스토리지 연결 보안을 위한 모범 사례

글: | 7월 3, 2024

동영상 편집자나 기타 포스트 프로덕션 전문가라면 연결된 저장 장치 없이는 업무를 수행할 수 없을 것입니다. 그렇기 때문에 스토리지 연결을 보호하는 것이 매우 중요합니다..

결국, 네트워크 연결 스토리지(NAS)와 같은 연결된 저장 장치는 사이버 범죄자들에게 특히 매력적인 공격 대상으로 간주됩니다. 그 이유는 다음과 같습니다:

  • 여기에는 종종 매우 가치 있는(즉, 전문적이고 비즈니스적인) 데이터가 포함되어 있어 피해자가 몸값을 지불할 동기가 훨씬 더 커집니다.
  • 백업되지 않는 경우가 많습니다.
  • 일반적으로 타협하기가 더 쉽습니다. 서버 IT에서 관리합니다.

클라우드 스토리지(예: Amazon S3, Azure Blob Storage, Google Cloud Storage)부터 다음과 같은 다양한 유형의 연결된 디지털 스토리지가 시중에 나와 있습니다. 저장 영역 네트워크 (SAN) 및 온프레미스 NAS(네트워크 연결 스토리지) 장치.

이 문서에서는 NAS 스토리지 연결 사무실/가정 네트워크 외부에서 액세스할 수 있는 소비자 사무실/가정 네트워크 라우터 뒤에 있습니다. 하지만 스토리지 연결 보안과 관련된 대부분의 사항은 모든 온프레미스 연결 스토리지에 적용될 수 있습니다.

목차

더 많은 협업, 더 적은 구성

MASV는 공유 스토리지 대상에 대한 안전하고 통합된 진입점 역할을 함으로써 데이터 수집을 간소화합니다.

스토리지 연결 위협 환경

보안 연구원 제이콥 홀콤 감사된 NAS 장치 2014년에 10개의 다른 제조업체로부터 결과는? 모든 제품에서 잠재적으로 치명적인 취약점이 발견되었습니다.

그 이후로 연결된 스토리지 보안은 의심할 여지 없이 개선되었지만, 연결된 스토리지 장치에 대한 공격은 여전히 광범위하게 발생하고 있습니다:

  • Synology NAS 장치는 2021년에 공격에 직면했습니다. 지난 1년 이내.
  • 2021년 Qlocker 랜섬웨어 공격에서 QNAP 장치가 표적이 되었습니다.
  • 웨스턴 디지털 NAS 디바이스는 2021년에 원격 코드 실행 취약점을 통해 공격을 받았습니다.
  • 최근에는 4월에 거의 10만 명에 달하는 D-Link NAS 디바이스에는 백도어 취약점이 있습니다.
플레이스홀더 이미지

포트를 열어두는 것의 위험성

적절한 예방 조치를 취하지 않으면 해커가 반드시 취약점을 악용하여 시스템이나 스토리지 계정에 침입할 필요는 없습니다.

포트 열기 또는 전달 를 라우터에 설정하여 연결된 스토리지에 원격으로 액세스할 수 있도록 허용하는 것은 큰 위험이 될 수 있습니다.

다음 대상에 대한 봇넷 공격 NAS 스토리지 장치 는 매우 흔합니다. 그리고 이러한 봇넷이 NAS 또는 기타 연결된 스토리지에서 사용하는 열린 포트를 발견하면 거의 확실하게 무차별 대입 공격을 시도하여 관리자 자격 증명을 탈취한 다음 데이터를 훔치거나 암호화하여 몸값을 요구할 것입니다.

또한 저장 장치의 기본 '관리자' 계정을 사용하면서 포트를 열어두면 공격자가 계정 사용자 아이디를 추측할 필요가 없으므로 무차별 암호 대입 공격에 성공하기가 훨씬 쉽습니다(자세한 내용은 나중에 설명합니다).

커넥티드 스토리지 전문가들은 지난 몇 년 동안 NAS 장치에 대한 이러한 종류의 공격이 눈에 띄게 증가했다고 말합니다. 그렇기 때문에 적어도 1년에 한 번은 NAS 보안을 점검하고 업데이트해야 합니다.

스토리지 연결 보안을 유지하는 방법

복잡한 비밀번호 사용(암호를 사용하는 것이 좋습니다), 시스템 패치 및 최신 상태 유지와 같은 기본적인 사이버 보안 사항과 함께 스토리지 연결을 보호하기 위해 할 수 있는 다른 일은 다음과 같습니다. 파일 업로드를 안전하게 유지?

결국, 자신의 연결된 장치를 보호하고 유지 관리하려면 예를 들어 Google 클라우드 스토리지 연결보다 훨씬 더 많은 책임이 수반됩니다.

