보안설정 가이드를 통해 QNAP NAS와 데이터를 안전하게 보호하세요!
가이드를 따라 NAS 세팅을 변경하면 더욱 안전하고, 친숙하고, 편하게 사용하실 수 있습니다.
*텍스트 본문은 하단에 있습니다.
문의사항은 ‘질문과 답변’게시판에 올려주세요!
소개
Security Guide
이 보호 가이드에서는 데이터를 안전하게 보호하기 위해 사용할 수 있는 설정에 대한 소개입니다.
자세한 정보와 지침은 다음에서 찾을 수 있습니다: https://www.qnap.com/ko-kr
랜섬웨어란 무엇인가?
랜섬웨어는 악성 프로그램으로 사용자의 컴퓨터를 잠그거나 파일을 암호화하고 데이터에 액세스하지 못하도록 차단합니다. 피해자는 암호를 해독하기 위해 값을 지불하거나 그렇지 않은 경우 다시는 잠긴 파일을 열어볼 수 없습니다.
랜섬웨어로부터 보호하는 방법
랜섬웨어는 기업 및 가정 사용자에게 증가하는 위협으로 컴퓨터와 네트워크 기반 장치를 표적으로 합니다. 해커는 악성 코드를 유포할 새로운 방법을 끊임없이 찾고 있습니다. QNAP은 이러한 증가하는 위험을 인식하고 멜웨어에 대한 최상의 보호 기능을 제공하기 위해 지속적으로 노력하고 있습니다. 다음과 같은 예시는 필요에 따라 소중한 데이터를 잘 보호할 수 있는 방법을 보여주기 위함입니다.
NAS를 처음 사용할 때
관리자 계정
QTS의 관리자 계정은 기본적으로 “admin”입니다. 보안상의 이유로 시스템의 중요한 계정에 대해 일반적이고 쉽게 추측할 수 있는 이름을 선택하는 것은 권장되지 않습니다. 이 권장 사항을 따르지 않을 경우 해커가 비밀번호만 추측하면 시스템을 완전히 제어할 수 있게 됩니다. 이러한 시나리오를 방지하시려면 다른 시스템 관리자 계정을 만들고 기본 “admin” 계정을 비활성화하는 것을 권장드립니다. 또한 관리자 계정은 관리를 위한 작업만을 위해 사용되어야 합니다. QNAP NAS 올바른 사용을 위해 관리자 기능과 사용자 기능을 엄격하게 분리하는 것을 추천합니다.
참고: “admin” 계정 비활성화 기능은 QTS 4.1.2 이상 버전에서만 이용할 수 있습니다.
관리자 계정을 활성화/비활성화하는 방법
QNAP NAS 비밀번호를 위한 시스템 보안을 크게 향상시킬 수 있는 몇 가지 설정 옵션이 있습니다. 물론 QNAP NAS를 단독으로 사용하는 경우 비밀번호에 대한 권장 규칙을 구현할 책임은 본인에게만 있습니다. 보안 비밀번호를 위한 기본 규칙은 간단합니다.
기본 보안 설정 참조: https://cafe.naver.com/qnapkr/746
새 관리자 계정 생성
1. “관리자” 계정을 사용하여 QTS에 로그인
2. 제어판 > 사용자 선택
3. 사용자 생성(사진 예시 속 newadmin) 후 “관리자” 사용자 그룹에 할당
관리자 계정 비활성화
1. QTS에 newadmin으로 로그인
2. 제어판 > 사용자를 선택하고 “관리자” 계정 프로필 편집
3. “계정 비활성화”를 선택하고 “확인” 선택
——-
암호 정책
QNAP NAS의 비밀번호를 설정할 때 시스템 보안을 크게 향상시키는 몇 가지 옵션이 있습니다. 물론 QNAP NAS를 단독으로 사용하는 경우 비밀번호에 대한 규칙 설정 책임은 사용자에게만 있습니다. 보안된 비밀번호에 대한 기본 규칙은 간단합니다. QNAP NAS를 다른 사용자도 사용할 수 있는 경우 관리자는 암호에 대한 특정 규칙을 설정하고 시행해야 합니다. 이렇게 하면 위에서 언급한 규칙을 준수할 수 있습니다. 다음 페이지에서 간단한 설명을 볼 수 있습니다.
1. 제어판 > 시스템 > 보안 > 암호 정책(Password Policy)으로 이동
2. 비밀번호 강도에서 기준 선택
1) 새 비밀번호에는 소문자, 대문자, 숫자 및 특수 문자 중 최소 3가지를 포함해야 합니다.
