서버 해킹 당하기 전에 꼭 해야 할 보안 설정 7가지

목차

1. 서버 보안, 왜 미루면 안 되는가?
2. 보안 설정 1 – root 계정 SSH 접속 차단
3. 보안 설정 2 – SSH 포트 변경
4. 보안 설정 3 – 비밀번호 인증 비활성화
5. 보안 설정 4 – 방화벽으로 불필요한 포트 차단
6. 보안 설정 5 – Fail2Ban 설치로 무차별 대입 공격 차단
7. 보안 설정 6 – 자동 보안 업데이트 설정
8. 보안 설정 7 – 불필요한 서비스 비활성화
9. 정리

1. 서버 보안, 왜 미루면 안 되는가?

서버를 인터넷에 연결하는 순간, 전 세계 어디선가 자동화된 봇이 해당 서버의 포트를 스캔하고 취약점을 찾기 시작합니다. 실제로 아무 설정도 하지 않은 채 서버를 공개하면 수 분 안에 SSH 로그인 시도 기록이 쌓이기 시작합니다.

해킹을 당한 서버는 개인 정보 유출, 랜섬웨어 감염, 스팸 메일 발송에 악용되는 등 심각한 피해를 초래합니다. 그리고 대부분의 해킹은 정교한 기술보다는 기본 보안 설정을 하지 않은 허점을 노립니다.

이 글에서는 서버를 운영하는 누구나 반드시 적용해야 할 보안 설정 7가지를 정리했습니다.

2. 보안 설정 1 – root 계정 SSH 접속 차단

root 계정은 서버의 모든 권한을 가진 최고 관리자입니다. 해커들이 가장 먼저 공격하는 계정이기도 합니다. root로 SSH 접속을 허용해 두면, 비밀번호 하나만 뚫리면 서버 전체가 장악됩니다.

SSH 설정 파일을 열어 PermitRootLogin 항목을 찾아 값을 no로 변경합니다.

sudo nano /etc/ssh/sshd_config

PermitRootLogin no 로 설정한 뒤 저장하고, SSH 서비스를 재시작합니다.

sudo systemctl restart sshd

이후에는 일반 계정으로 접속한 뒤 필요할 때만 sudo를 사용합니다.

3. 보안 설정 2 – SSH 포트 변경

SSH 기본 포트인 22번은 전 세계 해커들이 가장 많이 공격하는 포트입니다. 22번 포트를 다른 번호로 바꾸는 것만으로도 자동화된 공격의 대부분을 차단할 수 있습니다.

동일한 SSH 설정 파일에서 Port 항목을 찾아 변경합니다. 1024번 이상, 65535번 이하의 번호 중 사용하지 않는 번호를 선택합니다. 예를 들어 22222로 변경하는 식입니다.

Port 22222

저장 후 방화벽에서 새 포트를 열고, 기존 22번은 닫습니다.

sudo ufw allow 22222 sudo ufw delete allow 22

그다음 SSH 서비스를 재시작합니다. 포트를 변경한 경우 새 포트로 접속이 되는지 반드시 확인한 후 기존 세션을 종료해야 합니다.

4. 보안 설정 3 – 비밀번호 인증 비활성화

비밀번호 인증은 무차별 대입 공격(Brute Force)에 취약합니다. SSH 키 인증만 허용하고 비밀번호 인증을 완전히 비활성화하면 이 공격을 원천 차단할 수 있습니다.

SSH 키가 이미 설정되어 있다는 전제하에, SSH 설정 파일에서 PasswordAuthentication 항목을 no로 변경합니다.

PasswordAuthentication no

주의사항으로, 이 설정을 적용하기 전에 반드시 SSH 키 인증이 정상적으로 작동하는지 먼저 확인해야 합니다. 키 인증 없이 비밀번호 인증을 비활성화하면 서버에 영구적으로 접속할 수 없게 됩니다.

