1P by GN⁺ | ★ favorite | 댓글 1개
  • myNoise 운영자는 수십만 건의 코드 삽입 시도와 대량 사운드 파일 다운로드 공격을 겪었고, 서버는 버텼지만 시간·에너지·평온을 잃었다고 정리함
  • 공격자는 직접 작성된 myNoise 구조 때문에 침입에 실패한 뒤, 모든 사운드 파일 반복 다운로드로 대역폭을 낭비하는 방식으로 전환함
  • 방문자 에너지 사용을 상쇄하려고 매년 나무를 심는 myNoise에는 의도적인 서버 flood가 단순 트래픽이 아니라 낭비와 훼손으로 다가옴
  • 운영자는 새 사운드와 앰비언스를 만들 시간을 문제 파악과 방어 조치에 써야 했고, 후속 보안 강화에는 허니팟과 느린 응답 전략이 포함됨
  • 사건 뒤 수백 명의 사용자가 응원, 기술 조언, 기부 또는 재기부로 반응했고, 운영자는 myNoise를 필요한 사람들을 위한 작은 평화의 피난처로 계속 제공하겠다고 밝힘

공격이 실제로 한 일

  • myNoise는 혼란스러운 인터넷 속에서 긍정적인 장소를 만들려는 시도로 운영됨
  • 며칠 전 적대적인 방문자 또는 주체가 수십만 건의 요청을 보내 코드 삽입을 시도함
    • 이 시도는 실패함
    • myNoise가 일반적인 CMS가 아니라 처음부터 직접 작성된 구조였던 점이 도움이 되었을 수 있음
  • 침입에 실패한 뒤 공격자는 모든 사운드 파일을 반복 다운로드하는 방식으로 전략을 바꿈
    • 서버 대역폭을 낭비시키는 공격으로 받아들여짐

대역폭 낭비가 더 크게 느껴진 이유

  • myNoise 운영자는 사이트 방문자의 에너지 사용을 상쇄하기 위해 매년 나무를 심고 있음
    • 그 방법론에는 의문이 제기될 수 있음을 인정함
    • 핵심은 책임 있게 행동하려는 의도에 있음
  • 의도적인 서버 flood는 단순한 기술 문제가 아니라 낭비와 훼손에 가까운 행위로 느껴짐

서버보다 먼저 빼앗긴 것

  • 서버는 다운되지 않았지만, 공격은 운영자의 시간과 에너지를 빼앗음
    • 새 사운드와 조용한 앰비언스를 만드는 데 쓰려던 시간이 문제 파악에 들어감
    • 공격을 멈추고 향후 보호 조치를 마련하는 일도 추가됨
  • 공격은 운영자에게 남아 있던 평온함도 흔들어 놓음
    • 유토피아적 세계라면 필요 없을 방어에 시간을 잃은 사례로 남음

슬픔과 무력감

  • 글의 중심에는 공격 자체보다 공격이 다시 불러온 슬픔과 무력감이 있음
  • 무언가를 만드는 것보다 부수는 데 에너지가 덜 든다는 불균형을 엔트로피의 법칙에 비유함
  • 2년 전 건강 문제 이후 병이 몸을 빠르게 장악하고 회복에는 오래 걸렸던 경험과도 연결됨
    • 질병은 대개 누군가의 의도적 행위가 아님
    • 다른 사람이 의도적으로 해를 끼칠 때는 전혀 다른 감정이 남음

비둘기 이야기와 작은 긍정

  • 운영자는 둥지에서 떨어져 크게 다친 어린 비둘기를 몇 주간 주사기로 먹이며 돌봄
    • 지금은 동네를 자유롭게 날지만 여전히 찾아옴
    • 이런 작은 긍정적 변화가 자신을 행복하게 만든다고 밝힘
  • 동시에 누군가 새를 싫어해 자신들이 구한 것을 언젠가 해칠 수도 있다는 생각을 떨치기 어렵다고 함

공격 이후 보안 강화

  • 공격 이후 몇 주 동안 myNoise 서버 보안 강화에 집중함
    • 공격은 서버 침입에는 성공하지 못함
    • 다만 기존 설정이 수십만 건의 코드 삽입 시도를 허용할 수 있음을 드러냄
    • 시도 수가 많아질수록 언젠가 성공할 가능성도 커진다고 판단함
  • myNoise는 최근 관리형 VPS로 이전했으며, 전체 관리자 권한인 root 접근이 없음
    • 표준 침입 탐지 도구나 고급 방화벽을 사용할 수 없었음
    • 대신 myNoise에 맞춘 맞춤형 보안 조치를 만들었음
    • 공개 문서화하지 않은 점이 추가 보호층으로 작동한다고 봄
  • 새 전략에는 허니팟이 포함됨
    • 악성 주체가 함정과 상호작용하면 즉시 차단됨
    • 악성 에이전트에게 데이터를 매우 느리게 제공해 시간을 끄는 전략도 구현함
    • 차단 후 다른 웹사이트로 이동하게 만드는 방식임
  • 금지된 폴더 안에는 끝없는 하위 페이지와 링크 미로도 마련됨
    • 탐색할수록 기하급수적으로 커지는 구조임
    • 침입자를 늦추는 장치이자 호기심 많은 사용자를 위한 Easter egg 역할도 함
    • 미로에 도달하기 전에 허니팟에 걸리면 사이트에서 차단될 수 있음

