갑자기 생각나서 예비군 후기를 작성해봅니다.

예비군 훈련을 앞둔 사람이라면 누구나 고민하는 것이 바로 어느 지역 훈련장을 선택할지일 것이다. 보통은 주민등록상 등록된 훈련장을 간다.

내가 예비군을 경험하면서 수원 예비군 훈련장과 성남 예비군 훈련장을 비교하며 각각의 특성을 살펴보겠다.

위치

수원 과학화 예비군 훈련장

- 경기 화성시 비봉면 비봉로71번길 1

성남 과학화 예비군 훈련장

- 경기 성남시 분당구 판교로 751

PX(충성마트)

먼저, PX 운영에 관해 이야기해보자면 어느 훈련장을 가더라도 줄을 서야 하는 것은 피할 수 없다. 그럼에도 불구하고 PX 운영 여부는 확실히 두 지역이 다르다.

수원 예비군 훈련장은 PX가 종종 운영되지 않을 때가 있어, PX에서 간식을 사 먹을 계획이 있다면 실망할 가능성이 크다. 반면 성남 예비군 훈련장은 매번 안정적으로 PX를 운영하고 있어 이 부분에서는 성남이 확실히 유리하다.

훈련

훈련 진행 방식도 지역별로 큰 차이를 보인다. 수원 예비군 훈련장은 일찍 도착하거나 지인과 함께 팀을 이뤄 빠르게 5개 과목을 이수하면 퇴소가 훨씬 빠르다. 즉, 일찍 가서 잘만 준비하면 하루를 알차고 빠르게 보낼 수 있다는 장점이 있다.

그러나 성남 예비군 훈련장의 경우 조금 다르다. 성남은 도착 시간이 빠르다고 해서 빨리 집에 가는 것이 아니다. 성적이 가장 중요한 요소로 작용하기 때문에, 아침 일찍 왔더라도 나중에 온 사람이 더 좋은 성적을 내면 늦게 귀가하는 상황이 벌어질 수 있다. 결국 성적이 곧 퇴소 시간을 결정하기 때문에 훈련에 자신이 있는 사람이라면 성남을 선택하는 것이 유리할 수 있다.

교통

교통 편의성에서도 두 지역은 확연히 구분된다. 수원 예비군 훈련장은 전용 셔틀버스를 운영하고 있으며, 특히 차량을 직접 운전해서 가기에 적합하다. 대중교통보다는 자가 차량 이용 시 훨씬 편리하다는 점이 특징이다. 성남 예비군 훈련장은 대중교통 이용이 편리한 편이며 접근성이 뛰어나다. 하지만 차량을 직접 운전해서 방문했다면, 퇴소 시간이 몰리는 시점에 지옥 같은 교통 체증을 경험할 수 있다. 이 때문에 성남에 차량을 가지고 간다면 퇴소 후 교통 체증으로 인해 스트레스를 받을 가능성이 높다는 것을 미리 염두에 두어야 한다.

결국 어느 훈련장을 선택할지는 자신의 상황과 성향을 고려해야 한다. 빠른 퇴소와 차량 이용의 편리함을 중시한다면 수원이 적합하고, PX 이용이나 훈련 성적에 자신이 있다면 성남이 더 좋은 선택이 될 것이다.

간단히 정리해보자면 다음과 같다:

• PX 운영이 중요한 사람: 성남 추천
• 빠른 퇴소와 자차 이용이 편리한 곳: 수원 추천
• 성적을 잘 내 자신 있는 사람: 성남 추천
• 대중교통 이용자: 성남 추천

이렇게 각자의 상황에 맞는 최적의 훈련장을 선택하여 보다 쾌적한 예비군 훈련을 받길 바란다.

문제 1
질문. 안전보건관리체계 구축을 위한 7가지 핵심요소에 관한 내용으로 가장 적절하지 않은 것은?
보기.
① 위험요인 제거·대체 및 통제
② 비상조치계획수립
③ 도급·용역·위탁 시 안전보건 확보
④ 경영자의 재정적 지원 확대
정답. ④

문제 2
질문. 근골격계 부담 작업에서 하루 4시간 이상 지속되는 작업은 유해요인 조사 대상이다.
정답. O

문제 3
질문. 출퇴근 재해는 사업주 지배관리하의 출퇴근 재해와 통상의 출퇴근 재해로 구분한다.
정답. O

문제 4
질문. 통상의 출퇴근 재해 요건 중 주거에 해당하지 않는 것은?
보기.

