pages.kr 날으는물고기 <º)))><

본문 바로가기

🐬 날으는물고기

🐬 훈이겜터 @hun2game

🐬 최근 게시글

Stateless 함정: JWT 서명키 유출과 위조 방어 위한 안전한 인증 심층 설계 서명키(HS256 secret 또는 RS256 private key)가 유출되면, ‘순수 JWT 서명검증만’으로는 위조 토큰을 100% 구분할 수 없습니다. 왜냐하면 검증은 “이 키로 서명됐는가”만 보기 때문에, 공격자도 같은 키로 서명하면 정상 토큰과 동일하게 통과합니다.그래서 “완전한 방지”를 구현하려면, 단일 기법이 아니라 (1) 키 유출 자체를 어렵게 + (2) 유출되더라도 즉시 무력화 + (3) 설령 일부 악용돼도 범위를 제한 + (4) 토큰을 ‘서명만’이 아닌 ‘서버 상태/바인딩’까지 확인하는 방어 심층(Defense-in-Depth) 설계가 필요합니다.JWT 전체 구조와 동작 흐름 (발급/검증/인가)1. JWT 구성header.payload.signatureHeader: alg, kid(키 .. 프로그램 (PHP,Python) 2026.02.15
내부망 LLM 기반 Internal AI Agent Platform (OpenClaw + MCP) 구축 목표 정의: “완전하게 활용”의 범위부터 딱 잡기내부 LLM + OpenClaw를 제대로 쓰려면, 목표를 아래 4개로 분해해 설계하는 게 안정적입니다.모델 계층: 내부망에서 LLM 추론(서빙) 제공에이전트 계층(OpenClaw): 대화/업무흐름/툴 호출/멀티에이전트 라우팅툴 계층(MCP 서버들): 사내 시스템(티켓/CMDB/로그/DB/웹자동화/파일) 기능을 표준 인터페이스로 제공운영·보안 계층: 권한/감사/네트워크/비밀정보/샌드박스/확장 코드 검증/관측성권장 아키텍처(레퍼런스)논리 구성LLM Inference(내부)선택지 A: Ollama(간편)선택지 B: vLLM/TGI(고성능/대규모)OpenClaw Gateway/Agent Workspaces워크스페이스(에이전트 단위) + 인증/라우팅/채널(메신저/웹.. 인공지능 (AI,GPT) 2026.02.14
OpenClaw(Moltbot,Clawdbot) AI 에이전트, 격리·최소권한·스킬 통제 OpenClaw를 한 문장으로 정의하면OpenClaw는 LLM(예: Claude/GPT)의 판단을 “메신저/대시보드 입력”과 “로컬/서버 도구 실행(파일·쉘·웹·채널)”로 연결하는 게이트웨이형 AI 에이전트 플랫폼입니다. 그래서 일반 챗봇과 달리, 설정 실수 = 곧바로 로컬/서버 침해면(attack surface)으로 이어질 수 있습니다.전체 구조(운영 관점) – “입력면 + 실행면” 분리해서 생각하기OpenClaw 운영을 안전하게 설계하려면, 아래 2면을 분리해 보셔야 합니다.입력면(대화 표면, Chat Surface)Control UI(브라우저 대시보드), WhatsApp/Telegram/Discord/Slack 등 채널누가/어디서/어떤 메시지를 보낼 수 있나 = 인증·승인·페어링의 영역실행면(도구/.. 인공지능 (AI,GPT) 2026.02.13
