보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

KISA, 안전한 데이터 보호 위한 ‘NAS 보안 가이드’ 발간

입력 : 2024-02-28 17:42
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
2022~2023년 랜섬웨어 침해사고 기관 백업 비중 16% 늘 때, 백업 감염 비중 18% 증가
8대 보안 실천수칙 및 제조사별 상세 보안 가이드 수록


[보안뉴스 김영명 기자] 한국인터넷진흥원(원장 이상중, 이하 KISA)과 과학기술정보통신부(장관 이종호)는 개인과 기업의 주요 데이터 백업 매체로 네트워크 결합 스토리지(Network Attached Storage, NAS) 서버가 활용됨에 따라 이용자의 안전한 데이터 보호를 위한 ‘NAS 보안 가이드’를 발간한다고 밝혔다.

▲안전한 데이터 보호를 위한 NAS의 필수보안 8가지 수칙[자료=KISA]


NAS는 네트워크가 결합된 스토리지 장치로 사용자의 중요 데이터를 저장하고 어디에서나 저장된 데이터에 접근할 수 있도록 편의를 제공한다. 또한 단순한 저장장치의 기능을 넘어 웹 호스팅, 미디어 스트리밍, 모바일 애플리케이션 등 다양한 부가 기능을 제공하고 있다.

NAS 서버는 인터넷 환경에 노출된 경우가 많아 해커들의 주공격 대상이 되고 있으며, NAS에 저장된 데이터를 특정해 겨냥하는 랜섬웨어도 등장하고 있다. 지난해에는 주요 NAS 제조사 제품에 내장된 애플리케이션 취약점을 악용하는 랜섬웨어가 등장해 사용자의 데이터를 암호화하고 금전을 요구하는 등 피해를 주기도 했다.

KISA에 신고된 랜섬웨어 침해사고 기업 및 기관의 백업 여부 현황을 살펴보면 2022년 42%에서 2023년 58%로 백업 비중은 증가했지만, 백업까지 감염된 비중은 21%에서 39%로 증가한 것으로 파악됐다. 이에 따라 KISA는 NAS를 겨냥한 보안 위협에 대한 실질적인 점검 방법과 함께 대응방안을 제시하기 위해 보안 가이드 및 보안 수칙을 마련했다.

KISA에서 제공 중인 중소기업 원격 보안점검 서비스(내 서버 돌보미)에 접수된 통계에 따르면 537개 기업 중 151개 기업(28%)이 NAS 서버를 도입해 운영하는 것으로 나타났다. KISA는 이용률이 높은 NAS 제조사 3종(시놀로지, 큐냅, EFM 네트웍스의 아이피타임)을 중심으로 상세 보안 가이드를 제작했다.

또한 KISA는 보안 위협에 대응하기 위한 필수보안 8가지 수칙으로 △암호화 사용 △접근 제어와 권한 관리 △네트워크 보안 △펌웨어 및 소프트웨어 업데이트 △백업 및 복원 전략 △감사 로깅과 모니터링 △업데이트된 안전한 앱 사용 △랜섬웨어 방지 등을 마련했다. 이번에 발간한 NAS 보안 가이드 및 보안수칙은 KISA 보호나라 홈페이지를 통해 누구나 확인할 수 있다.

KISA 임진수 침해예방단장은 “NAS 서버의 활용 증가와 지능화된 사이버 공격으로 인해 안전한 데이터 보호의 필요성은 기업과 개인 모두에게 강조된다”며 ”KISA는 앞으로도 체계적인 보안 정책을 제시해 사용자들이 안전하게 디지털 기술을 활용할 수 있도록 노력하겠다“고 밝혔다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)