LKS410의 기술지

논리적 그룹 네트워크 내 파일교환 시스템에 관한 구상

LKS410 — Sun, 15 Feb 2026 13:16:35 GMT

개요

한 조직 내 여러 컴퓨터가 파일을 교환해야 할 경우, 상당히 많은 양의 코드를 새로 짜야 한다. 이를 간편하게 하기 위해 조직 내의 서버에 의존하여 파일 전송을 할 수 있도록 하는 라이브러리 혹은 프레임워크를 구상한다.

궁극적으로 달성하고자 하는 목표

최종적으로는 이 라이브러리가 코드의 단순화를 목적으로 하기에, 개발자가 다음과 같은 코드만으로 파일을 쉽게 공유할 수 있도록 하고자 한다.

이상적인 예시:

from osext.libaqnetutil.EdgeMachine import EdgeMachine as network

def assert_network_registered() -> bool:
    return network.is_enrolled() # Returns true if enrolled to central server and is authorized

def main():
    # Check if network is not enrolled.
    # If so, the code should not work.    
    if not assert_network_registered(): raise Exception("Not enrolled to network!")
    
    # Get machine ID of machine name for john@mycompany.com
    machine_id: str = network.get_machine_id_for_user("john@mycompany.com")

    # Tries to send file. The library performs all the heavylifts.
    is_successful: bool = network.send_to_machine(machine_id, "/home/user/Desktop/my-file.txt")

    # Or, send using user identifier
    is_successful: bool = network.send_to_user("john@mycompany.com", "/home/user/Desktop/my-file.txt")

네트워크 모델 - 구성 요소

CentralServer
- Relay
- Authorization
- Hold
EdgeMachine

해당 네트워크는 크게 두가지 종류가 있다: CentralServer 와 EdgeMachine 이다. EdgeMachine 은 일반적으로 사용하는 컴퓨터이고, CentralServer 는 EdgeMachine 이 다른 EdgeMachine 과 통신하기 위해 반드시 한번 이상 통신하는 서버이다.

CentralServer

CentralServer 는 세가지 역할을 수행한다. Relay, Authorization, Hold 이며, 한 머신은 여러가지 역할을 동시에 수행할 수 있다.

Relay
- EdgeMachine 의 주소 및 상태를 반환하거나, 파일 전달을 위한 용도이다.
Authorization
- EdgeMachine 의 장치 정보를 저장한다.
- 전송하는 장치와 수신할 장치의 자격 검증을 한다.
- KMS 의 역할을 수행한다.
- 장치의 최초 등록 및 등록 정보 저장 역할을 수행한다.
  - 장치 등록시, Relay 와 Hold 서버의 주소를 반환하거나, 무작위 생성 시스템에 관한 정보를 반환한다.
Hold
- 만약 Relay 를 사용한 파일 전송 시도시 실패할 경우, 임시로 파일을 저장할 서버이다. 이 서버는 필수가 아니며, 그러할 경우 임시 파일 저장을 위한 기능은 사용할 수 없다.

EdgeMachine

최종 사용자가 사용하는 장치이며, 이는 CentralServer 에 연결하여 파일 송수신을 준비할 수 있다.

아래 설명에서 사용자는 각각 김철수, 김영희로 설정한다.

철수를 DomainA/Group1 에, 영희를 DomainA/Group2 에 지정한다.
철수의 로그온 아이디는 bob@mynetwork.com 이며, 사용중인 장치의 아이디는 다음과 같다:
- 업무용 랩탑: DomainA/Group1/bob@mynetwork.com/My-Laptop
- 업무용 데스크탑: DomainA/Group1/bob@mynetwork.com/My-Desktop
영희의 로그온 아이디는 alice@mynetwork.com 이며, 사용중인 장치의 아이디는 다음과 같다:
- 업무용 랩탑: DomainA/Group2/alice@mynetwork.com/My-Laptop
- 업무용 데스크탑: DomainA/Group2/alice@mynetwork.com/My-Desktop

CentralServer 정책 모델 예시

Relay

{
    "RelayWhitelist": {
    	"DomainA/Group1/SubGroup1": {
	    	"P2PConnection.GeneralAllow": false,
    		"P2PConnection.Whitelist": [
    			"DomainA/Group2/SubGroup1/*"
    		]
    	},
    	"DomainA/Group2": {
    		"P2PConnection.GeneralAllow": false,
    		"P2PConnection.Whitelist": [
    			"DomainA/Group1/*"
    		]
    	}
    }
}

파일 전송 모델

모델 A 는 직접 전송 모델이다. 파일 전송시에 서버를 거치지 않는다. 이는 보안이 중요한 파일을 전송할 때 사용할 수 있다.