Docker·containerd·CRI-O·Kubernetes 환경 컨테이너 탈출 탐지 전략 컨테이너 탈출 탐지의 현실컨테이너 탈출은 “하나의 이벤트”가 아니라 “행위 조합”컨테이너 탈출 시도는 보통 다음 요소들이 연속적으로 나타납니다.격리 경계 접근: /proc, /sys, /dev, namespace 조작권한 상승 시도: CAP_SYS_ADMIN, setcap, SUID, unshare, nsenter호스트 제어면 접근: Docker 소켓(/var/run/docker.sock), kubelet API, container runtime socket호스트 지속성: cron/systemd 변조, ssh key 추가, 바이너리 드롭👉 따라서 실무에서는 “A 단독이면 경고”, “A+B면 중간”, “A+B+C면 고위험” 같은 스코어링/상관분석이 맞습니다.osquery의 강점/한계강점: 프로세스/권한/.. 서버구축 (WEB,DB) 2026.02.12
서울사랑 상품권과 땡겨요 공공배달 할인 혜택 제대로 쓰는 법 배달비·생활비 진짜 줄이는 방법서울사랑상품권 & 공공배달 혜택, 제대로 쓰는 가이드요즘 한 달 생활비 정리하다 보면“배달 몇 번 시켰을 뿐인데 왜 이렇게 나갔지?”이런 생각, 다들 한 번쯤 해보셨을 거예요~특히 배달비, 중개 수수료, 각종 추가 비용까지 더해지면서같은 음식을 먹어도 체감 가격은 계속 올라가는 상황인데요.이런 흐름 속에서 서울시는✔ 시민 체감 물가 부담 완화✔ 지역 소상공인 수수료 부담 완화라는 두 가지 목적을 동시에 잡기 위해공공 상품권 + 공공배달 기반 혜택 구조를 운영하고 있습니다. 오늘은 이 중에서도 실제 활용도가 높은 두 가지 핵심 제도를 실사용 기준으로 자세히 정리해볼게요.전체 구조부터 한 번에 이해하기먼저 큰 그림부터 보면 이렇게 나뉩니다.① 배달 특화형서울배달+땡겨요 상품권배.. 여행맛집 (TRAVEL) 2026.02.11
유튜브는 미디어가 아니라 비즈니스다 : 쇼츠 시대의 성장과 수익화 구조 유튜브 운영을 “시스템”으로 보는 프레임유튜브는 결국 아래 4개가 맞물릴 때 성장합니다.콘텐츠(상품): 시청자가 “지금” 필요로 하는 문제 해결/즐거움유통(알고리즘/검색): CTR(클릭률) + 시청지속(Watch time/Retention)수익(비즈니스): 광고만이 아니라 쇼핑·제휴·멤버십·협찬 등 다각화리스크(정책/보안/저작권): 한 번의 이슈가 수익/노출을 통째로 흔듦채널 기획: 방향·타깃·포맷을 먼저 고정1. 채널 포지셔닝 3요소누구에게(타깃): 초보/중급/전문, 연령대, 관심사무엇을(주제): 너무 넓으면 알고리즘이 “누구에게 보여줄지” 모릅니다왜 봐야 하는지(차별점): 속도(요약), 깊이(분석), 실전(템플릿), 캐릭터(진정성)2. 콘텐츠 포맷을 “시리즈”로 설계유입형(Discovery): 쇼츠/.. 웹디자인 (HTML,JS) 2026.02.10
출국 전 반드시 확인! 2026 바뀐 규정 항공·입국·세금 해외여행 체크리스트 공항/항공: 체크인 카운터·터미널 변경은 “당일”도 뒤집힙니다무엇이 바뀌었나인천공항 체크인 카운터/터미널 위치 변경이 실제로 진행 중입니다.티웨이항공: 2026-01-22부터 T1 F카운터 → B카운터로 이동, A카운터는 프리미엄 체크인 공간 운영아시아나항공: 2026-01-14부터 제2여객터미널로 이전, 체크인/탑승수속 모두 T2에서 진행항공사 이전의 “연쇄 효과”로, 같은 터미널 내 LCC 카운터 위치도 계속 조정될 수 있다고 안내합니다.실전 체크 포인트 (출발 전/당일)항공권(또는 예약 앱)에서 ‘터미널’ 표기 확인 → 그 다음 공항 홈페이지/항공사 공지로 교차 확인(가장 안전)공항 도착 시간을 넉넉히: “카운터 위치 확인 → 이동 → 줄 → 수속”이 합쳐져 지연이 쉽게 발생합니다.수하물 계획도 같.. 여행맛집 (TRAVEL) 2026.02.09
