[U-56] FTP 서비스 접근 제어 설정 (중요도 : 하)

주요정보통신기반시설 가이드 [U-56] 유닉스/리눅스 보안 설정

항목 중요도 : 하 (비인가 계정의 FTP 접속 제한)

1. 항목 개요 및 보안 위협
2. 엔진 및 OS별 FTP 접근 제어 조치 실습
3. 법적 근거 및 관련 지침
4. 오늘 공부하며 정리한 핵심 포인트

 

1. 항목 개요 및 보안 위협

출처 : 2026 주요정보통신기반시설 기술적 취약점 분석·평가 방법 상세가이드

[ 점검 내용 ] : ftpusers 등 접근 제어 설정 파일을 통해 root 및 주요 관리자 계정의 FTP 접속을 제한하고 있는지, 그리고 해당 파일의 권한이 적절하게 설정되어 있는지 점검합니다.

[ 보안 위협 ] : FTP 서비스는 평문 전송 방식으로 인해 계정 정보 노출 위험이 높습니다. 특히 root 계정의 접속을 허용할 경우, 관리자 권한을 직접 탈취당하여 시스템 전체에 대한 통제권을 공격자에게 넘겨줄 수 있는 심각한 위협이 존재합니다.

 

2. 엔진 및 OS별 FTP 접근 제어 조치 실습

기본 FTP / ProFTP (Solaris, Linux, AIX, HP-UX 공통)

ftpusers 파일 보호 및 차단 계정 설정

# 파일 소유자 및 권한 설정
# chown root /etc/ftpusers
# chmod 640 /etc/ftpusers

# 접근 차단 설정 (관리자 계정 추가)
# vi /etc/ftpusers
root
bin
daemon
adm
... (보안상 중요한 시스템 계정 목록 기입)

vsFTP 엔진 특화 조치

user_list를 이용한 화이트리스트/블랙리스트 관리

# vi /etc/vsftpd.conf
userlist_enable=YES

# userlist_deny=YES 이면 목록 내 사용자 접속 차단 (블랙리스트)
# userlist_deny=NO 이면 목록 내 사용자만 접속 허가 (화이트리스트)

# 파일 보호 설정
# chown root /etc/vsftpd.user_list
# chmod 640 /etc/vsftpd.user_list

[취약 결과 예시]

ftpusers 파일에 root 계정이 기재되어 있지 않아 root 로그인이 허용되는 상태

[양호 결과 예시]

ftpusers 파일 소유자가 root이고 권한이 640 이하이며, root를 포함한 관리 계정이 등록된 상태

 

3. 법적 근거 및 관련 지침

관련 법규 정보 (국가 법령 정보 센터)

1. 정보통신기반보호법 제9조(취약점 분석 평가) : 비인가 접근 차단 및 계정 관리 적절성 진단 의무
2. 정보통신기반시설 보호지침 제16조(설정관리) : 주요 서비스에 대한 관리자 계정 접속 제한 및 사용자별 접근 통제 적용 기준 준수

 

4. 오늘 공부하며 정리한 핵심 포인트

■ 관리자 계정 보호 : FTP와 같은 비암호화 통신 채널을 통한 root 직접 접속은 반드시 원천 차단
■ 설정 파일 무결성 : ftpusers, user_list 파일 소유자를 root로 지정하고 일반 사용자 수정을 제한(640)
■ 엔진별 옵션 차이 : vsFTP의 userlist_deny 옵션 설정에 따른 화이트리스트/블랙리스트 동작 방식 숙지
■ 정기적 목록 갱신 : 퇴사자 계정이나 불필요한 서비스 계정이 FTP 접근 권한을 유지하고 있는지 상시 검토

다음 공부 기록 예고 : [U-57] Ftpusers 파일 설정 (중요도 : 중)