QNAP NAS 보안 가이드

이 가이드는 QNAP NAS의 보안 설정 및 보호 메커니즘에 대한 자세한 정보를 제공하여 네트워크 방어를 강화하고 데이터를 보호하는 데 도움을 줍니다.

보안 가이드 다운로드

보안 네트워크 아키텍처 및 설정

1. NAS를 올바르게 연결

NAS의 네트워크 포트를 인터넷에 직접 연결해서는 안 됩니다. NAS가 라우터에 먼저 연결되어 있는지 확인한 다음 ISP(인터넷 서비스 공급자)에서 제공하는 모뎀에 연결합니다. 올바른 설정으로 라우터는 인터넷에서 악의적인 트래픽을 차단하고 사이버 공격의 위험을 줄일 수 있습니다.

올바른 연결 - NAS를 라우터에 먼저 연결

잘못된 연결 - NAS가 모뎀에 직접 연결

2. 라우터를 올바르게 구성

라우터에 로그인하거나 ISP에 도움을 요청하여 다음 설정을 확인하고 비활성화:

UPnP 사용 안 함
DMZ 사용 안 함

(비무장지대)
포트 전달 사용 안 함

포트 전달을 사용할 수 없을 때 NAS에 대한 원격 액세스를 보호하는 방법은 무엇입니까? QNAP은 NAS에 대한 안전한 원격 액세스를 가능하게 하는 QVPN 및 myQNAPcloud Link를 제공합니다.

자세히 알아보기:
보호 없이 NAS를 인터넷에 직접 연결하지 마세요 >
QNAP NAS에 원격으로 액세스하도록 myQNAPcloud를 설정하는 방법 >
라우터 뒤의 QNAP NAS에 VPN 서버를 설정하는 방법은 무엇인가요? >

인터넷에 무방비로 노출되어 있는지 어떻게 확인합니까?
장치가 인터넷에 위험하게 연결되어 있는지 확인하려면 보안 센터(Security Center) 를 설치하고 사용하거나 IP 주소 쿼리 도구를 사용하는 것이 좋습니다.

NAS에 대한 원격 액세스를 보호하는 4가지 방법

연결 방법	장점	단점	적합한 사용자
UPnP의 라우터 DMZ/포트 전달 사용 및 구성	가장 빠른 연결	사이버 공격에 취약함 제로데이 취약성 공격에 대한 방어 기능 없음	관련 위험에 대한 명확한 이해 네트워크 설정에 익숙함 중요한 데이터에 대해 여러 백업 생성 재해 복구 계획 수립
라우터에서 VPN 서버 사용	설정이 비교적 간단함	로그인 실패 알림, 자동 차단 및 방화벽 기능 없음 지원되는 VPN 프로토콜 수 감소 라우터 하드웨어에 의해 성능이 제한됨	네트워크 설정에 익숙하지 않음 변속기 속도에 신경 쓰지 않음
QNAP NAS에서 VPN 서버 기능 사용	여러 VPN 프로토콜 지원 NAS 방화벽(Qu Firewall)과 호환 가능 로그인 실패 알림 및 자동 차단 지원	설정이 약간 더 복잡	네트워크 설정에 익숙함 인터넷에서 많은 파일에 자주 액세스해야 함
myQNAPcloud Link 보안 연결 사용	가장 쉽게 설정 지원 액세스 제어 NAS는 인터넷에 노출될 필요가 없음	연결 속도가 느림	네트워크 설정에 익숙하지 않음 인터넷에서 NAS에 자주 액세스하지 않음 WAN IP 주소를 얻을 수 없는 네트워크 환경
SD-WAN 또는 사이트 간 VPN 제품 사용	설정 후 인트라넷 사용자가 아무런 차이 없이 사용할 수 있습니다 또한 클라이언트-투-사이트 VPN도 지원합니다	추가 장비 필요	멀티포인트 액세스 및 원격 백업 필요 부가 가치 애플리케이션 필요

3. 자동 업데이트 활성화

QNAP의 잦은 보안 업데이트 펌웨어 및 소프트웨어. 자동 업데이트를 활성화하면 최신 기능, 버그 수정 및 취약성을 확보할 수 있습니다.

