최근 일부 시놀로지(Synology) NAS 사용자들은 자신들의 NAS 시스템 내 모든 파일들이 암호화되어 있는 것을 발견했습니다. 이는 불행하게도 일부 랜섬웨어가 NAS를 공격하여 데이터를 인질로 잡고 금전을 요구하는 상황을 초래했습니다. 이에 대한 예방책으로, NAS를 보호하기 위해 취할 수 있는 몇 가지 조치들을 소개합니다.
랜섬웨어 공격으로부터 NAS를 보호하는 방법
시놀로지에서는 최근 발생한 랜섬웨어 공격에 대해 NAS 사용자들에게 경고를 보냈습니다. 공격자들은 무차별 대입 공격 방식을 사용하여 NAS의 기본 비밀번호를 알아내려고 시도합니다. 이 방법은 가능한 모든 비밀번호 조합을 시도하여 일치하는 비밀번호를 찾아내는 방식입니다. 해커가 올바른 비밀번호를 찾아 네트워크 저장 장치(NAS)에 접속하게 되면, 그들은 모든 파일을 암호화하고 데이터 복구 비용을 요구합니다.
이러한 공격을 예방하기 위한 몇 가지 방법들이 있습니다. 가장 확실한 방법 중 하나는 원격 접속을 완전히 차단하여 로컬 연결만 가능하게 하는 것입니다. 만약 원격 접속이 필요한 경우, VPN(가상 사설망)을 설정하여 NAS 접근을 제한할 수 있습니다. VPN 사용이 어려운 상황(예: 네트워크 속도 저하)이라면, 원격 접속 옵션을 강화하여 보안을 높일 수 있습니다.
옵션 1: 원격 접속 기능 비활성화
가장 안전한 방법 중 하나는 원격 접속 기능을 완전히 사용하지 않도록 설정하는 것입니다. NAS에 원격으로 접근할 수 없게 되면, 해커 역시 접근이 불가능해집니다. 이로 인해 외부에서 NAS를 사용하는 편리함은 다소 줄어들 수 있지만, 집에서만 영화 감상 등을 위해 NAS를 사용하는 경우라면 원격 접속 기능이 없어도 불편함이 없을 수 있습니다.
최신 시놀로지 NAS 기기에는 QuickConnect 기능이 포함되어 있습니다. QuickConnect는 원격 접속을 설정하는 복잡한 과정을 단순화해 줍니다. 이 기능을 사용하면 라우터에서 포트 포워딩을 설정할 필요가 없습니다.
QuickConnect를 통해 원격 접속을 차단하려면, NAS 인터페이스에 로그인한 후 제어판을 열고, 좌측 사이드바의 ‘연결’ 항목에서 ‘QuickConnect’ 옵션을 선택합니다. ‘QuickConnect 활성화’를 해제하고 ‘적용’을 클릭하면 됩니다.
만약 원격 접속을 위해 라우터에서 포트 포워딩을 설정했다면, 해당 포트 포워딩 규칙도 비활성화해야 합니다. 포트 포워딩을 끄려면 라우터의 IP 주소를 찾아 로그인해야 합니다.
로그인 후, 라우터 설명서를 참조하여 포트 포워딩 페이지를 찾으십시오 (라우터 모델마다 위치가 다를 수 있습니다). 만약 라우터 설명서가 없다면, 라우터 모델 번호와 함께 “manual”이라는 단어를 검색해 보세요. 설명서에는 포트 포워딩 규칙을 끄는 방법이 자세히 안내되어 있을 것입니다. NAS 장치와 관련된 모든 포트 포워딩 규칙을 끄도록 합니다.
옵션 2: 원격 접속에 VPN 활용
NAS를 인터넷에 직접 노출시키는 것은 위험합니다. 하지만 원격 접속이 꼭 필요한 경우라면, VPN(가상 사설망)을 설정하는 것을 권장합니다. VPN 서버가 설정되면, 외부에서 NAS 장치에 직접 접속하는 것이 아니라 라우터에 먼저 접속하게 됩니다. 라우터는 사용자를 마치 NAS와 동일한 네트워크(예: 집)에 있는 것처럼 처리해줍니다.
