시놀로지 NAS 사용자라면 꼭 알아야 할 보안 조치 8가지

 

 안녕하세요. 시놀로지 공식 파트너 코아아이티입니다. NAS를 구축했다면 이제 다음 단계는 더 안전하고 편리하게 만드는 세팅을 해야 합니다. 특히 보안은 제일 중요하죠. 아무리 좋은 시스템이라도 보안에 취약하면 무용지물입니다. 이번에는 시놀로지 NAS 입문자가 알아두면 좋은 기본적인 보안 체크사항 8가지에 대해 알려드리도록 할게요.

 

기본 관리자 계정

 

 NAS에서 기본으로 제공하는 관리자 계정 이름(admin 등)은 전 세계 모든 NAS 사용자가 알고 있는 공개된 정보죠. 해커들은 이 기본 계정 이름을 첫 번째 공격 대상으로 삼아서 비밀번호를 무작위로 대입하는 무차별 대입 공격(Brute Force Attack)을 가장 먼저 시도한다고 해요. admin 계정 이름을 그대로 사용하면 해커에게 계정 이름이라는 정보를 절반이나 제공하는 것과 같아요. 이 계정을 비활성화하고 새로운 관리자 계정을 생성해 사용한다면 해커가 계정 정보를 알아내는 데 드는 시간과 노력을 기하급수적으로 늘려서 공격 성공률을 현저히 낮출 수 있습니다. 관리자 계정 이름은 가장 쉽고 효과적으로 공격을 차단하는 첫 번째 방법입니다.

 

접속 포트

 

 DSM에서 기본 접속 포트인 5000(HTTP)번과 5001(HTTPS)번 역시 admin 계정과 마찬가지로 공개된 기본 정보입니다. 해커들은 봇이나 자동화된 스캔 도구를 사용해서 인터넷상에서 해당 포트를 사용하는 NAS 장치들을 쉽게 검색하고 공격을 시도하는데요. 기본 포트를 임의의 잘 알려지지 않은 숫자(예:4만대 이상)로 변경하는 것이 좋습니다. 이건 보안을 위한 완벽한 해결책은 아니지만 불특정 다수를 대상으로 하는 광범위한 무차별 대입 공격과 스캐닝 공격으로부터 NAS를 최대한 숨길 수 있기 때문에 공격 시도 자체를 크게 줄이는 역할을 합니다.

 

2단계 인증

 

 2단계 인증은 ID와 비밀번호를 입력하는 1차 인증 외에 모바일에서 생성되는 일회용 비밀번호(OTP)를 추가로 요구하는 2차 인증 절차입니다. 비밀번호가 유출되더라도 해커는 실물 스마트폰이 없으면 2차 인증 코드를 얻을 수 없기 때문에 계정에 접근하기 어려워요. 2단계 인증은 무차별 대입 공격이나 피싱 등으로 비밀번호가 유실되는 최악의 상황에서도 내 NAS를 안전하게 지켜주는 보안 수단입니다.

외부 접속 방법

 

 외부에서 NAS로 접근하는 방법은 포트 포워딩을 통해 포트를 여는 방식과 QuickConnect와 같은 중계 서비스를 이용하는 방식, 그리고 VPN(가상 사설망)을 통해 내부 네트워크처럼 연결하는 방식이 있는데요. 이 중 포트 포워딩 방식은 NAS의 포트를 인터넷에 직접 노출시키기 때문에 위험합니다. QuickConnect는 포트 포워딩 없이 제조사의 보안 서버를 통해 접속을 중계해서 NAS의 IP 주소와 포트를 직접 노출하지 않아 안전합니다. 그리고 VPN은 사용자의 PC나 모바일 기기와 NAS 사이에 암호화된 터널을 만들어서 마치 집 내부 네트워크에 있는 것처럼 안전하게 접속하게 해줍니다. 불필요한 포트 노출을 최소화하고 검증된 보안 채널을 통해서만 접속을 허용해서 공격 표면을 줄이는 것이 핵심입니다.