모델 B 는 서버 중계 전송 모델이다. 파일 전송시 서버에 저장되며, 감사의 목적이 필요할 때 사용할 수 있다.

철수가 영희에게 파일을 전송하려 할 경우, 작동 메커니즘은 다음과 같다:

철수의 컴퓨터가 Authorization 서버에 등록될 때 저장한 각 분담 서버의 주소를 불러온다.
1. 예시: auth.mynetwork.com, relay.mynetwork.com
철수가 Authorization 서버에 영희의 장치 정보를 요청한다. 이 때, 서버 측에서는 정책에 따라 전송 모델 A 혹은 모델 B 를 결정한다. 만약 모델 A로 연결이 된다면 영희의 공개 암호화 키를 반환하고, 모델 B로 연결 된다면 정책과 수신자 장치 온라인 여부에 따라 Relay 혹은 Hold 서버의 공개 암호화 키를 반환한다.
1. 요청 예시: REQ:<현재 장치 인증 JWT 문자열>:pk:<로그온 ID>, <로그온 ID>, .... :<파일 유형>:<확장자>:<파일 크기 in bytes>:EOD
  1. REQ:2413fb3709b05939f04cf2e92f7d0897fc2596f9ad0b8a9ea855c7bfebaae892:pk:alice@mynetwork.com:plain-text:txt:32768:EOD
2. 반환 예시: RES:{"machines":{"name":{"pk":"xxx", ... }, ... }}:EOD
  1. RES:{"machines":{"DomainA/Group2/alice@mynetwork.com/My-Laptop":{"pk":"421c76d77563afa1914846b010bd164f395bd34c2102e5e99e0cb9cf173c1d87"},"DomainA/Group2/alice@mynetwork.com/My-Desktop":{"pk":"92ff90719d49bc974b12c2dfa6bf319c28f1d59419878e9148c9c472d5d9f599"}}}:EOD
철수가 보내고자 하는 장치를 고른 후 (예: My-Desktop) 이것의 장치 이름을 Relay 서버에 전송하여 커넥션에 필요한 정보를 반환받는다. 이 때, 서버 측에서는 정책에 따라 전송 모델 A 혹은 모델 B 를 결정한다. 만약 모델 A 가 되었을 경우 NAT Traversal 및 STUN/TURN 을 활용하기 위한 정보를 담은 후 영희의 장치 주소를 전송하고, 모델 B 가 되었을 경우, 정책과 수신자 장치 온라인 여부에 따라 Relay 혹은 Hold 서버의 해당 정보를 반환한다. Relay 서버에는 Session ID 와 바인딩 된 체크섬 및 수신 발신인의 정보를 포함한다.
1. 요청 예시: REQ:<현재 장치 인증 JWT 문자열>:<장치 이름>,<장치 이름>, ...:<파일 유형>:<확장자>:<파일 크기 in bytes>::EOD
  1. REQ:2413fb3709b05939f04cf2e92f7d0897fc2596f9ad0b8a9ea855c7bfebaae892:DomainA/Group2/alice@mynetwork.com/My-Desktop:plain-text:txt:32768:0c0e36f8c9580a11bb72906e973b81be37c1d0ab0ef4812a990069bfac142df7:EOD
2. 반환 예시: RES:{"장치 이름":{"session-id":"xxx","phys-addr":"","stun":{},"turn":{},"nat":{}}}:EOD
  1. RES:{"DomainA/Group2/alice@mynetwork.com/My-Desktop":{"session-id":"12341234","phys-addr":"14.250.xxx.xxx","stun":{},"turn":{},"nat":{}}}:EOD
철수는 이제 저 주소로 전송 요청을 시도한다. 이 때, 2번 단계에서 불러온 PK 로 비대칭 암호화를 하고, 3번 단계에서 받아온 연결 정보로 파일 전송을 시도한다.

파일 수신 모델

파일 수신은 서버 정책 및 그룹 정책에 따라 Polling 과 Reverse (검증 필요) 가 있다. 이 때, Polling 모드로 파일을 수신할 경우, Relay 서버는 송신인에게 반드시 Hold 서버의 정보를 전송해야 한다.

