GEELL

MSTP 이해하기

GEELL — Fri, 6 Mar 2026 18:00:16 +0900

MSTP란

여러 VLAN을 하나의 STP 그룹으로 묶는것 기술을 말한다.

예를들어 VLAN 10 20 30 50 60 70 이 있다고 가정해보자.

VLAN 10 20 30 -> 은 STP 1
VLAN 50 60 70 -> 은 STP 2

이처럼 여러 VLAN을 하나의 STP 트리로 관리하는 방식이다.

또한 MSTP는 RSTP기반이기 때문에

RSTP와 호환되며 수렴 속도는 RSTP 수준이다.

MSTP는 아래 와 같은 기능들로 동작한다.

Region (기준 : 스위치)

같은 MST 설정을 가진 스위치들의 그룹을 말한다.

Region으로 인식되기 위해서는 아래 값이 모두 동일해야 한다.

Region name
Revision number
VLAN mapping

예
SW1
SW2 -> Region A
SW3

위 스위치들은 같은 MST 설정을 가지고 있기 때문에
Region A로 묶인다.

Instance (기준 : VLAN)

여러 VLAN을 묶어 하나의 STP 트리를 만드는 단위이다.

역할
여러 VLAN을 하나의 Spanning Tree로 관리

예
Instance 1 -> VLAN 10, 20
Instance 2 -> VLAN 30, 40
Instance 3 -> VLAN 50

결과
Instance 개수 = STP 트리 개수

IST (Internal Spanning Tree)

Region 내부에서 동작하는 STP이다.

역할
Region 내부 루프 방지
Region 내부 Root 선출

예
Region A

SW1
|
SW2
|
SW3

CST (Common Spanning Tree)

Region과 Region 사이에서 동작하는 STP이다.

예
Region A --- Region B

역할
Region 간 루프 방지
전체 경로 결정

CIST (Common and Internal Spanning Tree)

CST와 IST를 합친 전체 Spanning Tree 구조이다.
즉 네트워크 전체 STP를 의미한다.

CIST
CST (Region 간)
IST (Region 내부)

Root 관련 용어

CIST Root Bridge
전체 네트워크 Root Bridge

Regional Root Bridge
각 Region을 대표하는 Root 스위치

전체 구조 예시

정리

Region 내부 -> IST
Region 사이 -> CST
전체 구조 -> CIST

PVSTP와 차이

PVSTP (Per VLAN Spanning Tree)

MSTP와 달리 VLAN을 그룹으로 묶지 않는다.
VLAN마다 STP 트리를 하나씩 만든다.

예
VLAN 10 -> STP1
VLAN 20 -> STP2
VLAN 30 -> STP3

핵심 차이

PVSTP
VLAN 1개 = STP 1개

MSTP
여러 VLAN = STP 1개

리눅스 한개의 인터페이스에 여러 IP추가 방법

GEELL — Tue, 3 Feb 2026 10:52:40 +0900

리눅스 서버에서 한개의 인터페이스(NIC)에 여러개의 IP를 추가하는 방법에 대해 적어 보았습니다.

아래부터 enp1s0f2라는 인터페이스에 ip120개를 추가하는 예시로 설명을 드리겠습니다.

enp1s0f2라는 인터페이스에 19.19.19.101/24 ip를 추가 하는 명령어

ip addr add 19.19.19.101/24 dev enp1s0f2

이것을 ip만 다르게 반복해서 추가하면됩니다.

만약 추가해야할 ip 개수가 많다면 스크랩트를 돌려도 무방합니다.

19.19.19.100 ~ 19.19.19.219까지 총 120개의 ip를 한번에 추가하는 명령어 입니다.

