NAS(Network Attached Storage) 보안 가이드

대한민국 공공기관의 자체 NAS(Network Attached Storage) 구축은 여러 보안 취약점을 내포하고 있어, 데이터 유출, 랜섬웨어 감염, 데이터 위변조 등의 주요 보안 위협에 노출될 수 있습니다. 

주요 보안 문제점

• 허술한 인증 및 비밀번호 관리: 취약한 비밀번호 사용이나 불충분한 인증 절차로 인해 무단 접근이 용이합니다.
• 소프트웨어 취약점: NAS 제조사 제품에 내장된 애플리케이션이나 펌웨어의 보안 취약점을 악용한 랜섬웨어 공격이 다수 보고되었습니다.
• 미흡한 업데이트 및 패치 관리: 주기적인 펌웨어 업데이트 및 보안 패치가 이루어지지 않으면 알려진 취약점에 그대로 노출됩니다.
• 불필요한 서비스 포트 개방: 외부에서 불필요한 서비스 포트가 열려있을 경우, 이를 통한 침입 가능성이 높아집니다.
• 암호화 부재: 저장된 데이터나 전송 중인 데이터가 암호화되어 있지 않으면 유출 시 심각한 피해를 초래할 수 있습니다.
• 접근 제어 및 권한 관리 미흡: 관리자 및 사용자 권한 관리가 체계적이지 않으면 내부자에 의한 정보 유출이나 시스템 오용의 위험이 있습니다. 

관련 가이드라인 및 대응 방안

대한민국 정부와 전문 기관들은 이러한 문제를 인식하고 가이드라인을 제시하고 있습니다.

• 한국인터넷진흥원 (KISA) 가이드: KISA는 공공기관 및 중소기업에서 NAS 서버를 안전하게 사용하기 위한 'NAS 보안 가이드'를 발간했습니다. 이 가이드는 8대 보안 실천 수칙과 제조사별(Synology, QNAP, ipTIME 등) 상세 보안 설정 방법을 포함합니다.
• 국가정보원 및 행정안전부 지침: 공공기관은 「국가정보보안 기본지침」, 「행정기관 및 공공기관 정보시스템 구축·운영 지침」 등 관련 규정을 준수해야 합니다. 국가사이버안보센터는 국가 망 보안체계 가이드라인을 제공하며, 국가정보자원관리원은 보안 정책 최적화 작업을 수행합니다.
• 클라우드 전환 고려: 행정안전부와 같은 기관들은 보안성이 확보된 클라우드 서비스(CSAP 인증을 받은)로의 전환을 장려하고 있습니다. 

각 기관은 자체 NAS 구축 시 KISA의 NAS 보안 가이드를 참고하여 보안 점검을 수행하고, 불필요한 서비스 제거, 방화벽 설정, VPN을 통한 원격 액세스, 정기적 업데이트 및 백업 등 보안 수칙을 철저히 이행해야 합니다. 

출처:AI