AI 의사결정에 대한 책임성 확보를 위한 Human-in-the-Loop HITL 설계 HITL이란 무엇인가요?Human-in-the-loop(HITL)는 AI 에이전트가 특정 “툴(tool)”을 실행하기 전에 사람의 승인(Approve / Deny)을 반드시 거치도록 하는 통제 구조입니다.즉,AI가 혼자 마음대로 실행하지 못하게 하고사람이 의사결정의 최종 관문(Gatekeeper) 역할을 하도록 만드는 방식입니다.특히 n8n, AI Agent, MCP, Agentic Workflow 환경에서 AI가 아래와 같은 위험한 액션을 수행할 때 매우 중요합니다.메시지 발송데이터 수정 / 삭제외부 시스템 연동비용 발생 작업왜 HITL이 필요한가? (배경 & 문제의식)기존 AI 자동화의 구조적 한계AI Agent는 기본적으로컨텍스트 오해 가능프롬프트 인젝션 영향권한 범위 오판비가역 작업(undo 불가.. 서버구축 (WEB,DB) 2026.02.08
정부가 공공저작물 AI에 풀었다: 제0유형·AI유형 공공데이터 AI 학습 허용 공공저작물, 이제 AI 학습에 마음껏 써도 된다공공누리 ‘제0유형’과 ‘AI 유형’ 완전 정리최근 정부가 공공저작물을 인공지능(AI) 학습용 데이터로 훨씬 폭넓게 활용할 수 있도록 제도를 대폭 개편했습니다.핵심은 두 가지입니다.공공누리 ‘제0유형’ 신설기존 공공누리에 ‘AI 유형’이라는 별도 레이블 추가이번 개편은 단순한 라이선스 조정이 아니라,👉 국가가 보유한 방대한 공공 데이터를 AI 산업의 핵심 학습 자원으로 본격 개방하겠다는 선언에 가깝습니다.1. 왜 이런 제도 개편이 필요했을까?공공저작물은 국가·지자체·공공기관이 생산하거나 권리를 확보한 콘텐츠로,규모가 크고신뢰도가 높으며텍스트·이미지·영상·통계·지도 등 형태도 다양합니다.즉, AI 학습용 데이터로는 최적의 자원입니다.하지만 기존 공공누리 제도.. 일상생활 (EveryDay) 2026.02.07
Gemini CLI 훅(Hook)으로 AI 에이전트 실행 전에 ‘보안 브레이크’ 달기 ― AI 에이전트 제어·보안·정책 자동화를 위한 핵심 메커니즘 ―Gemini CLI 훅이란 무엇인가Gemini CLI의 훅(Hook) 은 AI 에이전트가 동작하는 라이프사이클의 특정 지점에 사용자 정의 스크립트를 “동기적으로” 실행할 수 있도록 하는 기능입니다.핵심 포인트는 다음과 같습니다.에이전트의 행동 이전/이후에 개입 가능훅이 완료될 때까지 에이전트는 대기훅 결과(JSON 응답)에 따라작업 허용(allow)작업 차단(deny)프롬프트/응답/도구 변경컨텍스트 주입단순 자동화가 아니라 정책 강제 수단즉, “AI가 뭔가 하기 전에 보안·정책·검증을 먼저 통과시킨다”는 개념입니다.왜 훅이 중요한가 (특히 기업·보안 환경)일반적인 LLM 기반 CLI는 다음 문제가 있습니다.AI가 파일을 마음대로 수정API .. 정보보호 (Security) 2026.02.06

🐬 JinjongTube

728x90

티스토리툴바