[U-53] FTP 서비스 정보 노출 제한 (중요도 : 하)

주요정보통신기반시설 가이드 [U-53] 유닉스/리눅스 보안 설정

항목 중요도 : 하 (서비스 배너 정보 노출 통제)

1. 항목 개요 및 보안 위협
2. 엔진 및 OS별 FTP 배너 설정 조치 실습
3. 법적 근거 및 관련 지침
4. 오늘 공부하며 정리한 핵심 포인트

 

1. 항목 개요 및 보안 위협

출처 : 2026 주요정보통신기반시설 기술적 취약점 분석·평가 방법 상세가이드

[ 점검 내용 ] : FTP 서비스 접속 시 표시되는 환영 메시지(Banner)에 서버의 종류 및 버전 등 시스템 정보가 노출되지 않도록 설정되어 있는지 점검합니다.

[ 보안 위협 ] : FTP 서버에 접속할 때 나타나는 배너에 서비스 명칭과 상세 버전이 포함될 경우, 공격자는 이를 이용해 해당 버전에서 작동하는 기성 익스플로잇(Exploit)을 검색하고 맞춤형 공격을 시도할 수 있습니다. 시스템 정보를 최소화하여 공격자에게 불필요한 단서를 제공하지 않는 것이 정보 보안의 기본입니다.

 

2. 엔진 및 OS별 FTP 배너 설정 조치 실습

vsFTP / ProFTP (Solaris, Linux 공통)

설정 파일 내 배너 및 식별 정보 수정

# [vsFTP] /etc/vsftpd.conf 수정
ftpd_banner=[변경할 배너 메시지]

# [ProFTP] /etc/proftpd.conf 수정
ServerIdent off (또는 ServerIdent on "[변경할 배너]")

# 서비스 재시작
# systemctl restart [vsftpd 또는 proftpd]

AIX 환경 (기본 FTP)

메시지 카탈로그 수정을 통한 배너 변경

# 메시지 추출: dspcat -g /usr/lib/nls/msg/en_US/ftpd.cat > /tmp/ftpd.msg
# 배너 문구 수정: vi /tmp/ftpd.msg (ready 문구 등을 임의 배너로 변경)
# 카탈로그 생성: gencat /usr/lib/nls/msg/en_US/ftpd.cat /tmp/ftpd.msg

HP-UX 환경 (Wu-ftpd)

ftpaccess 설정 파일 옵션 조정

# vi /etc/ftpd/ftpaccess
[v2.4 미만] suppresshostname yes, suppressversion yes
[v2.4 이상] greeting terse
banner [경고 메시지 파일 경로]

# 설정 적용
# inetd -c

[취약 결과 예시]

# ftp [IP]
220 (vsFTPd 3.0.3) ready... (서버 종류와 버전이 노출되는 경우)

[양호 결과 예시]

# ftp [IP]
220 Authorized users only... (정보 노출 없이 경고 문구만 출력되는 경우)

 

3. 법적 근거 및 관련 지침

관련 법규 정보 (국가 법령 정보 센터)

1. 정보통신기반보호법 제9조(취약점 분석 평가) : 시스템 정보 유출로 인한 침해 사고 예방을 위한 설정 점검
2. 정보통신기반시설 보호지침 제16조(설정관리) : 불필요한 서비스 정보 노출 제한 및 안전한 환경 설정 유지

 

4. 오늘 공부하며 정리한 핵심 포인트

■ 정보 수집 단계 차단 : 서비스 버전 노출 최소화를 통한 맞춤형 공격(Exploit) 시도 원천 억제
■ 엔진별 배너 옵션 숙지 : vsFTP(ftpd_banner), ProFTP(ServerIdent), Wu-ftpd(greeting) 등 고유 옵션 활용
■ 단순화 및 경고 문구 : 버전 정보 대신 "Authorized users only"와 같은 표준화된 경고 메시지 사용 권장
■ 설정 후 실제 접속 확인 : 설정 변경 후 외부에서 직접 FTP 접속을 시도하여 배너 변경 여부 최종 교차 검증

다음 공부 기록 예고 : [U-54] 암호화되지 않는 FTP 서비스 비활성화 (중요도 : 중)