개인 데이터의 용량이 테라바이트(TB) 단위를 넘어서고 관리해야 할 기기가 많아지면, 매번 외장 하드를 들고 다니거나 여러 클라우드에 비용을 쪼개어 지불하는 것에 한계를 느끼게 됩니다. 이때 아카이빙 유저들이 종착지로 선택하는 장비가 바로 NAS(Network Attached Storage, 네트워크 결합 스토리지)입니다. NAS는 쉽게 말해 '집이나 사무실에 24시간 켜두는 나만의 개인용 클라우드 서버'입니다.
하지만 NAS는 강력한 편의성을 제공하는 만큼, 제대로 된 보안 지식 없이 전원을 켰다가는 전 세계 해커들의 무차별적인 표적이 되기 십상입니다. 실제로 초기 세팅을 대충 했다가 랜섬웨어 공격을 받아 서버 전체가 암호화되는 피해 사례가 무수히 많습니다. 오늘은 NAS에 입문할 때 데이터 자산을 안전하게 격리하고 효율적으로 공유 폴더를 제어하는 핵심 초기 보안 세팅을 알아보겠습니다.
1. NAS의 핵심 메커니즘과 보안 취약점의 이해
NAS는 공유기(라우터)에 랜선으로 연결되어 인터넷 망을 통해 외부에서도 내 하드디스크에 접근할 수 있도록 해줍니다. 일반 외장 하드가 물리적 연결을 통해서만 작동하는 단독 장치라면, NAS는 운영체제(OS)와 자체 CPU, 메모리를 갖춘 엄연한 '컴퓨터'입니다.
해커들이 NAS를 좋아하는 이유는 24시간 내내 고속 인터넷망에 노출되어 있기 때문입니다. 특히 공장 출고 상태의 기본 관리자 계정이나 흔한 포트(Port) 번호를 그대로 방치하면, 봇(Bot) 프로그램을 이용한 무차별 대입 공격(Brute Force Attack)에 노출되어 몇 시간 만에 서버 제어권을 탈취당할 수 있습니다. 따라서 편리한 파일 공유 기능을 쓰기 전에 '성벽'부터 튼튼히 쌓아야 합니다.
2. 해커를 막는 NAS 초기 보안 필수 4단계
NAS 장비(시놀로지, 아이피타임 등)를 처음 구매해 전원을 켰다면, 파일 스토리지 공간을 만들기 전에 다음 4가지 세팅을 반드시 선행해야 합니다.
① 기본 'admin' 계정 비활성화 및 신규 관리자 생성
대부분의 NAS는 최초 관리자 아이디가 admin이나 root로 설정되어 있습니다. 해커들은 아이디를 admin으로 고정해 두고 비밀번호만 수억 번 무작위로 대입하는 공격을 수행합니다.
조치: 자신만 알 수 있는 독창적인 이름으로 새로운 관리자 계정을 생성한 뒤, 기존의
admin계정은 반드시 '비활성화(Disable)' 처리해야 합니다. 로그인 아이디 자체를 모르게 만드는 것이 가장 기초적인 방어입니다.
② 기본 포트(Port) 번호 변경 및 DMZ 설정 금지
포트는 외부에서 내 NAS 서버로 들어오는 '문'과 같습니다. 시놀로지 NAS의 경우 기본 접속 포트가 5000 또는 5001로 지정되어 있습니다. 해커들은 인터넷 공간에서 이 특정 포트 번호가 열려 있는 IP만 골라서 공격합니다.
조치: 관리자 설정에서 포트 번호를 10000번에서 65535번 사이의 임의의 무작위 숫자(예: 38492)로 변경해 주어야 합니다. 또한, 공유기 설정에서 NAS를 모든 공격에 노출시키는 'DMZ' 설정을 절대 사용해서는 안 되며, 필요한 포트만 정밀하게 열어주는 '포트 포워딩(Port Forwarding)'을 사용해야 합니다.