다른 일을 하기 전에 먼저 해야 할 일이 있습니다:

  • 저장 장치와 다른 장치 간의 네트워크 트래픽을 암호화하는 HTTPS 연결을 사용하도록 저장 장치를 구성합니다.
  • 유효한 SSL/TSL 인증서가 설치되어 있는지 확인합니다(일반적으로 디바이스의 관리자 인터페이스를 통해 인증서를 발급받아 설치할 수 있습니다).
  • 데이터에 문제가 발생할 경우를 대비해 백업 스토리지를 구현하세요.

다음은 데이터 관리 모범 사례의 일부로 스토리지 연결을 잠그기 위해 취할 수 있는 다른 조치 목록입니다.

네트워크 보안 유지

기본적인 것부터 시작하겠습니다: 기본부터 시작하겠습니다. 가정 또는 사무실 네트워크 보안 에 연결된 스토리지가 있을 가능성이 높기 때문에 반드시 확인해야 합니다. 라우터, 방화벽 및 기타 네트워크 디바이스를 항상 최신 제품으로 최신 상태로 유지하고 새로운 비밀번호로 구성하세요.

라우터를 보호하려면 먼저 라우터의 IP 주소 찾기. 브라우저의 주소창에 입력하세요. 여기에서 라우터에 로그인하여 다음과 같은 모든 종류의 유용한 보안 구성을 추가할 수 있습니다:

  • 비활성화 WPS.
  • HTTPS 로그인 사용.
  • 원격 액세스 비활성화하기.
  • WPA2 암호화 사용.
  • 펌웨어 업데이트하기.
  • 만일의 사태에 대비하여 로깅을 활성화합니다.

로그인한 상태에서 비밀번호를 업데이트하고 라우터의 현재 사용자 이름을 기본 'admin'에서 변경할 수도 있습니다.

사용자 아이디 변경에 대해 말하자면...

저장 장치의 관리자 계정 비활성화

연결된 대부분의 저장소 장치는 기본적으로 사용자 이름이 'admin'으로 설정되어 있습니다. 이를 즉시 변경해야 합니다. 해커들은 관리자가 일반적인 기본 사용자 이름이라는 것을 알고 무차별 대입 공격을 통해 이를 악용하려고 하기 때문입니다.

이 비디오 보기 를 참조하여 Synology NAS 사용자가 포트 5000 또는 5001을 열어두면 어떤 일이 발생할 수 있는지 살펴보세요: 짧은 시간 내에 알 수 없는 주체로부터 수천 건의 로그인 시도가 있었으며, 모두 'admin'이라는 사용자 아이디를 사용했습니다.

관리자 계정을 비활성화하려면 관리자 권한이 없는 새 계정을 만들면 됩니다. 그런 다음 원래 관리자 계정을 비활성화합니다. 이렇게 하면 대량의 무차별 대입 공격을 방어하는 데 도움이 됩니다.

IP 및 사용자 아이디 차단 사용

Synology 또는 QNAP의 장치와 같은 많은 연결된 스토리지 장치에는 한 번에 너무 많은 로그인 실패 시도가 감지될 경우 특정 IP를 차단하는 자동 차단 기능이 있습니다.

또한 대부분의 디바이스에서는 자동 차단 규칙을 사용자 지정할 수 있습니다. 예를 들어 5분 이내에 10번의 시도 실패 후 IP 주소를 차단하도록 구성할 수 있습니다.

💡 참고: 실수로 자신의 NAS를 잠그지 않도록 하려면 특정 시간이 지나면 IP 주소의 차단을 해제하도록 자동 차단을 구성할 수 있습니다.

또한 Synology 및 QNAP NAS 장치는 계정 보호 기능을 제공하여 동일한 사용자 이름으로 반복되는 로그인 시도를 모니터링하고 차단할 수 있습니다. 또는 회사에서 Fail2Ban침입 방지 데몬은 여러 번 실패한 시도를 생성하는 IP를 차단하여 무차별 대입 공격을 방지합니다.

사용자 아이디를 차단하는 것이 IP 차단보다 봇넷 공격을 완화하는 데 더 효과적일 수 있습니다. 봇넷은 감염된 컴퓨터에서 수천 개의 IP 주소를 순환할 수 있기 때문입니다.

2FA 또는 적응형 MFA 사용

2단계 인증(2FA)을 사용하도록 설정하는 옵션이나 다단계 인증 (MFA)를 사용해야 합니다(거의 모든 장치에 해당). 2FA 또는 MFA를 사용하는 대부분의 NAS 장치는 로그인 시 고유 코드를 생성하기 위해 보안 USB 키 또는 인증 앱이 필요합니다.

즉, 해커가 어떻게든 사용자 아이디와 비밀번호에 액세스하더라도 연결된 저장소에 액세스하려면 이메일이나 휴대폰에 침입해야 합니다. 해커가 특별히 회원님을 노린 것이 아니라면 대부분의 해커는 이 과정을 거치지 않습니다.