1. 친구의 집에서 영화를 보고 다음날 아침 그곳에서 직접 출근한 경우
2. 노동자가 실질적으로 거주하면서 일상생활을 영위하는 주소
3. 근무지 근처에 숙소를 별도로 마련하고 그 장소에서 상당기간 출퇴근을 하고 있거나 앞으로도 출퇴근할 것으로 예상되는 경우 그 장소
4. 근무 사정, 교통두절, 천재지변 등 불가피한 사유로 일시적으로 숙박하는 경우 그 장소
   정답. 1

문제 5
질문. 허혈성 뇌졸중의 주요 원인으로 알맞은 내용은?
보기.

1. 뇌동맥의 파열
2. 고혈압으로 인한 혈관 손상
3. 혈전이 혈관을 막음
4. 뇌 내 출혈
   정답. 3

문제 6
질문. 근로자의 범죄행위로 인한 출퇴근 재해는 원칙적으로 업무상 재해로 인정될 수 없다.
정답. O

문제 7
질문. 근골격계 부담 작업의 유해 요인 조사 시, 작업자는 증상과 직업력뿐 아니라 취미 활동과 과거 질병력까지 포함해 상세히 조사해야 한다.
정답. O

문제 8
질문. 다음 중 심근경색의 증상이 아닌 것은?
보기.

1. 흉통과 발한
2. 오심과 호흡곤란
3. 피부가 창백해짐
4. 30분 이내에 사라지는 통증
   정답. 4

문제 9
질문. 다음 중 뇌졸중의 전조증상 파악 방법인 패스트(FAST)에 해당하지 않는 것은?
보기.

1. 활짝 웃었을 때 양 입꼬리가 비슷한 높이로 올라가지 않고 어느 한쪽 입꼬리가 처지지 않는지를 살펴봐야 한다.
2. 양팔을 들어서 한쪽 팔의 힘이 빠지거나 처지지 않는지를 봐야 한다.
3. 같은 단어나 문장을 여러 차례 반복적으로 말했을 때 말이 잘 나오지 않거나 어눌하다면 뇌졸중을 의심해 봐야 한다.
4. 이런 방법으로 스스로 점검해보고 한 가지라도 이상이 있는 경우엔 일주일 뒤 병원으로 가야한다.
   정답. 4

문제 10
질문. 출근길에 자녀를 학교에 데려다 주고 이동 중 발생한 사고는 출퇴근 재해로 인정될 수 있다.
정답. O

1. 제품 소개

모모베개는 현대인의 바쁜 일상 속에서 편안한 수면을 제공하기 위해 설계된 고급 베개입니다. 고품질의 소재와 인체 공학적 디자인을 통해 최고의 편안함과 지지력을 약속하는 이 제품은 다양한 사용자들의 요구를 충족시킬 수 있는 여러 가지 기능을 갖추고 있습니다.

리뷰 목적 및 배경

이 리뷰는 모모베개를 실제로 사용해 본 후기를 바탕으로 작성되었습니다. 이 리뷰를 통해 잠자리의 질을 향상시키고자 하는 소비자들이 모모베개가 제공하는 편안함과 기능을 이해하고, 현명한 구매 결정을 내릴 수 있도록 돕는 것이 목적입니다. 제 사비로 직접 사용한 후기입니다. 따라서, 지극히 개인적임을 알아주셨으면 합니다.

2. 제품 사양

소재 및 구성

모모베개는 메모리폼과 고급 커버 소재로 제작되었습니다. 메모리폼은 사용자의 체형에 맞게 변형되어 머리와 목을 완벽하게 지지해주며, 고급 커버는 부드럽고 통기성이 좋아 피부에 자극을 주지 않습니다.

크기 및 무게

모모베개는 표준 크기(60cm x 40cm x 12cm)로 제공되며, 무게는 약 1.2kg입니다. 이 크기와 무게는 대부분의 침대와 잘 어울리며, 다양한 수면 자세에 적합합니다.

색상 및 디자인 옵션

모모베개는 기본적으로 깔끔한 색감을 추구하는 것으로 보입니다. 아래 사진 보듯이 4가지 색상으로 제공되고 있으며, 침실 인테리어로도 잘 어울려 보입니다.

3. 사용 후기

첫 인상

모모베개를 처음 받았을 때, 포장 상태가 매우 깔끔하고 고급스러웠습니다. 베개를 처음 만졌을 때의 부드러움과 탄성은 매우 인상적이었습니다. 또한, 탄탄함이 매우 인상적이었습니다. 다른 일반적인 저렴한 베개에서 느낄 수 없는 탄탄함이었습니다.

