윈도우 서버 보안, 전문가처럼 관리하기! 🛡️ 필수 진단 체크리스트

안녕하세요! 우리 회사의 중요한 데이터와 서비스를 책임지는 윈도우 서버, 과연 안전하게 관리되고 있을까요? 🧐 많은 서버가 기본 설정 그대로 운영되면서 자신도 모르는 사이 수많은 보안 위협에 노출되곤 합니다.

 

오늘은 공격자의 먹잇감이 되지 않도록, 우리 서버를 단단한 요새로 만들어 줄 윈도우 서버 필수 보안 진단 체크리스트를 준비했습니다. 각 항목을 꼼꼼히 따라오며 지금 바로 서버의 보안 상태를 점검해보세요!

 

 

---

👤 계정 관리: 보안의 문을 굳게 잠그기

서버 보안의 90%는 계정 관리에서 시작됩니다. 가장 기본적인 만큼 철저하게 관리해야 할 항목들을 살펴볼까요?

• 🕵️‍♂️ Administrator 계정 이름 변경 (W-01) 'Administrator'는 세상에서 가장 유명한 계정 이름입니다. 공격자들은 이 이름을 첫 번째 타겟으로 삼죠. 전혀 다른 이름으로 변경해서 추측 공격의 첫 단계를 무력화시키세요.
• 🚪 Guest 계정 비활성화 (W-02) Guest 계정은 익명 사용자를 위한 문과 같습니다. 이 문이 열려있을 필요가 없다면, 반드시 비활성화하여 잠가야 합니다.
• 👑 관리자 그룹 최소화 (W-06) 'Administrators' 그룹은 서버의 모든 권한을 가진 막강한 그룹입니다. 이 그룹에는 정말 필요한 최소한의 사용자만 포함시켜 권한 남용 및 오용의 위험을 줄여야 합니다.
• 🔑 강력한 암호 정책은 필수 (W-48, W-49, W-50, W-51, W-55) 추측하기 쉬운 암호는 사용 금지! 로컬 보안 정책의 암호 정책에서 아래 항목들을 반드시 설정하세요.
  • 암호는 복잡성 만족: 영문, 숫자, 특수문자 조합 강제
  • 최소 암호 길이: 8자 이상
  • 최대/최소 암호 사용 기간: 90일 이하 / 1일 이상으로 주기적 변경 유도
  • 최근 암호 기억: 이전에 사용했던 암호 재사용 방지
• 🤫 해독 가능한 암호화 사용 안 함 (W-05) 암호는 절대 평문처럼 저장되어서는 안 됩니다. "해독 가능한 암호화를 사용하여 암호 저장" 정책을 사용 안 함으로 설정하여 암호를 안전하게 보호하세요.
• 🔒 계정 잠금 정책으로 무차별 대입 공격 방어 (W-04, W-47) 공격자가 암호를 계속 틀리면서 시도하는 것을 막아야 합니다. 계정 잠금 정책에서 로그인 실패 횟수를 5회 이하로, 잠금 기간을 60분 이상으로 설정하여 계정을 보호하세요.
• 🙈 마지막 사용자 이름 표시 안 함 (W-52) 로그인 화면에 마지막으로 접속한 사용자 이름을 보여주는 것은 공격자에게 계정 정보를 알려주는 것과 같습니다. 이 기능을 비활성화하여 정보를 노출하지 마세요.
• 🚫 빈 암호 사용 제한 (W-56) 모든 계정은 암호를 가져야 합니다. 암호가 없는 계정의 로컬 로그온을 차단하여 최소한의 보안을 확보하세요.

---

⚙️ 서비스 관리: 불필요한 통로는 모두 차단

사용하지 않는 서비스나 기능은 공격의 표면적만 넓힐 뿐입니다. 꼭 필요한 서비스만 남기고 나머지는 정리해야 합니다.

