시놀로지 NAS 사용자 필독! 파일 공유 및 접근 권한 관리 구성

 

 안녕하세요. 시놀로지 공식 파트너 코아아이티입니다. NAS를 잘 구축해 놓고 번거롭다는 이유로 관리하지 않는다면 단순히 외장 하드를 쓰는 것과 같아요. 보안 측면에서 보면 외장 하드보다 못한 저장 장치를 쓰는 것이라고 볼 수 있습니다. NAS를 구축하는 가장 큰 이유 중 하나는 다수의 사용자끼리 쉽게 공유하기 위함인데요. NAS를 안전하게 사용하기 위해선 외부 침입을 막는 것만이 아니라 내부에서 누가, 어떤 파일에, 무슨 권한으로 접근할 수 있는지를 철저히 관리하는 것이 중요합니다.

 

 이번에는 시놀로지 NAS 입문자를 위한 파일 공유 및 접근 권한 관리 핵심 주의사항 6가지에 대해 알아보도록 할게요.

 

그룹별 권한 설정

 

 NAS의 권한 설정은 개별 사용자마다 일일이 적용하기보다는 업무의 성격에 따라 사용자들을 그룹으로 묶어 관리하는 것이 효율적이고 보안상 더 안전합니다. 예를 들어 개발팀, 회계팀, 임원 등으로 그룹을 나누고 각 그룹에 따라 공유 폴더별로 읽기, 쓰기, 접근 금지 등의 권한을 명확하게 설정하는 것입니다.

 사용자 그룹별 권한 설정은 일관성을 유지하고 인적 오류를 줄여줘요. 개별 사용자에게 권한을 부여하면 인사이동이나 퇴사 시 삭제해야 한다는 것을 잊기가 쉽습니다. 하지만 그룹 단위로 관리하면 사용자를 그룹에서 제외하는 것만으로도 모든 권한을 일괄적으로 회수할 수 있습니다. 또한 데이터에 대한 명확한 책임 소재를 확립해 보안 감사에도 유리해요.

 

최소 권한 부여 원칙 적용

 

 최소 권한 부여 원칙이란 사용자나 애플리케이션이 자신의 업무를 수행하는 데 필요한 최소한의 접근만을 부여하고 그 외의 불필요한 모든 것들은 허용하지 않는 보안 원칙을 말합니다. 예를 들어, 특정 직원이 영업 자료만 확인해야 한다면 그 직원에게는 영업 폴더에 대한 읽기만 부여해야 합니다.

 

 이 원칙은 보안 사고 발생 시 피해 범위를 최소화하는 데 결정적인 역할을 해요. 만약 일반 계정이 필요 이상의 최고 관리자나 전혀 관계없는 인사 기밀 폴더에 대한 권한을 가지고 있다면 해당 계정이 위협받거나 악의적인 내부자에 의해 오용될 경우 회사 전체의 기밀 정보가 유출되는 심각한 결과를 초래하게 돼요. 불필요한 권한은 잠재적인 위험 요소이므로 접근 권한을 좁게 설정할수록 데이터 안정성은 높아집니다.

 

쓰지 않는 포트는 비활성화

 

 NAS는 파일 전송을 위한 FTP, 원격 명령어 실행을 위한 Telnet, 보안이 강화된 원격 접속 프로토콜인 SSH 등 다양한 서비스를 지원하죠. 이 서비스들은 각각 네트워크 포트를 쓰며 필요하지 않다면 해당 서비스를 비활성화하거나 포트를 닫아야 합니다.

 

 쓰지 않는 서비스나 프로토콜이 활성화되어 있으면 해당 서비스의 취약점을 노려 공격 대상이 돼요. 이건 NAS에 접근할 수 있는 공격 표면을 불필요하게 넓히는 행위입니다. 특히 Telnet과 같은 보안에 취약한 구식 프로토콜은 절대 써서는 안 되며 쓰지 않는 서비스는 완전히 비활성화해 잠재적인 침입 경로를 사전에 완전히 제거해야 합니다.

