skymaxi4

윈도우 서버 보안 취약점을 방치하면 데이터 유출, 시스템 마비 등 심각한 피해로 이어질 수 있습니다.

사전 보안 설정은 잠재적 위협을 차단하고, 안정적인 서비스 운영 환경을 확보하는 데 필수적입니다.

본 가이드에서는 윈도우 서버 필수 보안 설정인 취약점 점검 방법, 방화벽 설정, 그리고 감사 정책 설정에 대해 상세히 안내합니다.

뚫리기 전에! 윈도우 서버보안 🛡️ 필수 설정 가이드 (취약점 점검, 방화벽, 감사 정책) 관련 이미지 1

최근 마이크로소프트는 윈도우 서버 2025를 출시하면서 보안 기능을 더욱 강화했습니다. 윈도우 서버 2025는 데이터 및 인프라 보호를 위한 기능을 추가하고, Active Directory(AD)의 확장성을 향상시켜 프로토콜 및 암호화 등을 개선했습니다.

주요 보안 옵션 살펴보기

윈도우 서버 보안 강화를 위해 설정해야 할 주요 옵션은 다음과 같습니다. 사용자 계정 관리, 네트워크 보안 설정, 서버 업데이트 관리, 감사 및 로깅 설정 등이 있습니다. 하나씩 자세히 살펴보겠습니다.

  • 사용자 계정 관리: 강력한 암호 정책 설정, 계정 잠금 정책 설정, 관리자 계정 이름 변경 등을 통해 계정 보안을 강화합니다.
  • 네트워크 보안 설정: 윈도우 방화벽 규칙 구성, RDP 접근 제한, 다단계 인증 설정, IPSec 구성, VPN 설정 등을 통해 네트워크 접근을 통제합니다.
  • 서버 업데이트 관리: 자동 업데이트 설정, WSUS(Windows Server Update Services) 사용 등을 통해 최신 보안 패치를 적용합니다.
  • 감사 및 로깅 설정: 감사 정책 활성화를 통해 시스템 활동을 기록하고, 보안 사고 발생 시 추적 및 분석에 활용합니다.

취약점 점검: 수동 vs 자동, 무엇을 선택할까요?

윈도우 서버의 취약점을 점검하는 방법에는 수동 점검과 자동 점검 도구 활용, 두 가지가 있습니다. 각각 장단점이 명확하기 때문에, 상황에 맞게 선택하는 것이 중요합니다. 저는 초기에는 수동 점검을 사용했지만, 자동 점검 도구의 편리함에 익숙해진 후에는 주로 자동 점검 도구를 사용하고 있습니다.

수동 점검은 전문 지식이 필요하며 시간이 오래 걸리지만, 특정 환경에 맞춰 상세한 점검이 가능하다는 장점이 있습니다. 반면 자동 점검 도구는 빠르고 편리하지만, 도구 자체의 한계로 인해 모든 취약점을 발견하지 못할 수도 있습니다. 아래 표에서 두 가지 방법을 비교해 보겠습니다.

취약점 점검 방법 비교

구분 수동 점검 자동 점검 도구 활용
비용 인건비 발생 도구 구매 비용 발생 (무료 도구도 존재)
시간 오래 걸림 짧음
편의성 낮음, 전문 지식 필요 높음, 자동화된 보고서 제공

방화벽 설정: 외부 공격으로부터 서버를 보호하는 첫 번째 방어선

윈도우 서버 방화벽은 외부에서 들어오는 악성 공격을 차단하고 서버를 보호하는 필수 기능입니다. 방화벽이 활성화되어 있는지 확인하고, 불필요한 서비스나 포트는 차단해야 합니다. 저는 방화벽 설정을 꼼꼼하게 관리하여 외부 공격으로부터 서버를 안전하게 보호하고 있습니다.

뚫리기 전에! 윈도우 서버보안 🛡️ 필수 설정 가이드 (취약점 점검, 방화벽, 감사 정책) 관련 이미지 2

특히 FTP (21번 포트), Telnet (23번 포트), SMB (445번 포트)는 외부에서 반드시 차단해야 합니다. 이러한 포트들은 오래된 프로토콜을 사용하거나, 보안 취약점이 발견될 가능성이 높기 때문입니다. 불필요한 서비스 및 포트를 비활성화하여 공격 표면을 줄이는 것이 중요합니다.

방화벽 설정 방법

윈도우 서버 방화벽은 GUI 또는 명령줄(netsh)을 사용하여 설정할 수 있습니다. GUI는 초보자에게 편리하지만, 명령줄은 자동화 및 대량 설정에 유용합니다. 저는 주로 명령줄을 사용하여 방화벽 설정을 관리하고 있습니다.

