[U-60] SNMP Community String 복잡성 설정 (중요도 : 중)

주요정보통신기반시설 가이드 [U-60] 유닉스/리눅스 보안 설정

항목 중요도 : 중 (SNMP 인증 암호 복잡성 관리)

1. 항목 개요 및 보안 위협
2. OS별 Community String 설정 변경 실습
3. 법적 근거 및 관련 지침
4. 오늘 공부하며 정리한 핵심 포인트

 

1. 항목 개요 및 보안 위협

출처 : 2026 주요정보통신기반시설 기술적 취약점 분석·평가 방법 상세가이드

[ 점검 내용 ] : SNMP 서비스의 인증 수단인 Community String이 기본값(public, private 등)이 아닌 추측하기 어려운 복잡한 문자열로 설정되어 있는지 점검합니다.

[ 보안 위협 ] : Community String이 단순하게 설정되어 있을 경우 공격자는 SNMP 취약점 스캔을 통해 시스템의 CPU, 메모리 상태, 설치된 소프트웨어 목록, 네트워크 구성 정보 등을 무단으로 획득할 수 있습니다. 특히 쓰기(Write) 권한이 있는 문자열이 탈취될 경우 시스템 설정을 원격에서 임의로 변경하여 치명적인 장애를 유발할 수 있습니다.

 

2. OS별 Community String 설정 변경 실습

SOLARIS 환경

버전별 설정 파일 위치 및 지시어 확인

# [Solaris 10] /etc/snmp/conf/snmpd.conf 수정
rocommunity [복잡한_문자열]
rwcommunity [복잡한_문자열]

# [Solaris 11] /etc/net-snmp/snmp/snmpd.conf 수정
# svcadm refresh net-snmp (설정 반영)

LINUX 환경 (Redhat/Debian)

snmpd.conf 파일 수정 및 서비스 재시작

# vi /etc/snmp/snmpd.conf
# [Redhat 계열] com2sec notConfigUser default [변경값]
# [Debian 계열] rocommunity [변경값] default

# systemctl restart snmpd

AIX / HP-UX 환경

독자적인 설정 지시어 반영

# [AIX] vi /etc/snmpdv3.conf
COMMUNITY [새로운_String] [새로운_String] noAuthNoPriv 0.0.0.0 0.0.0.0 -

# [HP-UX] vi /etc/snmpd.conf
get-community-name : [변경값]
set-community-name : [변경값]

[취약 결과 예시]

Community String이 public 또는 private 등 기본값으로 설정되어 누구나 정보 조회가 가능한 경우

[양호 결과 예시]

기본 Community String을 삭제하고, 대소문자/숫자/특수문자가 포함된 복잡한 문자열을 적용한 경우

 

3. 법적 근거 및 관련 지침

관련 법규 정보 (국가 법령 정보 센터)

1. 정보통신기반보호법 제9조(취약점 분석 평가) : 비인가자의 시스템 정보 수집을 유발하는 취약한 인증 설정 개선 의무
2. 정보통신기반시설 보호지침 제16조(설정관리) : 시스템 관리 서비스에 대한 비밀번호 복잡성 정책 준수 및 정기적 변경 기준 규정

 

4. 오늘 공부하며 정리한 핵심 포인트

■ 기본값 제거의 필수성 : 유추하기 쉬운 'public', 'private' 문자열은 공격자의 1순위 타겟임을 명심
■ 복잡성 규칙 적용 : 일반 계정 패스워드와 동일하게 영문 대소문자, 숫자, 특수문자를 조합하여 생성
■ 권한별 차등 관리 : 읽기 전용(RO)과 읽기/쓰기(RW) 문자열을 다르게 설정하여 권한 노출 범위 최소화
■ 설정 반영의 완결성 : 파일 수정 후 반드시 OS별 서비스 재시작(systemctl restart, svcadm refresh 등)을 통해 실제 반영 여부 확인

다음 공부 기록 예고 : [U-61] SNMP Access Control 설정 (중요도 : 상)