편안함 및 지지력

실제 사용해본 결과, 모모베개는 머리를 적절한 지지력을 제공했습니다. 다만, 경추 부분에 대한 지지에 대해서는 잘 모르겠습니다. 자고 일어나니 목이 뻐근함은 있었습니다.

4. 장단점 분석

장점

• 편안함: 메모리폼 소재가 체형에 맞춰 변형되며 편안함을 제공
• 재질의 질: 고급 커버 소재가 부드럽고 통기성이 좋음
• 기타 장점: 탈부착이 쉬운 커버, 다양한 색상 옵션

단점

• 단점 1: 높이가 너무 높음
• 단점 2: 높은 가격대

높이를 줄이고자 내부 소재를 빼면 베개라 망가져 사용하기가 어려웠습니다. 추가 충전재를 준 이유는 오히려 베개를 높게 쓰라는 의도로 보여집니다.

모모베개가 사용하기에 너무 높고, 경추 부분에 대한 지지가 부족하여 다시 베개를 알아보러 다니고 있습니다. 

5. 결론

종합 평가

모모베개는 고품질의 소재와 인체 공학적 디자인을 통해 탁월한 편안함과 지지력을 제공합니다. 약간의 적응 기간이 필요하지만, 한번 적응하면 매우 만족스러운 수면 경험을 제공할 것입니다.

추천 여부

잘 모르겠습니다. SNS에서 파격적으로 홍보하고 있는걸 보고 있지만, 정말 100명중 98명이 만족하며 사용하는지에 대한 의문감은 있습니다. 그리고 베개 자체는 높게 사용하면 안 됩니다. 그 점에서 모모베개는 높게 사용할 수 밖에 없는 베개여서 추천드리고는 싶지 않습니다.

8. 추가 정보

구매처 및 가격 정보

모모베개는 공식 웹사이트와 다양한 온라인 쇼핑몰에서 구매할 수 있으며, 가격은 약 1필에 69,000원에 되어있습니다. 기타 할인을 받으면 조금 더 저렴하게 구매가 가능합니다.

고객 서비스 및 보증 정보

모모베개는 구매 후 30일 내에 무료 반품 및 환불 서비스를 제공하며, 1년간의 품질 보증이 포함되어 있습니다.

9. 난장판

위 사진의 좌측은 모모베개의 소재입니다. 오른쪽은 모던하우스에서 구매한 17,900짜리 쿨감 베개입니다.

모던하우스에서 직접 누워보고 낮으면서도 경추를 잘 지지해주는 이 베개를 택했습니다. 모모베개 내부 소재는 좋아서 모던하우스 베개의 솜을 빼고 모모베개 소재로 갈아끼고 있는 사진입니다. 모모베개로 잠을 못자서 야밤에 진행했네요 

~하기로 결정했다

I've made a decision to look for a job abroad.

I've decided to look for a job abroad.

~하기로 마음을 먹다

I've made my mind

I've made my mind to start business.

I've made my mind to quit my job.

의문사 + to + 동사

what to eat

what to order

what to do

what to do after college

who to ask

who to live

where to live

where to live after college

I'm having trouble deciding.

I'm having trouble deciding what to order.

I'm having trouble deciding what to do

I'm having trouble deciding what to do after college

I'm having trouble deciding who to ask.

I'm having trouble deciding who to live with.

I'm having trouble deciding where to live.

I'm having trouble deciding where to live after college.

I've been thinking about.

I've been thinking about what to eat.

I've been thinking about what to order.

I've been thinking about what to do.

I've been thinking about what to do after college.

I've been thinking about where to live.

I've been thinking about who to live with.

I've been thinking about where to live after college.

[동명사]

living with friends.

traveling in Asia.

traveling in Asia.

working aborad.

looking for a job.

I've been thinking about living with friends.

I've been thinking about traveling in Asia.

I've been thinking about working aborad.

I've been thinking about looking for a job.

현재 사용 중인 시디즈 의자의 년식이 오래된 느낌이 들어 의자를 바꾸고자 한다.

가격대가 있어도 좋은 의자를 써보고 싶은 마음에 조사에 나서게 됐다.

SNS 등 여러 곳에서 비용을 들여서 광고를 하는 누하수 ERGO 3D의자가 눈에 띄긴 한다.