Polling: 영희의 컴퓨터는 백그라운드에서 매 n 초 마다 Hold 서버에 현재 장치로 수신 예약된 파일이 있는지 확인한다. 만약 파일이 있다면 해당 파일을 자동으로 다운로드 한 후, 성공시 Hold 서버에서 해당 파일을 삭제한다.
Reverse: 영희의 컴퓨터는 Relay 서버로 무기한 요청을 연다. Relay 서버에서 전달할 파일이 들어오면 해당 파일을 해당 무기한 요청의 응답으로 반환한다. 이는 Reverse shell 과 비슷한 원리이다.

저장 위치에 관하여

파일이 백그라운드에서 들어온다면, 파일이 자동으로 저장될 위치를 판단해야 한다. 이는 장치 내에서 설정 가능하며, 위에서 요청한 파일 유형 혹은 파일 확장자를 기반으로 판단한다.

만약 매핑이 없을 경우, 사용자에게 저장할 위치를 묻거나 Downloads 에 저장할 의사를 팝업으로 묻고 응답을 받을 때 까지 대기 시키거나, /tmp 에 저장 후 사용자에게 알린다 (설정에 따라 다름)

예: image-userphoto 를 /home/?/Pictures/ 로 매핑 설정하면 수신 에이전트는 받은 파일을 해당 위치에 자동 저장한다.

파일 전송 이어받기

네트워크 단절이나 시스템 종료 등 모종의 이유로 파일 전송이 중단될 경우를 대비해 식별자 기반의 이어받기를 지원한다.

최초 전송 요청 시, 송신자는 해당 파일 전송 세션에 대한 고유 식별자를 서버로부터 발급받아 헤더에 포함한다.
전송이 중간에 끊긴 후 다시 연결될 때, 송신자 혹은 수신자는 이 고유식별자와 함께 현재까지 성공적으로 송수신된 파일의 바이트 위치(Offset, 예: 2147483648)를 명시하여 요청한다.
연결이 재개되면 해당 Offset 지점부터 청크(Chunk) 단위로 파일 업로드 및 다운로드가 진행되며, 메모리 부하를 방지하기 위해 디스크에 스트리밍 방식으로 직접 기록한다.

![](https://cloudmate-test.s3.us-east-1.amazonaws.com/uploads/covers/68025b9e4560db24641a7411/47c524d2-6b95-4b30-9030-f98b289e26e8.png align="middle")

문서 업데이트 내역

[2026. 02. 20] Listen 모드 관련 내용 삭제
[2026. 02. 20] Master 서버 관련 내용 삭제
[2026. 02. 20] 파일 전송 이어받기 관련 내용 추가
[2026. 02. 20] 정책 파일 관련 내용 수정

Object Oriented Interpreter 언어에 대한 구상

LKS410 — Fri, 06 Feb 2026 18:45:41 GMT

개요

본문은 Object Oriented Interpreter 와 그것을 기반으로 한 ObjectiveShell 의 이론적 설계에 관해 서술하며 초기 모델링을 기술한다.

존재의 목적

상당히 많은 기존 터미널 체계 (bash, cmd 등) 는 오브젝트를 지원하지 않는다. 구조체나 복잡한 명령을 하려면 상당히 많은 기호와 직관적이지 않은 명령을 사용해야 한다. 이를 해결하고자 Python 을 기반으로 한 ObjectiveShell 을 구상해 보았다.

기반 구조

ObjectiveShell 에는 세션 단위 (ObjectiveShellSession)가 존재하며, 한 세션에는 두 종류의 메모리가 존재한다.

첫번째는 환경 변수 (environment)이다. 이는 bash 와 cmd 에서 작동하는 것과 같이 PATH 와 같은 변수를 담는 용도로 사용되며 반드시 string 타입만 사용할 수 있다. 이는 기존 명령어 환경과 친숙하게 작동하기 위함이다.

두번째는 일반 변수 (variables) 이다. 이는 실제 Python 오브젝트들을 가지고 있으며 파라미터로 넘겨줄 수 있다.