• 📂 하드디스크 기본 공유 제거 (W-08) C$, D$와 같은 관리 목적의 기본 공유는 편리하지만, 내부망을 통한 악성코드 전파의 통로가 될 수 있습니다. 불필요하다면 레지스트리 수정을 통해 자동 공유 기능을 중지하세요.
• 👥 공유 폴더 권한 설정 (W-07) 공유 폴더에 'Everyone' 그룹 권한을 주는 것은 매우 위험합니다. 이 권한은 제거하고, 꼭 필요한 사용자에게 읽기/쓰기 등 최소한의 권한만 부여하세요.
• 🧑‍💻 원격 터미널 사용자 그룹 제한 (W-57) 원격 데스크톱(RDP)은 매우 유용한 기능이지만, 아무나 접속해서는 안 됩니다. 접속이 허용된 특정 사용자나 그룹으로 제한하여 관리자만 접근하도록 하세요.
• 🔐 터미널 서비스 암호화 수준 설정 (W-58) 원격 접속 시 주고받는 데이터가 유출되지 않도록 암호화 수준을 **"높음"**으로 설정하여 통신 내용을 보호해야 합니다.
• 🔗 불필요한 NetBIOS 바인딩 제거 (W-24) 파일 공유와 관련이 깊은 NetBIOS를 TCP/IP에서 비활성화하면, 관련된 포트를 통한 외부 공격 가능성을 줄일 수 있습니다.
• 🌐 불필요한 IIS 서비스 점검 (W-10, W-11, W-14, W-19, W-23) 웹 서버로 사용하지 않는다면 IIS 서비스 자체를 중지하는 것이 가장 좋습니다. 만약 사용한다면, 아래 항목들을 꼭 점검하세요.
  • 디렉터리 리스팅(검색) 기능 비활성화: 웹 서버의 파일 구조가 노출되지 않도록 합니다.
  • WebDAV 비활성화: 사용하지 않는다면 인증 우회 등 잠재적 취약점을 제거하기 위해 끕니다.
  • 불필요한 샘플 파일 및 가상 디렉터리 삭제: 기본 설치 시 생성되는 샘플 파일들은 공격자에게 좋은 정보원이 될 수 있습니다.
• 🛑 불필요한 서비스 제거 (W-09) Alerter, Messenger 등 더 이상 사용하지 않는 오래된 서비스들은 시스템 리소스를 낭비하고 보안을 약화시킬 수 있습니다. 과감하게 **"사용 안 함"**으로 설정하세요.
• 🗺️ DNS Zone Transfer 제한 (W-29) DNS 서버를 운영한다면, 도메인의 모든 정보가 담긴 Zone 파일이 아무에게나 전송되도록 해서는 안 됩니다. 허가된 보조 DNS 서버에게만 전송을 허용하세요.
• FTP 익명 접속 금지 (W-27) FTP 서버 운영 시, 누구나 접속할 수 있는 익명(Anonymous) 접속은 비활성화하여 비인가자의 파일 접근을 차단해야 합니다.

---

📜 패치 및 로그 관리: 지속적인 감시와 대응

보안은 일회성 이벤트가 아닙니다. 꾸준한 관리와 감시를 통해 위협에 대비해야 합니다.

• ✨ 최신 서비스팩 및 보안 패치 적용 (W-31, W-32) Windows Update는 선택이 아닌 필수입니다. 최신 서비스팩과 보안 패치(Hotfix)를 빠짐없이 적용하여 알려진 취약점을 모두 제거하세요.
• 🦠 백신 프로그램 최신 상태 유지 (W-33, W-36) 신뢰할 수 있는 백신 프로그램을 설치하고, 엔진과 패턴을 항상 최신 상태로 유지하여 악성코드로부터 서버를 보호하세요.
• ✍️ 감사 정책 설정 및 로그 검토 (W-34, W-69) **"이벤트 뷰어"**는 서버의 모든 활동을 기록하는 블랙박스입니다. 로컬 보안 정책의 감사 정책에서 로그온, 계정 관리, 정책 변경 등 중요한 이벤트가 기록되도록 설정하고, 이 로그들을 정기적으로 검토하여 침해 시도를 발견하고 대응해야 합니다.
• 🔧 원격 레지스트리 접근 차단 (W-35) 외부에서 서버의 핵심 설정인 레지스트리를 변경할 수 있다면 매우 위험합니다. 'Remote Registry' 서비스를 중지하여 원격 변경을 원천 차단하세요.

---

🛡️ 기타 중요 보안 관리

마지막으로, 서버의 물리적, 논리적 보안을 강화하는 추가 설정들입니다.

• ⏳ 화면보호기 설정 (W-38) 잠시 자리를 비운 사이 누군가 서버를 조작하는 것을 막아야 합니다. 화면보호기 대기 시간을 10분 이하로 설정하고, **"다시 시작할 때 로그온 화면 표시"**를 반드시 체크하세요.
• 🔌 로그온 없이 시스템 종료 금지 (W-39) 누구나 서버를 재부팅할 수 있다면 서비스에 큰 장애가 발생할 수 있습니다. 로그온한 사용자만 시스템을 종료할 수 있도록 제한하세요.
• 🤫 SAM 파일 접근 통제 및 익명 열거 차단 (W-37, W-42) 사용자 계정 정보가 담긴 중요한 SAM 파일은 Administrators와 System 외에는 접근하지 못하도록 하고, 익명 사용자가 계정 목록을 조회할 수 없도록 차단해야 합니다.
• 🚗 이동식 미디어 자동 실행 방지 (PC-13) USB 메모리 등을 연결했을 때 프로그램이 자동으로 실행되는 AutoRun 기능은 악성코드 감염의 주된 경로 중 하나입니다. 이 기능을 비활성화하여 위험을 예방하세요.

---

정말 많은 항목들이 있었죠? 하지만 이 체크리스트들을 꾸준히 점검하고 적용한다면, 여러분의 윈도우 서버 보안 수준은 전문가 수준으로 올라갈 것입니다. 보안은 지속적인 관심과 노력의 결과라는 사실을 잊지 마세요!