나스(NAS) 보안을 강화하는 9가지 핵심 권고사항

개인용 컴퓨터보다는 시놀로지나 큐냅과 같은 상용 나스는 더 자주 해커의 타깃이 될 가능성이 있습니다. 따라서 기본적인 보안 세팅은 필수적입니다.

 

제가 사용 중인 '큐냅 TS-253Be' 나스를 처음 사용할 때는 보안에 대해 생각하지 않고 사용했었는데, 해외에서 침입을 시도하는 로그를 발견하고 경악했던 기억이 납니다. 그 후 적절한 보안 환경을 구축하는 방법을 알아보고 설정을 변경한 결과, 침입 시도가 줄어들어서 만족스러웠습니다. 그러나 현재는 큐냅 자체 앱의 보안성에 대한 신뢰가 낮아져서 대부분의 앱을 컨테이너 스테이션의 도커로 대체해두었습니다.

 

나스에서 기본적인 보안 환경을 구축하기 위해 다음과 같은 설정을 권장합니다.

 

 

 

1. 최신 업데이트 유지

 

나스 운영체제와 관련된 최신 업데이트는 취약점과 보안 이슈에 대한 패치를 포함하고 있으므로 가능한 한 빠르게 업데이트를 진행해야 합니다. 자동 업데이트 기능을 활성화하여 나스가 최신 버전으로 자동으로 업데이트되도록 설정하는 것이 좋습니다.

 

 

 

2. 기본 관리자 비활성화

 

기본 관리자로 설정된 'admin' 계정은 해커들에게 공격의 주요 대상이 되므로, 새로운 관리자 계정을 생성하고 강력한 비밀번호를 설정한 후 'admin' 계정은 비활성화해야 합니다. 이를 통해 해커들이 관리자 계정에 직접 공격을 시도하는 것을 어렵게 만들 수 있습니다.

 

 

 

3. 2단계 인증 활성화

 

2단계 인증은 비밀번호만으로는 접근할 수 없도록 보안을 강화하는 중요한 요소입니다. TOTP를 지원하는 앱이나 보안 키를 생성하는 장치를 사용하여 2단계 인증을 설정하세요. 가능한 모든 계정에 대해 2단계 인증을 활성화하는 것이 좋으며, 특히 관리자 계정은 꼭 2단계 인증을 설정해야 합니다. 이렇게 하면 무차별 대입 공격 등으로부터 계정을 보호할 수 있습니다.

 

 

 

 

3. IP 자동 차단

 

무차별 대입 공격을 방어하기 위해, 로그인 시도가 일정 횟수 이상 실패한 경우 IP 자동 차단 기능을 설정하는 것이 좋습니다. 이를 통해 악의적인 시도로부터의 접근을 차단할 수 있습니다. 일정 횟수 이상의 실패 로그인 시도가 감지되면 해당 IP 주소를 자동으로 차단하는 설정을 활성화하세요.

 

 

 

 

4. 기본 포트 변경 및 외부 연결 제한

 

기본 포트는 공격자들이 주로 공격을 시도하는 포트로 알려져 있기 때문에, 기본 포트를 변경하는 것이 좋습니다. 일반적으로 HTTPS 연결 포트인 443, SSH 연결 포트인 22를 변경하여 사용하는 것이 좋습니다. 그러나 포트 스캔을 통해 변경된 포트를 탐지할 수 있으므로, 더 중요한 것은 불필요한 포트를 닫아두는 것입니다. 특히 SSH 포트는 외부에서 접근할 필요가 없다면 내부에서만 사용하도록 설정하고, 외부로의 포트 포워딩을 최소화하세요. 만약 외부에서 접근해야 할 경우에는 VPN을 통한 안전한 접속을 고려해보세요.

 

 

 

 

5. FTPS

 

FTP를 사용하는 경우 SSL 인증이 적용된 FTPS를 사용하는 것이 좋습니다. FTPS는 보안 강화를 위해 SSL/TLS 암호화를 지원하여 데이터 전송을 보호합니다. FTP 대신에 FTPS를 사용함으로써 데이터의 기밀성을 보장할 수 있습니다. SFTP는 더욱 안전한 대안이지만, 관리자만 사용 가능하다는 단점이 있습니다.