명령어

명령어는 Python 파일로 구성되어 있으며, 두가지 혹은 세가지의 메서드를 담고 있다. (예제 파일)

(필수) help(session) -> str
1. 이는 도움말 문자열을 반환한다.
(필수) main(session, arg1, arg2, arg3 … argN) -> tuple(int, Any)
1. 이는 해당 명령어를 일반적으로 실행하며 정해진 길이의 매개변수를 받을 때 사용된다.
2. 반환하는 튜플의 첫번째 int 항목은 종료 코드다. 기본적으로 종료코드 0이 정상 종료이다.
3. 반환하는 튜플의 두번째 Any 항목은 반환 오브젝트이다. 이는 오브젝트를 다룰 때 사용한다.
4. 반환하는 항목이 만약 int 하나만 반환한다면, 그것이 연산의 결과값이더라도 종료 코드로 인식한다.
5. 반환하는 항목이 만약 int 가 아닌 다른 타입이며 그것 하나만 반환된다면, 그것은 결과값으로 인식하고 종료코드를 0으로 간주한다.
(선택) udef_main(session, arg1, arg2, arg3 … argN) -> tuple(int, Any)
1. 이는 해당 명령어를 실행하며 정해지지 않은 길이의 매개변수를 받을 때 사용된다. 예를 들어, 만약 받는 매개변수가 5개 이상이고 (arg1, arg2 … arg5), 들어온 매개변수가 10개라면, 첫 4개의 매개변수는 각자의 자리에 들어가고 (arg1 … arg4) 나머지 6개는 하나의 리스트로 묶여 마지막 매개변수 자리에 들어간다 (arg5).
2. 반환값은 main 과 동일하다.

파싱

명령어에서 변수를 불러오거나 인라인 인터프리팅이 필요한 경우 다음과 같이 처리한다.

인라인 명령 실행: $(명령 라인)
인라인 변수 호출: ${var:<변수 이름>}
인라인 환경변수 호출: ${env:<변수 이름>}

dpkg/apt 패키지 잠그기

LKS410 — Fri, 06 Feb 2026 18:23:23 GMT

dpkg 는 상당히 안정적이고 잘 만들어진 패키지 관리자라고 생각하지만, 특정 조건에서의 제어 능력이 아쉬울 때가 있다. 예를 들어 특정 패키지 설치/업데이트/제거를 차단하고자 할때 (우발적 변경을 방지) 이를 제어할 수 없다.

dpkg 에는 패키지를 hold 하는 기능이 있지만 이것으로는 부족하다. 따라서 dpkg wrapper 스크립트를 만든 후 이를 dpkg-divert 로 dpkg 처럼 작동하게 만들었다.

/usr/sbin/dpkg-wrapper.sh:

#!/bin/bash

set -e

# Block based on pattern
if [[ ! -z "$(echo "$@" | grep \\--remove)" ]] ||                 # Removal
    [[ ! -z "$(echo "$@" | grep \\-r)" ]] ||                      # Removal
    [[ ! -z "$(echo "$@" | grep \\--purge)" ]] ||                 # Purge
    [[ ! -z "$(echo "$@" | grep \\--install)" ]] ||               # Install
    [[ ! -z "$(echo "$@" | grep \\-i)" ]] ||                      # Install
    [[ ! -z "$(echo "$@" | grep \\--reinstall)" ]] ||             # Reinstall
    [[ ! -z "$(echo "$@" | grep \\--upgrade)" ]] ||               # Upgrade
    [[ ! -z "$(echo "$@" | grep \\-U)" ]] ||                      # Upgrade
    [[ ! -z "$(echo "$@" | grep \\--unpack)" ]] ||                # apt install
    [[ ! -z "$(echo "$@" | grep \\--auto-deconfigure)" ]]; then   # apt install

    # Trigger python script to handle the logic
    python3 /usr/sbin/dpkgCmdParser.py "$@"

    # Check exit code
    if [ $? -ne 0 ]; then
        echo "Operation not permitted by system policy."
        exit 1
    fi
fi

exec /usr/bin/dpkg.distrib "$@"

위 코드는 dpkg 가 받는 매개변수를 읽어들인 후 패키지 변조를 하는 매개변수가 들어왔을 때 dpkgCmdParser.py 로 모든 매개변수를 넘긴 후, 파서에서 반환 코드 0을 확인한다. 만약 파서가 0을 반환하지 않았을 경우 장치 정책에 따라 변조 불가능한 패키지가 안에 들어있음을 의미하기에 실제 dpkg (dpkg.distrib) 을 실행하지 않는다.

