IT DONGA

NAS 표적 랜섬웨어 발견, 쉬운 비밀번호는 즉시 교체해야

남시현

[IT동아 남시현 기자] 나스(NAS, Network Attached Storage)는 인터넷을 활용해 데이터를 저장하는 장치로, 인터넷만 있으면 어디서든 데이터를 보관, 저장, 확인할 수 있다. 수 있는 장치다. 사전 제공된 서버에 데이터를 저장하는 클라우드 서비스와 비슷하게 활용할 수 있지만, 물리적인 위치와 네트워크를 직접 구성할 수 있다는 장점이 있어 개인 및 기업 환경에서의 활용도가 높다.

Synology DiskStation DS1019+, HDD를 사서 꽂기만 하면 된다.

과거에는 네트워크 전문가를 위주로 운용됐지만, 최근에는 컴퓨터와 네트워크를 잘 모르는 사람도 나스를 구축할 수 있다. 스마트폰이 보급돼 어디서든 나스를 확인할 수 있고, HDD 가격 대비 용량도 커지면서 수요가 증가하고 있고, 이에 맞춰 제조사도 쉽게 운용할 수 있도록 개선하고 있다.

하지만 나스는 항상 켜진 상태를 유지하며, 인터넷도 24시간 내내 연결돼있다. 대용량 저장 장치 특성상 중요한 자료를 대량으로 저장해놓는다. 이처럼 접근성이 좋고, 중요한 자료를 보관한다는 특성 때문에 해커의 주요 표적 중 하나기도 하다.

시놀로지 나스의 관리 프로그램 DSM(DiskStation Manager)

나스 사용자는 항상 최신 업데이트 및 펌웨어를 유지하며, 보안 문제에 각별히 주의해야 한다. 가벼운 취약점이나 보안에 대한 무관심함이 자칫 큰 피해로 이어진다. 나스 제조사인 시놀로지는 최근 여러 사용자의 관리자 자격 증명을 무차별 로그인 시도로 탈취하고, 데이터를 암호화한 다음 금전적 대가를 요구하는 랜섬웨어가 발견돼 주의를 당부했다.

시놀로지의 보안 사고 대응팀 관리자인 캔 리(Ken Lee)는 "특정 시스템 취약점 대신, 사전 공격(dictionary attacks) 방식을 사용한 대규모 공격이 7월 19일부터 시작되었고, 그 즉시 전 세계 보안 비상 대응팀 협회인 CERT 협력 센터에 해당 내용을 통보했다"고 말했다.

IT동아가 사용 중인 나스가 자동으로 차단한 IP, 모두 해외발 해킹 시도다
<IT동아가 사용 중인 나스가 자동으로 차단한 IP, 모두 해외발 해킹 시도다>

여기서 '특정 시스템 취약점 대신'이라는 단서가 붙었는데, 이는 나스 자체 문제보다는, 사용자의 부주의함이 문제가 됐다는 의미다. 'password'나 'qwerty', 'admin' 같이 사전에 있는 단어, 혹은 'q1w2e3r4'나 '12341234'같이 누구나 유추할 수 있는 비밀번호를 무차별적으로 대입해 로그인을 시도하는 공격이 자행됐다는 말.

이처럼 사용자가 비밀번호를 너무 쉽게 설정했거나, 반복 입력 실패 시 특정 IP를 차단하는 기능 등을 설정하지 않은 경우라면 사전 공격에 당할 수 있다. 시놀로지는 해당 사실을 고지하며, 해킹 방지를 위한 보안 체크 리스트를 제시했다.

기본 관리자 계정(admin)은 사용을 중지하고, 계정 및 패스워드를 갱신해야

제어판-사용자 메뉴를 통해 계정 정보를 변경할 수 있다.

시놀로지 나스는 DSM(DiskStation Manager)이라는 자체 운영 체제로 제어되며, 보안을 위한 체크리스트도 모두 DSM을 활용한다. 가장 먼저 나스 운영 체제에 로그인하는 계정의 암호를 변경해야 한다. 앞서 해커가 노린 것도 지나치게 쉬운 패스워드를 사용 중인 경우였다.

DSM에서 제어판- 사용자-계정을 클릭하면 계정별 정보창이 뜬다. 비밀번호는 가급적 보안 레벨이 녹색 '강함'으로 표기될 정도로 어려워야한다. 일반적으로는 소문자, 대문자, 특수 문자를 혼용하는 것을 추천하는데, 비밀번호에 단어나 이니셜+숫자가 아닌 문장을 사용하면 더욱 효과적으로 비밀번호를 제조할 수 있다.

추가로 관리자 그룹에 새 계정을 만들고 시스템 기본 설정인 'admin' 계정을 비활성화 하는 것을 주문한다. 관리자 계정을 메인으로 사용하는 게 아니라면, admin 계정 메뉴 하단에 있는 '이 계정 비활성화'를 선택해 즉시 적용하자.