2) 같은 문자가 3번 이상 반복되어 사용될 수 없습니다 (예시: AAA)
3) 비밀번호는 해당 사용자 이름과 같을 수 없으며 역방향으로도 사용할 수 없습니다.
3. “비밀번호 변경”에서 사용자가 주기적으로 비밀번호를 변경하도록 선택합니다.
(중요: 이 설정을 활성화하면 사용자가 암호를 변경하지 못하도록 금지한 설정이 비활성화됩니다.)
1) 비밀번호가 유효한 최대 일수를 지정합니다.
2) 선택 사항: 비밀번호 만료 1주일 전에 사용자에게 알림 이메일 보내기를 선택합니다.
4. 적용하기 선택
2FA
2 단계 인증은 사용자 계정의 보안을 강화합니다. 활성화가 되면 NAS에 로그인할 때마다 비밀번호와 일회용 보안 코드(6자리)를 입력해야 합니다. 2 단계 인증을 위해서는 TOTP(시간 기반 일회용 비밀번호) 프로토콜을 지원하는 인증 앱이 있는 모바일 장치가 필요합니다. 지원되는 앱에는 Google Authenticator (안드로이드/ 아이폰/ 블랙베리) 혹은 Authentificator (윈도우)가 있습니다.
이 기능을 사용하려면 다음 단계를 따르세요.
1. 모바일 장치에서 인증 앱 설치
2. “비밀번호 강도 (Password Strength)”에서 기준 선택
3. “옵션” > “2단계 인증”으로 이동 후 “시작하기” 클릭
1) QR 코드를 스캔하거나 앱에 비밀 키를 입력하여 인증자 앱을 구성합니다.
2) 앱에서 생성된 코드를 NAS에 입력하여 올바른 구성을 확인합니다.
3) 모바일 장치를 사용할 수 없는 경우 대체 확인 방법으로 보안코드를 이메일로 보내거나 보안 질문에 답하여 확인합니다. 보안코드를 이메일로 보내려면 “제어판” > “알림” > “이메일”에서 SMTP 서버가 올바르게 구성되어야 합니다.
설정에 대한 자세한 설명은 다음 웹사이트에서 확인할 수 있습니다:
https://qnap.to/4dr5ad%E2%80%8B
Admin 권한 ID에 대한 2단계 인증:
https://cafe.naver.com/qnapkr/746
범용 플러그 앤 플레이 (UPnP)
일반 사용자의 경우 QNAP NAS와 라우터에서 UPnP 기능을 비활성화하는 것을 추천합니다.
범용 플러그 앤 플레이(UPnP)는 다양한 제조업체의 장치(오디오, 라우터, 프린터, 스마트 TV)를 제어하는 데 사용됩니다. 이를 통해 네트워크의 장치가 서로 인식하여 특별한 연결설정 없이도 특정 기능이 자동으로 실행될 수 있습니다. 이러한 경우, UPnP를 통해 공유기가 외부에서 받은 특정 수신 연결 요청을 사용자의 허락 없이 QNAP NAS로 연결될 수 있습니다. 귀하의 선택에 따라 편리함과 보안 사이의 균형을 유지할 수 있습니다. 라우터에 이 설정을 지정하는 방법은 해당 라우터 제조업체에서 확인 할 수 있습니다.
중요:
*라우터에서 UPnP가 활성화되어 있으면 홈 네트워크의 모든 소프트웨어와 장치로 원하는 대로 라우터를 구성할 수 있습니다. 따라서 방화벽에서 특정 포트가 열릴 수도 있습니다. 이는 외부 공격에 대한 입구 역할을 합니다.
*NAS를 모뎀에서 WAN에 연결하지 마세요. NAS를 공유기에 연결 및 사용을 강력 권장합니다. 모뎀에 직접 연결시 보안우려가 아주 높아집니다.
QNAP NAS에서 UPnP 포트 포워딩 비활성화
1. myQNAPcloud > “자동 라우터 구성 (Auto Router Configuration)”으로 이동
2. “UPnP 포트 포워딩 활성화” 선택을 취소하고 “적용” 클릭
Everyday / Regular Tasks
백업
데이터를 백업하는 위치, 방법 및 빈도는 개별적인 문제입니다. 그러나 여기서 결정적인 요소는 보안 요구 사항, 데이터의 관련성 및 사용 가능한 옵션입니다. 중요한 데이터를 안정적으로 백업하기 위해서는 따라야 하는 룰이 있습니다.