40만원대 의자이면서 디자인이 새롭게 보이길래 혹하는 마음이 있었다.

우선  누하스 ERGO 3D 의자 이미지와 한샘 H30 의자 디자인부터 비교해보자.

[사진 출처]

누하스 ERGO 3D

ERGO3D 누하스 사무용 컴퓨터 책상 게이밍 의자 4color (무료 방문 설치) - 누하스 (nouhauswork.com)

한샘 H30

H30 에어 책상의자 - 한샘몰 (hanssem.com)

아무리 봐도 디자인은 같다. 사이즈 구성표는 비교해보진 않았다. 사이즈 측정은 의미가 없다고 판단됨.

구매하기 전 리뷰와 구매자들의 솔직한 후기는 소중한 정보가 된다.

* 검색은 구글에서 진행하였음 *

[누하스 후기 1] 누군가 의자 후보군을 올려놓고 추천받는 게시글의 댓글

[누하스 후기 2] 틸트 관련

누하스 제품의 틸트가 아쉽다는 내용이다.

[한샘 H30 후기] 구매자의 장평

결론.

시디즈 고가 라인을 알아보는게 낫겠다.

출처: 삼성닷컴 갤럭시 핏3

(갤럭시 핏3 (그레이, 256 MB) | SM-R390NZAAKOO | Samsung 대한민국)

삼성 갤럭시 핏3 소개 및 재입고

오늘은 여러분께 새로 출시된 제품 하나를 소개해드리려고 해요. 바로 삼성의 갤럭시 핏3인데요. 최근에 출시되어서 많은 분들이 관심을 가지고 계실 것 같아요. 또한, 재고가 다시 들어온 소식도 있어서 구매를 고려하시는 분들께 좋은 소식이 될 거에요! 아래는 삼성닷컴에서 갤럭시 핏3 검색결과로 바로 보실 수 있어요.

1차는 4월 8일 재입고 물량이 완판되었고, 추가로 4월 15일 월요일 오전 9시에 재입고된 물량이 나온다고 합니다.

아래 링크를 통해서 빨리 만나보세요!

검색 | Samsung 대한민국

삼성 갤럭시 핏3의 공식 발표: 새로운 기능과 업그레이드

삼성 갤럭시 핏3는 삼성전자에서 최신 웨어러블 기기로 공식 발표되었습니다. 이번에 출시된 갤럭시 핏3은 이전 모델인 갤럭시 핏2에 비해 많은 기능과 업그레이드가 이루어졌습니다. 사용자들은 이번에 어떤 새로운 기능들을 만나게 될까요?

디자인 및 디스플레이: 무엇이 달라졌나?

갤럭시 핏3의 디자인은 이전 모델과 큰 차이를 보이지 않지만, 슬림하고 가벼운 디자인으로 업그레이드되었습니다. 또한, 1.4인치의 큰 AMOLED 디스플레이를 탑재하여 더 선명하고 세밀한 표현을 제공합니다. 사용자는 다양한 정보를 한눈에 확인할 수 있으며, 터치 스크린을 통해 쉽게 조작할 수 있습니다.

건강 관리 기능: 새롭게 추가된 모니터링 기능 탐구

갤럭시 핏3는 사용자의 건강을 체크하고 관리하기 위한 다양한 기능을 제공합니다. 이번 모델에는 심박수 모니터링, 혈압 측정, 수면 모니터링 등이 추가되었습니다. 또한, 스트레스 수준을 측정하고 호흡 운동을 안내하는 기능도 있습니다. 사용자는 갤럭시 핏3를 착용함으로써 자신의 건강 상태를 실시간으로 확인하고 관리할 수 있습니다.

연결성 및 호환성: 스마트폰 및 기타 기기와의 연동

갤럭시 핏3는 다양한 스마트폰과의 연결성을 제공합니다. Bluetooth를 통해 스마트폰과 연동할 수 있으며, 갤럭시 핏 앱을 통해 사용자의 데이터를 쉽게 동기화할 수 있습니다. 또한, 갤럭시 핏3는 기타 기기와의 호환성도 뛰어나며, 이어폰이나 블루투스 스피커와도 연결하여 음악을 즐길 수 있습니다.

배터리 수명과 충전: 사용 시간의 변화

갤럭시 핏3의 배터리 수명은 이전 모델보다 크게 개선되었습니다. 한 번 충전으로 최대 7일 동안 사용할 수 있으며, 신속 충전 기능을 지원하여 단시간 내에 충전이 가능합니다. 사용자들은 더 오랜 시간 동안 갤럭시 핏3를 사용할 수 있으며, 충전에 소요되는 시간을 대폭 줄일 수 있습니다.