실제로 많은 해커들이 침투하는 데 많은 작업이 필요하지 않은 소프트 타깃에 집중하기 때문에 2FA를 활성화하는 것이 특히 효과적일 수 있습니다.

2FA를 활성화하는 것 외에도 일부 디바이스에서는 적응형 다단계 인증(비정상적인 IP 주소에서 로그인을 시도하는 경우 추가 자격 증명을 제공하라는 메시지가 자동으로 표시되는 기능)을 사용할 수 있습니다. 이 옵션이 있는 경우 이 옵션도 사용 설정해야 합니다.

NAS 방화벽 및 DoS 보호 사용

NAS 및 기타 연결된 스토리지 장치에는 방화벽이 내장되어 있는 경우가 많으므로 반드시 이 기능을 활용해야 합니다. 하지만 일부 NAS 장치는 방화벽을 능동적으로 켜지 않습니다. 사용자가 수동으로 설정해야 합니다.

즉, 항상 NAS 방화벽을 설정하고 켜두는 것이 좋습니다.

특정 국가의 공동 작업자와만 거래하는 동영상 편집자 또는 포스트 프로덕션 전문가인 경우 방화벽을 사용하도록 설정할 수도 있습니다. 지역 차단 을 사용하여 함께 일하지 않는 지역의 모든 사람을 차단할 수 있습니다. 지역 차단은 일반적으로 국가별로 이루어집니다.

미국에서 발생하는 사이버 공격의 대부분은 해외에서 발생하기 때문에 지역 차단을 구현하면 스토리지 연결에 대한 공격의 양을 크게 줄일 수 있습니다.

디바이스의 방화벽을 설정하는 것과 마찬가지로, 디바이스에서 서비스 거부(DoS) 공격 보호 기능도 수동으로 사용해야 합니다.

포트 보안

열린 포트를 탐지하기 위한 포트 스캔은 문이 열려 있는지 확인하기 위해 자동차 문 손잡이를 흔드는 것과 같은 사이버 보안 활동입니다: 쉽게 할 수 있고, 항상 일어나며, 재앙으로 이어질 수 있습니다. 한 Reddit 댓글 작성자 방화벽에서 포트 스캔을 모니터링하는 사람은 초당 10개에 달하는 포트 스캔을 보고했습니다.

그렇기 때문에 중요한 이유입니다:

  • 꼭 필요한 경우가 아니면 포트를 닫아 두세요. 보안 연결을 위한 기본 보안 수칙은 외부 통신에 필요하지 않은 포트는 모두 닫아두는 것입니다.
  • 어떤 포트 번호를 열어두는지 주의하세요. 포트 5000과 5001은 이미 언급했지만 포트 22 역시 보안 셸 프로토콜(SSH)과 연결되어 있고 원격 장치 연결을 위한 기본 포트이기 때문에 공격자들 사이에서 인기가 높습니다. 즉, 앞서 언급한 다른 많은 포트 번호와 마찬가지로 덜 인기 있는 포트 번호보다 무단 로그인 시도가 더 많이 발생한다는 뜻입니다.

어느 쪽이든 포트를 열어 두거나 포트 포워딩(원격 서버가 개인 LAN(로컬 영역 네트워크)의 장치에 액세스할 수 있도록 허용하여 공격자가 장치를 제어할 수 있도록 하는 것)을 허용하는 것은 본질적으로 위험합니다.

하지만 이렇게 하지 않고도 웹에 스토리지를 연결할 수 있는 방법이 있습니다. Synology NAS 장치의 경우 일부 보안 전문가는 다음을 사용할 것을 권장합니다. QuickConnect QuickConnect는 포트 포워딩이 필요하지 않기 때문에 장치의 DDNS 연결 방법 대신에

하지만 QuickConnect의 단점은 인터넷을 통해 대용량 파일이나 폴더를 공동 작업자나 클라이언트에게 내보낼 때 속도가 매우 느리다는 점입니다.

VPN 사용

스토리지 연결을 보호하는 가장 효과적인 방법 중 하나는 가상 사설망(VPN)을 사용하여 모든 네트워크 트래픽에 암호화 계층을 추가함으로써 공격자가 시스템에 침입하기 훨씬 어렵게 만드는 것입니다.

대부분의 NAS 장치는 사용자가 다음을 수행할 수 있도록 지원합니다. 자체 VPN 서버 설정.

하지만 VPN 사용의 가장 큰 단점은 클라이언트 또는 파트너와 함께 작업할 때 사용하기가 번거로울 수 있다는 것입니다. 예를 들어, 클라이언트가 NAS에서 대용량 파일이나 폴더를 다운로드할 수 있도록 VPN에 대한 액세스 권한을 부여하고 싶지 않을 수 있습니다.

