"NAS 관리자 비밀번호 안 바꾸면 해킹 노출된다"

비밀번호 등 기초적인 보안 설정을 소홀히 한 NAS(네트워크 저장장치)를 공격하는 사례가 빈발하고 있다. 업무에 필요한 자료, 혹은 사진이나 동영상 등 개인 사생활 관련 자료를 NAS에 저장한 경우 주의가 필요하다.

국가정보원 산하 국가사이버안보센터는 지난 11월 국내 유통 일부 NAS 제품의 해킹 공격 악용 사례를 공개하며 보안 강화를 촉구했다. 보안 설정을 소홀히 할 경우 NAS에 저장한 중요 자료가 유출 등 보안 사고가 일어날 수 있다는 것이다.

■ 원격근무로 NAS 설치하는 기업·기관 증가

NAS(네트워크 저장장치)는 클라우드 기반 스토리지 서비스와 달리 용량이나 기능 제한 없이 필요한 자료를 부서별·조직별로 자유롭게 공유할 수 있는 대용량 저장장치다.

지난 해 2분기 이후 코로나19 범유행(팬더믹)으로 원격근무가 보편화됐고 메신저나 이메일을 통해 대용량 데이터 공유에 한계를 느낀 기업이나 기관이 NAS를 설치하는 사례가 늘어났다.

문제는 중소기업이나 소규모 기관에서 NAS를 도입하며 관리자 비밀번호나 기기 초기 설정용 비밀번호, 또는 공유된 폴더에 접근할 때 필요한 비밀번호를 설정하지 않는 경우다.

■ "관리자 비밀번호 방치하면 해킹 노출된다"

국가정보원 산하 국가사이버안보센터는 지난 11월 중순 EFM네트웍스가 제조한 IP타임 NAS에 대해 보안강화 권고를 내렸다. 비밀번호 설정이나 권한 설정 등 보안 관리가 부실한 경우 외부 해킹공격, 자료 유출 등 위험이 있다는 이유에서다.

국가사이버안보센터는 "해당 제품을 설치한 기관의 IP가 외부 해킹 공격에 악용된 사실을 확인했고 이를 방지하려면 초기 관리자 비밀번호 변경, 펌웨어 업데이트, 접근 권한 설정 등이 필요하다"고 설명했다.

EFM네트웍스도 지난 11월 17일 취약점을 지닌 제품 8종에 대한 펌웨어 업데이트를 공개했다. 기본 비밀번호를 지정하지 않으면 설정을 마칠 수 없도록 조치했다.

그러나 주요 NAS 제조사 관계자들은 "관리자 비밀번호, 권한 설정 등은 특정 제조사 제품이 아닌 모든 제조사 제품에 반드시 필요한 조치"라고 강조했다.

■ 'admin' 계정 차단하고 비밀번호는 복잡하게

외부에서 NAS를 공격할 때 가장 흔히 쓰이는 관리자 계정 이름은 'admin'이다. 대부분의 NAS 제조사가 관리자 계정 이름을 'admin'으로 설정해 놓기 때문이다. 최근 출시되는 제품은 'admin' 계정을 비활성화하고 다른 사용자 이름으로 로그인하게 한다.

NAS 제조사 관계자들은 "미니PC나 구형PC에 NAS 운영체제를 직접 설치하거나, 혹은 구형 제품을 그대로 이용한다면 'admin' 계정이 그대로 열려있을 수 있기 때문에 반드시 확인해야 한다"고 설명했다.

로그인 때 입력하는 비밀번호도 기억할 수 있는 범위 안에서 복잡하게 설정하는 것이 좋다. 스마트폰에 설치한 외부 OTP 앱이나 NAS 제조사 자체 앱으로 비밀번호 입력을 대체하는 기능도 유용하다.

■ 제조사의 지속적인 업데이트 여부도 확인해야

웹브라우저로 NAS 내부에 접속하면 그래픽으로 구성된 메뉴 화면과 각종 앱을 쓸 수 있지만 수면 아래서는 각 제조사가 최적화를 거친 리눅스 운영체제가 실행된다.

리눅스 운영체제는 오픈소스 소프트웨어를 많이 탑재하는 데 보안 문제가 뒤늦게 발견되면 NAS 역시 공격 대상이 된다. 문제는 NAS 제조사가 운영체제 업데이트를 중단할 경우 각종 공격에 속수무책으로 노출된다는 점이다.

관련기사