NAS를 처음 설치하고 나면 대부분의 사람들이 가장 먼저 하는 일이 파일을 올려보는 것이다. 그런데 그 전에 반드시 짚고 넘어가야 할 단계가 있다. 바로 보안 설정이다. 시놀로지 DSM은 기본적으로 외부 접속이 가능한 구조로 운영되는 경우가 많기 때문에, 아무 설정 없이 사용을 시작하면 생각보다 빠르게 외부 공격의 표적이 된다. 귀찮다고 미루다가 나중에 후회하는 일이 생기기 전에, 처음 한 번만 제대로 해두면 이후에는 신경 쓸 일이 거의 없다.
기본 계정부터 다시 점검해야 한다
시놀로지 DSM을 처음 설치하면 ‘admin’이라는 기본 관리자 계정이 자동으로 생성된다. 이 계정은 외부 공격자들이 가장 먼저 시도하는 대상이다. 기본 admin 계정은 반드시 비활성화하고, 별도로 만든 관리자 계정으로만 접속하는 습관을 들여야 한다. 이름만 바꿔도 자동화된 무차별 대입 공격의 상당 부분을 걸러낼 수 있다. 계정 이름을 설정할 때는 이메일 주소나 실명처럼 쉽게 추측할 수 있는 형태는 피하는 것이 좋다. 비밀번호는 길이와 복잡도 모두 중요하지만, 현실적으로는 16자 이상의 무작위 조합을 패스워드 매니저에 저장해 두는 방식이 가장 안정적이다.
2단계 인증은 선택이 아니라 기본이다
계정 보안에서 비밀번호만으로는 충분하지 않다. 비밀번호가 유출되더라도 접근을 막을 수 있는 장치가 필요한데, 그것이 바로 2단계 인증(2FA)이다. 시놀로지 DSM에서는 Secure SignIn 앱이나 Google Authenticator 같은 OTP 앱을 통해 2단계 인증을 설정할 수 있다. 관리자 계정에는 반드시 2단계 인증을 적용해야 하며, 가족 구성원이나 외부 사용자 계정도 중요 데이터에 접근할 수 있다면 동일하게 적용하는 편이 낫다. 처음 설정할 때 QR 코드를 스캔하고 인증 앱을 연결하는 과정이 다소 번거롭게 느껴질 수 있지만, 이 몇 분짜리 작업이 이후 수개월 혹은 수년의 보안 기반이 된다.
자동 차단 기능으로 반복 시도를 막는다
외부에서 NAS에 접속을 시도하는 공격 중 상당수는 사람이 직접 입력하는 것이 아니라 자동화된 프로그램이 수천 번씩 비밀번호를 대입하는 방식이다. 이런 공격을 막기 위해 시놀로지 DSM은 ‘자동 차단’ 기능을 제공한다. 제어판의 보안 메뉴에서 설정할 수 있으며, 일정 횟수 이상 로그인에 실패하면 해당 IP를 자동으로 차단하는 방식이다. 로그인 실패 횟수는 5회 이내로 설정하고, 차단 유지 시간은 최소 몇 시간 이상으로 두는 것을 권장한다. 아울러 허용 목록에는 자신의 집 IP나 자주 사용하는 VPN 대역을 등록해 두면 실수로 자신이 차단당하는 상황도 방지할 수 있다.
HTTPS 접속으로 통신 자체를 암호화한다
NAS에 접속할 때 사용하는 통신이 암호화되지 않으면, 같은 네트워크 상에 있는 누군가가 데이터를 가로채는 것이 기술적으로 가능하다. 특히 외부에서 NAS에 접근할 때는 더욱 위험하다. 시놀로지는 Let’s Encrypt를 통한 무료 SSL 인증서 발급을 지원하기 때문에, 도메인이 있다면 별도 비용 없이 HTTPS를 적용할 수 있다. DSM 제어판의 보안 항목에서 HTTP 연결을 HTTPS로 자동 리디렉션하도록 설정해두면, 이후에는 HTTP로 접속을 시도해도 자동으로 암호화된 연결로 전환된다. QuickConnect를 사용하는 경우에도 내부적으로 SSL 통신이 적용되지만, 자체 도메인으로 접속하는 환경이라면 인증서 관리를 직접 챙기는 것이 더 안전하다.
권한 분리가 실질적인 피해를 줄인다
보안 사고가 발생했을 때 피해 범위를 최소화하는 가장 현실적인 방법은 계정별로 접근 권한을 명확히 분리해두는 것이다. 관리자 계정으로 모든 작업을 처리하는 습관은 편하지만, 해당 계정이 탈취될 경우 NAS 전체가 위험에 노출된다. 일상적인 파일 관리에는 일반 사용자 계정을 사용하고, 시스템 설정 변경이 필요한 경우에만 관리자 계정으로 전환하는 방식이 가장 이상적이다. 가족과 함께 NAS를 사용한다면 각자의 계정을 만들고, 접근 가능한 폴더와 앱 권한을 개별적으로 지정해두면 실수나 의도치 않은 데이터 변경도 방지할 수 있다. 공유 폴더 단위로 읽기 전용과 읽기·쓰기 권한을 구분하는 것만으로도 데이터 보호 수준이 눈에 띄게 달라진다.
방화벽과 알림 설정으로 마무리한다
위에서 설명한 설정들을 모두 마쳤다면 마지막으로 방화벽과 알림 설정을 점검한다. DSM 방화벽에서는 특정 국가나 IP 대역의 접근 자체를 차단할 수 있어, 실제로 접속할 일이 없는 지역에서 오는 트래픽을 원천 차단하는 데 효과적이다. 그리고 보안 이벤트 발생 시 이메일이나 앱 알림으로 즉시 통보받을 수 있도록 알림 설정을 활성화해두면, 문제가 생겼을 때 빠르게 대응할 수 있다. 로그인 실패가 반복되거나 차단된 IP가 발생할 때 알림이 오도록 설정해두는 것만으로도 NAS 상태를 훨씬 능동적으로 파악할 수 있다. 보안은 한 번 설정하고 끝내는 것이 아니라 꾸준히 확인하는 습관이 함께해야 의미가 있다.
보안 설정이 어느 정도 갖춰졌다면, 이제 NAS를 실제로 활용하는 단계로 넘어갈 준비가 된 것이며, 다음 글에서는 파일 정리와 공유, 백업 효율을 실질적으로 높이는 운영 방법을 구체적으로 다룬다.
함께 보면 좋은 글