NAS를 회사 또는 여러 사용자와 같이 사용하는데 있어 데이터 유출을 미연에 방지하는 최소한의 관리 방법 – 권한

일반적으로 일단 NAS가 도입되게 되면 권한 설정등은 크게 신경쓰지 않고 사용하는 경우가 많습니다. 일단 접속되고 내가 보는 파일들이 다른사람과 동일하게 보인다면 그게 동일 계정이든 아니든간에 정상적으로 된다고 보고 셋팅을 끝내는게 제가 봤던 10의 케이스 중에 9곳이 그랬습니다.

개인적으로는 여기에 이제 ‘사용자별로 계정 나눠주세요’, ‘권한 분리해서 나눠서 사용해주세요’, ‘개인 home 경로 안에서 활용해주세요’, ‘공유폴더는 목적에 맞게 생성하고 사용해주세요’ 라고 최소한의 권한 관리를 권장해드리지만, 결과적으로는 같은 계정을 사용하고 공유폴더를 여러개로 나눠버리고 사용하더라구요. 뭐 꼭 그게 틀리다는건 아니지만, 보고 있자니 아쉬운 경우가 자주 보였습니다.

마침 시놀로지 NAS 포럼 카페라는 곳에 보안관리에 궁금한 글 내용이 올라왔어서서, ( 시놀로지 NAS 도입하려고 하는데 파일공유 복사 관리 : 네이버 카페 (naver.com) ) 장문의 댓글을 달아봤었는데, 이 내용이 아까워서 블로그에도 남길겸 복사해보았습니다.


  1. 사용자 계정등을 부여할 때에는 반드시 먼저 사용자그룹을 통해 관리할 수 있도록 하며, 특정 팀 공용ID와 같은 계정을 통한 관리는 지’양’ 해주시고, 반드시 개인별로 계정 부여하여 접근할 수 있도록 통제합니다. 그리고 이렇게 만들어진 사용자그룹을 기준으로 접근할 수 있는 경로등을 반드시 권한으로 통제합니다. 어떤 그룹은 어떤 볼륨만 읽을 수 있게, 어떤 볼륨은 읽고 쓰기가 가능하도록, 어떤 볼륨은 애초에 보이지도 않도록…. 일부 특수한 권한을 부여해서 접근해야 할 사람이 있다면 그 사용자 계정만 추가적으로 부여합니다.
    → 이렇게 하면 근본적으로 특정 사람이 관련없는 불필요한 데이터에 접근할 수 없게(존재 자체를 모르니)되어 유출 가능성이 줄어듭니다. 혹시나 유출되었을때 최소한 어느사람이, 어느그룹에 속해있는 사람이 유출했는지 쉽게 유추가 가능합니다.
  2. SMB, NFS, FTP등의 파일 시스템 접근 프로토콜 접근시 로그 기능을 반드시 활성화합니다. 그리고 기본 설정 외에 모든 사항에 대해 기록하도록 해주셔야 합니다.
    → 로그를 다 남기게 되면 성능상 큰 문제가 발생할 수 있고 부하가 찰 경우 NAS가 멈추는등의 문제가 발생할 수 있지만(특히 시놀로지의 DSM이 성능이 낮은 하드웨어에서 이런 로그들을 다 켜면 동시작업시 눈에 띄게 성능이 떨어집니다), 로그를 남기는 것 만큼 확실한 건 없습니다. 멈추면 재기동하면 되고, 성능이 부족해지면 NAS를 더 좋은 제품으로 업그레이드하시는게 맞습니다. 회사 자산이 중요하면요.
  3. 공용공간으로 사용하는 볼륨, 불가피하게 생성한 공용계정등은 관리자가 모니터링을 늘 해주셔야 합니다.
    → 공용공간에 회사 자산이나 중요한 정보가 노출되지는 않았는지, 공용계정의 권한이 혹시 불필요하게 많이 부여되지는 않았는지등은 주기적으로 보안 점검해주시는게 맞습니다.
  4. 사용자 계정으로 혹시 DSM 내 설정등에 접근할 수 없도록 반드시 관리자 권한은 빼주시고, 게스트 계정은 반드시 미사용, 관리자 계정의 로그인등 정보는 반드시 유출되지 않도록 관리하고, 퇴사자가 발생할 경우 그 즉시 해당 계정에 대해 사용중지 혹은 삭제하여 접근할 수 없도록 통제하는 원칙을 세워 관리해주셔야 합니다.
    → 대부분의 보안사고는 관리자 계정 탈취 접근과, 접근할 권한이 없는 사람이 과거 정보로 접근할 수 있는 관리 부재로 인해 발생하기 때문입니다.
  5. 외부에서 접근이 꼭 필요한 경우가 아니라면 외부 접근을 위한 DDNS설정, 포트포워딩 설정은 하지 않고, 퀵커넥트는 당연히 미사용하여 사내 망 안에서만 접근 가능하도록 해주셔야 하며, 만약 외부 접근이 일부 필요하시다면 그 서비스에 대해서만 접근 가능하도록 관리해주셔야 합니다.
    → 마찬가지로 근본적으로 접근할 수 없게 통제만 된다면 유출 가능성은 확 낮아집니다. 애초에 존재 자체를 모를테니까요. 외부에서 NAS에 접근할 이유가 없다면 절대 외부에 열리지 않도록 관리하는게 맞습니다. 만약 일부 외부에서 열어야 하는 사항이 있다면, 필요한 계정에 해당 패키지나 접근권한들을 통제하고, 무조건 그 방식으로만 접근 가능하도록 해준다면 위협사항이 줄어듭니다.

Views: 125

Leave a Comment