 

공유 링크에는 만료 기간 및 암호 설정

 

 NAS의 특정 파일이나 폴더를 외부 파트너나 고객 등에게 일시적으로 공유할 때 생성하는 공유 링크에 반드시 만료 기간을 설정하고 접근 시 암호를 입력하도록 강제하는 보안 조치입니다. 공유 링크는 인터넷에 노출되어 있기 때문에 링크가 외부에 유출되거나 추측될 경우 누구나 접근할 수 있는 보안 취약점이 됩니다.

• 암호 설정 : 링크를 확보한 사람이더라도 무단 접근을 막는 1차 방어선
• 만료 기간 설정 : 공유 목적이 달성된 후에도 링크가 영구적으로 남기 때문에 잠재적인 위험을 만들지 않도록 접근 가능성을 자동으로 제거합니다. 만료 기간이 없는 링크는 시한폭탄과 같으며 데이터 유출 사고의 주요 원인이 될 수 있어요. 데이터 노출 시간을 최소화하는 보안 타임아웃 개념을 적용하는 것입니다.

내부 앱 사용 시 보안 강화

 

 NAS에서 제공하는 Synology Drive(클라우드 동기화), File Station(웹 파일 관리자), Photo Station(사진 관리) 등은 NAS를 편리하게 사용하게 해주는 핵심 애플리케이션이죠. 이런 내부 앱을 사용할 때도 접속 포트를 변경하고 HTTPS를 강제하며 앱별 접근 권한을 사용자별/그룹별로 세밀하게 설정하는 보안 조치를 강화해야 해요.

 

 이런 앱들은 사용자가 NAS에 직접 접근하는 주요 통로에요. 그래서 앱 자체의 취약점을 노린 공격이나, 앱을 통한 로그인 정보 탈취 시도가 빈번합니다. 따라서 기본 DSM 접속 포트뿐만 아니라 각 앱이 쓰는 별도의 포트까지도 변경하고 암호화를 적용해야 합니다. 또한 특정 앱을 쓸 필요가 없는 사용자에게는 해당 앱의 실행 자체를 차단해 잠재적인 오용 가능성이나 실수로 인한 데이터 손상을 막아야 합니다.

 

자주 쓰는 앱도 계정 권한별로 분리해서 사용

 

 NAS의 관리자 계정 하나로 DSM 설정 관리, 파일 공유, 패키지 설치, 그리고 PLEX나 Download Station 같은 각종 앱 사용 등 모든 작업을 하는 것이 아니라 용도에 따라 계정을 분리해 사용해야 합니다. 예를 들어 관리 전용 계정, 일상적인 파일 공유/접근용 일반 계정, 다운로드/스트리밍 앱 전용 계정 등으로 나누는 것입니다.

• 관리자 계정 : NAS의 모든 설정을 변경할 수 있는 가장 강력한 계정이므로 평소에는 로그아웃 상태를 유지하고 오직 관리 작업 시에만 사용해야 합니다.
• 일반 계정 : 일상적인 파일 접근에 사용하며, 최소 권한만을 부여합니다. 만약 이 계정이 탈취되더라도 공격자는 전체 시스템 설정에는 접근할 수 없어 피해를 줄일 수 있어요.
• 앱 전용 계정 : PLEX나 다운로드 앱은 외부로부터 데이터를 받아들이고 실행하는 과정에서 악성코드에 노출될 위험이 비교적 높아요. 이런 앱을 관리자 계정으로 실행하면 악성코드가 전체 시스템을 장악할 수 있지만 제한된 전용 계정으로 실행하면 시스템에 미치는 영향이 최소화됩니다.

---

NAS 기본 보안 조치 사항 - 코아아이티

---

결국 사용자 권한을 세밀하게 부여하고 공유 링크 같은 건 무조건 암호화하며

쓰지 않는 포트나 서비스는 비활성화 해두는 것이 중요합니다.

 

NAS 구축에 대해 자세한 내용이 알고 싶으시다면 메일이나 전화를 통해 말씀 주세요.

친절하고 상세하게 답변드리도록 하겠습니다.

 

IT의 모든 것, 코아아이티