[U-61] SNMP Access Control 설정 (중요도 : 상)

주요정보통신기반시설 가이드 [U-61] 유닉스/리눅스 보안 설정

항목 중요도 : 상 (SNMP 소스 IP 기반 접근 제어)

1. 항목 개요 및 보안 위협
2. OS별 SNMP 접근 제어(ACL) 설정 실습
3. 법적 근거 및 관련 지침
4. 오늘 공부하며 정리한 핵심 포인트

 

1. 항목 개요 및 보안 위협

출처 : 2026 주요정보통신기반시설 기술적 취약점 분석·평가 방법 상세가이드

[ 점검 내용 ] : SNMP 서비스를 이용할 때, 특정 관리자 호스트나 네트워크 대역에서만 접근할 수 있도록 소스 IP 기반의 접근 제어(ACL)가 적용되어 있는지 점검합니다.

[ 보안 위협 ] : 접근 제어 설정이 되어 있지 않으면, 커뮤니티 스트링을 탈취한 공격자가 전 세계 어디서든 해당 서버의 자원 정보를 조회하거나 설정을 변경할 수 있습니다. 특히 DDoS 공격의 매개체로 악용되거나 시스템 내부망 구조를 파악하는 용도로 사용될 위험이 큽니다.

 

2. OS별 SNMP 접근 제어(ACL) 설정 실습

SOLARIS 및 LINUX (Debian) 환경

snmpd.conf 내 허용 네트워크 명시

# vi /etc/snmp/snmpd.conf (또는 /etc/net-snmp/snmp/snmpd.conf)
rocommunity [Community_String] [허용할_네트워크_주소]
rwcommunity [Community_String] [허용할_네트워크_주소]

# 서비스 재시작
# systemctl restart snmpd (Linux)
# svcadm restart net-snmp (Solaris)

LINUX (Redhat 계열)

com2sec 지시어를 이용한 IP 제한

# vi /etc/snmp/snmpd.conf
com2sec notConfigUser [허용할_네트워크_주소] [Community_String]

# systemctl restart snmpd

AIX 및 HP-UX 환경

네트워크 주소 및 넷마스크 기반 차단

# [AIX] vi /etc/snmpdv3.conf
COMMUNITY [String] noAuthNoPriv [허용할_IP] [넷마스크]

# [HP-UX] vi /etc/snmpd.conf
trap-dest : [허용할_네트워크_주소]

# 서비스 재시작 및 적용 (stopsrc/startsrc 또는 inetd -c)

[취약 결과 예시]

SNMP 설정 내에 허용할 소스 IP나 네트워크 대역 제한이 없어 모든 호스트(any)에서 접근 가능한 상태

[양호 결과 예시]

Community String 설정 라인에 특정 관리자 IP 또는 신뢰할 수 있는 네트워크 대역이 명시된 상태

 

3. 법적 근거 및 관련 지침

관련 법규 정보 (국가 법령 정보 센터)

1. 정보통신기반보호법 제9조(취약점 분석 평가) : 전산 시스템의 주요 정보 노출 방지를 위한 접근 통제 적절성 평가
2. 정보통신기반시설 보호지침 제16조(설정관리) : 비인가자의 시스템 모니터링 및 정보 수집 차단을 위한 네트워크 소스 제한 기준 준수

 

4. 오늘 공부하며 정리한 핵심 포인트

■ 화이트리스트 기반 운영 : 허용할 IP/네트워크 주소를 명시하지 않으면 기본적으로 모든 접근이 차단되도록 설계
■ 다중 보안 적용 : Community String의 복잡성 설정과 소스 IP 제한 설정을 병행하여 보안 신뢰도 향상
■ 네트워크 대역 최소화 : 광범위한 서브넷보다는 실제 관리 서버의 단일 IP 주소 단위로 제한하는 것이 가장 안전
■ 설정 일관성 유지 : 메인 설정 파일(snmpd.conf 등) 외에도 OS 커널 방화벽(iptables 등)을 통한 추가적인 161/UDP 포트 제어 검토

다음 공부 기록 예고 : [U-62] 로그인 시 경고 메시지 설정 (중요도 : 하)