[U-59] 안전한 SNMP 버전 사용 (중요도 : 상)

주요정보통신기반시설 가이드 [U-59] 유닉스/리눅스 보안 설정

항목 중요도 : 상 (SNMP 프로토콜 보안 강화)

1. 항목 개요 및 보안 위협
2. SNMP v3 설정 및 사용자 관리 실습
3. 법적 근거 및 관련 지침
4. 오늘 공부하며 정리한 핵심 포인트

 

1. 항목 개요 및 보안 위협

출처 : 2026 주요정보통신기반시설 기술적 취약점 분석·평가 방법 상세가이드

[ 점검 내용 ] : SNMP 서비스를 사용하는 경우, 보안성이 결여된 구버전(v1, v2c) 대신 인증과 암호화가 강화된 SNMP v3를 사용하고 있는지 점검합니다.

[ 보안 위협 ] : 구버전 SNMP는 커뮤니티 스트링(Community String)이 평문으로 전송되어 스니핑 공격에 매우 취약합니다. 공격자가 이를 가로챌 경우 시스템 정보 수집은 물론, 쓰기 권한을 이용한 설정 변경 등 심각한 침해 사고로 이어질 수 있습니다. 반면 v3는 개별 사용자 기반의 인증과 구간 암호화를 지원하여 이러한 위험을 방어할 수 있습니다.

 

2. SNMP v3 설정 및 사용자 관리 실습

SNMP v3 사용 여부 점검

snmpwalk 명령어를 이용한 v3 접속 테스트

# snmpwalk -v3 -l authPriv -u myuser -a SHA -A myauthpass -x AES -X myprivpass [서버IP]
(SHA 인증 및 AES 암호화 프로토콜 사용 예시)

v3 사용자 생성 및 설정 방법

Step 1) 유틸리티를 이용한 사용자 생성

# net-snmp-create-v3-user -ro -A myauthpass -X myprivpass -a SHA -x AES myuser

Step 2) snmpd.conf 파일 직접 수정 및 권한 부여

# vi /etc/snmp/snmpd.conf
createUser myuser SHA myauthpass AES myprivpass
rouser myuser

# 서비스 재시작
# systemctl restart snmpd

[취약 결과 예시]

보안이 취약한 SNMP v1 또는 v2c 버전을 여전히 사용 중이거나, v3 설정이 누락된 상태

[양호 결과 예시]

구버전 SNMP(v1, v2c) 사용을 중단하고, 인증/암호화 옵션이 적용된 SNMP v3를 운영 중인 상태

 

3. 법적 근거 및 관련 지침

관련 법규 정보 (국가 법령 정보 센터)

1. 정보통신기반보호법 제9조(취약점 분석 평가) : 네트워크 관리 데이터 유출 방지를 위한 보안 기술 적용 의무
2. 정보통신기반시설 보호지침 제16조(설정관리) : 비암호화 통신 채널의 지양 및 보안성이 확보된 최신 프로토콜 사용 기준 준수

 

4. 오늘 공부하며 정리한 핵심 포인트

■ SNMP v3의 3가지 핵심 보안 요소 : 사용자 인증(USM), 메시지 무결성 보호, 데이터 암호화 지원
■ 권장 프로토콜 사용 : 취약한 MD5/DES 대신 SHA 인증 및 AES 암호화 프로토콜 적용 필수
■ 최소 권한 제어 : rouser(읽기 전용)와 rwuser(읽기/쓰기)를 구분하여 용도에 맞는 사용자 권한 부여
■ 설정 무결성 확보 : createUser 명령어를 통한 보안 자격 증명 생성 후 snmpd.conf 파일 내 영구 반영 및 서비스 재시작

다음 공부 기록 예고 : [U-60] 사용자별 SNMP Community String 복잡성 설정 (중요도 : 중)