유틸리

초보 운영자를 위한 우분투 서버 보안 인프라 구축

작성자

interpia23

카테고리:

초보 운영자를 위한 우분투 서버 보안 인프라 구축

초보 운영자를 위한 우분투 서버 보안 인프라 구축: 완벽 가이드

서론 (Introduction)

훅 (Hook): 워드프레스 블로그를 만들고, 도커로 멋진 서비스를 띄우고, n8n으로 나만의 자동화 시스템을 구축하셨나요? 축하합니다! 하지만 이제부터 진짜 시작입니다. 인터넷에 연결된 서버는 24시간 내내 자동화된 공격에 노출됩니다. 로그인 시도, 취약점 스캔 등 보이지 않는 위협이 여러분의 소중한 데이터를 노리고 있습니다.

글의 목표: 이 글은 우분투(Ubuntu) 서버를 처음 운영하는 분들을 위해, 복잡한 이론 대신 당장 적용할 수 있는 핵심 보안 인프라 구축 단계를 쉽고 명확하게 안내하는 것을 목표로 합니다.

대상 독자: 개인 프로젝트나 소규모 비즈니스를 위해 처음 서버를 구축한 분, 혹은 서버 보안의 첫걸음을 어디서부터 시작해야 할지 막막한 모든 사용자를 대상으로 합니다.

기대 효과: 이 가이드의 단계를 차근차근 따라 하면 기본적인 보안 취약점을 대부분 해결하고, 해킹 위협으로부터 서버를 보호하며 안정적인 서비스 운영의 튼튼한 기반을 다질 수 있습니다.

서버 초기 보안 설정: 튼튼한 기반 다지기

SSH 보안 강화: 원격 접속의 문지기

SSH는 서버를 원격으로 제어하는 통로입니다. 이 문이 허술하다면 모든 것이 뚫리는 것과 같습니다. 가장 먼저 SSH 보안부터 강화해야 합니다.

설정 단계:

  • 기본 SSH 포트 변경: 공격자들은 기본 포트인 22번을 집중적으로 노립니다. 잘 사용하지 않는 포트(예: 2222, 10000 이상)로 변경하는 것이 좋습니다. sudo nano /etc/ssh/sshd_config 명령어로 설정 파일을 열고 #Port 22 부분을 찾아 주석(#)을 제거하고 원하는 포트 번호로 수정하세요. (예: Port 2222)
  • 루트(root) 로그인 비활성화: 루트는 서버의 모든 권한을 가진 슈퍼 계정입니다. 루트 로그인을 직접 허용하는 것은 매우 위험합니다. 설정 파일에서 PermitRootLogin yesPermitRootLogin no로 변경합니다.
  • 비밀번호 대신 SSH 키 기반 인증 설정: 비밀번호는 무차별 대입 공격에 취약할 수 있습니다. 대신 암호화 키를 사용해 인증하는 것이 훨씬 안전합니다. 로컬 PC에서 ssh-keygen 명령어로 키를 생성한 후, ssh-copy-id [사용자명]@[서버 IP] 명령어로 서버에 공개키를 등록합니다. 이후 설정 파일에서 PasswordAuthentication yesPasswordAuthentication no로 변경합니다.

흔한 실수:

  • ‘admin1234’와 같이 추측하기 쉬운 비밀번호를 사용하는 것.
  • 편하다는 이유로 루트 로그인을 계속 허용하는 것.
  • 생성한 개인 키(.pem 또는 id_rsa) 파일을 아무 곳에나 방치하거나 다른 사람에게 유출하는 것.

실용적인 팁: ssh-keygen으로 키를 생성할 때 4096비트 RSA 키(-b 4096)나 Ed25519 키(-t ed25519)처럼 강력한 암호화 방식을 사용하세요. 개인 키 파일은 반드시 안전한 곳에 백업해두어야 합니다.