안에서부터 밖으로: 다중 계층 보안

QNAP은 시스템 보안 평가와 내부 네트워크 위협 분석과 결합된 포괄적인 NAS 연결 보호 및 재해 복구 계획을 제공하여 계층화된 사이버 보안 관리 시스템을 구축합니다.

블로그 읽기: 기업을 위한 다층 사이버 보안 방어 시스템 구축

시스템 계정 보안 강화

1. 기본 관리자 계정 “admin” 사용 안 함

무차별 암호 해독을 사용하는 해커는 일반적으로 “admin”(기본 관리자 계정)을 대상으로 합니다. admin을 비활성화하고 새 관리자 계정을 만드는 것이 좋습니다.

자세히 알아보기: admin 사용자 계정을 비활성화하는 방법

QTS 5.0.1 / QuTS hero h5.0.1 (또는 그 이상)이 기본적으로 “admin”인 모델은 비활성화되어 있습니다.

2. 액세스 보호 사용(IP/계정)

“IP 액세스 보호” 및 “계정 액세스 보호”는 암호가 무차별적인 힘에 의해 해독되는 것을 방지하는 데 도움이 될 수 있습니다. 특정 IP 또는 계정이 너무 많이 로그인하지 않으면 IP 차단 또는 계정 비활성화를 트리거하여 공격자가 암호를 반복적으로 시도하지 못하도록 합니다.

3. 다중 요인 인증 사용

데이터 보안 계층을 추가하기 위해 암호 없는 로그인 및 2단계 확인과 같은 보안 로그인 방법을 사용하는 것이 좋습니다.

자세히 알아보기: 보안 로그인 및 다중 요소 인증

4. Telnet / SSH 사용 안 함

사용하지 않는 경우 Telnet 및 SSH를 사용하지 않도록 설정하는 것이 좋습니다. 이 두 가지 기능은 일반적으로 QNAP 고객 서비스 또는 전문 IT 담당자가 시스템을 유지 관리하기 위해 사용합니다. 일반 사용자에게 필요하지 않으므로 사용하지 않도록 설정하는 것이 좋습니다

예약된 스냅샷 사용

스냅샷은 다중 버전 복원 지점을 생성하여 중요한 데이터를 보호할 수 있습니다. 랜섬웨어가 발생하면 스냅샷에서 데이터를 복구할 수 있습니다. 예약된 스냅샷을 사용하도록 설정하고 적절한 데이터 보안 및 스토리지 활용률을 높이기 위해 스냅샷 삭제 정책을 설정하는 것이 좋습니다.

자세히 알아보기: 스냅샷이란?, 스냅샷 복제 - 스냅샷 백업, 실시간 SnapSync(*QuTS hero에서만 사용 가능)

“스토리지 및 스냅샷”을 열고 “볼륨”을 클릭한 다음 메뉴에서 “스냅샷 관리자”를 엽니다.

“스냅샷 예약”을 클릭합니다. 스냅샷을 “매일” 또는 “주간”으로 예약하는 것이 좋습니다.

스냅샷 보존 정책을 설정하여 스냅샷 수를 제한하고 스냅샷이 너무 많은 공간을 차지하지 않도록 할 수 있습니다. “스마트 버전 관리”을 설정하는 것이 좋습니다.

“스토리지 공간”이 “스토리지 풀” 구조이고 “스토리지 풀”에 스냅샷을 만들 수 있는 사용 가능한 공간이 충분한지 확인하십시오. QNAP은 사용자가 스마트 스냅샷 공간 관리를 활성화하고 스냅샷에 씬 볼륨을 사용하여 NAS가 제대로 작동할 수 있는 스토리지 공간이 충분한지 확인할 것을 권장합니다.

Security Center - QNAP NAS용 보안 포털

Security Center는 NAS 상태, 비정상적인 파일 활동, 잠재적인 보안 위협을 사전에 분석 및 모니터링하고 시스템과 데이터를 보호하기 위한 즉각적인 보호 조치를 제공합니다. 안티 바이러스와 안티 맬웨어 소프트웨어를 통합하여 QNAP NAS를 완벽하게 보호합니다.

보안 센터(Security Center)를 열고 필요에 맞는 보안 정책 수준을 선택한 다음 “지금 검사”를 클릭합니다.

검사 결과에 보안 위험이 있는 경우 “추천 설정 도우미”를 클릭하여 설정을 조정할 수 있습니다.

