Hacker News 의견

요약:

• 서버가 개인키를 생성하고 클라이언트에 전송하는 방식은 바람직하지 않음. 클라이언트가 개인키를 생성하고 공개키를 서버로 전송하는 것이 적절함.
• 예제에서 HTTP 프로토콜을 사용하고 있는데, 보안상 적절하지 않으므로 HTTPS로 대체할 것을 제안함.
• 세션 타임아웃 시 클라이언트가 이를 인지할 수 있는 방법이 필요함. 예를 들어 와이파이의 Captive Portal 감지 기능처럼 주기적으로 URL을 체크하여 상태를 확인하는 방법 등을 고려해 볼 수 있음.
• WireGuard의 키는 영구 세션 키의 역할을 하므로, 완전한 VPN 서버 솔루션이 되기 위해서는 주기적인 세션 키 교체, 세션 종료, IP 주소 변경, 경로 설정, 필요시 인증 갱신 등의 추가 기능 구현이 필요함.
• Head나 Tailscale과 유사한 점이 많은데, 기능 중복, 차이점, 구현 계획 등을 비교할 수 있는 자료가 있으면 좋겠음.
• TOTP 코드에 대한 무차별 대입 공격(Brute-force Attack) 방지 대책이 마련되어야 함. 예를 들어 요청 속도 제한, 시도 횟수 제한 등의 방안을 고려해야 함.
• WireGuard를 선택한 사이트라면 최신 설정을 사용할 것으로 예상되므로 IPv6의 ULA(Unique Local Address) 활용도가 높을 것임.