Sign in to follow this  
imnas

[보안] NAS 운영시 외부 공격보다 내부가 더 위험

Recommended Posts

공인IP 주소로 운영되는 아파치 웹서버(LAMP)를 인터넷상에서 몇 년 동안 운영한 경험이 있습니다. 통계상 수치는 1일 방문자 500 ~ 1천명이었는데, '라우터/방화벽'이 없이 서버 업타임을 365일 이상(MRTG로 외부공개) 유지해 보았습니다. 이는 서버 컴퓨터를 켜서 1년 이상을 재부팅없이 본래의 목적한 바대로 유지시켰다는 것을 의미하는데요. 서버 운영능력이나 해킹 방어실력이 뛰어나서라기 보다 기본적인 보안수칙을 준수하고, 특별히 해커들로부터 공격 대상이 아니어서 가능했던 것이죠.

 

KISA의 보안 가이드를 보면 공개적으로 웹서버를 운영할 경우, '라우터/방화벽'을 설치해 해킹이 발생하더라도 피해를 최소화시키라 권고합니다. 이 말은 '라우터/방화벽'를 설치하면 해킹을 방어할 수 있어 안전하다라는 것은 아닙니다. 위의 경우에서 처럼 제가 '라우터/방화벽'이 없이 운영한 것은 웹서버 임대시의 유료 옵션이고, 추가하면 월임대료가 비싸지기에 선택을 하지 않은 것이죠. 그렇다고 아무런 대책없이 운영한 것은 아닌 리눅스 방화벽 iptables과 함께 내부 보안 정책(사용자나 디렉토리 권한, 보안 접속 등)을 좀더 강화시켰습니다.

 

NAS도 서버입니다. 우리 엑스피이놀로지 사용자는 합당한 방법으로 '시놀로지 DSM'을 이용할 수 있는데요. 시놀로지 DSM이 공유기(게이트웨이)없이 인터넷에 직접 연결되거나 공유기를 '브릿지모드'로 이용한다고해서 곧바로 공격을 당해 피해를 입는 것은 아니라는 점입니다. 시놀로지는 이미 DSM이 인터넷에 직접 연결되어 운영될 수 있는 VPN서버 기능까지 제공하고 있습니다. 또한 누구나 쉽게 접근할 수 있는 관리자를 위한 인터페이스를 제공하고 있습니다. 그래서 특별히 '리눅스 iptables'에 익숙지 않은 사용자라도 보안을 강화시킬 수 있습니다. 예를 들어 Windows의 고급사용자들은 필요하다면 'netsh firewall' 명령을 사용할 수 있고, 그렇지 않다면 GUI를 통해서 방화벽 설정이 가능한 것과 유사합니다.

 

일반적인 가정용 공유기도 '라우터/방화벽' 기능을 가지지만, 웹서버 임대시의 '라우터/방화벽'과는 비교할 수준은 아닌데요. "아" 다르고 "어" 다르다 보니까, "보안에 취약하다"는 표현을 하면 굉장히 위험해 보이기도 합니다. 그러나 기본적인 보안 수칙을 준수하며, DSM을 관리하게 되면 그리 쉽게 위험에 노출되는 것은 아니라는 점입니다. 외부의 공격이나 침입에 의한 위험보다는 정상적인 경로로 유입된 악성소프트웨어, 악성코드(랜섬웨어나 비트코인)가 내부에서 실행되는 것이 가장 위험한 것이죠.

 

요즘은 PC만 하더라도 64비트 아키텍처에 주메모리가 4GB 이상인 경우도 흔합니다. 제경우는 엑스피이놀로지를 비록 구형이지만 E8400 CPU에 8GB 메모리 네이티브로 운영하기에 'XPEnology PC NAS'라 칭하는데요. 일반적인 보급형 수준의 가정용 공유기는 말그대로 IP를 공유해 주는 기능으로 NAT의 장점은 있으나 특별히 보안을 강화시켜준다고는 생각지 않습니다. PC의 하드웨어나 제공되는 소프트웨어로도 그 이상의 보안이 가능하다는 생각이죠. 공유기 없이 인터넷과 직접 연결되는 NAS 구축도 여러가지 가능합니다. 단, 저는 공유기 무용론을 주장하는 것이 아닙니다. 필요하다면 별도의 고급형, 고기능의 '라우터/방화벽' 기능을 가진 제품들을 사용하시는 것을 추천드리고 싶습니다.

 

NAS 보다 우선적으로 NAS에 접속하는 클라이언트 컴퓨터들을 먼저 점검하세요. 실행중인 프로그램, 웹브라우저, 바이러스 등 우리가 잘 인지하지 못하는 악성코드가 실행되지 않도록해야 안전합니다. 이러한 상태에서 시놀로지 DSM의 보안규칙을 강화하면 외부의 공격으로부터 피해를 입는 경우는 거의 희박할 것입니다.

 

ahnlab_myong.jpg

 

또, 알려진 포트 또는 열려진 포트를 찾아 접속을 시도하는 자동화된 스크립트는 인터넷에 연결된 컴퓨터라면 일상적이라 할 수 있습니다. NAS는 이용만 하는 대상이 아닌 관리도 해주어야 하는 대상입니다. 평상시 NAS의 상태를 파악하시고, 위험하다 판단되면 외부접속을 차단하시고 전문가나 관련기관으로부터 도움을 받으시길 권장합니다.

 

감사합니다!

 

#. 본 포스팅은 추가적으로 그림 또는 설명을 추가하기 위해 편집, 수정될 수 있습니다. 최종편집 정보를 확인하시면 좋습니다.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this