운동 모드 및 트래킹: 운동 성과 분석의 정확도

갤럭시 핏3는 다양한 운동 모드와 트래킹 기능을 제공하여 사용자의 운동 성과를 정확하게 분석합니다. 달리기, 걷기, 사이클링 등 다양한 운동 종류를 선택할 수 있으며, GPS를 통해 운동 경로를 기록합니다. 또한, 심박수와 칼로리 소모량 등을 실시간으로 측정하여 사용자에게 정확한 운동 정보를 제공합니다.

사용자 인터페이스 및 조작 방법: 사용자 경험의 개선

갤럭시 핏3는 직관적이고 편리한 사용자 인터페이스를 제공합니다. 터치 스크린을 통해 쉽게 조작할 수 있으며, 다양한 위젯과 앱을 활용하여 개인화된 화면을 구성할 수 있습니다. 또한, 음성 인식 기능을 지원하여 사용자의 명령에 따라 원하는 작업을 수행할 수 있습니다.

갤럭시 핏3를 위한 액세서리: 새로운 추가 아이템

갤럭시 핏3를 위해 다양한 액세서리가 출시되었습니다. 스트랩, 보호 케이스, 와이어리스 충전기 등 다양한 아이템을 선택할 수 있으며, 사용자의 스타일과 선호도에 맞게 구매할 수 있습니다.

가격대 및 구매 옵션: 어디에서 구입할 수 있나?

갤럭시 핏3의 가격은 각 판매처에 따라 다르지만, 대체로 중간 가격대에 속합니다. 다양한 온라인 및 오프라인 매장에서 구매할 수 있으며, 삼성 공식 온라인 스토어에서도 구입이 가능합니다.

재입고 정보 및 구매 팁: 품절 전에 빠르게 구매하는 방법

갤럭시 핏3는 인기 제품으로 재입고가 빠르게 소진될 수 있습니다. 따라서, 갤럭시 핏3를 구매하고자 하는 사용자는 재입고 정보를 꾸준히 확인하고, 미리 예약 주문이나 온라인 구매를 통해 빠르게 구매할 수 있는 팁을 알아두는 것이 좋습니다.

이상으로 삼성 갤럭시 핏3의 소개와 재입고에 대한 정보를 알아보았습니다. 갤럭시 핏3는 다양한 기능과 업그레이드된 성능으로 사용자들에게 편리한 웨어러블 기기를 제공합니다. 건강 관리부터 운동 모드까지 다양한 기능을 즐길 수 있으며, 다양한 액세서리와 함께 개인 스타일을 연출할 수 있습니다. 재입고 정보를 확인하여 가장 빠르게 구매할 수 있는 방법을 찾아보세요! 

원격 데스크톱

본 글의 원격 데스크톱은 윈도우에서 제공하는 원격 데스크톱 서비스의 모든 경우의 수를 다루지 않았다. 큰 틀에서 흐름을 보기 위함이다.

원격 데스크톱 분석을 위해서는 당연히 원격 관련된 로그를 보는 것이 우선이다. 하지만, 그 외로 운영체제마다 곁가지로 따라오는 다른 로그들도 보인다. 본 글은 모든 운영체제를 테스트하지 않았으며, 분석하는 대상에 따라 로그가 다르게 남을 수 있음을 참고바란다.

원격에 관련된 취약점 혹은 사고 분석 시 재밌는 로그가 보일 때마다 추가할 예정이다.

본 글을 작성하며 생각보다 행위가 일어남에 있어서 반복 기록되는 이벤트들이 있다. 이런 로그들은 생략하였으며, 중요 로그만 기록하였다.

원격 데스크톱 정책 관련

• 로컬 그룹 정책 편집기 – 컴퓨터 구성 – 관리 템플릿 – Windows 구성 요소 – 터미널 서비스 – 원격 데스크톱 세션 호스트 – 세션 시간 제한

실험 환경

1. 피해자: Windows Server 2012 R2 Standard
   • IP: 192.168.100.140
   • hostname: ADTEST / ADTEST.adtest.com
       
2. 공격자: Windows 10
   • IP: 192.168.100.132
   • hostname: DESKTOP-EEHR9DG

간단하게 표현하고자 원격을 당하는 쪽이 피해자, 원격을 하는 곳을 공격자라고 칭함.