어디 파일에 추가할 필요없이 리눅스 서버에 명령어 치듯이 적고 엔터를 누르면 됩니다.

for i in {100..219}; do
ip addr add 19.19.19.$i/24 dev enp1s0f2
done

추가 후 잘 들어갔는지 확인 합니다.

ip addr show

추가된 120개의 ip

사용 완료 후 추가 한 ip들을 한번에 삭제하는 명령어 입니다.

enp1s0f2 인터페이스에 ip를 전부 삭제

ip addr flush dev enp1s0f2

삭제 되어 ip가 없어진 모습

리눅스 KVM 실행 중인지 확인 과정

GEELL — Thu, 8 Jan 2026 11:32:22 +0900

왜 KVM 설정을 확인했나?

상황 정리

PNOS는 Linux 기반 커널이다.

취약점 설명에 KVM / 가상화 기능이 전제 조건으로 등장한다.

보안 점검에서는 항상 이런 질문을 한다.

“리눅스면, 그 기능도 있는 거 아니냐?”

그래서 해야 할 일은 하나다.

“PNOS 커널에 KVM 가상화 기능이 실제로 포함되어 있냐?”

왜 ‘커널 설정’을 확인해야 하나?

Linux에서 기능은 다음 3단계로 나뉜다.

단계 / 의미
① CPU 지원 / 하드웨어가 가능한가
② 커널 설정 / 커널에 기능을 포함했는가
③ 실행 상태 / 실제로 사용 중인가

취약점은 ②번이 있어야만 발생 가능하다.

그래서 우리는
“커널에 KVM 기능이 포함되어 있는지”를 확인했다.

/proc/config.gz 는 무엇인가?

쉽게 말하면
“현재 PNOS가 사용하는 리눅스 커널을 만들 때 선택한 설정표”다.

커널을 빌드할 때 수천 개 옵션을 선택한다.
그 최종 결과를 실행 중인 커널이 그대로 가지고 있다.

그 파일이 /proc/config.gz 다.

이 파일을 보면
어떤 기능이 들어 있고
어떤 기능이 아예 빠졌는지를 정확히 알 수 있다.

왜 zcat 을 사용했나?

/proc/config.gz 는 압축된 파일(.gz)이다.

그래서

zcat /proc/config.gz는

“압축을 풀어서 내용 전체를 보여달라”는 의미다.

왜 grep 을 같이 사용했나?

커널 설정은 수만 줄이다.
전부 보는 건 의미가 없다.

그래서

grep KVM을 사용해서

“KVM 관련된 줄만 골라서 보자”는 목적이다.

각 명령어를 왜 썼는지 설명

HAVE_KVM 확인

zcat /proc/config.gz | grep HAVE_KVM

목적
CPU가 KVM을 지원할 수 있는 구조인지 확인

결과
CONFIG_HAVE_KVM=y

의미
하드웨어 수준에서는 KVM 사용이 가능함

아직 기능이 포함되었다는 뜻은 아니다.

KVM 기능 자체 확인

zcat /proc/config.gz | grep "CONFIG_KVM="

목적
KVM 기능이 커널에 실제로 포함되어 있는지 확인

결과
출력 없음

의미
KVM 기능이 커널에 포함되지 않음

가상화 전체 기능 확인

zcat /proc/config.gz | grep CONFIG_VIRTUALIZATION

목적
KVM은 가상화 기능의 일부이므로
상위 옵션이 켜져 있는지 확인

결과

CONFIG_VIRTUALIZATION is not set

의미
가상화 기능 전체가 커널에서 제외됨

이 과정을 한 줄로 요약하면

PNOS가 리눅스 기반이라 가상화 기능이 있을 가능성을 배제하지 않고,
커널 설정 파일을 직접 확인해
가상화 기능 포함 여부를 검증했다.

왜 이게 보안 점검에서 인정되는가?

보안 점검에서 근거의 신뢰도는 다음 순서다.

추측

관리 메뉴 설정

커널 설정 확인

/proc/config.gz 확인은 최상위 근거다.
제조사 설명보다 강한 증빙이 된다.

최종 결론

PNOS는 Linux 기반이다.
CPU는 가상화 기능을 지원할 수 있다.