③ 2차 인증(2FA) 및 자동 차단 기능 활성화
2차 인증: 아이디와 비밀번호가 유출되더라도 스마트폰의 OTP 앱(Google Authenticator 등)을 통한 인증 없이는 로그인을 불가능하게 만드는 강력한 도구입니다. 관리자 계정에는 무조건 2차 인증을 필수 적용해야 합니다.
자동 차단: 특정 IP에서 비밀번호를 5회 이상 틀릴 경우, 해당 IP를 영구적으로 블랙리스트에 등록하여 접속을 차단하는 기능입니다. 이 설정을 켜두면 해커의 무차별 대입 공격을 물리적으로 무력화할 수 있습니다.
3. 데이터 관리를 위한 '공유 폴더' 권한 설계 기술
보안 세팅이 끝났다면 이제 데이터를 담을 공유 폴더를 설계할 차례입니다. NAS를 다중 사용자(가족 또는 직원)와 함께 사용할 때는 모든 사람에게 하나의 폴더를 통째로 오픈하면 안 됩니다. '최소 권한의 원칙'에 따라 폴더를 분리해야 합니다.
접근 권한의 분리: 폴더 속성에 따라 '읽기/쓰기(RW)' 권한과 '읽기 전용(RO)' 권한을 명확히 구분합니다. 예를 들어 수년 치 가족사진이 담긴 아카이빙 폴더는 일반 사용자에게 '읽기 전용' 권한만 부여해야 합니다. 그래야 실수로 파일을 수정하거나 삭제하는 랜섬웨어성 피해를 예방할 수 있습니다.
스냅샷(Snapshot) 폴더 설정: NAS의 파일 시스템을 구축할 때 가능하면 Btrfs 포맷을 선택하는 것이 좋습니다. Btrfs 파일 시스템은 특정 시점의 데이터 상태를 사진 찍듯 기록해 두는 '스냅샷' 기능을 지원합니다. 설령 내부 사용자의 실수나 외부 공격으로 파일이 손상되더라도, 어제 찍어둔 스냅샷 시점으로 1초 만에 전체 폴더를 롤백할 수 있는 최강의 아카이빙 안전장치입니다.
NAS는 구축하는 과정이 조금 복잡하고 초기 비용이 들지만, 한 번 제대로 세팅해 두면 전 세계 어디서나 나만의 고용량 보안 클라우드를 무료로 누릴 수 있는 최고의 아카이빙 도구가 됩니다. 첫 단추를 채울 때의 번거로움이 평생의 데이터 안전을 보장한다는 사실을 명심하세요.
[핵심 요약]
NAS는 인터넷에 상시 노출된 개인 서버이므로 기본 admin 계정 비활성화와 접속 포트 번호 변경이 보안의 최우선 과제입니다.
공유기의 DMZ 설정은 NAS를 무방비 상태로 노출시키므로 지양해야 하며, 필요한 포트만 정밀하게 제어하는 포트 포워딩을 사용해야 합니다.
공유 폴더를 구성할 때는 계정별로 권한을 철저히 분리하고, 랜섬웨어 감염 시 즉시 복구가 가능한 Btrfs 기반의 스냅샷 기능을 활성화하는 것이 안전합니다.
집에 나만의 전용 데이터 서버를 두고 언제 어디서나 영화를 보거나 업무 문서를 확인하는 것은 아카이빙 유저들의 로망 중 하나인데요. 여러분은 혹시 NAS 장비를 사용해 보신 적이 있나요? 아니면 개인용 서버를 구축할 때 가장 걱정되는 점(전기세, 해킹, 세팅 방법 등)은 무엇인지 편하게 이야기를 나누어 보아요!
다음 편 예고: 하드웨어와 인프라 세팅을 마쳤다면, 이제 본격적으로 알맹이인 데이터를 정돈할 차례입니다. 다음 편에서는 넘쳐나는 미디어를 체계화하는 [수천 장의 스마트폰 사진 정리 기술: 날짜와 키워드를 조합한 나만의 폴더 네이밍 규칙]에 대해 알아보겠습니다.
0 댓글