원격 접속 시도

이 경우는 단순히 원격지에 원격을 시도하려고 할 떄 나타나는 로그이다. 아래 사진 참고 바란다.

공격자가 위 사진의 화면이 나타날 때 아래의 이벤트들이 나타난다.

1. Microsoft-Windows-RemoteDesktopServices-RdpCoreTS.evtx
   • Event ID 131: 서버에서 192.168.100.132:랜덤포트 클라이언트로부터의 새로운 TCP 연결을 수락
     • 참고 정보: 공격자 IP
   • Event ID 65: RDP-Tcp#N 연결이 만들어졌습니다.
   • Event ID 141: PerfCounter 세션이 인스턴스 ID N(으)로 시작
   • Event ID 72: 인터페이스 메서드 호출
2. Microsoft-Windows-TerminalServices-RemoteConnectionManager.evtx
   • Event ID 261: 수신기 RDP-Tcp이(가) 연결을 받음

공격자가 자격 증명을 입력하지 않고 창을 종료하면 아래와 같은 이벤트들이 나타난다.

1. Microsoft-Windows-RemoteDesktopServices-RdpCoreTS.evtx
   • Event ID 102: 서버가 클라이언트와의 주 RDP 연결을 종료
   • Event ID 103: 연결이 끊긴 이유는 0

원격 접속 실패

1번 사진에서 공격자가 자격 증명을 입력하였지만, 올바르지 않은 아이디와 비밀번호를 입력하였을 때를 생각하면 된다. 가끔 공격자들은 무작위공격으로 Security.evtx 로그들을 밀어서 분석에 어려움을 주기도 한다. 원격 접속 실패 시 남는 로그는 아래와 같다.

공격자가 위 사진의 화면이 나타날 때 아래의 이벤트들이 나타난다. 다만, 시스템 속도, 운영체제 버전에 따라 순서는 상이하다. 참고하기바란다.

1. Microsoft-Windows-RemoteDesktopServices-RdpCoreTS.evtx
   • Event ID 131: 서버에서 192.168.100.132:랜덤포트 클라이언트로부터의 새로운 TCP 연결을 수락했습니다.
2. Microsoft-Windows-TerminalServices-RemoteConnectionManager.evtx
   • Event ID 261: 수신기 RDP-Tcp이(가) 연결을 받았습니다.
3. Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational.evtx
   • Event ID 65: RDP-Tcp#N 연결이 만들어졌습니다.
   • Event ID 141: PerfCounter 세션이 인스턴스 ID N(으)로 시작되었습니다.
4. Security.evtx
   • Event ID 4672: 특수 권한을 새 로그온에 할당
   • Event ID 4624: 계정이 성공적으로 로그온 됨
   • Event ID 4634: 계정이 로그오프 됨
     • 위 3개는 큰 의미는 없다.
   • Event ID 4625: 계정 아이디 혹은 패스워드 틀림
     • 참고 정보: 로그온 타입(10), 계정 이름, IpPort, 프로세스 이름
5. Microsoft-Windows-RemoteDesktopServices-RdpCoreTS.evtx
   • Event ID는 보통 아래와 같은 순서로 진행된다.
     • 102 -> 103 -> 131 -> 65 -> 141 -> 102 -> 103
6. Microsoft-Windows-TerminalServices-RemoteConnectionManager.evtx
   • Event ID 261: 수신기 RDP-Tcp이(가) 연결을 받음

원격 접속 성공(새로운 세션 부여)

이전 접속된 세션을 부여받지 않고, 새로운 세션을 부여받았을 경우에 남는 로그는 아래와 같다. 아래 로그들은 순서대로 기록되지 않으니 참고 바란다.