패스워드 고급 설정으로 보다 강력한 보안 구축이 가능하다.

또한 고급 설정으로 진입해 특수 문자나, 최소 패스워드 길이를 조정해 어려운 패스워드를 만들 수 있게 수정한다. 훨씬 까다로운 보안이 필요하다면 2단계 검증을 적용한다. 2단계 검증 메뉴는 추가 비밀번호를 요구하는 과정이며, 마법사 메뉴를 통해 자동으로 설정할 수 있다.

로그인 시도에 제한을 두는 자동 차단은 필수

자동 차단을 활용해 반복적인 침입 시도를 방지할 수 있다.

사전 공격은 로그인 횟수에 제한이 없는 경우를 기본 전제로 한다. 로그인 시도에 횟수 제한이 없으니 무한정 비밀번호를 시도해볼 수 있고, 누구나 쉽게 사용할법한 단어를 대량으로 입력해 로그인을 시도한다. 자동 차단 기능만 적용해도 충분히 사전 공격을 예방할 수 있다.

DSM에 접속한 다음, 제어판-보안-계정에 들어가면 자동 차단 기능 설정을 적용할 수 있다. 로그인 시도 횟수가 적고 재시도 시간이 길수록 해킹 시도가 어려워지지만, 실수하면 본인도 차단될 수 있음을 명심하자. 고급 사용자라면 하단의 계정 보호를 통해 계정별로 적용 가능한 로그인 시도 횟수를 수동으로 설정할 수 있다.

블랙리스트 IP를 다운로드 받아 나스에 적용하자.

블랙리스트는 텍스트 파일로 돼있고, 다운받아 바로 할 수 있다.

시놀로지가 제안한 사전 공격 예방법은 비밀번호와 계정 정보를 바꾸는 데 주력한다. 다만 이 방법만 가지고는 해커가 접근하는 것까지 막기는 어렵다. 그래서 시놀로지 북미 사용자들이 직접 해킹 시도 블랙리스트 IP를 리스트업하고 있어 소개해본다.

먼저 https://rescure.fruxlabs.com/에 접속해 REScure Malecious IP Blacklist 하단의 Malicious IP Blacklist → 를 클릭한 다음, 오른쪽 클릭 후 '다른 이름으로 저장' 해 리스트를 텍스트 파일로 만든다. 찾기 어렵다면 https://rescure.fruxlabs.com/rescure_blacklist.txt를 그대로 주소창에 입력한 다음, 빈 공간을 오른쪽 클릭 해 '다른 이름으로 저장' 하면 된다.

차단된 해외발 해킹 IP가 17,000여 개에 육박한다.

그다음 제어판-보안-계정으로 들어가 허용/차단 목록을 누른다. 차단 목록에서 생성 옆의 ▼를 누른 후 'IP 주소 목록 가져오기'를 누른다. 누른 다음 '찾아보기'를 통해 방금 전 다운로드 받은 'rescure_blacklist.txt'를 선택하고 확인을 누른다. 그 다음 우측 하단의 파란색

2019년 7월 29일 기준 17,000여 개의 주요 해킹 루트가 블랙리스트로 등재돼있고, 계속해서 갱신되니, 틈틈히 REScure Malecious IP Blacklist를 방문해 차단 목록을 업데이트해주면 해커의 접근을 막을 수 있다.

관리 소홀은 곧 랜섬웨어의 표적! 주기적인 비밀 번호 교체와 계정 관리는 필수.

보안이 허술한 나스는 무조건 해커의 표적이 된다.

앞서 시놀로지에서 제안한 방법을 한마디로 요약하면 '비밀번호를 잘 관리하세요'다. 더 쉽게 말하면 지나치게 쉬운 비밀번호를 사용하지 말라는 의미다. 보안 취약점을 통한 해킹은 업데이트를 통해 해결할 수 있으나, 처음부터 보안에 신경을 쓰지 않는 것은 업데이트도 소용 없다.

본인의 관리 소홀로 랜섬웨어에 걸리면, 지금까지 모아온 모든 데이터가 암호화되며 이를 복호화하는 과정에서 금전적인 협박을 당한다. 해커에게 비용을 지불하더라도 데이터가 복구된다는 보장도 없다. 처음부터 해킹이 불가능하도록 대비하는 게 최선이다.

이는 시놀로지 나스뿐만 아니라 모든 나스가 해당하는 사항이다. 따라서 자주 비밀번호를 교체하고, 국영문 및 특수문자를 혼용해 제작하며, 반복적으로 로그인 실패 시 차단하는 기능을 적용해 개인 및 기업의 데이터를 안전히 보관하도록 하자.

글 / IT동아 남시현 (sh@itdonga.com)

이전 다음