VPN은 보안에 있어서도 만병통치약이 아닙니다. 인증 정책이나 사용자 권한을 강제할 수 없으며, 원격 사용자가 손상된 디바이스에서 연결하도록 허용할 수 있습니다(네트워크가 노출된 채로).

기본 포트 번호 변경

'모호성에 의한 보안'은 사이버 보안 업계에서 그다지 효과적이지 않고 보안에 대한 잘못된 인식을 불러일으킬 수 있기 때문에 나쁜 평판을 받고 있습니다. 강력한 독립형 보안 기술은 아니지만 다른 실질적이고 효과적인 보안 안전장치와 함께 사용하면 어느 정도 가치가 있을 수 있습니다.

그렇기 때문에 일부에서는 다음과 같이 조언합니다. 기본 포트 번호 변경 연결된 스토리지에서 사용합니다:

  • 예를 들어, Synology NAS는 기본적으로 포트 5000(HTTP 연결용)과 5001(HTTPS 연결용)을 사용합니다. 따라서 NAS에 침입하려는 해커는 쉬운 공격 대상을 찾기 위해 이러한 포트 주변을 스니핑하는 경우가 많습니다.
  • 원한다면 라우터의 기본 포트 번호를 HTTP(80), HTTPS(443), SSH(22) 연결로 변경할 수도 있습니다. 포트는 1에서 65,535 사이의 숫자로 변경할 수 있습니다.

포트 번호를 변경할 때 가장 큰 단점은 사용자가 업데이트를 알고 있어야 하며, 그렇지 않으면 NAS에 액세스할 수 없다는 것입니다.

공격자는 사용 중인 포트 번호를 쉽게 스캔하고 찾을 수 있지만, 사용자를 특별히 표적으로 삼은 경우에만 그렇게 할 가능성이 높습니다. 낚시 탐험에서 가장 인기 있는 항구 번호만 시도하는 것이 아닙니다.

MASV 중앙 집중식 수집으로 포트를 열지 않고 데이터 수집

스토리지 연결 보안은 어렵지 않지만 약간의 노력과 부지런함이 필요합니다. 연결된 NAS 또는 기타 스토리지 장치를 보호하려면 다음 사항을 고려해야 합니다:

  • 네트워크 보안 유지.
  • 저장 장치의 관리자 계정을 비활성화합니다.
  • IP 및 사용자 아이디 차단 활성화하기.
  • 2FA 또는 적응형 MFA 사용.
  • 기본 포트 번호 변경하기.
  • NAS 방화벽 및 DoS 보호 활성화.
  • 포트 보안.
  • VPN 사용.

위의 대부분의 조치는 마찰이 적고 구현하기 쉽지만, 안타깝게도 악의적인 공격자에게는 여전히 위험에 노출될 수 있습니다.

Synology QuickConnect 또는 VPN 사용과 같은 다른 기술은 다음과 같은 경우 성능 및 기타 변수로 인해 골칫거리가 될 수 있습니다. 대용량 파일 전송 또는 수신 또는 데이터 세트.

MASV 중앙 집중식 수집를 사용하면 온프레미스나 클라우드에 연결된 모든 스토리지에 대한 단일 진입점을 통해 데이터 수집 프로세스를 중앙 집중화할 수 있습니다. 공유 스토리지 대상에 대한 안전하고 통합된 진입점으로, 여러 스토리지 플랫폼과 원격 사용자를 구성하고 관리하는 데 따르는 IT 및 보안 부담을 덜어줍니다.

온프레미스 연결 스토리지를 다음에 연결하기 MASV 는 포트 포워딩이나 포트 개방이 전혀 필요하지 않습니다. 사용자는 직접 스토리지나 네트워크 액세스 권한을 부여하지 않고도 MASV 포털 보안 웹 업로더를 사용해 공동 작업자로부터 파일을 수집할 수 있습니다. MASV는 신뢰할 수 있는 파트너 네트워크(TPN)의 인증을 받은 파일 전송 서비스입니다. 강력한 암호화 및 액세스 관리 제어ISO 27001, SOC 2 및 기타 데이터 보호 규정을 준수합니다.

중앙 집중식 수집을 사용하면 사용자나 IT 팀이 손쉽게 수집 경로를 정의하고 전체 스토리지 시스템이 아닌 단일 버킷이나 폴더로 업로드 액세스를 제한할 수 있습니다.

MASV에 가입하기 를 클릭하고 지금 바로 중앙 집중식 인제스트를 사용해 보고 20GB를 무료로 받으세요.

포트를 열지 않고 NAS에 연결

MASV 중앙 집중식 수집을 사용하면 포트를 열거나 포트 포워딩을 하지 않고도 클라우드 또는 연결된 온프레미스 스토리지에 데이터를 저장할 수 있습니다.