/usr/sbin/dpkgCmdParser.py

# Read registry
# Not-removables:    HKEY_LOCAL_MACHINE/SOFTWARE/Policies/ProtectedPackages/.dword.rv = 1
# Install blacklist: HKEY_LOCAL_MACHINE/SOFTWARE/Policies/BlacklistedPackages/.dword.rv = 1

import sys
import subprocess
import os

from oscore import libreg as reg


def _chk_registry_protect_mode(package_name: str) -> bool:
    key_path = f"SOFTWARE/Policies/ProtectedPackages/{package_name}"
    protected = reg.read(key_path, 0)
    if protected == 1:
        return False  # Cannot remove protected package
    return True


def _chk_registry_install_mode(package_name: str) -> bool:
    key_path = f"SOFTWARE/Policies/BlacklistedPackages/{package_name}"
    protected = reg.read(key_path, 0)
    if protected == 1:
        return False  # Cannot install blacklisted package
    return _chk_registry_protect_mode(package_name)


def _local_id(raw_args: list[str], install_mode: bool) -> int:
    # Parse package names
    # This usually looks like this:
    # --status-fd 21 --no-triggers --unpack --auto-deconfigure libyyjson0 fastfetch
    # Parsing will directly read the package names from the arguments.

    for element in raw_args:

        # Package name
        # Note: This does not guarantee the element is a valid package name.
        if not element.startswith("-"):
            package_name = element

            # Note: package name contains : architecture suffix
            if ":" in package_name:
                package_name = package_name.split(":", 1)[0]

            if install_mode:
                if not _chk_registry_install_mode(package_name):
                    return 1  # Block installation
            else:
                if not _chk_registry_protect_mode(package_name):
                    return 1  # Block removal

        # Not package name
        else:
            pass

    return 0 # Allow operation


def _file_path(raw_args: list[str], install_mode: bool) -> int:
    # Parse package names
    # This usually looks like this:
    # --status-fd 21 --no-triggers --unpack --auto-deconfigure /var/cache/apt/archives/libyyjson0_0.12.0+ds-1_amd64.deb /var/cache/apt/archives/fastfetch_2.57.1+dfsg-1_amd64.deb
    # or if alot, then looks like this:
    # --status-fd 21 --no-triggers --unpack --auto-deconfigure --recursive 
    # Parsing will execute 'dpkg-deb -f  Package' in subprocess to fetch the package name.

    if "--recursive" in raw_args:
        recurse_index = raw_args.index("--recursive")
        if recurse_index + 1 < len(raw_args):
            dir_path = raw_args[recurse_index + 1]
            if os.path.isdir(dir_path):
                for root, _, files in os.walk(dir_path):
                    for file in files:
                        if file.endswith(".deb"):
                            deb_path = os.path.join(root, file)
                            raw_args.append(deb_path)

    for element in raw_args:

        # Deb file
        if element.endswith(".deb") and os.path.isfile(element):
            try:
                result = subprocess.run(
                    ["/usr/bin/dpkg-deb", "-f", element, "Package"],
                    capture_output=True,
                    text=True,
                    check=True
                )
                package_name = result.stdout.strip()
                if package_name:
                    if install_mode:
                        if not _chk_registry_install_mode(package_name):
                            return 1  # Block installation
                    else:
                        if not _chk_registry_protect_mode(package_name):
                            return 1  # Block removal
            except subprocess.CalledProcessError as e:
                print(f"Error fetching package name from {element}: {e}", file=sys.stderr)
                return 1

        # Not deb file
        else:
            pass

    return 0 # Allow operation


def main() -> int:
    args: list[str] = sys.argv[1:]
    using_local_id = any(flag in args for flag in [
        "--remove",
        "-r",
        "--purge",
        "--uninstall",
        "--configure",
        "--upgrade",
        "-U"])
    is_removal = any(flag in args for flag in ["--remove", "--purge", "-r", "--uninstall"])


    return _local_id(args, not is_removal) if using_local_id else _file_path(args, not is_removal)

if __name__ == "__main__":
    import sys
    sys.exit(main())

위 코드는 필자의 AquariusOS 의 레지스트리 시스템에서 소프트웨어 정책을 읽어와 체크하는 파이썬 코드이다. 해당 코드는 dpkg 가 변조하려는 큐에서 Blacklist (삭제만 가능) 혹은 Protected (변조 불가능) 상태를 확인한 후 통과 여부를 반환하는 코드이다.

위 두 코드를 모두 /usr/sbin/에 넣고, 다음 명령어를 sudo 권한으로 실행하여 적용한다:

dpkg-divert --divert /usr/bin/dpkg.distrib --rename /usr/bin/dpkg
ln -sf /usr/sbin/dpkg-wrapper.sh /usr/bin/dpkg
chmod +x /usr/sbin/dpkg-wrapper.sh
chmod +x /usr/bin/dpkg

fastfetch 명령어를 Protected 에 등록하고 삭제하려 시도했을 때:

이후 등록을 해제하고 다시 삭제하려 하였을 때: