데이터를 안전하게 유지하기 위한 10가지 보안 팁
컨텐츠 정보
- 1,163 조회
본문
데이터를 안전하게 유지하기 위한 10가지 보안 팁
지난 몇 년 동안 사이버 보안 위협이 급격히 증가했습니다. The New York Times의 보고서에 따르면 200년에 000,2019개 이상의 조직이 랜섬웨어 공격을 받았으며 이는 전년 대비 41% 증가한 수치입니다.
자신을 보호할 수 있도록 종종 간과되는 중요한 데이터 보안 설정 목록을 작성했습니다. 마지막에는 데이터 보호의 또 다른 기둥인 데이터 무결성을 보장하는 데 도움이 될 수 있는 보너스 팁이 포함되어 있습니다.
참고: 아래 나열된 대부분의 설정은 관리 권한이 있는 사용자 계정에서만 액세스하고 수정할 수 있습니다.
팁 1: 기본 관리자 계정 비활성화
일반적인 관리자 사용자 이름은 일반적인 사용자 이름과 암호 조합을 사용하는 무차별 암호 대입 공격을 사용하는 악의적인 당사자에게 Synology NAS을(를) 취약하게 만들 수 있습니다. NAS를 설정할 때 "admin", "administrator", "root"*와 같은 일반적인 이름을 사용하지 마십시오. 또한 Synology NAS를 설정한 직후 강력하고 고유한 암호를 설정하고 시스템 기본 관리자 계정**을 비활성화하는 것이 좋습니다.
현재 "admin" 사용자 계정을 사용하여 로그인하고 있는 경우 제어판 > 사용자로 이동하여 새 관리 계정을 만듭니다. 그런 다음 새 계정을 사용하여 로그인하고 시스템 기본값 "admin"을 비활성화하십시오.
* "루트"는 사용자 이름으로 사용할 수 없습니다.
** "admin" 이외의 사용자 이름을 사용하여 설정한 경우 기본 계정은 이미 비활성화되어 있습니다.
팁 2: 비밀번호 안전성
강력한 암호는 무단 액세스로부터 시스템을 보호합니다. 대소문자가 혼합된 문자, 숫자 및 특수 문자를 사용자만 기억할 수 있는 방식으로 통합하는 복잡한 암호를 만듭니다.
많은 계정에 공통 암호를 사용하는 것도 해커를 초대하는 것입니다. 계정이 손상되면 해커가 다른 계정을 쉽게 제어할 수 있습니다. 이는 웹 사이트 및 기타 서비스 제공 업체에 대해 정기적으로 발생합니다. 나는 Pwned 또는 Firefox Monitor와 같은 공개 모니터링 서비스에 가입하는 것이 좋습니다.
다른 계정에 대해 복잡하고 고유한 암호를 기억하는 데 문제가 있는 경우 암호 관리자(예: 1Password, LastPass 또는 Bitwarden)가 최상의 솔루션이 될 수 있습니다. 하나의 암호(마스터 암호)만 기억하면 암호 관리자가 다른 모든 계정에 대한 로그인 자격 증명을 만들고 채우는 데 도움을 줍니다.
인증*을 처리하는 Synology NAS를 관리하는 경우 사용자 암호 정책을 사용자 지정하여 모든 새 사용자 계정에 대한 암호 보안 요구 사항을 강화할 수 있습니다. 제어판 > 사용자 > 고급으로 이동하여 암호 설정 섹션에서 암호 강도 규칙 적용 확인란을 선택합니다. 이 정책은 새 계정을 만드는 모든 사용자에게 적용됩니다.
* LDAP 서버 및 디렉토리 서버 패키지 내에서도 유사한 옵션을 사용할 수 있습니다.
팁 3: 최신 상태로 유지하고 알림 사용 설정
DSM 업데이트를 정기적으로 릴리스하여 기능 및 성능 향상을 제공하고 제품 보안 취약성을 해결합니다.
보안 취약성이 발생할 때마다 제품 보안 사고 대응 팀(PSIRT)은 8시간 이내에 평가 및 조사를 수행하고 향후 15시간 이내에 패치를 릴리스하여 제로 데이 공격으로 인한 잠재적 피해를 방지합니다.
대부분의 사용자는 최신 DSM 업데이트가 자동으로 설치되도록 자동 업데이트를 설정하는 것이 좋습니다.*
고려해야 할 또 다른 중요한 사항은 상황이 발생할 때 파악하는 것입니다. Synology NAS에서 알림을 설정하고 특정 이벤트나 오류가 발생할 때 이메일, SMS, 모바일 장치 또는 웹 브라우저를 통해 알림을 받습니다. Synology의 DDNS 서비스를 사용하는 경우 외부 네트워크 연결이 끊어질 때 알림을 받도록 선택할 수 있습니다. 스토리지 볼륨의 공간 부족에 대한 알림 또는 백업 및 복원 작업이 실패할 때 즉시 조치를 취하는 것은 데이터의 장기적인 보안을 보장하는 데 중요한 부분입니다.
또한 최신 보안 및 기능 업데이트를 확인하기 위해 NAS 및 보안 권고 뉴스레터를 수신하도록 Synology 계정을 설정하는 것이 좋습니다.
* 자동 업데이트는 부 DSM 업데이트만 지원합니다. 주요 업데이트는 수동 설치가 필요합니다.
팁 4: 2단계 인증
계정에 보안 계층을 추가하려면 2단계 인증을 사용 설정하는 것이 좋습니다. DSM 계정 및 Synology 계정에 2단계 검증을 적용하려면 모바일 장치와 TOTP(시간 기반 일회용 암호) 프로토콜을 지원하는 인증 앱이 필요합니다. 로그인하려면 무단 액세스를 방지하기 위해 사용자 자격 증명과 Microsoft 인증자, 자동 또는 기타 인증자 앱에서 검색된 시간 제한 6자리 코드가 모두 필요합니다.
Synology Account의 경우 인증 앱*으로 휴대폰을 분실한 경우 2단계 인증 설정 중에 제공된 백업 코드를 사용하여 로그인할 수 있습니다. 이러한 코드를 어딘가에 다운로드하거나 인쇄하여 안전하게 보관하는 것이 중요합니다. 이 코드를 안전하지만 액세스 가능하게 유지하는 것을 잊지 마십시오.
DSM에서 인증자를 분실한 경우 최후의 수단으로 2단계 검증을 재설정할 수 있습니다. 관리자 그룹에 속한 사용자는 구성을 재설정할 수 있습니다.
모든 관리자 계정에 더 이상 액세스할 수 없는 경우 장치에서 자격 증명 및 네트워크 설정을 재설정해야 합니다. NAS의 하드웨어 재설정 버튼을 약 4초 동안 누른 다음(신호음이 들림) Synology Assistant를 실행하여 장치를 재구성합니다.**
* 일부 인증 앱은 타사 계정 기반 백업 및 복원 방법을 지원합니다. 보안 요구 사항과 편의성 및 재해 복구 옵션을 비교합니다.
** SHA, VMM, 암호화된 공유 폴더 자동 탑재, 여러 보안 설정, 사용자 계정 및 포트 설정이 재설정됩니다. 재설정 프로세스에 대해 자세히 알아보기
팁 5: 보안 관리자 실행
보안 어드바이저는 NAS에서 일반적인 DSM 구성 문제를 스캔할 수 있는 사전 설치된 응용 프로그램으로, Synology NAS를 안전하게 유지하기 위해 다음에 수행해야 할 작업에 대한 제안을 제공합니다. 예를 들어 SSH 액세스를 열어 두거나, 비정상적인 로그인 활동이 발생하거나, DSM 시스템 파일이 수정된 경우와 같은 일반적인 사항을 감지할 수 있습니다.
팁 6: 설정을 위한 기본 DSM 보안 기능
제어판 > 보안 탭에서 여러 보안 설정을 구성하여 사용자 계정을 보호할 수 있습니다.
IP 자동 차단
제어판을 열고 보안 > 자동 차단으로 이동합니다. 자동 차단을 활성화하여 지정된 횟수 및 기간 내에 로그인하지 못한 클라이언트의 IP 주소를 자동으로 차단합니다. 관리자는 잠재적인 무차별 암호 대입 또는 서비스 거부 공격을 방지하기 위해 특정 IP 주소를 블랙리스트에 추가할 수도 있습니다.
장치에서 정기적으로 서비스할 사용 환경 및 사용자 유형에 따라 시도 횟수를 구성합니다. 대부분의 가정과 회사에는 사용자에 대한 외부 IP 주소가 하나만 있으며 IP 주소는 동적인 경우가 많으며 특정 일 또는 몇 주 후에 변경됩니다.
계정 보호
자동 차단은 인증 시도를 너무 많이 실패한 IP 주소를 블랙리스트에 추가하지만 계정 보호는 신뢰할 수 없는 클라이언트의 액세스를 차단하여 사용자 계정을 보호합니다.
제어판 > 보안 > 계정 보호로 이동합니다. 계정 보호를 사용하도록 설정하여 설정된 수의 로그인 실패 후 신뢰할 수 없는 클라이언트로부터 계정을 보호할 수 있습니다. 이렇게 하면 DSM의 보안이 향상되고 계정이 분산 공격으로 인한 무차별 암호 대입 공격의 희생양이 될 위험이 줄어듭니다.
HTTPS 사용
HTTPS를 활성화하면 Synology NAS와 연결된 클라이언트 간의 네트워크 트래픽을 암호화하고 보호할 수 있으므로 일반적인 형태의 도청 또는 메시지 가로채기(man-in-the-middle) 공격으로부터 보호할 수 있습니다.
제어판 > 네트워크 > DSM 설정으로 이동합니다. HTTP 연결을 HTTPS로 자동 리디렉션 확인란을 선택합니다. 이제 HTTPS를 통해 DSM에 연결합니다. 주소 표시줄에서 기기의 URL이 'http://' 대신 'https://'로 시작하는 것을 확인할 수 있습니다. 이전에 특정 방화벽 또는 네트워크 설정이 있었던 경우 업데이트해야 할 수 있습니다.
고급: 방화벽 규칙 사용자 지정
방화벽은 규칙 집합에 따라 외부 소스의 네트워크 트래픽을 필터링하는 가상 장벽 역할을 합니다. 제어판 > 보안 > 방화벽으로 이동하여 무단 로그인을 방지하고 서비스 액세스를 제어하는 방화벽 규칙을 설정합니다. 특정 IP 주소로 특정 네트워크 포트에 대한 액세스를 허용할지 거부할지를 결정할 수 있으며, 예를 들어 특정 사무실의 원격 액세스를 허용하거나 특정 서비스 또는 프로토콜에 대한 액세스만 허용하는 것이 좋습니다.
팁 7 : HTTPS 2 부 – 암호화하자
디지털 인증서는 HTTPS를 사용하도록 설정하는 데 중요한 역할을 하지만 특히 비비즈니스 사용자의 경우 비용이 많이 들고 유지 관리가 어려운 경우가 많습니다. DSM은 무료 자동 인증서 발급 조직인 Let's Encrypt를 기본적으로 지원하여 누구나 쉽게 연결을 보호할 수 있도록 합니다.
등록된 도메인이 이미 있거나 DDNS를 사용하는 경우 제어판 > 보안 > 인증서로 이동합니다. 새 인증서 추가 > Let's Encrypt에서 인증서 가져오기를 클릭하면 대부분의 사용자에 대해 "기본 인증서로 설정"*을 선택해야 합니다. 도메인 이름을 입력하여 인증서를 가져옵니다.
인증서가 있으면 모든 트래픽이 HTTPS를 통과하는지 확인하십시오 (팁 # 3에 나열된대로).
* 여러 도메인 또는 하위 도메인을 통해 서비스를 제공하도록 장치를 설정한 경우 제어판에서 각 서비스에서 사용하는 인증서를 구성해야 합니다. > 보안 > 인증서 > 구성
팁 8: 기본 포트 변경
DSM의 기본 HTTP(5000) 및 HTTPS(5001) 포트를 사용자 지정 포트로 변경하면 표적 공격을 방지할 수 없지만 미리 정의된 서비스만 공격하는 일반적인 위협을 억제할 수 있습니다. 기본 포트를 변경하려면 제어판 > 네트워크 > DSM 설정으로 이동하여 포트 번호를 사용자 지정합니다. 쉘 액세스를 정기적으로 사용하는 경우 기본 SSH(22) 포트를 변경하는 것도 좋은 생각입니다.
또한 역방향 프록시를 배포하여 잠재적인 공격 벡터를 특정 웹 서비스로만 줄여 보안을 강화할 수도 있습니다. 역방향 프록시는 (일반적으로) 내부 서버와 원격 클라이언트 간의 통신을 위한 중개자 역할을 하며 실제 IP 주소와 같은 서버에 대한 특정 정보를 숨깁니다.
팁 9: 사용하지 않을 때 SSH/텔넷 비활성화
셸 액세스가 자주 필요한 고급 사용자인 경우 사용하지 않을 때는 SSH/텔넷을 끄는 것을 잊지 마십시오. 루트 액세스는 기본적으로 활성화되어 있고 SSH/telnet은 관리자 계정의 로그인만 지원하므로 해커가 암호를 무차별 대입하여 시스템에 무단으로 액세스할 수 있습니다. 터미널 서비스를 항상 사용할 수 있어야 하는 경우 강력한 암호를 설정하고 기본 SSH 포트 번호(22)를 변경하여 보안을 강화하는 것이 좋습니다. VPN을 활용하고 SSH 액세스를 로컬 또는 신뢰할 수 있는 IP로만 제한하는 것도 고려할 수 있습니다.
팁 10: 공유 폴더 암호화
DSM은 공유 폴더의 AES-256 암호화를 지원하여 물리적 위협으로부터 데이터가 추출되는 것을 방지합니다. 관리자는 새로 만든 공유 폴더와 기존 공유 폴더를 암호화할 수 있습니다.
기존 공유 폴더를 암호화하려면 제어판 > 공유 폴더로 이동하여 폴더 편집으로 이동합니다. 암호화 탭에서 암호화 키를 설정하면 DSM이 폴더 암호화를 시작합니다. 암호화된 데이터는 사용된 암호나 키 파일 없이는 복구할 수 없으므로 생성된 키 파일을 안전한 위치에 저장하는 것이 좋습니다.
보너스 팁: 데이터 무결성
데이터 보안은 데이터의 일관성 및 정확성, 즉 데이터 무결성과 불가분의 관계가 있습니다. 무단 액세스는 데이터 변조 또는 데이터 손실로 이어져 중요한 데이터를 쓸모 없게 만들 수 있으므로 데이터 무결성의 전제 조건입니다.
데이터의 정확성과 일관성을 보장하기 위해 취할 수 있는 두 가지 조치는 데이터 체크섬을 활성화하고 S.M.A.R.T. 테스트를 정기적으로 실행하는 것입니다. 우리는 이전 블로그 게시물에서이 두 가지 보안 방법에 대해 썼습니다 - 자세한 내용은 확인하십시오.
그 어느 때보다 중요한
온라인 위협은 항상 진화하고 있으며 데이터 보안도 마찬가지로 다면적이어야 합니다. 가정과 직장에서 더 많은 연결된 장치가 도입됨에 따라 사이버 범죄자가 보안 허점을 악용하고 네트워크에 침입하기가 더 쉬워집니다. 보안을 유지하는 것은 한 번 하고 잊어버리는 것이 아니라 지속적인 과정입니다.
관련자료
-
이전
-
다음
