FTP 사용 시, 익명 계정은 사용하지 못하도록 설정해야
기업·연구기관들의 생산·설계 관련 핵심기술 유출 위험 높아  

[보안뉴스 김태형] 본지가 지난 18일자 단독 보도한 ‘국내 1,000여개 서버, FTP툴만 있으면 모두 내꺼?’라는 제하의 기사로 인해 FTP서버의 점검 필요성과 함께 중소기업들의 서버 보안과 관리 미흡이 문제로 지적되고 있다.

특히, 해킹 툴이 아닌 인터넷에서 누구나 쉽게 구할 수 있는 공개 소프트웨어인 FTP(File Transfer Protocol) 툴을 이용해 국내 웹 사이트 서버에 접속하고 이를 통해 불법으로 파일을 내려 받을 수 있어 보안관리가 허술한 국내 중소기업들의 핵심 기밀 자료나 내부 정보가 유출될 수 있다는 것이다.  

이슈메이커스랩의 최상명 리더는 “FTP 툴에는 아무나 접속할 수 있는 ‘anonymous’ 라는 계정이 있다. 이 계정을 정책상 비활성화해야 되는데 비활성화하지 않고 기본으로 사용할 경우 누구나 도메인이나 IP 주소만 알면 접속할 수 있다”면서 “이 사항은 너무 기본적인 문제고 다 아는 사실이지만 기업이나 기관의 보안관리자가 이를 소홀히하고 간과했기 때문”이라고 말했다.

즉, 기본적으로 사내에서 FTP를 사용할 때는 정책상 익명 계정은 사용하지 못하게 해야 하는데 일반 사용자들은 이를 무시하고 그냥 사용하거나 서버 관리자가 신경을 쓰지 않아서 문제가 된다는 것.

이 때문에 FTP 툴에 의한 불법 정보유출을 차단하기 위해 가장 중요한 것은 FTP를 사용하고 있다면 익명계정을 비활성화해서 사용하거나 보안이 적용된 FTPS를 사용하면 된다는 얘기다. 이 FTP는 서버에서 돌아가기 때문에 서버의 보안관리적인 측면에서도 보안담당자의 세심한 주의가 필요하다. 

특히, 중국의 산업스파이들이 우리나라 중소기업의 핵심기술이나 중요 정보를 노리고 있는 상황에서 국내 기업·연구기관들의 생산·설계관련 자료 등의 핵심 기술 정보나 기밀자료들이 이렇듯 손쉬운 보안취약점을 이용해 빠져나간다면 국가적으로도 큰 손실이므로 사내 서버에 대한 철저한 점검이 요구되고 있다.  
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>