중요: RAID는 백업이 아니며 하드 디스크 오류로부터 사용자를 보호합니다. 스냅샷은 랜섬웨어 공격으로부터 로컬 컴퓨터를 보호합니다.
3-2-1 백업 전략
악성 소프트웨어에 영향을 받지 않기 위해서는 첫 번째로 항상 주의하며 합리적인 사용 습관 (주기적으로 소프트웨어 업데이트하기, 신뢰할 수 없는 메일 열지 않기, 알 수 없는 웹사이트 방문하지 않기 등)을 실천하고 항상 데이터를 백업해야 합니다. 완벽한 백업 계획은 없지만 3-2-1 백업 전략은 좋은 시작입니다. 최소 2가지 유형의 스토리지에 3개의 복사본을 보관하고 1개의 복사본을 오프사이트에 보관하여 데이터 안전을 보장합니다.
3: 중요한 데이터는 최소 3개의 복사본을 백업해야 합니다: 기본 파일 1개, 백업 파일 2개
2: 다양한 유형의 위험으로부터 보호하기 위해 2가지 서로 다른 미디어 유형에 보관해야 합니다.
1: 백업 파일 중 하나는 오프사이트 (집 또는 회사 외부)에 보관해야 합니다.
——
스냅샷(Snapshots)
스냅샷이란?
스냅샷은 사진을 찍는 것과 같이 몇 초 안에 NAS 시스템의 완전한 상태와 데이터를 모두 기록합니다. 블록 기반 스냅샷은 마지막으로 찍힌 스냅샷 이후 변경된 내용만 복사하여 기존 백업 방법에 비해 공간 효율적이며 유연성이 뛰어납니다.
중요:
스냅샷은 백업이 아닙니다. 이는 데이터를 실수로 삭제했거나 변경한 경우 이전 버전에 대한 액세스를 허용하기 위함입니다. 다음 웹사이트에서 더 자세한 설명을 찾을 수 있습니다: https://www.qnap.com/ko-kr/software/snapshots
(QNAP 나스에서 바로 적용하는) 스냅샷 설정 및 복구 방법:
https://cafe.naver.com/qnapkr/742
QNAP 스냅샷 활용편 (중급):
https://cafe.naver.com/qnapkr/742
QNAP 스냅샷 백업의 장점 및 실행하기:
https://cafe.naver.com/qnapkr/962
자동 업데이트
최신 시스템 소프트웨어는 NAS에서 매우 중요합니다. QNAP은 새로운 보안 격차를 해소하기 위해 지속적으로 노력하고 있으며 시스템에 새로운 기능을 추가하고 있습니다. 따라서 데이터를 최대한 보호하기 위해 항상 즉각적으로 업테이트를 진행해야 합니다.
만약 QNAP NAS가 인터넷에 연결되어 있으며 기본 설정이 변경되지 않은 경우 장치가 자동으로 최신 시스템 소프트웨어를 확인하고 알려줍니다. 이 작업을 수행하려면 QNAP NAS를 재부팅해야 하며 5-10분 동안 사용할 수 없습니다.
또한 최신 시스템 소프트웨어를 수동으로 설치할 수도 있습니다. 수동 설치는 QNAP NAS가 인터넷에 연결되어있지 않아 업데이트를 자동으로 확인하고 다운로드할 수 없는 경우에 필요합니다. 펌웨어가 최신 버전인지 확인하려면 다음과 같이 진행하세요.
실시간 펌웨어 업데이트
- 관리자로 로그인
- 제어판 관리 > 펌웨어 업데이트
- 라이브 업데이트 열기
- 업데이트 확인 클릭
자동으로 앱 업데이트
- 앱 센터로 이동
- 설정으로 바로 가기
- 엡데이트 열기
- 업데이트 시간 선택
- “모든 업데이트를 자동으로 설치” 선택
——
VPN
VPN은 가상 사설망입니다. 외부에서 QNAP NAS로 접근할때 보안이 활성화 된 상태에서 액세스 하기 위해 필요합니다. VPN 장점은 연결이 인증 및 암호화로 보호되어 승인된 사용자만이 사용할 수 있습니다. VPN 연결은 마치 두 장치가 동일한 네트워크에 로그인 된 것과 같이 동작하며, 편리하게 로컬 리소스에 액세스할 수 있게 해줍니다. 한번 VPN을 설정하면 이후 쉽게 사용할 수 있으며 홈 네트워크에 대한 보안 액세스가 보장됩니다. 외부에서 로컬 네트워크로 접근 할 때는 항상 VPN을 통해서 연결 하는 것이 좋습니다. 다만 데이터 전송 속도는 선택된 VPN 서비스에 따라 조금 느려질 수 있습니다.
