[U-54] 암호화되지 않는 FTP 서비스 비활성화 (중요도 : 중)

주요정보통신기반시설 가이드 [U-54] 유닉스/리눅스 보안 설정

항목 중요도 : 중 (비암호화 파일 전송 서비스 차단)

1. 항목 개요 및 보안 위협
2. OS별 FTP 서비스 비활성화 조치 실습
3. 법적 근거 및 관련 지침
4. 오늘 공부하며 정리한 핵심 포인트

 

1. 항목 개요 및 보안 위협

출처 : 2026 주요정보통신기반시설 기술적 취약점 분석·평가 방법 상세가이드

[ 점검 내용 ] : 네트워크를 통해 파일을 전송하는 FTP 서비스의 활성화 여부를 점검하고, 암호화를 지원하지 않는 경우 서비스를 중지합니다.

[ 보안 위협 ] : FTP 프로토콜은 인증 정보(ID/PW)와 전송 데이터를 암호화하지 않은 채 전송합니다. 공격자가 동일 네트워크 대역에서 스니핑 공격을 수행할 경우 사용자의 로그인 정보와 중요 파일 내용이 그대로 노출될 수 있어 계정 탈취 및 정보 유출의 위험이 매우 높습니다.

 

2. OS별 FTP 서비스 비활성화 조치 실습

SOLARIS 환경

SMF 기반 서비스 비활성화

# svcs -a | grep -E "vsftpd|proftpd"
# svcadm disable [서비스명]

LINUX 환경

inetd/xinetd 설정 및 독립 데몬 제어

# [inetd] /etc/inetd.conf 내 ftp 라인 주석 처리
# [xinetd] /etc/xinetd.d/ftp 내 disable = yes 설정
# [독립 데몬] 
# systemctl stop vsftpd && systemctl disable vsftpd
# systemctl stop proftpd && systemctl disable proftpd

AIX / HP-UX 환경

inetd.conf 파일 수정 및 프로세스 강제 종료

# vi /etc/inetd.conf
#ftp stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.ftpd (주석 처리)
# [AIX 적용] refresh -s inetd
# [독립 실행 시] ps -ef | grep [vsftp/proftp] 후 kill -9 [PID]

[취약 결과 예시]

FTP 서비스(21/tcp)가 활성화되어 있어 누구나 접속 시도가 가능한 상태

[양호 결과 예시]

FTP 서비스가 비활성화되어 있고, 대신 SSH 엔진을 사용하는 SFTP/SCP만 운영 중인 상태

 

3. 법적 근거 및 관련 지침

관련 법규 정보 (국가 법령 정보 센터)

1. 정보통신기반보호법 제9조(취약점 분석 평가) : 데이터 전송 구간의 암호화 미비로 인한 유출 위험 점검 의무
2. 정보통신기반시설 보호지침 제16조(설정관리) : 보안성이 낮은 파일 전송 서비스의 사용을 제한하고 안전한 대체 수단 적용 권고

 

4. 오늘 공부하며 정리한 핵심 포인트

■ 암호화 부재의 위험성 : 평문 전송 기반인 FTP 서비스의 특성상 계정 정보 노출 위협 상존
■ 서비스 대체 원칙 : 기존 FTP 포트를 차단하고 SSH 프로토콜 기반의 SFTP 또는 SCP 서비스로 전환
■ OS별 다양한 엔진 제어 : vsFTP, ProFTP 등 설치된 엔진 및 inetd/systemd 등 제어 방식에 따른 개별 조치
■ 영구적 설정 적용 : 현재 실행 중인 프로세스 종료와 더불어 설정 파일 내 주석 처리/비활성화 설정을 통한 자동 실행 방지

다음 공부 기록 예고 : [U-55] FTP 계정 shell 제한 (중요도 : 중)