커뮤니티의 반응

  • 이전 글 이후 수백 명의 사용자가 연락함
    • 일상에서 myNoise가 중요하다는 메시지가 이어짐
    • 기술적 조언, 기부, 재기부도 이어짐
  • 공격은 일반적인 새 사운드스케이프 출시보다 더 많은 지원을 이끌어냄
  • 운영자는 이 사건을 통해 myNoise와 사용자 사이의 유대와 커뮤니티 감각을 더 강하게 느꼈다고 함
    • 2년 전 병원에 입원했을 때의 큰 반응을 떠올림
  • myNoise 커뮤니티는 친절하고 도움을 주며 긍정적인 분위기를 가진 환경으로 그려짐
    • 사운드와 음악이 사람들을 연결한다고 봄

앞으로 계속할 일

  • 운영자는 앞으로도 나무를 심고, 사운드를 만들고, 어린 비둘기를 돕고, myNoise라는 작은 평화의 피난처를 필요한 사람들에게 제공하겠다고 말함
  • 함께 더 많이 만들며 파괴를 선택한 사람들보다 수적으로 앞서자고 제안함
  • 삶에 의미를 주는 것은 만드는 일이지 파괴하는 일이 아니라고 정리함

댓글과 토론

Hacker News 의견들
  • 최근 소음이 심한 건물에서 지내야 했는데, 스피커로 적절히 이퀄라이징한 백색소음을 틀어두니 소음을 가리고 최소한의 정신 건강과 수면을 유지하는 데 도움이 됐음
    myNoise 앱이 화려하진 않아도 약속한 기능을 군더더기 없이 해내고, 여러 기기에서 잘 동작함
    살 때는 누가 만든 앱인지 몰랐던 것 같은데, 이번 글 덕분에 앱 뒤의 사람 얼굴이 보이게 됨
    누군가에게 공격당하면 사람에 대한 신뢰가 무너져 더 큰 트라우마가 되고, 그 결과 더 방어적·불신적이 되거나 반대로 남에게 공격적·신뢰를 깨는 쪽으로 이어질 수 있음
    공격자를 변호하는 건 아니지만, 이 악순환을 끊으려면 세대를 잇는 장기적 정신 건강의 문제로 봐야 할 듯함

    • 바로 위층 세입자 때문에 장기간 소음 문제를 겪었고, 관리사무소에 주기적으로 항의해도 공감만 받을 뿐 별다른 조치는 없었음
      이후 Siri에게 “Loud neighbors”라고 말할 때마다 집주인에게 정형화된 이메일을 보내는 iOS 단축어를 만들었더니, 주 3~4통의 이메일이 의외로 효과적이었음
      사무실에서 대충 달래서 내보내는 것과 이틀에 한 번씩 이메일에 답해야 하는 건 다르다고 봄
      물론 모든 상황에 맞는 전략은 아니겠지만, 조용하고 평화로워지길 바람
  • 모의해킹/버그 바운티 일을 하는 입장에서 보면, 소유자가 답답하게 느끼는 건 이해하지만 이건 일반적인 인터넷 잡음처럼 읽힘
    최악이어도 누군가 Burp Suite를 켜고 웹사이트에 실행을 눌렀다는 정도로 보임
    많은 상용 도구가 기본적으로 이런 공격을 대량 실행하고, 어떤 SaaS 회사들은 아예 제품으로 제공하기도 함
    인터넷 전체는 계속 스캔되고 있으며, 발견된 웹사이트에 자동 공격 모음을 돌리는 스캐너도 많음
    옳다는 뜻은 아니지만 우리가 사는 현실이 이렇고, 개인적으로 받아들일 일은 아니라고 봄