하지만
가상화 옵션이 없고
KVM 기능도 없다.

따라서
해당 취약점이 발생할 구조 자체가 없다.

리눅스 grep

GEELL — Thu, 8 Jan 2026 11:24:17 +0900

grep이 하는 일

grep은 텍스트에서 특정 문자열이 들어 있는 줄만 골라서 출력하는 명령어다.
파일이든, 다른 명령의 출력이든 상관없다.
항상 “줄 단위”로 동작한다.

기본 형태

파일을 직접 검색할 때

grep 찾을문자 파일

다른 명령 결과를 검색할 때

명령 | grep 찾을문자

여기서 | 는 쉘 파이프다.
앞 명령의 결과를 grep에게 넘긴다는 뜻이다.

| 는 두 종류가 있다

3-1. 쉘 파이프 |

명령과 명령 사이에 있는 | 는 쉘 기능이다.

zcat /proc/config.gz | grep KVM

의미
zcat이 출력한 내용을 grep에게 넘기고,
grep이 KVM이 들어간 줄만 출력한다.

3-2. grep 검색 조건 안의 |

grep 검색 문자열 안에 있는 | 는 “또는(OR)” 의미다.
이건 grep의 정규식 문법이다.

grep -E "KVM|VIRTUALIZATION" 파일

의미
KVM이 들어 있거나
VIRTUALIZATION이 들어 있는 줄을 출력한다.

-E 옵션은 언제 필요하나

grep에는 두 가지 동작 모드가 있다.

기본 grep

| 를 그냥 문자로 인식한다

OR 의미가 아니다

grep "KVM|VIRTUALIZATION" 파일

이건
KVM|VIRTUALIZATION 이라는 문자열을 그대로 찾는다.

확장 grep (-E)

| 를 OR 로 인식한다

grep -E "KVM|VIRTUALIZATION" 파일

이건
KVM 또는 VIRTUALIZATION 을 의미한다.

결론
grep에서 | 를 OR 의미로 쓰려면 -E 는 필수다.

따옴표를 쓰는 이유

따옴표는 쉘이 특수문자를 먼저 해석하지 못하게 막아준다.
실무에서는 검색 문자열에 따옴표를 항상 쓰는 게 안전하다.

자주 쓰는 옵션

대소문자 무시

grep -i kvm 파일

해당 줄 제외

grep -v "^#"

줄 번호 출력

grep -n KVM 파일

정규식 없이 문자열 그대로 검색

grep -F "KVM|VIRTUALIZATION" 파일

grep 결과 해석

grep은 결과가 없으면 아무것도 출력하지 않는다.
이건 오류가 아니라 “없다”는 뜻이다.

출력 있음
해당 문자열이 존재한다.

출력 없음
해당 문자열이 존재하지 않는다.

PNOS 커널 설정 확인 예제

zcat /proc/config.gz | grep -E "CONFIG_KVM|CONFIG_VIRTUALIZATION"

이 명령은
커널 설정 중에서
KVM 관련 줄이거나
가상화 관련 줄만 보여준다.

결과가

# CONFIG_VIRTUALIZATION is not set

이면
가상화 기능이 커널에 포함되지 않았다는 뜻이다.

아무 출력도 없으면
해당 옵션 자체가 존재하지 않는다.

핵심 요약 문장

grep은 줄 필터다.
| 를 OR 의미로 쓰려면 -E 는 반드시 필요하다.
명령 사이의 | 와 grep 안의 | 는 완전히 다르다.

이 상태면 grep은 이제 “이해한 상태”다.
다음으로 awk, sed, wc 같은 걸로 넘어가도 된다.