1. Security.evtx
   • Event ID 4672: 특수 권한을 새 로그온에 할당
   • Event ID 4624: 계정이 성공적으로 로그온
     • 로그온 유형(3), 공격자 IP, 워크스테이션 이름(공격자 장치 이름), 로그온 프로세스(NtLmSsp), 인증 패키지(NTLM)
   • Event ID 4798: 사용자으 로컬 그룹 구성원이 열거
   • Event ID 4624: 계정이 성공적으로 로그온
     • 로그온 타입(10), 사용자 ID, 프로세스 이름(svchost.exe), 워크스테이션 이름(피해자 장치 이름), 공격자 IP
2. Microsoft-Windows-TerminalServices-LocalSessionManager/Operational.evtx
   • Event ID 41: 세션 중재 시작
     • 세션 ID, 사용자
   • Event ID 42: 세션 중재 종료
     • 세션 ID, 사용자
   • Event ID 21: 원격 데스크톱 서비스: 세선 로그온 성공
     • 세션 ID, 사용자, 공격자 IP
   • Event ID 22: 원격 데스크톱 서비스: 셸 시작 알림 받음
     • 세션 ID, 사용자, 공격자 IP
3. Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational.evtx
   • Event ID 261: 수신기 RDP-Tcp이(가) 연결을 받음
   • Event ID 1149: 원격 데스크톱 서비스: 사용자 인증 성공
     • 참고 정보: 도메인, 원격 접속한 IP(공격자), 접속된 ID
4. Microsoft-Windows-RemoteDesktopServices-RdpCoreTS.evtx
   • Event ID 131: 서버에서 공격자IP:PORT 클라이언트로부터의 새로운 TCP 연결을 수락
   • Event ID 66: RDP-Tcp#2 연결이 세션 N에 할당

원격 접속 성공(기존 세션 부여)

1. Microsoft-Windows-TerminalServices-LocalSessionManager/Operational.evtx
   • Event ID 40: N 세션의 연결 끊김. 이유 코드 N
   • Event ID 25: 원격 데스크톱 세션 다시 연결 성공
     • 접속된 ID, 세션 ID, 원격 접속한 IP(공격자)
2. Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational.evtx
   • Event ID 261: 수신기 RDP-Tcp이(가) 연결을 받음
   • Event ID 1149: 원격 데스크톱 서비스: 사용자 인증 성공
     • 참고 정보: 도메인, 원격 접속한 IP(공격자), 접속된 ID
3. Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational.evtx
4. Security.evtx
   • Event ID 4672: 특수 권한을 새 로그온에 할당
   • Event ID 4624: 계정 성공적으로 로그온
     • 참고 정보: 접속 ID, 원격 접속한 IP(공격자), 로그온 프로세스(NtLmSsp), 로그온 타입(3, 7), 워크스테이션 이름(공격자 장치이름)
   • Event ID 4648: 명시적 자격을 사용하여 로그온 시도
5. Microsoft-Windows-Wcmsvc/Operational.evtx
   • Event ID 1006: 터미널 서비스 세션 변경이 처리됨

원격 접속 종료

원격 접속 후 종료하게 되면 아래 이벤트들을 볼 수 있다. 이 경우는 기존 세션에서 종료된 것, 새로운 세션에서 종료됐을 때가 다르게 나타나기도 한다.

1. Microsoft-Windows-TerminalServices-LocalSessionManager.evtx
   • Event ID 40: N 세션의 연결이 끊김. 이유 코드 N
2. Microsoft-Windows-RemoteDesktopServices-RdpCoreTS.evtx
   • Event ID 102: 서버가 클라이언트와의 주 RDP 연결을 종료
   • Event ID 103: 연결이 끊긴 이유는 N
3. Microsoft-Windows-Wcmsvc.evtx
   • Event ID 1006: 터미널 서비스 세션 변경이 처리됨
4. Microsoft-Windows-TerminalServices-LocalSessionManager.evtx
   • Event ID 24: 원격 데스크톱 서비스: 세션 연결 끊김
   • 참고 정보: 공격자 IP, 세션 ID, 피해자 계정
5. Microsoft-Windows-Kernel-PnP.evtx
   • Event ID 420: 장치 삭제
6. Security.evtx
   • Event ID 4634: 계정 로그오프

참고사항

Microsoft-Windows-TerminalServices-LocalSessionManager/Operational.evtx

원격이 종료됐다는 의미의 이벤트 아이디는 23(로그오프), 24(종료) 두 가지로 볼 수 있다. Event ID 23번을 보려면 피해자 시스템의 원격 세션 설정에 의해 세션이 종료되거나 PC의 로그오프, 다시시작, 시스템 종료에 의해서 나타나게 된다. 무조건 적으로 이벤트 ID 23번이 나타나지 않는다는 이유로 공격자가 원격을 완벽하게 종료하지 않았다고 단언할 수는 없다. 때문에, 세션이 로그오프된 상태가 아니라면 서로 다른 IP가 같은 계정을 통해 접속할 때 새로운 세션을 의미하는 21번이 나타나는 경우보다 세션 재접속을 의미하는 25번을 더 자주볼 수 있다.