    • 상어가 공격해도 개인적인 감정은 아니지만, 그래도 트라우마가 됨
      게다가 상어는 윤리적으로 의심스러운 해커가 만든 것도 아님
      왜 이 사람의 정당한 고통을 깎아내려야 하는지 모르겠고, 그렇게 하는 건 꽤 무례해 보임
  • 해커들이 사실상 https://glslsandbox.com을 죽였음
    누군가 스팸을 퍼부었고 처리할 시간이 없어 약 1년 반 동안 닫힌 상태임
    Shadertoy처럼 비슷한 일을 하는 사이트가 있긴 하지만, 누군가의 프로젝트가 이런 식으로 망가지는 건 정말 안타까움
    서비스 거부 문제는 무료 서비스라서, 내 프로젝트에서는 대체로 Cloudflare 뒤에 숨는 방식으로 직접 대응을 피하려고 함
    “내가 네 물건을 부술 수 있다면 네 잘못이고, 더 잘 만들었어야지”라는 해커식 태도가 늘 짜증남
    창문, 문, 몸도 부술 수 있지만 가능하다는 이유만으로 피해자 책임이 되는 건 아님
    그래도 이런 인간들을 없앨 수는 없다는 것도 알고 있음

    • 물리 시스템과 정보 시스템은 다름
      정보 시스템은 뚫을 수 없게 만들 수 있지만, 물리 시스템은 그렇게 만들 수 없음
      물리 시스템은 지역성 덕분에 본질적으로 더 안전하고, 은닉에 의한 보안도 어느 정도 이득을 볼 수 있음
      약한 정보 시스템을 누구나 상호작용할 수 있는 전역 네트워크에 연결했고 누군가 망가뜨릴 방법을 찾았다면, 특정 공격자에게 화내기보다 시스템적 약점을 들여다볼 가치가 있음
    • 마지막 부분이 정말 맞음
      키 6피트 3인치, 260파운드에 Ironman 여러 번, 스포츠, 클라이밍, 웨이트, 사냥, 수년간의 약간의 전투 훈련까지 해온 덩치 큰 사람임
      주변 사람 대부분은 맨손으로도 죽일 수 있을 거라고 생각하지만, 그렇게 하지 않음
      말한 것처럼 삶은 그런 식으로 굴러가지 않기 때문임
      그런데 사람들은 차, 휴대폰, 위의 개인 프로젝트 같은 것에는 이 논리를 무모하게 적용함
      내가 그들을 두들겨 패고 웃으면서 “네 엄마가 더 큰 사람하고 잤어야지”라고 하면 어떤 기분일지 궁금함
      아무튼 정말 안타까운 일이라는 데 동의함
  • 개인적으로 받아들이지 않는 게 좋음
    그들은 당신이 누구인지 알지도 못하고 관심도 없음
    서버에는 이제 어떤 형태로든 속도 제한기가 필수에 가까워지고 있음
    스캔과 탐색은 무례함을 넘어서지만, 인터넷에는 성가신 것들이 넘쳐남
    Fail2ban은 간단한 로그인 시도나 취약점 스캔을 처리하도록 쉽게 설정할 수 있음
    웹 서버용으로 비슷한 게 없다면 만들기 어렵지 않을 텐데, 웹 서버용 Fail2ban이나 속도 제한기를 아는 사람이 있는지 궁금함

    • 웹사이트 앞에 Cloudflare 무료 플랜을 두면 문제가 해결됨
  • 처음 알게 된 뒤로 이 사이트를 계속 좋아해 왔음
    요즘처럼 사무실 밀도가 점점 높아지는 환경에서는, 적어도 내 지역에서는 더 큰 도움이 됨
    최근 앱 재설계도 훌륭했음
    그가 만든 방대한 라이브러리에 접근할 수 있다는 것만으로도 작은 후원을 할 가치가 있음
    특히 대부분의 콘텐츠는 그가 직접 현장에서 녹음하고, 믹싱하고, 이퀄라이저 밴드로 나눈 것들임
    아일랜드 해안, 지하 수로, 여러 숲 소리까지 포함됨

  • 선과 악의 불공정한 대결은 아마 수천 년 동안 이어진 난제였을 가능성이 큼
    나쁜 사람들을 어떻게 다룰지에 대해 죽이기, 용서하기, 교육하고 교정하기 등 여러 해법이 나왔지만, 실제로 잘 작동하는 건 없어 보임
    한 가지 해법은 그들을 모두 모아 다른 행성으로 보내고 거기서 마음대로 살게 하되 선한 사람들을 괴롭히지 못하게 하는 것일 수 있음
    그리고 누군가는 이미 그렇게 해서 우리가 여기 있는 거라고 말할지도 모름