운영상 주의사항: SSH 설정 변경 후에는 sudo systemctl restart sshd로 서비스를 재시작해야 적용됩니다. 재시작하기 전에, 현재 터미널은 닫지 말고 새로운 터미널을 열어 변경된 설정(새 포트, 키 인증)으로 접속이 잘 되는지 반드시 테스트하세요. 테스트 없이 창을 닫으면 서버에 접속하지 못하는 ‘Lock-out’ 상태가 될 수 있습니다.

사용자 및 권한 관리: 최소 권한의 원칙

모든 작업을 루트 계정으로 하는 것은 집에 문을 활짝 열어두고 외출하는 것과 같습니다. 꼭 필요한 사람에게, 꼭 필요한 권한만 부여하는 것이 ‘최소 권한의 원칙’입니다.

설정 단계:

  • sudo 권한을 가진 일반 사용자 계정 생성: sudo adduser [새로운사용자명]으로 새 사용자를 만들고, sudo usermod -aG sudo [새로운사용자명] 명령어로 관리자 그룹(sudo)에 추가합니다. 앞으로는 이 계정으로 로그인하고, 관리자 권한이 필요할 때만 명령어 앞에 sudo를 붙여 사용합니다.
  • 불필요한 사용자 계정 삭제 또는 비활성화: 더 이상 사용하지 않는 계정은 잠재적인 보안 위협이 될 수 있습니다. sudo userdel [사용자명]으로 삭제하거나 sudo passwd -l [사용자명]으로 계정을 잠급니다.
  • 파일 및 디렉터리 권한 이해: chmod(권한 변경)와 chown(소유자 변경) 명령어를 이해해야 합니다. 웹 서버 파일은 웹 서버 프로세스(예: www-data)가 읽을 수 있어야 하지만, 아무나 쓸 수 있게 해서는 안 됩니다.

흔한 실수:

  • 귀찮다는 이유로 모든 작업을 루트 계정으로 수행하는 것.
  • 권한 문제가 발생했을 때 해결책을 찾기보다 일단 chmod -R 777 [디렉터리] 명령어로 모든 권한을 열어버리는 것. (이는 모든 사용자에게 읽기, 쓰기, 실행 권한을 주는 최악의 설정입니다.)

실용적인 팁: 운영하는 서비스(예: 워드프레스, 데이터베이스)마다 전용 사용자를 만들고 필요한 최소한의 권한만 부여하는 습관을 들이세요. 정기적으로 /etc/passwd 파일을 검토하여 불필요한 사용자가 있는지 확인합니다.

운영상 주의사항: sudo rm -rf /와 같은 파괴적인 명령어를 실수로 실행하지 않도록 sudo 사용 시에는 항상 명령어를 다시 한번 확인하는 습관이 중요합니다. 중요한 시스템 파일의 권한을 변경하기 전에는 반드시 현재 상태를 기록해두거나 백업하세요.

네트워크 방어막 구축: 외부 위협 차단

UFW 방화벽 설정: 필요한 문만 열어두기

방화벽은 서버로 들어오고 나가는 모든 네트워크 트래픽을 감시하고, 정해진 규칙에 따라 허용하거나 차단하는 역할을 합니다. 우분투의 UFW(Uncomplicated Firewall)는 이름처럼 사용법이 매우 간단하고 강력합니다.

설정 단계:

  • UFW 설치 및 활성화: sudo apt install ufw로 설치하고, sudo ufw enable로 활성화합니다.
  • 필수 포트 허용: 방화벽을 켜기 전에 가장 먼저 할 일은 나의 SSH 접속을 허용하는 것입니다. sudo ufw allow [SSH포트번호] (예: sudo ufw allow 2222) 명령어를 실행합니다. 이후 웹 서비스를 위해 sudo ufw allow http (80번 포트)와 sudo ufw allow https (443번 포트)를 추가합니다.
  • 서비스별 추가 포트 개방: 도커 컨테이너나 n8n 등 특정 포트를 사용하는 서비스를 운영한다면 해당 포트도 열어주어야 합니다. (예: sudo ufw allow 5678)

흔한 실수:

  • 방화벽을 아예 설정하지 않고 모든 포트를 열어두는 것.
  • SSH 포트를 허용하는 규칙을 추가하기 전에 ufw enable을 실행하여 스스로의 접속을 차단하는 것. (콘솔 접근이 불가능하면 서버를 재설치해야 할 수도 있습니다.)