무작위 공격(Brute Force)

공격자들은 자취를 감추기 위해 안티포렌식 행위를 한다. 예를 들어, 이벤트 로그 삭제 혹은 비트라커 랜섬웨어로 PC사용을 불가능하게 하거나 알려지지 않은 취약점을 사용한다. 공격자가 무작위 공격을 했다는 증거로는 Security 로그인 실패 이력을 살펴볼 수 있다. 하지만 공격자가 Security 이벤트로그를 삭제했다면 무작위 공격을 통한 계정 탈취 시도는 어떻게 알 수 있을까? 아래 원격 관련 이벤트로그를 참고하자.

Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational.evtx

• Event ID: 261
• RDP-TCP 수신기 받음

해당 이벤트로그는 로그인 성공 여부 상관없이 연결만 시도하더라도 해당 이벤트로그가 나타난다. 짧은 시간 내에 비정상적으로 많은 요청이 발생했다면 해당 이벤트도 비례해서 기록된다. 만약 취약점을 사용했다면 기록이 남지 않을 수도 있다.

1. 윈도우란 무엇인가

윈도우는 마이크로소프트가 제작한 개인용 컴퓨터 운영체제입니다. 1985년도에 처음 출시된 이후로 세계적으로 가장 널리 사용되는 운영체제 중 하나로 자리매김하였습니다. 사용자 친화적인 환경과 다양한 호환성을 가지고 있어서 많은 사용자들에게 사랑받고 있습니다.

2. 윈도우 인증키란 무엇인가

윈도우 인증키란 구매한 윈도우 제품을 정식으로 사용할 수 있도록 인증하는 키를 말합니다. 이 키는 윈도우 제품을 구매할 때 함께 제공되며, 이를 통해 사용자는 제품의 정품 여부를 확인하고 윈도우의 모든 기능을 제한 없이 사용할 수 있습니다.

3. 윈도우 KMS 키란 무엇인가

KMS 키는 Key Management Service의 약자로, 복수의 컴퓨터를 한 번에 윈도우 인증하는 방식을 의미합니다. 주로 대규모 조직이나 기업에서 많이 사용되며, 이를 통해 IT 관리자들은 네트워크 내의 여러 컴퓨터를 한 번에 인증할 수 있습니다.

4. 윈도우 정품키를 사용해야 하는 이유

정품키를 사용함으로써, 사용자는 윈도우 운영체제의 모든 기능을 제한 없이 사용할 수 있습니다. 또한, 정품이 아닌 경우 윈도우 업데이트를 받을 수 없어 보안 문제가 발생할 수 있습니다. 마지막으로, 정품 사용은 저작권법을 준수하는 것이며, 이는 법적 책임을 피하고, 소프트웨어 개발자들의 노력을 인정하는 중요한 행위입니다.

이렇게 윈도우와 인증키에 대해 알아보았습니다. 컴퓨터를 사용하는 데 있어서 운영체제는 매우 중요한 부분이며, 그 중에서도 윈도우 인증키는 윈도우를 완전히 활용하기 위해 반드시 필요한 요소입니다. 따라서 우리 모두가 윈도우 정품을 사용하고, 이를 위해 정품키를 사용하는 것이 중요하다는 것을 잊지 말아야 합니다.

마이크로소프트에서는 KMS(키 관리 서비스) 클라이언트 키에 대해 아래 사이트에서 확인할 수 있습니다.

Windows Server 및 Windows에 대한 KMS(키 관리 서비스) 클라이언트 정품 인증 및 제품 키 | Microsoft Learn

악성코드는 사용자의 컴퓨터나 네트워크 시스템을 침해하거나 파괴하는 코드를 말합니다. 그 중 랜섬웨어는 가장 대표적인 예로, 사용자의 시스템에 침투하여 중요한 데이터를 암호화하고, 그 해독 키를 얻기 위해 대가를 요구합니다. 악성코드의 공격은 단순히 데이터 손실뿐 아니라, 금전적 손해, 개인정보 유출, 기업의 비즈니스 중단 등 다양한 위험을 초래합니다.

공격자는 주로 제조업, 금융 등 시스템 복구를 빨리 요하는 기업들을 주 대상으로 공격을 합니다.

공격자들은 주요 시스템들에 침입하여 거점을 활용하여 내부 확산을 통해 피해 규모를 더 크게 만들기도 합니다.

공격자가 시스템에 침입하여 악성코드를 생성 후 사용할 때 주로 사용하는 경로는 아래와 같습니다.

%userprofile%은 계정을 뜻합니다.