    • 예전에 시도된 적 있음
      전화 소독원, 미용사, 광고 기획자부터 시작했음
    • 최근에 누군가 HTTP 프로토콜로, 수신자 쪽에서 크기가 폭발하도록 특수 제작한 gzip 압축 콘텐츠를 제공했다는 글을 본 것 같음
      크롤러는 보통 각 인스턴스에 그렇게 많은 공간을 할당하지 않으니 좋은 예방책이 될 수 있음
    • 그렇게 보면 여기서는 우리가 나쁜 쪽인 것 같음
    • 우리가 악의적 해커를 죽여본 적이 언제 있었나?
  • 불쌍하게도 아마 LLM 봇에게 크롤링당한 것 같음
    “공격자”는 이 사람이 누구인지 모를 가능성이 큼
    그저 얼굴 없는 기업이 그의 사운드나 백색소음 콘텐츠를 LLM 학습과 공급에 쓰려는 것일 수 있음
    나도 매일 비슷한 “공격”을 받지만, 살펴보면 인증서 투명성 로그를 크롤링하는 봇인 경우가 많음
    사이트 인증서를 확인해보면 Let’s Encrypt CA가 발급한 것이고, 기껏해야 쉬운 먹잇감을 노리는 스크립트 키디 수준임
    앞으로는 이런 “공격”을 너무 개인적으로 받아들이지 않았으면 함
    전반적으로 좋은 사람이고, 어쩌면 이 세상에 비해 너무 좋은 사람인지도 모름

  • 평생 회원이고 mynoise.net을 여러 해 즐겨 써왔음
    집중하고 방해 요소를 막는 데 내가 찾은 것 중 최고임
    brain.fm과 YouTube Music도 쓰지만, 그의 사이트가 더 좋고, 더 의도적으로 설계됐고, 나에게 더 효과적이라 계속 돌아오게 됨

  • MyNoise 앱은 내 삶을 실제로 더 좋게 만들었음
    집에서는 백색소음 기계를 쓰지만, 여행할 때는 MyNoise가 수면 동반자이고, 특히 나를 깨울 법한 특정 소음을 막도록 이퀄라이저를 설정할 수 있는 점이 좋음
    성가신 해킹 소식은 안타까움

    • 완전히 동의하고, 나도 수년간 똑같이 해왔음
      특히 연결이 불안정할 때 좋은 점은, 선호하는 소음을 한 번 불러오면 브라우저에서 로컬로 실행되어 연결이 끊겨도 끊김 없이 계속 재생된다는 것임
  • 왜 누군가 이 사람을 해치려고 하는지 모르겠음
    이 사이트는 훌륭함

    • 세상이 불타는 걸 보고 싶어 하는 사람들이 있음
      이유는 많겠지만, 가장 기본적으로는 상처받은 사람이 남을 상처 입힌다는 말이 맞음
      누군가 덜 친절하게 굴 때 내가 반응하는 방식도 이걸 떠올리려 함
      나쁘게 반응하면 그 사람이 다음에도 다른 사람에게 같은 짓을 정당화할 빌미를 주게 됨
      입에 거품 문 미치광이가 되지 않고도 스스로를 지킬 수 있다는 걸 배웠음
      대부분의 경우 경계는 핵무기가 아니라 물총으로도 세울 수 있음
      모든 것은 연결되어 있고, 이 사람은 순진할지 몰라도 좋은 연결을 시작하려 애쓰고 있음
      박수를 보내고 싶음
    • 표적 공격은 아닐 가능성이 큼
      사이트를 운영해본 경험상 인터넷은 AI 크롤러, 모든 폼을 증폭 벡터로 바꾸려는 스크립트 키디, 취약점 탐색기가 뒤섞인 황무지임
    • 어떤 대형 AI 회사의 누군가가 학습 자료 모음에 이 사이트를 추가하려고 버튼을 눌렀을 가능성도 있음
      게으르게든 아니든 “반복”과 “영원히” 체크박스까지 눌렀을지도 모름
    • 인터넷에서 보낸 세월이 가르쳐준 게 있다면, 일부 사람들은 정말 심각하게 정신적으로 불안정해서 손에 닿는 건 무엇이든 파괴하려 든다는 것임
      단지 가능하기 때문에 그렇게 함
      관심을 얻기 위해서일 때도 있고, 그냥 세상이 불타는 걸 보고 싶어서일 때도 있음
      어느 쪽이든 “대상이 뭘 했길래 이런 일을 당했나?”라고 묻는 건 무의미함
      공격자는 애초에 그런 질문을 스스로에게 하지 않았을 가능성이 높고, 그냥 노골적인 소시오패스일 수도 있음
      인터넷이 커질수록 이런 사람들의 수도 늘어남
      예전 같으면 사회에서 배척됐고, 더 극단적인 방법을 쓰지 않는 한 남에게 해를 끼칠 능력도 크게 제한됐으며 대개 심각한 대가가 따랐을 것임
      하지만 인터넷은 그들에게 새로운 배출구를 줬고, 과거라면 닿을 수 없었을 전 세계 사람들의 것을 망칠 방법을 제공했으며, 보통 처벌 위험도 거의 없음