5. 보안 설정 4 – 방화벽으로 불필요한 포트 차단

서버에서 실제로 사용하는 포트 외에는 모두 차단하는 것이 원칙입니다. UFW를 사용해 필요한 포트만 열어두고 나머지는 차단합니다.

현재 방화벽 상태를 확인합니다.

sudo ufw status

웹 서버를 운영 중이라면 SSH 포트, 80번, 443번만 열어두는 것이 기본입니다. MySQL 같은 데이터베이스 포트(3306)는 외부에서 직접 접근할 필요가 없으므로 반드시 차단합니다.

모든 인바운드 트래픽을 기본 차단으로 설정합니다.

sudo ufw default deny incoming sudo ufw default allow outgoing

그 다음 필요한 포트만 허용합니다.

sudo ufw allow 22222 sudo ufw allow 80 sudo ufw allow 443 sudo ufw enable

6. 보안 설정 5 – Fail2Ban 설치로 무차별 대입 공격 차단

Fail2Ban은 로그 파일을 모니터링하다가 짧은 시간 안에 로그인에 여러 번 실패한 IP를 자동으로 차단하는 보안 도구입니다. SSH 무차별 대입 공격을 막는 데 매우 효과적입니다.

설치 명령어는 다음과 같습니다.

sudo apt install fail2ban -y

설치 후 자동으로 실행됩니다. 기본 설정으로도 SSH 보호가 활성화되며, 10분 안에 5번 이상 로그인 실패 시 해당 IP를 10분간 차단합니다.

현재 차단된 IP 목록을 확인하려면 아래 명령어를 사용합니다.

sudo fail2ban-client status sshd

실제로 이 명령어를 실행해 보면 수많은 IP가 차단된 것을 확인할 수 있습니다. 그만큼 서버에 대한 공격 시도가 많다는 의미이기도 합니다.

7. 보안 설정 6 – 자동 보안 업데이트 설정

보안 취약점은 계속 발견되고 패치가 배포됩니다. 수동으로 매번 업데이트하는 것은 번거롭기 때문에, 보안 패치만큼은 자동으로 설치되도록 설정하는 것이 좋습니다.

unattended-upgrades 패키지를 설치합니다.

sudo apt install unattended-upgrades -y

자동 업데이트를 활성화합니다.

sudo dpkg-reconfigure --priority=low unattended-upgrades

화면에 나타나는 대화 상자에서 Yes를 선택하면 보안 업데이트가 자동으로 적용됩니다. 운영체제 전체 업그레이드가 아닌 보안 패치만 자동 적용되므로 서비스 안정성에 영향을 주지 않습니다.

8. 보안 설정 7 – 불필요한 서비스 비활성화

서버에 설치된 서비스 중 실제로 사용하지 않는 것이 있다면 비활성화하는 것이 좋습니다. 실행 중인 서비스는 잠재적인 공격 대상이 될 수 있기 때문입니다.

현재 실행 중인 서비스 목록을 확인합니다.

sudo systemctl list-units --type=service --state=running

목록에서 사용하지 않는 서비스를 발견하면 중지하고 자동 시작도 비활성화합니다.

sudo systemctl stop 서비스명 sudo systemctl disable 서비스명

예를 들어 웹 서버만 운영하는데 Bluetooth 서비스나 프린터 서비스가 실행 중이라면 비활성화할 수 있습니다. 단, 어떤 역할을 하는지 모르는 서비스는 함부로 건드리지 않는 것이 좋습니다.

9. 정리

오늘 배운 서버 보안 설정 7가지를 요약합니다.

보안 설정핵심 내용

root SSH 차단	PermitRootLogin no 설정
SSH 포트 변경	22번 → 다른 번호로 변경
비밀번호 인증 비활성화	SSH 키 인증만 허용
방화벽 설정	필요한 포트만 열고 나머지 차단
Fail2Ban 설치	무차별 대입 공격 자동 차단
자동 보안 업데이트	보안 패치 자동 적용
불필요한 서비스 비활성화	공격 표면 최소화

이 7가지 설정만 적용해도 서버 보안 수준이 크게 높아집니다.