실용적인 팁: sudo ufw default deny incoming 명령어로 기본적으로 모든 외부에서의 접속(인바운드)을 차단하는 정책을 설정하는 것이 안전합니다. sudo ufw status verbose 명령어를 사용하면 현재 방화벽 규칙과 동작 상태를 자세히 확인할 수 있습니다.

운영상 주의사항: 새로운 서비스를 설치하고 외부에서 접속이 안 된다면 가장 먼저 방화벽에서 해당 포트를 열어주었는지 확인해야 합니다. 이는 초보 운영자들이 가장 흔하게 겪는 문제입니다.

포트 스캔 및 불필요한 서비스 관리

서버에 문(포트)이 열려있다는 것은 해당 문을 통해 서비스를 제공한다는 의미입니다. 사용하지 않는 문은 잠그는 것이 당연합니다.

설정 단계:

  • 열려있는 포트 확인: sudo ss -ltnp 또는 sudo netstat -tulpn 명령어를 실행하면 현재 어떤 서비스가 어떤 포트를 사용하며 듣고(LISTEN) 있는지 확인할 수 있습니다.
  • 불필요한 서비스 중지 및 비활성화: 확인된 목록 중 사용하지 않는 서비스가 있다면 중지하고, 시스템 부팅 시 자동으로 시작되지 않도록 비활성화해야 합니다. sudo systemctl stop [서비스명]으로 즉시 중지하고, sudo systemctl disable [서비스명]으로 자동 시작을 막습니다.

흔한 실수:

  • 서버를 설치할 때 기본적으로 활성화된 불필요한 서비스(예: 메일 서버, 오래된 프로토콜 서버)를 그대로 방치하는 것.
  • 알려진 취약점이 있는 서비스의 기본 포트를 그대로 사용하는 것.

실용적인 팁: 정기적으로 (예: 한 달에 한 번) 열려있는 포트를 검토하여 내가 모르는 서비스가 실행되고 있지는 않은지 확인하는 습관을 가지세요. 서비스가 꼭 필요하더라도, 외부 인터넷에 노출될 필요가 없다면 방화벽에서 내부 IP 대역(예: 127.0.0.1)에서만 접속을 허용하도록 설정할 수 있습니다.

운영상 주의사항: 서비스를 중지시킬 때는 이것이 시스템 운영에 필수적인 서비스인지 확인해야 합니다. `cron`(작업 스케줄러), `systemd`(시스템 관리자) 등 핵심 시스템 서비스를 중지하면 서버가 오작동할 수 있습니다.

자동화된 위협 대응 시스템 구축

Fail2ban 설정: 무차별 대입 공격으로부터 보호

Fail2ban은 서버 로그 파일을 감시하다가 비정상적인 접근 시도(예: 짧은 시간 내에 SSH 로그인 실패 반복)가 감지되면 해당 IP를 일정 시간 동안 방화벽에서 자동으로 차단해주는 아주 유용한 도구입니다.

설정 단계:

  • Fail2ban 설치 및 설정: sudo apt install fail2ban으로 설치합니다. 기본 설정 파일인 /etc/fail2ban/jail.conf를 직접 수정하지 말고, sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local 명령어로 복사본을 만듭니다. 앞으로 모든 설정은 jail.local 파일에서 합니다.
  • Jail 활성화: sudo nano /etc/fail2ban/jail.local 파일을 열어 보호하고 싶은 서비스의 설정을 변경합니다. SSH는 [sshd] 섹션 아래에 enabled = true를 추가하면 활성화됩니다. 워드프레스 로그인 실패 등을 감지하는 규칙도 추가할 수 있습니다.
  • 설정 커스터마이징: bantime은 차단 시간(초), maxretry는 허용할 실패 횟수입니다. 이 값을 서비스 특성에 맞게 조절할 수 있습니다. (예: bantime = 1h, maxretry = 3)

흔한 실수:

  • Fail2ban을 설치만 해두고 아무런 설정을 하지 않아 실제로는 동작하지 않는 경우.
  • 로그 파일 경로가 실제 경로와 달라(예: Nginx 로그 경로 변경) 공격을 감지하지 못하는 경우.