보안 인증서(SSL)/HTTPS 강제 접속 설정

 

 NAS에 접속할 때 웹 브라우저 주소창에 http:// 대신 https://를 사용하고 자물쇠 모양 아이콘이 표시되도록 보안 인증서(SSL/TLS)를 적용하고 HTTPS로 접속하는 것이 좋습니다. HTTPS는 사용자의 웹 브라우저와  NAS 사이에 오가는 모든 데이터를 암호화해요. HTTP는 데이터가 암호화되지 않은 평문 상태로 전송되기 때문에 중간에 해커가 데이터를 가로채면 사용자의 ID, 비밀번호, 전송 파일 내용 등을 그대로 볼 수가 있습니다. HTTPS를 강제하면 해킹의 위협을 원천적으로 차단할 수 있기 때문에 민감한 정보가 외부로 유출되는 것을 막아줍니다.

 

방화벽/자동차단 기능

 

 방화벽은 NAS에 접속할 수 있는 특정 IP 주소, IP 대역, 또는 국가를 지정하여 허용되지 않은 모든 접근을 원천적으로 차단하는 기능입니다. 방화벽을 통해 해외 IP나 알려지지 않은 특정 IP의 접속을 막으면 공격의 범위를 극적으로 제한할 수 있어요. 대부분의 무차별 대입 공격은 해외 IP를 통해 시도되므로 국내 접속만 허용하는 것만으로도 공격 시도를 크게 줄일 수 있습니다.

 그리고 자동차단은 설정된 횟수 이상 로그인 시도에 실패한 IP 주소를 일정 시간 또는 영구적으로 차단하는 기능인데요. 자동차단 기능은 자동화된 무차별 대입 공격을 차단하기 위한 가장 효과적인 수단입니다. 공격자가 짧은 시간 내에 수백, 수천 번의 로그인 시도를 하는 것을 막아 계정 탈취를 사전에 방지합니다.

 

최신 업데이트

 

 DSM과 설치된 각종 애플리케이션(패키지)의 업데이트에는 새로운 기능뿐만 아니라 발견된 보안 취약점을 해결하기 위한 보안 패치가 포함되어 있어요. 소프트웨어의 취약점은 해커의 주요 침투 경로입니다. 업데이트를 게을리하면 이미 세상에 알려진 취약점을 해커가 악용해서 NAS에 무단으로 접근하거나 랜섬웨어를 설치할 수 있어요. 최신 버전 유지는 알려진 공격 경로를 사전에 차단하고 NAS를 가장 안전한 상태로 유지하는 지속적인 필수 방역 조치입니다.

보안 점검

 

 보안 어드바이저(Security Advisor)는 NAS 운영체제가 제공하는 내장된 보안 점검 도구입니다. 이 도구는 설정된 보안 수준을 검토하고 비밀번호 강도, 네트워크 설정, 악성 코드 여부 등 현재 NAS의 보안 상태를 진단해서 취약점이 발견되면 사용자에게 개선 사항을 제시해 줘요. 새로운 취약점은 끊임없이 발견되며, 사용자가 실수로 설정을 변경할 수도 있어요. 보안 어드바이저를 주기적으로 실행해서 현재의 보안 상태를 객관적으로 진단하고 미처 알지 못했던 보안 사각지대를 해소함으로써 최적의 방어 상태를 유지할 수 있도록 도와줍니다.

많은 곳에서 NAS를 쓰는 이유

 

 

---

지금까지 시놀로지 NAS 입문자를 위한 기본 보안 세팅 8가지에 대해 알아봤는데요.

이렇게 가장 기본적인 보안 체크 사항만으로도 내 NAS 환경을 더 안전하게 만들 수 있습니다.

 

NAS 구축에 대해 자세한 내용이 알고 싶으시다면 메일이나 전화를 통해 말씀 주세요.

친절하고 상세하게 답변드리도록 하겠습니다.

 

IT의 모든 것, 코아아이티