시스템이 정기적으로 설정 및 시스템 상태를 확인할 수 있도록 “검사 일정”을 한 달에 한 번 이상으로 설정하는 것이 좋습니다. 위험이 탐지되고 알림 센터가 올바르게 설정된 경우 가능한 한 빨리 처리할 수 있도록 알림을 받게 됩니다.

“비정상적인 파일 활동 모니터링”을 사용하면 특정 기간 동안 NAS에 있는 비정상적이고 수정된 파일의 평균 개수를 쉽게 추적할 수 있습니다.

QuFirewall: QNAP 어플라이언스용 내장 방화벽

QuFirewall은 익명의 통신 연결인 Tor에서 보낸 것으로 의심되는 패킷을 차단하여 NAS가 공격받는 것을 방지합니다. 또한 의심스러운 Onion 라우팅 및 악성 봇을 탐지하고 악성 패킷의 차단 목록을 동적으로 업데이트하여 QNAP 장치의 보안을 보장합니다.

네트워크에 특별한 필요가 없으면 “기본 보호”를 선택하고 “다음”을 클릭하여 계속하는 것이 좋습니다.

사용자의 위치에 따라 지역을 설정합니다. 나중에 더 많은 영역을 추가할 수 있습니다.

QuFirewall 프로필 페이지로 이동하면 “기본 보호”가 활성화됩니다. 해당 방화벽 규칙을 확장하고 보려면 “기본 보호”를 클릭합니다. 규칙은 방화벽 규칙에 따라 통과하거나 차단할 수 있는 수신 패킷의 정보와 비교하여 확인됩니다.

Malware Remover

Malware Remover 최신 멀웨어 정의를 사용하여 NAS를 정기적으로 검색합니다. 공격을 받으면 NAS 데이터 보안을 보장하기 위해 감염된 파일이 즉시 제거됩니다. 클라우드 기반 악성 프로그램 정의 업데이트를 정기적으로 수신하여 데이터 보안을 강화합니다.

“Malware Remover”를 열면 마지막 검색 상태가 표시되고 왼쪽의 “설정”을 클릭합니다.

“Malware Remover”이 정기적으로 시스템 상태를 확인할 수 있도록 “검색 일정”을 하루에 한 번으로 설정하는 것이 좋습니다. 또한 “Malware Remover를 최신 버전으로 자동 업데이트합니다.”을 선택한 상태로 유지합니다.

시스템 알림 설정

알림 센터는 모든 시스템 알림을 중앙 집중화하고 설정에 따라 장치에 알림을 푸시하여 NAS 상태를 최신 상태로 유지할 수 있습니다.

“알림 센터”를 열고 왼쪽 메뉴에서 “서비스 계정 및 장치 페어링”을 클릭하고 “이메일”을 선택한 다음 “SMTP 서비스 추가”를 클릭합니다.

이메일 계정을 선택하고 “계정 추가”를 클릭한 후 지침에 따라 확인 프로세스를 완료합니다.

“알림 센터”의 왼쪽 메뉴에서 “시스템 알림 규칙”을 클릭하고 “경보 알림”을 선택한 후 “규칙 만들기”를 클릭합니다.

필요에 따라 “규칙 이름”을 수정하고 “경고”와 “오류”의 두 가지 심각도 수준을 확인한 후 “다음”을 클릭하여 완료합니다.

QNAP eNews를 구독하여 최신 제품 보안 뉴스를 받으십시오

구독하기 보안 공지에 대한 심층 분석 보안 바운티 프로그램

FAQ

NAS를 인터넷에서 분리하는 것이 더 안전합니까?

아니요. NAS “연결 해제”는 일반적으로 네트워크에서 NAS를 끊어 외부로의 연결을 시작할 수 없게 하는 것을 의미합니다. 일부 악성 프로그램을 실행하려면 외부 연결이 필요하지만 외부 연결 없이도 악성 작업을 성공적으로 수행할 수 있는 악성 프로그램이 여전히 있습니다. 따라서 해커들이 불법 행위를 하는 것을 막지 못할 뿐만 아니라 자동 소프트웨어 업데이트, 알림 등 일부 시스템 기능이 제대로 작동하지 못하게 할 것입니다. 올바른 접근 방식은 보안을 개선하기 위해 인터넷 노출을 피하는 것과 같이 NAS에 대한 트래픽을 제한하는 것입니다.