실용적인 팁: SSH 뿐만 아니라 Nginx, Apache 등 웹 서버의 비정상 접근을 감시하는 Jail 규칙을 활성화하면 더 효과적입니다. 특정 IP(예: 사무실 고정 IP)를 차단 대상에서 제외하고 싶다면 ignoreip 설정에 추가할 수 있습니다. sudo fail2ban-client status sshd 명령어로 sshd Jail의 동작 상태와 차단된 IP 목록을 확인할 수 있습니다.

운영상 주의사항: 너무 엄격한 규칙은 정상적인 사용자가 실수로 차단되는 오탐(false positive)을 유발할 수 있습니다. 차단된 IP 목록을 주기적으로 모니터링하고, 필요하다면 sudo fail2ban-client unban [IP주소] 명령어로 차단을 해제할 수 있습니다.

정기적인 시스템 및 소프트웨어 업데이트

소프트웨어의 취약점은 계속해서 발견됩니다. 업데이트는 새로운 기능을 추가하는 것뿐만 아니라, 이러한 보안 구멍을 막는 가장 기본적이고 중요한 활동입니다.

설정 단계:

  • 수동 업데이트: sudo apt update 명령어로 패키지 목록을 최신화하고, sudo apt upgrade 명령어로 설치된 패키지들을 업데이트합니다. 이 작업은 최소한 일주일에 한 번은 직접 실행하는 것이 좋습니다.
  • 보안 업데이트 자동화: 매번 직접 하기 번거롭다면, 보안과 관련된 중요한 업데이트만 자동으로 설치하도록 설정할 수 있습니다. sudo apt install unattended-upgrades 패키지를 설치하고 간단한 설정을 통해 자동화를 활성화할 수 있습니다.

흔한 실수:

  • ‘업데이트하면 서비스가 멈출까 봐’ 두려워서 몇 달, 몇 년간 업데이트를 전혀 하지 않고 방치하는 것.
  • 중요한 운영 서버의 업데이트를 진행하기 전에 스냅샷이나 백업을 받아두지 않는 것.

실용적인 팁: 모든 업데이트를 자동화하기보다는, 보안 패치(Security updates)만 자동으로 적용하고, 일반적인 기능 업데이트는 테스트 후 수동으로 진행하는 것이 안정성과 보안을 모두 잡는 방법입니다.

운영상 주의사항: 자동 업데이트는 편리하지만, 드물게 특정 서비스와 충돌을 일으킬 수 있습니다. 특히 데이터베이스나 웹 서버의 메이저 버전 업그레이드(예: PHP 7.4 -> 8.0)는 호환성 문제가 발생할 수 있으므로, 반드시 충분한 테스트 후에 수동으로 진행해야 합니다.

지속적인 보안 관리 및 모범 사례

정기적인 백업 전략: 최후의 보루

아무리 보안을 철저히 해도 100% 안전은 없습니다. 랜섬웨어나 관리자 실수로 데이터가 손상되었을 때, 우리를 구해줄 수 있는 것은 오직 잘 받아둔 백업뿐입니다.

설정 단계:

  • 백업 솔루션 선택: rsync와 cron을 조합하여 다른 서버나 스토리지로 파일을 복사하는 스크립트를 만들 수 있습니다. rclone을 사용하면 구글 드라이브, S3 등 클라우드 스토리지에 쉽게 백업할 수 있습니다.
  • 백업 스케줄링: cron을 이용해 매일 새벽 등 서버 부하가 적은 시간에 백업이 자동으로 실행되도록 설정합니다.
  • 안전한 보관: 백업 데이터는 반드시 원본 서버가 아닌 물리적으로 다른 위치(다른 서버, 클라우드 스토리지, 외부 하드디스크 등)에 보관해야 합니다.