 

 

 

 

6. 불필요한 서비스 비활성화

 

사용하지 않는 앱이나 서비스는 가능한 한 비활성화하는 것이 좋습니다. 이렇게 함으로써 공격자들이 공격할 수 있는 표면을 줄일 수 있습니다. 특히 큐냅의 경우 악명 높은 애플리케이션인 포토 스테이션의 취약성으로 알려져 있으므로, 이를 도커로 대체하는 것이 좋습니다.

 

 

 

7. 방화벽 및 자체 보안 시스템

 

나스 자체적으로 방화벽을 지원한다면 이를 활용하여 외부로부터의 침입을 방지할 수 있습니다. 국내 IP만 허용하고 해외 IP를 차단하는 설정을 추가함으로써 보안 강화를 할 수 있습니다.

 

 

또한 멀웨어 제거 프로그램이나 백신을 사용하여 정기적으로 스캔하는 것도 좋은 방법입니다. 큐냅의 경우, 멀웨어에 감염된 전적이 있으므로 멀웨어 리무버를 사용하는 것을 권장합니다. 백신은 NAS의 성능에 부담을 주기 때문에 자원이 제한된 환경에서는 효율적이지 않을 수 있습니다. 따라서 상황에 맞게 사용 여부를 결정해야 합니다.

 

 

 

8. 백업

 

백업은 중요한 데이터를 보호하고 랜섬웨어나 데이터 손실 시나리오에 대비하기 위해 필수적입니다. 특히 '콜드 백업'이 되지 않은 데이터는 언제나 탈취되거나 망가질 수 있다고 봐도 좋을 정도로 안전하지 않습니다.

 

콜드 백업이란 데이터를 외부 저장매체에 안전하게 보관하는 방법 중 하나로, 일반적으로 필요할 때만 사용되고 그 외의 시간은 전원과 네트워크 연결을 분리하여 저장매체를 보관합니다. 이는 데이터가 온라인 상태가 아니기 때문에 외부로부터의 침입이나 악성 소프트웨어에 의한 공격에 노출되는 위험이 크게 줄어듭니다. 주로 외장 하드 드라이브, 네트워크 연결이 필요 없는 오프라인 저장매체(예: 탈착식 저장매체), 물리적인 미디어(예: 테이프 드라이브) 등이 사용될 수 있습니다.

 

 

클라우드 서비스를 사용하여 주기적으로 데이터를 백업하는 것도 좋은 방법입니다. 신뢰할 수 있는 클라우드 제공업체를 선택하고 데이터를 암호화하여 보호하는 것이 중요합니다. 개인정보 보호를 위해 클라이언트 측 암호화 기능을 사용할 수도 있습니다.

 

데이터를 여러 곳에 백업하는 것이 좋습니다. 백업용 나스를 추가로 구매하여 필요한 경우에만 켜고 사용하거나 외장 하드 드라이브를 사용하여 수동으로 백업하는 방법을 고려할 수 있습니다. 다중 백업은 데이터 안전성을 더욱 강화합니다.

 

 

 

9. 암호화

 

개인정보의 보호를 위해 데이터를 암호화하는 것은 매우 중요합니다. 암호화를 통해 데이터가 탈취되더라도 외부에서 알아볼 수 없는 형태로 보호할 수 있습니다.

 

• 전체 디스크 암호화: 나스가 지원하는 경우 전체 디스크 암호화를 활성화하는 것이 좋습니다. 이는 나스에 저장된 모든 데이터를 암호화하여 보호하는 방법입니다. 다만 디스크 속도가 느려질 수 있으므로 이를 감안해야 합니다.
• 폴더 암호화: 전체 암호화가 지원되지 않거나 필요하지 않은 경우, 중요한 개인 정보를 포함하는 폴더를 암호화하는 것도 좋은 방법입니다. 암호화된 폴더를 사용하여 개인 정보를 안전하게 보호할 수 있습니다.

 

 

 

이는 나스의 보안을 강화할 수 있는 기본적인 권고 사항입니다. 더 나아가 외부 연결을 안전하게 하기 위해 VPN이나 리버스 프록시를 사용하는 것도 권장됩니다.

 

시놀로지와 큐냅 사이에 보안적인 차이가 있는지에 대해서는 구체적인 정보를 가지고 있지 않습니다. 하지만 편의성과 기능적인 측면에서 큐냅보다는 시놀로지 제품군을 추천드립니다. 보안과 편의성을 동시에 고려하여 자신의 요구에 맞는 제품을 선택하는 것이 좋습니다.