암호화 알고리즘, 무결성 체크 알고리즘

GEELL — Fri, 5 Dec 2025 11:32:39 +0900

AES, CAMELLIA, CHACHA20는 모두 암호화 알고리즘(Encryption Algorithm)

AES → Advanced Encryption Standard, 블록 암호

CAMELLIA → 블록 암호, AES와 비슷하게 TLS에서 사용

CHACHA20 → 스트림 암호 + Poly1305(MAC) 결합, 빠르고 안전

요약
암호화 알고리즘 = AES / CAMELLIA / CHACHA20
운영모드 = GCM / CCM / Poly1305

SHA(Secure Hash Algorithm)는 해시 함수(Hash Function)

역할: 데이터 무결성 체크, 메시지 변경 여부 확인 → MAC(Message Authentication Code)에 사용

특징: 입력 길이와 상관없이 고정 길이 출력(예: SHA256 → 256비트)

암호화처럼 데이터를 숨기거나 복호화하는 기능은 없음

리눅스의 용어 및 경로 (내용 추가 중)

GEELL — Wed, 3 Dec 2025 15:42:07 +0900

용어 정리
용어 의미
/ 루트 디렉토리, 파일 시스템 최상위
~ 로그인한 사용자의 홈 디렉토리 (/root는 root 계정의 홈)
root 사용자 계정 이름
지금 상황
[root@localhost ~]# pwd
/root

현재 경로가 /root이므로 root 계정 홈 디렉토리에 있음
여기서 ls를 하면 /root 안의 파일만 보임
/boot는 루트(/) 아래에 있는 디렉토리이므로 /root 안에는 없음

디렉토리 구조 예시
/
├── boot

├── root ← 현재 디렉토리 ~
├── home
├── etc
└── ...

그래서 홈(~)에서 ls를 해도 boot 디렉토리는 보이지 않음

root 계정의 홈 -> 파일 시스템 최상위로 이동 -> ls로 파일 확인

3. cd /boot
cd /boot

슬래시(/)로 시작하면 절대경로로 인식됨
루트(/) 아래 있는 boot 디렉토리로 바로 이동
현재 경로가 /root든 /home/user든 상관 없음
이동 후 pwd를 실행하면 /boot가 출력됨

핵심 포인트
/는 파일 시스템 최상위
~는 사용자 홈 디렉토리
cd /boot는 루트(/) 아래 boot로 이동
cd boot(상대경로)는 현재 디렉토리 안에 boot가 있을 때만 가능

/boot와 /root는 같은 루트(/) 아래 있는 다른 디렉토리임
/boot는 루트 시스템용 파일 디렉토리
/root는 root 계정의 홈 디렉토리

RSA 서명과 SHA-512 해시값 이해하기

GEELL — Wed, 3 Dec 2025 10:37:03 +0900

SSL/TLS에서 보안 통신을 위해 인증, 무결성 체크, 암호화가 필요합니다. 그 중 서명(Signature)과 해시(Hash)가 어떻게 사용되는지 RSA-SHA-512를 예로 설명합니다.

1. 서명(Signature)이란?

서명은 데이터를 보내는 사람이 정말 그 사람인지 확인하고, 데이터가 전송 중 변조되지 않았음을 보장하기 위한 기술입니다.

예: rsa-sha2-512

RSA : 서명 생성에 사용하는 공개키 암호 방식

SHA-512 : 서명에 사용될 데이터의 해시값 생성 방식

즉, RSA가 “누가 보냈는지 인증”하는 역할을 하고, SHA-512는 서명을 위한 데이터 요약 역할을 합니다.

2. 해시(Hash)란?

해시는 데이터를 고정 길이 숫자나 문자열로 바꾸는 과정입니다.

SHA-512는 데이터를 512비트 길이의 고유 문자열로 변환합니다.