흔한 실수:

  • 백업은 열심히 하지만, 그 백업 파일로 실제로 복원이 가능한지 테스트해보지 않는 것.
  • 백업 파일을 원본 데이터와 같은 서버에 보관하는 것. (서버가 해킹당하면 백업 파일도 함께 사라집니다.)

실용적인 팁: ‘3-2-1 백업 규칙’을 따르는 것이 이상적입니다. 최소 3개의 복사본을 만들고, 2개의 다른 종류의 저장 매체에 보관하며, 그중 1개는 물리적으로 떨어진 다른 장소(오프사이트)에 보관하는 것입니다.

운영상 주의사항: 백업이 정상적으로 완료되었는지, 실패하지는 않았는지 알림을 설정하는 것이 중요합니다. 주기적으로 백업 데이터의 무결성을 검사하고, 일부 파일을 실제로 복원해보는 훈련을 통해 유사시 빠르고 정확하게 대응할 수 있습니다.

보안 로그 모니터링 및 감사

로그 파일은 서버에서 일어나는 모든 일을 기록하는 블랙박스와 같습니다. 침입 시도가 있었는지, 어떤 문제가 발생했는지 파악하는 중요한 단서가 됩니다.

설정 단계:

  • 주요 로그 파일 위치 파악: 우분투에서는 /var/log/auth.log(사용자 인증 및 로그인 기록), /var/log/syslog(전반적인 시스템 로그), /var/log/ufw.log(방화벽 로그) 등이 중요합니다.
  • 로그 관리: logrotate는 로그 파일이 너무 커지지 않도록 주기적으로 압축하고 오래된 로그를 삭제해주는 도구입니다. 대부분 기본 설정으로도 충분하지만 필요에 따라 설정을 변경할 수 있습니다.
  • 간단한 로그 분석: grep, awk, tail 같은 기본 리눅스 명령어를 사용해 특정 키워드(예: ‘Failed password’, ‘denied’)를 포함한 로그를 실시간으로 확인하거나 검색하는 방법을 익혀두면 유용합니다.

흔한 실수:

  • 서버에 문제가 생기기 전까지 로그 파일을 한 번도 열어보지 않는 것.
  • 로그 파일이 디스크 용량을 가득 채울 때까지 방치하는 것.

실용적인 팁: 매일 아침 서버에 접속했을 때, 지난밤 동안 의심스러운 로그인 시도가 있었는지 grep 'Failed' /var/log/auth.log 명령어로 확인하는 습관을 들이는 것만으로도 많은 위협을 조기에 발견할 수 있습니다.

운영상 주의사항: 로그 분석은 꾸준함이 중요합니다. 평소의 정상적인 로그 패턴을 눈에 익혀두어야 비정상적인 상황이 발생했을 때 빠르게 이상 징후를 알아차릴 수 있습니다.

결론 (Conclusion)

요약: 우분투 서버 보안은 어느 한 가지 방법으로 완성되지 않습니다. 안전한 원격 접속(SSH), 촘촘한 네트워크 방어(방화벽), 최소한의 권한 부여(사용자 관리), 자동화된 위협 대응(Fail2ban), 그리고 꾸준한 업데이트와 백업이라는 여러 겹의 방어막을 칠 때 비로소 견고해집니다.

최종 권고: 초보 운영자라도 이 가이드에서 제시된 기본 단계들을 충실히 따른다면, 인터넷에 떠도는 대부분의 자동화된 공격과 일반적인 위협으로부터 서버를 안전하게 보호할 수 있습니다.

장기적인 관점: 서버 보안은 한 번 설정하고 끝나는 작업이 아닙니다. 새로운 위협은 계속해서 등장하기에, 지속적인 관심과 노력이 필요한 과정입니다. 꾸준히 관련 정보를 학습하고 서버에 적용하며 더 안전한 운영 환경을 만들어나가세요.

독려: 이론은 충분합니다. 지금 바로 여러분의 소중한 우분투 서버에 첫 번째 보안 인프라를 구축해 보세요!

🏷️ 관련 태그: 우분투 서버 보안, SSH 보안 강화, UFW 방화벽, Fail2ban, 서버 백업

코멘트

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다

더 많은 게시물