시놀로지 NAS에서 VPN 서버는 패키지 센터에서 다운로드할 수 있습니다. ‘vpn’을 검색하여 VPN Server를 선택하고 설치하면 됩니다. VPN 서버를 처음 실행하면 PPTP, L2TP/IPSec, 그리고 OpenVPN 프로토콜 중에서 선택할 수 있습니다. 이 중에서 가장 보안성이 뛰어난 OpenVPN을 사용하는 것을 권장합니다.
OpenVPN의 기본 설정을 유지해도 괜찮지만, VPN을 통해 연결된 네트워크의 다른 장치에도 접근하고 싶다면 ‘클라이언트가 서버의 LAN에 접속하도록 허용’ 옵션을 선택한 후 ‘적용’ 버튼을 클릭해야 합니다.
그 후 라우터에서 OpenVPN이 사용하는 포트 (기본적으로 1194번 포트)에 대한 포트 포워딩을 설정해야 합니다.
VPN에 OpenVPN을 사용하는 경우, 접속을 위해서는 호환 가능한 VPN 클라이언트가 필요합니다. OpenVPN Connect를 추천하며, 이는 Windows, macOS, iOS, Android는 물론 Linux에서도 사용할 수 있습니다.
옵션 3: 원격 접속 보안 강화
원격 접속이 필요하지만 VPN을 사용할 수 없는 경우 (예: 인터넷 속도가 느린 경우) 원격 접속 보안을 최대한 강화해야 합니다.
원격 접속 보안을 강화하려면, NAS에 로그인 후 제어판을 열고 ‘사용자’를 선택합니다. 기본 관리자 계정이 활성화되어 있다면, 새로운 관리자 계정을 생성하고 (아직 없는 경우) 기본 관리자 계정은 사용하지 않도록 설정합니다. 기본 관리자 계정은 랜섬웨어가 주로 공격하는 계정 중 하나입니다. 게스트 사용자 계정은 일반적으로 비활성화되어 있으며, 특별한 필요가 없으면 그대로 두는 것이 좋습니다.
NAS에 생성한 모든 사용자의 비밀번호가 강력한지 확인해야 합니다. 이를 위해서는 비밀번호 관리자 사용을 권장합니다. 만약 NAS를 공유하여 다른 사용자들이 계정을 생성하도록 허용하는 경우에는 더욱 강력한 비밀번호를 사용하도록 해야 합니다.
제어판에 있는 사용자 프로필의 ‘고급’ 탭에서 비밀번호 설정을 찾을 수 있습니다. 여기에서 대소문자 혼합, 숫자 포함, 특수 문자 포함, 일반적인 비밀번호 사용 금지 옵션을 선택해야 합니다. 더 강력한 비밀번호를 위해서는 최소 비밀번호 길이를 8자 이상으로 설정하는 것이 좋습니다. 비밀번호가 길수록 더욱 안전합니다.
공격자들이 짧은 시간에 많은 비밀번호를 추측하는 사전 공격을 막기 위해 자동 차단 기능을 활성화해야 합니다. 이 기능은 일정 시간 내에 지정된 횟수만큼 로그인 시도에 실패할 경우, 해당 IP 주소를 자동으로 차단합니다. 최신 시놀로지 기기에서는 자동 차단 기능이 기본적으로 활성화되어 있으며, 제어판 > 보안 > 계정 메뉴에서 찾을 수 있습니다. 기본 설정은 5분 동안 10번의 로그인 실패 시 해당 IP 주소를 차단합니다.
마지막으로 시놀로지 방화벽을 활성화해야 합니다. 방화벽이 활성화되면, 방화벽 규칙에서 허용된 서비스만 인터넷을 통해 접근할 수 있습니다. 방화벽을 활성화한 상태에서 Plex와 같은 일부 앱에 대한 예외를 설정하거나 VPN을 사용하는 경우에는 포트 포워딩 규칙을 추가해야 할 수 있습니다. 방화벽 설정은 제어판 > 보안 > 방화벽 메뉴에서 찾을 수 있습니다.
데이터 손실 및 랜섬웨어 암호화는 예방 조치를 취하더라도 언제든 발생할 수 있습니다. NAS는 백업 시스템이 아니므로, 데이터를 안전하게 보관하는 가장 좋은 방법은 데이터를 외부 장치에 백업하는 것입니다. 이렇게 하면 랜섬웨어 공격이나 하드 드라이브 고장과 같은 최악의 상황이 발생하더라도 데이터 손실을 최소화하고 데이터를 복원할 수 있습니다.