원격 액세스 권장 사항
QuFirewall 방화벽의 활성화 및 상시 사용을 적극 권고합니다.
● 공유기의 방화벽 기능 사용시, 전체 네트워크에 대한 보안이 강화됩니다.
● QuFirewall은 내부망에 침입한 위험으로 부터 QNAP NAS를 보호합니다.
VPN을 설정하고 사용하는 방법
설정에 대한 자세한 설명은 다음 웹사이트에서 찾을 수 있습니다: https://www.qnap.com/ko-kr/how-to/tutorial/article/qvpn을-
One Time Tasks
QuFirewall
QuFirewall은 QNAP 장치를 위한 방화벽 관리 응용 프로그램입니다. 강력하고 사용이 쉬운 프로파일링 시스템을 통합하여 QuFirewall은 장치에 대한 연결은 제어하고 확인할 수 있도록 도와줍니다. QuFirewall을 QNAP NAS에 설치하여 허용된 IP 주소를 특정 지역 또는 하위 네트워크로 제한할 것을 권장합니다.
QuFirewall 설정 방법
1. 앱 센터에서 QuFirewall 설치하기
2. 프로필 구성 선택
3. 지역 선택: ‘대한민국’만 허용 및 다른 국가 비허용
4. 마침 클릭
설정에 대한 자세한 설명은 다음 웹사이트에서 확인할 수 있습니다.
방화벽 설치 – QuFirewall: https://cafe.naver.com/qnapkr/746
——
보안 카운셀러
보안 카운셀러는 QNAP NAS를 위한 보안 포털입니다. 보안 카운셀러는 시스템의 취약점을 검사하고 다양한 공격 방법으로부터 데이터를 보호하기 위한 권장 사항을 제공합니다. 네트워크 환경의 보안 요구 사항에 따라 세가지 기본 보안 정책(기본/중급/고급) 중 하나를 선택할 수 있습니다. 보안 점검 기능은 시스템을 점검할 때 선택된 정책을 사용합니다. 사용자 지정 보안 정책을 선택하여 고유한 정책을 구성할 수도 있습니다.
최대한의 보호를 보장하기 위해 보안 검사는 수동 혹은 일정에 따라 수행될 수 있습니다.
일정은 작업 중 방해받지 않도록 다양한 방식 (매일/ 평일/ 주말/ 특정 요일)로 설정 가능합니다.
스캔 결과를 클릭하면 보안 카운셀러가 적절한 시스템 섹션으로 안내하여 NAS 보안을 위한 관련 설정을 변경할 수 있습니다.
보안 카운셀러 설정
1. 앱 센터에서 보안 카운셀러 다운
2. 보안 정책 선택 후 지금 스캔 클릭
3. 일정을 설정하려면 보안 점검(Security Checkup)으로 이동(초록색)
4. 스캔 일정으로 이동
5. 원하는 시간을 선택하고 적용 클릭
고급 설정
암호화된 HTTPS 연결 사용
QNAP NAS를 자체 네트워크 외부에서 연결하려면 데이터가 암호화되어 있는지 확인해야 합니다. 암호화는 제3자가 데이터를 읽을 수 있는 것을 방지합니다. 이는 보호된 연결을 사용하여 보장할 수 있습니다. 예를 들어 HTTP 대신 HTTPS 혹은 FTP 대신 FTPS를 사용합니다. S는 보안(Secure)를 의미합니다. 데이터 전송은 이제 인증서로 암호화되어 해당 기관의 보안이 보장됩니다.
1. 제어판 > 시스템 > 보안으로 이동 후 “SSL 인증서 & 개인 키 (Certificate & Private Key)” 선택
2. 인증서 교체 클릭
3. “Let’s Encrypt”에서 가져오기 선택
4. 도메인 이름 아래 NAS에 연결 가능한 이름 또는 DDNS 입력
5. Let’s Encrypt에 등록할 이메일 주소 입력
6. 웹 인터페이스에 로그인할 때 보안 로그인 선택
——
포트
*한줄 요약: https기반 Qlink = myQNAPcloud Link으로 보안접속 방법외 반드시 포트포워딩이 요구되는 애플리케이션 사용을 위해 포트 오픈시, 기본 포트번호를 특이한 번호로 변경하고, 시스템 / 서비스 포트의 경우 반드시 비활성화 하고 필요한 경우만 활성화 한다!
