NAS 접근권한 ‘모든 사용자’일 경우 구글에 노출될 수 있어

[보안뉴스 김경애·민세아] NAS(Network Attached Storage)에서 특정 접근권한 설정으로 인해 구글에서 검색되어 불특정 사용자가 NAS에 접속할 수 있다는 문제가 제기됐다.

NAS는 네트워크에 접속해 사용하는 데이터 저장장치를 말한다. 외장하드와는 다르게 네트워크에만 연결되면 어디서든 접속이 가능하다. 이처럼 시간이나 공간의 제약을 받지 않는다는 편리함 때문에 NAS 사용자가 점점 늘고 있는 추세다.

이러한 가운데 특정 공유기 업체의 NAS 제품군에서 외부 인터넷을 통한 접속 시 사용자가 원하는 인터넷 도메인 주소를 지정해 도메인만으로 접속할 수 있는 DDNS 기능을 지원하는데, 이러한 도메인 주소가 구글에 노출된다는 것이다.

해당 문제점을 본지에 제기한 장웅태(서울호서전문학교 사이버해킹보안과 재학) 씨는 “NAS 서비스는 사용자 본인이나 인가된 사용자만 접근해야 하는데, 특정 NAS 제품군의 구글 검색 캐시가 노출되어서 관리자 권한 없이 접속·다운로드 할 수 있는 문제점이 있다”고 전했다.

이와 관련 MS 강흥수 연구원은 “해당 공유기 업체에서 제공하는 NAS의 경우 사용자의 PC에서 전용 FTP서버를 지원해주고, DDNS 기능을 통해 도메인 연결을 간편하게 해준다”며, “NAS를 이용할 때 제대로 접근권한 설정 등의 보안설정을 하지 않아 이력서 등 중요 개인정보를 포함한 파일이 노출될 수 있다”며 주의를 당부했다.

즉, 접근권한 설정이 제대로 되어있지 않으면 NAS에 사용자가 공유한 파일들을 누구나 다운로드 받을 수 있다는 얘기다. NAS는 중요한 자료를 안전하게 보관할 수 있다는 이점이 있지만, 개인이 어떤 정보를 누구와 공유하느냐에 따라 중요 정보 및 개인정보가 노출될 수 있다는 얘기다.

또한, 강 연구원은 “구글 검색을 통해 노출된 해당 NAS 도메인에는 암호를 걸어놓은 서버들도 포함돼 있다”고 덧붙였다.

해당 NAS 업체 측은 “NAS에서는 저장되는 파일에 대한 사용자별 권한설정을 할 수 있는데, 폴더 접근 권한을 ‘모든 사용자’로 주는 경우 URL 주소를 알면 누구나 접근할 수 있다. 처음 구매했을 당시에는 관리자 권한만 주어지기 때문에 ‘모든 사용자’가 접근할 수 있게 하려면 따로 설정을 해야 한다. 자료를 공유할 목적으로 ‘모든 사용자’가 접근 가능하게 설정할 경우 개인정보 유출 등의 문제를 일으킬 수 있기 때문에 NAS에 중요 정보나 민감한 데이터를 올려놓으면 안 된다. NAS 기능 중 캡챠코드를 입력해야 로그인할 수 있는 기능도 있지만 아직까지 보안의식이 부족해 이런 기능을 사용하는 사용자가 많지 않다. 정보 노출을 차단하기 위해서는 해당 제품 사용자가 ‘모든 사용자’ 접근 권한을 부여하지 않는 것”이라고 말했다.

사용자별 권한을 설정할 때에도 신뢰할 수 있는 사용자만 접근할 수 있도록 하는 것이 가장 중요하다. NAS에 접근하는 ‘모든 사용자’에게 ‘읽기’ 권한뿐만 아니라 ‘쓰기’ 권한까지 주어진다면 악성코드를 심을 수 있는 위험성도 존재하기 때문에 NAS 사용자는 보안설정에 더욱 주의를 기울일 필요가 있다.

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>