내 하드 디스크는 RAID로 구성되어 있는데, 이는 백업이 필요하지 않다는 것을 의미하나요?

아니요. RAID는 백업 방법이 아닙니다. 0을 초과하는 RAID 수준은 디스크 장애에 대한 이중화를 제공하기 위한 것입니다. RAID는 데이터 삭제 또는 암호화에 대한 보호 기능을 제공하지 않습니다. 따라서 3-2-1 백업 원칙에 따라 데이터를 적절하게 백업하는 것이 좋습니다.

이미 “스냅샷”을 설정했는데, 이는 백업이 필요하지 않다는 뜻입니까?

아니요. “스냅샷”은 데이터와 동일한 하드 드라이브 세트에 저장되므로 RAID 오류가 발생해도 데이터가 손실됩니다. 또한 해커가 관리자 계정을 성공적으로 크래킹하는 등의 충분한 권한을 얻을 수 있는 경우 “스냅샷”도 삭제될 수 있습니다. 따라서 스냅샷 파일은 3-2-1 백업 원칙에 따라 적절하게 백업하는 것이 좋습니다.

NAS가 인터넷에 노출되지 않는데, 공격을 받을 수 없다는 뜻인가요?

아니요. 대부분의 사이버 공격은 인터넷에서 발생하지만 NAS는 여전히 인트라넷에서 공격받을 위험이 있습니다. 예를 들어, 인트라넷의 다른 컴퓨터 또는 장치가 해킹되거나 악성 프로그램의 영향을 받는 경우 이를 사용하여 인트라넷의 다른 장치를 공격하고 전파할 수 있습니다. 컴퓨터에 바이러스 백신 소프트웨어를 설치하고 네트워크 보안 제품을 배포하면 관련 위협에 대처하는 데 도움이 될 수 있습니다. 예를 들어 QNAP ADRA NDR은 의심스러운 인트라넷 활동을 탐지하고 자동으로 격리할 수 있습니다. 동시에 3-2-1 백업 원칙에 따라 데이터를 적절하게 백업하는 것이 좋습니다.

NAS를 오랫동안 사용하고 있는데 악성 프로그램이 설치되어 있는지 어떻게 확인할 수 있습니까?

프로세서 로드가 비정상적으로 높은 것을 발견하거나 소프트웨어 업데이트 오류가 발생하거나 App Center에 알 수 없는 앱이 있는 경우 악의적인 프로그램이 설치되었을 가능성이 있습니다. 최신 버전의 Malware Remover 프로그램을 설치하고 사용하는 것이 좋습니다. 그래도 문제를 해결할 수 없으면 QNAP 기술 지원팀에 문의하여 지원을 받으십시오.

일부 서비스를 인터넷에 개방해야 하는 경우 보안을 보장하려면 어떻게 해야 합니까?

NAS에 최신 버전의 펌웨어와 앱이 설치되어 있는지 확인하십시오. QuFirewall을 활성화하여 기본적인 방화벽 보호를 제공할 수 있으며, “PSIRT” 및 “TOR” 규칙을 통해 일부 해커의 연결을 차단할 수 있습니다. 기업 또는 기업 사용자인 경우 고급 방화벽 솔루션을 사용하는 것이 좋습니다. 또한 스토리지 풀 공간이 허용되는 경우 기본 데이터 보호를 위한 “스냅샷”을 생성할 수 있습니다. 또한 3-2-1 백업 원칙에 따라 데이터를 적절히 백업하여 최악의 경우에 대비하고 잠재적인 데이터 손실을 방지하는 것이 좋습니다.

레거시 및 수명 종료(EOL) 모델은 지원이 제한적이므로 인트라넷/오프라인 백업에만 사용해야 합니다.

NAS 로그인 실패 경고가 계속 표시되는 이유는 무엇입니까?

실패한 로그인의 IP 주소가 인터넷에서 전송된 경우, NAS가 무차별 암호 크래킹 공격을 받고 있음을 의미합니다. NAS가 인터넷에 노출되지 않도록 하고 NAS를 강화하려면 이 튜토리얼을 따르십시오. 실패한 로그인의 IP 주소가 인트라넷의 IP 주소인 경우 해당 IP 주소를 가진 장치에 악성 프로그램이 설치되어 있는지 확인하십시오.

내 모든 파일에 이상한 파일 이름이 있는 이유는 무엇입니까?