특징:

입력 데이터가 조금만 달라져도 해시값이 완전히 달라짐

해시값만으로 원본 데이터를 유추하기 어려움

3. RSA-SHA-512 서명 과정

원본 데이터를 SHA-512 해시 함수로 변환 → 512비트 해시값 생성

생성된 해시값을 RSA 개인키로 암호화 → 서명 생성

수신자는 RSA 공개키로 서명을 복호화 → 해시값 확인

복호화된 해시값과 수신한 데이터로 새로 생성한 해시값이 같으면 데이터 무결성 확인 완료

4. 핵심 요약

항목 의미 비트 수

SHA-512 해시함수, 데이터 요약 512비트

RSA 공개키 기반 서명, 인증용 RSA 키 길이에 따라 다름 (예: 2048비트)

rsa-sha2-512 SHA-512로 해시 후 RSA로 서명 해시: 512비트, 서명 길이는 RSA 키 길이와 동일

X-Forwarded-For (XFF) 헤더

GEELL — Tue, 2 Dec 2025 16:42:33 +0900

1. X-Forwarded-For (XFF) 헤더란 무엇인가요?

정의: 클라이언트의 실제 IP 주소를 식별하기 위한 HTTP 요청 헤더의 한 종류입니다.
역할: 클라이언트 IP를 HTTP 헤더에 담아 중간 장비(L4/프록시 서버) 웹 서버로 전달하는 역할을 합니다.
위치: 애플리케이션 계층(L7), 즉 HTTP 프로토콜 내에 담겨있는 데이터일 뿐입니다. (네트워크 계층의 IP 주소와는 다름)

2. XFF가 필요한 이유는 무엇인가요?

문제 상황: 서비스 구조(클라이언트 - L4 - 서버)에서 L4 스위치가 FNAT(Full Network Address Translation)를 수행할 때, 클라이언트의 IP를 자신의 IP로 변경하여 서버에 요청을 보냅니다.
결과: XFF가 없으면 서버는 요청이 L4의 IP에서 온 것으로만 인식하고, 실제 클라이언트의 IP는 알 수 없습니다.
해결: XFF 헤더를 통해 중간 장비가 클라이언트의 실제 IP를 서버에 알려주어, 서버가 정확한 IP를 식별하게 합니다.

3. 서버는 XFF를 어떻게 활용하나요? (목적)

XFF를 사용하는 주된 목적은 애플리케이션 계층(L7)의 정확성을 확보하는 것입니다.

로그 기록: 웹 서버 로그에 중간 장비 IP가 아닌, 실제 클라이언트 IP를 정확하게 기록하기 위함입니다.
서비스 로직: IP 기반 접근 제어(차단/허용), 부정 행위 방지, 지역별 서비스 제공 등 클라이언트의 실제 IP가 필요한 모든 애플리케이션 기능을 정확하게 실행하기 위함입니다.

4. 서버는 어떤 IP로 응답하나요? (네트워크 경로)

응답 IP: 서버는 XFF 헤더의 클라이언트 IP가 아닌, 요청이 들어온 패킷의 발신지 IP(L4 스위치 IP)로 응답을 보냅니다.
이유: 응답 경로는 네트워크 계층(L3/L4)에서 처리되는 통신 원칙을 따르기 때문입니다. L7 데이터인 XFF 헤더는 응답 패킷의 목적지를 결정하는 데 사용되지 않습니다.
경로: 응답 패킷은 서버 L4 클라이언트 순서로 전달됩니다.

퇴직연금 (DB, DC, IRP) 정리

GEELL — Tue, 2 Dec 2025 11:16:17 +0900

IRP·ISA ·DC정리
1. DC(확정기여형) vs IRP(개인형 퇴직연금) vs ISA(개인종합자산관리계좌)
구분 특징 세액공제 운용 가능
DC 회사가 주로 납입하는 퇴직연금 없음 정기예금, 펀드 등
IRP 개인이 추가로 납입 가능한 퇴직연금 있음 (16.5%) 정기예금, 펀드, ETF 등
ISA 주식·펀드 투자용 계좌, 최대 5년 일반형: 없음 / 중개형: 일부 조건 가능 국내·해외 주식, 펀드, ETF
세액공제 목적은 IRP, 투자 목적은 ISA.