포트 ? 포트 번호?
포트는 인터넷은 물론 사용자의 컴퓨터와 다른 컴퓨터 간의 통신을 허용합니다. 방화벽은 사용되지 않는 포트를 닫아 맬웨어가 이를 통해 컴퓨터에 침입하는 것을 방지합니다. 포트 포워딩을 설정하면 온라인 서비스 및 기타 인터넷 응용 프로그램을 사용하여 외부에서 내부로의 인터넷 연결을 허용하거나, 외부 인터넷 사용자가 홈 네트워크에서 웹, 원격 서버 및 기타 서비스에 액세스할 수 있도록 허용합니다.
기본 포트 변경? 이유는? 포트 번호를 변경하는 법
라우터 (공유기) 구성의 기본 포트 (예: 21, 22, 80. 443. 8080 및 8081)를 사용자 지정 포트 번호로 변경해야 합니다. 예를 들어 포트 번호를 8080에서 9527로 변경합니다. 비인가 사용자가 내부기기의 IP주소를 알아내도 포트 번호를 모르면 인터넷으로 공유기를 통해 내부기기에 접근 할 수 없습니다. 이 작업을 수행하는 방법에 대한 자세한 내용은 라우터 제조업체에 문의하십시오.
예) 무료 포트 확인 사이트를 사용하여 내 기기의 포트가 열려있는지 확인 할 수 있습니다. (구글 키워드 port checker)
80과 같은 기본 포트는 외부인이 제 기기의 IP 주소인 211.xx.xxx.xx:80 사용시 바로 접근이 가능하나, 저는 80 포트를 다른 포트 번호로 변경했기에 제 기기의 IP 주소인 211.xx.xxx.xx 만으로는 접근이 불가능 합니다.
하지만 SSH 전용 포트인 22번과 같은 서비스포트는 변경을 할 수가 없는바, 비사용시 반드시 비활성화 하고, 필요시만 활성화 해야 합니다. 상시 활성화 및 포트포워딩이 된 경우 IP 주소인 211.xx.xxx.xx:22 로 제 기기에 엑세스가 가능합니다.
“시스템 포트” / 불필요한 서비스 포트 (예: SSH, Telnet)에 대해 포트 포워딩 하지 마십시오.
평상시 사용 할 필요가 없는, 사용하지 않거나 사용빈도가 낮은 서비스 포트에 대한 포트 비활성화 또는 포트포워딩을 비허용시 공격 자체를 줄일 수 있습니다.
만약 이 서비스 포트가 활성화 된경우, 스누핑 또는 무차별 IP주소 도입을 통해 누구나 인터넷을 통해 공유기 접근 후 내부망 기기에 접근할 수 있습니다.
(안전 접속) 포트 변경과 SSL 인증서 설치로 외부에서 안전하게 접속: https://cafe.naver.com/qnapkr/895
(포트포워딩 보다) 안전한 외부 접속 방식 myQNAPcloud Link: https://cafe.naver.com/qnapkr/871
——-
Instructions
백업: https://www.qnap.com/ko-kr/how-to/tutorial/article/hybrid-backup-sync
관리자 계정: https://www.qnap.com/ko-kr/계정의-이름을-바꿀-수-있습니까
비밀번호 정책: https://www.qnap.com/ko-kr/how-to/faq/article/암호-정책을-정기적으로-변경하려면-어떻게-설정해야-합니까
UPnP: https://docs.qnap.com/operating-system/qts/5.0.x/ko-kr/비밀번호-정책-구성-BDEDEB1D.html
암호화: https://www.qnap.com/ko-kr/how-to/tutorial/article/ssl-인증서를-사용하여-qnap-nas의-연결-보안을-개선
VPN: https://www.qnap.com/ko-kr/how-to/tutorial/article/qvpn을-어떻게-설정하고-사용합니까
포트 포워딩: https://www.qnap.com/ko-kr/how-to/faq/article/포트-전달-없이-nas에-원격으로-액세스하려면-어떻게-해야-합니까
QuFirewall: https://www.qnap.com/ko-kr/how-to/tutorial/article/qufirewall-방화벽
업데이트: https://docs.qnap.com/operating-system/qts/5.0.x/ko-kr/펌웨어-업데이트-CFD37A9F.html
보안 카운셀러: https://www.qnap.com/solution/security-counselor/ko-kr/
출처: QNAP 공식카페 https://cafe.naver.com/qnapkr/1828