이것은 랜섬웨어 감염의 증상이다. NAS 액세스 로그를 확인하여 암호화 작업이 다른 컴퓨터에서 수행된 것인지 아니면 NAS 자체에서 수행된 것인지 확인합니다. NAS가 랜섬웨어의 영향을 받았다면 감염 확산을 막기 위한 적절한 조치를 취해야 합니다. 필요한 경우 QNAP 기술 지원팀에 문의하여 지원을 요청합니다.

NAS가 랜섬웨어에 감염된 경우 어떻게 해야 합니까?

대부분의 랜섬웨어는 깨지지 않는 암호화 방법을 사용한다. 올바른 키가 없으면 파일 잠금을 해제할 수 없으므로 백업 또는 스냅샷을 통해서만 파일을 복원할 수 있습니다.
NAS가 인터넷에 노출되지 않도록 하고 2차 공격을 방지하려면 이 튜토리얼에 따라 라우터 설정을 즉시 수정하십시오. 둘째, 백업 파일이 손실되지 않도록 모든 동기화 작업을 즉시 중단하고 스냅샷을 영구적으로 보존하도록 설정해야 합니다. 데이터에 복원할 수 있는 백업 또는 스냅샷이 있는 경우 NAS 펌웨어 및 앱을 업데이트하고 Malware Remover 검사를 완료한 후 파일을 복원할 수 있습니다. 데이터가 백업되지 않을 경우 랜섬웨어가 남긴 랜섬노트와 랜섬 결제 방법을 백업한 후 데이터 복구 등의 방법을 사용해 일부 데이터를 복구해 보십시오. 필요한 경우 QNAP 기술 지원팀에 문의하여 지원을 요청합니다.

QNAP 패치 제품 취약성에 대한 언론 보도를 계속 보고 있습니다. 이것은 QNAP 제품이 안전하지 않다는 것을 의미합니까?

세상에 완벽한 소프트웨어와 하드웨어는 없습니다. 다양한 제조업체가 개발한 독점 소프트웨어든, 오픈 소스 소프트웨어든, 심지어 하드웨어든, 취약점은 항상 발견되고 제조업체가 패치합니다. 다른 주요 기술 회사와 마찬가지로 QNAP은 알려진 취약성을 계속 패치한 다음 사용자가 가능한 한 빨리 업데이트할 수 있도록 업데이트 파일을 릴리스하여 사용자의 장치와 데이터의 보안을 보장합니다. QNAP PSIRT는 또한 사용자가 발생하는 문제에 대해 조치할 수 있도록 외부 공개를 위한 사이버 보안 알림을 발행합니다.
QNAP은 취약성을 개방적이고 투명한 방식으로 처리하면 사용자의 알 권리를 보호하고 제품 안전성을 개선하는 데 도움이 될 수 있다고 믿습는다. 또한 사용자는 언론 보도 전에 관련되고 정확하며 완전한 정보를 얻기 위해 QNAP 보안 권고에 가입할 수 있습니다.

3-2-1 백업 원칙은 무엇입니까?

3-2-1 백업 원칙은 IT 업계에서 잘 알려진 백업 원칙입니다. 그것은 최악의 경우에 대비합니다. 재해 발생 시 데이터를 복원하고 데이터 손실을 방지하기 위한 백업 파일이 있어야 합니다.
“3” 백업 3-2-1에서 “3”은 최소 3개의 백업 복사본을 의미하며, “2”는 최소 2개의 스토리지 미디어를 의미하며, “1”은 최소 1개의 복사본이 오프사이트 백업임을 의미합니다. 3-2-1 백업 원칙에 따라 우발적인 수정, 삭제, 하드웨어 손상, 바이러스 감염, 화재 홍수 등 재해에 관계없이 복원할 수 있는 백업 파일이 마련됩니다.
이러한 원리를 충족하기 위해 QNAP NAS에는 Hybrid Backup Sync 3 (HBS3), 스냅샷 복제 및 SnapSync(QuTS hero만 지원)가 포함되어 NAS의 데이터를 오프사이트 NAS, 퍼블릭 클라우드, 외부 스토리지, 기타 파일 서버 및/또는 기타 장치에 백업하여 손실이 없도록 합니다.

스토리지

네트워킹

확장 액세서리

영상보안

NAS