2. IRP 세액공제 핵심 포인트

연간 최대 한도: DC + IRP 합산 700만 원

세액공제율: 16.5% (근로소득 5,500만 이하 기준)

납입 시점: 연중 언제든 가능, 12월 한 번 납입도 공제 가능

DC는 회사 납입금으로 세액공제 불가

3. IRP 계좌 구조

IRP 계좌 자체: 계약기간 없음, 언제든 유지·해지 가능

포트폴리오(상품) 선택: 정기예금, 펀드 등

각 상품마다 약정기간 존재 가능 (예: 36개월 정기예금)

납입 시점 기준 운용 시작

월별 납입 시 해당 금액부터 포트폴리오 운용

12월 한 번 납입 시 그 금액부터 운용

4. 세액공제 계산 예시
① IRP 월 납입액 기준
월 납입액 연간 납입액 세액공제 환급액 (16.5%)
10만 원 120만 원 19.8만 원
20만 원 240만 원 39.6만 원
25만 원 300만 원 49.5만 원
② DC 포함 예시

IRP 500만 원 + DC 100만 원

세액공제는 IRP 500만 원 기준

500 × 0.165 ≈ 82.5만 원 환급

DC는 세액공제에 포함되지 않음

5. IRP 포트폴리오 선택

디폴트 옵션: 은행에서 자동 운용, 일반적 선택 방식

직접 운용 가능: 자신이 ETF/펀드 등 배분

만기 후 재선택 가능: 36개월 정기예금 만기 시점에서 재선택

자동 연장 가능: 포트폴리오 만기 후 은행 규정에 따라 연장

6. 요약

IRP = 세액공제용 계좌

ISA = 투자용 계좌

DC는 세액공제 불가, 회사 납입금만

세액공제는 연간 납입액 기준, 12월 한 번 납입도 가능

포트폴리오는 납입한 금액 단위로 운용 시작

IRP + DC 합산 한도 700만 원 참고, 실제 세액공제는 IRP만

리눅스에서 find와 grep 명령어

GEELL — Thu, 13 Nov 2025 17:35:19 +0900

리눅스에서 find와 grep 명령어
둘 다 무언가를 찾는다는 목적은 같으나, 찾는 대상이 다르다.

- find: 파일, 디렉토리의 이름을 찾는다.
- grep: 파일 안에서 글자/내용을 찾는다.

1. find – 파일/디렉터리 이름 찾기

기능	명령어 예시	설명
현재 폴더에서 특정 이름 찾기	find . -name "pnlog	현재 폴더(.) 아래에서 pnlog라는 이름 검색
전체 시스템에서 찾기	find / -name "pnlog"	루트(/) 아래 전체 탐색
이름 일부만 찾기	find . -name "pnlog"	pnlog가 포함된 모든 파일 검색
특정 확장자 찾기	find /var/log -name "*.log"	.log로 끝나는 파일 검색
최근 1일 안에 수정된 파일	find /home/user -mtime -1	최근 1일 이내 수정된 파일 검색
특정 타입 찾기	find . -type d	디렉터리만 검색 (-type f → 파일만)

2. grep – 파일 안 텍스트 내용 찾기

기능	명령어 예시	설명
특정 파일에서 문자열 검색	grep "error" /var/log/syslog	syslog 파일에서 error 포함 줄 출력
대소문자 구분 없이 검색	grep -i "error" /var/log/syslog	Error, ERROR 모두 검색
줄 번호까지 출력	grep -n "error" /var/log/syslog	몇 번째 줄인지 같이 보여줌
폴더 전체 재귀 검색	grep -r "error" /var/log/	하위 폴더까지 모든 파일 검색
특정 문자열 제외	grep -v "root" /etc/passwd	root 제외한 줄만 출력
여러 패턴 검색	grep -E "error\|fail\|warning" /var/log/syslog	error, fail, warning 중 하나라도 포함된 줄 출력