시즌 4


#45, 에피소드 13, "Hello, Elliot"

엘리엇은 다른 엘리엇(동생 Darlene이 없는 세상)을 대신해 안젤라(Angela)와 결혼하기 위해 다른 엘리엇을 목 졸라 죽이고 시신을 큰 박스에 숨긴다. 하지만 시신을 차에 실으려다 경찰관 도미니크(Dominique)에 걸려 코니 아일랜드(Coney Island)로 도망친다. 안젤라와의 결혼 장소인 그곳에 가지만 미스터 로봇은 엘리엇에게 그들이 지금 있는 세계는 화이트로즈(Whiterose)가 말한 평행 세계(parallel world)가 아니라 엘리엇(0번. Mastermind)이 진짜 엘리엇을 가두려고 만든 환상의 세계다. 혼란스러운 엘리엇은 심리 상담가 크리스타(Krista, Gloria Reuben 분)의 사무실에서 깨어난다. (실제론 엘리엇의 환상 속)

크리스타는 시리즈 시작부터 우리가 알고 있는 엘리엇은 실제 엘리엇이 아니라 실제 엘리엇이 그의 분노를 처리하기 위해 만든 "마스터마인드(The Mastermind)"라는 분신임을 밝힌다. 이 분신은 진짜 엘리엇과 현실의 가장 강한 연결고리인 동생 달린(Darlene)을 제거하고 유토피아 세계에 진짜 엘리엇을 가두기로 한다. 크리스타는 마스터마인드가 진짜 엘리엇에게 통제권을 돌려줘야 한다고 설득하지만, 그는 거절한다.

엘리엇(마스터마인드)가 병원에서 깨어났을 때 달린은 화이트로즈가 죽었고 그녀의 기계가 파괴되었고 해킹으로 세상을 바꿨던 것은 진짜였다고 말해준다. 달린은 진짜 엘리엇이 마스터마인드에 의해 통제되고 있음을 이미 알고 있었다. 마스터마인드는 자신의 정체성을 받아들이고 다른 분신들(아빠, 엄마, 어린 엘리엇)과 함께 터널을 빠져나와 진짜 엘리엇으로 깨어난다. (사람이 죽기 전에 과거의 환영들을 보듯 터널을 지나면서 여러 영상들이 지나간다. 터널을 지나 빛으로 나가면서 마스터마인드가 죽은 것으로 생각할 수 있다.)

  • 해석

영화 '파이트 클럽(Fight Club, 1999)'은 이중인격이지만, 미스터 로봇의 엘리엇은 다중의 인력을 가진 존재다. 그 인격들은 아래와 같다.

0. 마스터마인드(The Mastermind)

우리가 시즌 내내 보는 세계는 마스터마인드가 통제하는 엘리엇이 있는 세상이다. 즉, 진짜 에리엇은 마지막 동생 달린이 "Hello Elliot"이라고 말하는 그 순간뿐이다. 마스터마인드는 자신의 분노와 외로움을 처리하기 위해 아래와 같은 분신들을 만들었다.

1. 미스터로봇(Mr. Robot), 엘리엇 아빠 모습, Christian Slater
미스터로봇은 엘리엇의 분신 중 가장 먼저 나타난 인물이다. 엘리엇을 성적으로 학대한 아빠의 모습이 아닌 자신의 곁에서 항상 자신을 보호해 주고 돌봐주는 아빠의 모습을 하고 있는 엘리엇의 또 다른 분신이다. 엘리엇의 분신(마스터마인드)은 어린 시절 창문에서 떨어지면서 만들어진다. 아빠가 죽은 후 미스터로봇이란 분신이 생긴다.

시즌 1에서 아빠는 이미 죽었고, 아빠의 모습을 한 사람이 이중인격 자아인 엘리엇 자신임을 깨닫는다.

2. 엘리엇 엄마(Vaishnavi Sharma 분)
엘리엇은 자신의 학대에 대해 자신도 어떤 식으로든 책임이 있고 그에 대해 대가를 치러야 한다는 믿음이 박해자인 엄마 분신을 만들었다.

3.어린 엘리엇(Evan Whitten 분)
에리엇이 이해하거나 처리할 수 없는 학대를 처리하기 위해 등장한 어린 엘리엇이다.


시즌 4의 마지막 에피소드에서 정체가 드러나는 마스터마인드(Mastermind)는 엘리엇의 가장 강력한 분신이다. 마스터마인드는 불공정하고 착취적인 세상에 대한 엘리엇의 분노에 대한 반응이다. 이 분신은 엘리엇을 보호하고 싶었기 때문에 과거에 대한 기억을 바꾸어 아빠가 성적 학대를 하는 괴물이 아닌 친구가 되도록 했다.

마스터마인드는 악한 E Corp을 막고 세상을 구하기 위해 슈퍼히어로가 망토를 입듯이 검은색 후드티를 입고 세상을 구하려 한다. 하지만 이것은 학대와 외로움에 있는 엘리엇을 구하기 위해서이기도 하다.

마스터마인드는 엘리엇 앨더슨(Elliot Alderson)을 완전히 통제하고 더 나은 세상을 만들기 위해 노력했고 실제로 성공했다. 한편, 진짜 엘리엇을 환상의 유토피아 세계에 가두려 한다. (동생 달린이 없는 세계)

진짜 엘리엇에게 이 환상의 세계는 그를 사랑하는 아빠와 엄마가 있고, 좋은 직장과 곧 결혼하게 될 안젤라가 있는 세계다. 하지만, 실제로 사랑하고 어렸을 때부터 함께한 동생이 없는 환상의 세계다.

동생 달린은 특별한 관계로 가족과 세상을 구하려는 경험을 함께 겪었다. 달린은 그의 마음이 무너지기 시작할 때나 그가 경험하고 있는 것이 진짜라고 말해줄 수 있는 유일한 존재다. 그래서 마스터마인드가 진짜 엘리엇을 위해 만든 환상의 유토피아 세계에 달린이 존재할 수 없다. 만약, 달린이 유토피아 세계에 있었다면, 영화 매트릭스(Matrix)에서 들었던 "wake up"을 외치며 진짜 자아를 찾을 수 있도록 돕는 소리를 들을 것이다.


* 참고 자료 및 출처
Mr. Robot (Wikipedia)
List of Mr. Robot episodes (Wikipedia)
Mr. Robot Ending Explained: Hello, Elliot (Den of Geek)
Mr. Robot wraps up with a near-perfect final season about our need to connect (Vox)
‘Mr. Robot’ Series Finale Ends With One Last Game-Changing Twist (Hollywood Reporter)
[영화] 파이트 클럽(Fight club, 1999) 반전 결말 줄거리 완전 해석 분석