GUI로 설정하는 방법

  1. “Windows Defender 방화벽”을 검색하여 실행합니다.
  2. “고급 설정”을 클릭합니다.
  3. “인바운드 규칙” 또는 “아웃바운드 규칙”을 선택하여 규칙을 추가, 수정, 삭제합니다.

명령줄(netsh)로 설정하는 방법

  1. 관리자 권한으로 명령 프롬프트를 실행합니다.
  2. 다음 명령어를 사용하여 방화벽 규칙을 추가합니다.
    netsh advfirewall firewall add rule name="규칙 이름" dir=in action=block protocol=TCP localport=포트 번호
  3. 다음 명령어를 사용하여 방화벽 규칙을 삭제합니다.
    netsh advfirewall firewall delete rule name="규칙 이름"

감사 정책 설정: 누가, 언제, 무엇을 했는지 기록하기

감사 정책은 윈도우 서버에서 발생하는 다양한 이벤트들을 기록하는 기능입니다. 파일 접근, 로그인 시도, 시스템 변경 등 중요한 이벤트들을 기록하여 보안 사고 발생 시 원인 분석 및 책임 추적에 활용할 수 있습니다. 감사 정책을 활성화하면 시스템 성능에 약간의 영향을 줄 수 있지만, 보안 강화를 위해 필수적인 설정입니다.

특히 파일 감사(File Auditing)는 특정 파일이나 폴더에 대한 사용자 접근 활동을 기록하는 기능으로, 보안성을 높이고 내부 통제 및 외부 감사 대응에 도움이 됩니다. 저는 중요한 파일 및 폴더에 대한 감사 정책을 설정하여 무단 접근을 감시하고 있습니다.

감사 정책 설정 방법

  1. “gpedit.msc”를 실행하여 로컬 그룹 정책 편집기를 엽니다.
  2. “컴퓨터 구성” → “Windows 설정” → “보안 설정” → “로컬 정책” → “감사 정책”으로 이동합니다.
  3. 감사할 이벤트 유형 (예: 계정 관리, 로그인 이벤트, 개체 액세스 등)을 선택하고, “성공” 및 “실패”에 대해 감사를 활성화합니다.

파일 감사 설정 방법

  1. 감사를 설정할 파일 또는 폴더를 마우스 오른쪽 버튼으로 클릭하고 “속성”을 선택합니다.
  2. “보안” 탭 → “고급” → “감사” 탭으로 이동합니다.
  3. “추가”를 클릭하고, 감사를 적용할 사용자 또는 그룹을 선택합니다.
  4. 감사할 액세스 유형 (예: 읽기, 쓰기, 실행 등)을 선택하고, “성공” 및 “실패”에 대해 감사를 활성화합니다.

최신 업데이트 유지: 보안의 기본, 잊지 마세요!

마이크로소프트는 매월 정기 보안 업데이트를 제공하며, 제로데이 취약점을 포함한 보안 위협에 대한 패치를 제공합니다. 최신 업데이트를 적용하여 서버를 보호해야 합니다. 2026년 6월부터 만료되는 보안 부팅 인증서에 대한 업데이트도 잊지 마세요. 저는 자동 업데이트를 설정하여 항상 최신 보안 패치를 유지하고 있습니다.

뚫리기 전에! 윈도우 서버보안 🛡️ 필수 설정 가이드 (취약점 점검, 방화벽, 감사 정책) 관련 이미지 3

최근에는 윈도우 서버 2025의 Kerberos 인증 시스템에서 발견된 제로데이 취약점이 수정되었지만, 공격 위협이 존재하므로 관리자는 높은 우선순위를 두고 패치를 적용해야 합니다. 보안 업데이트는 귀찮을 수 있지만, 서버 보안을 위해 반드시 수행해야 하는 작업입니다.

Windows LAPS 활용

Windows LAPS(Local Administrator Password Solution)를 사용하면 각 컴퓨터의 로컬 관리자 계정에 대한 고유 암호를 자동으로 생성하고, AD에 안전하게 저장하며, 정기적으로 업데이트하여 보안을 강화할 수 있습니다. 저는 Windows LAPS를 사용하여 로컬 관리자 계정의 암호를 안전하게 관리하고 있습니다.

마무리: 윈도우 서버 보안, 꾸준한 관심과 관리가 핵심입니다.

윈도우 서버 보안은 한 번 설정으로 끝나는 것이 아니라, 꾸준한 관심과 관리가 필요한 작업입니다. 정기적인 취약점 점검, 방화벽 설정 관리, 감사 로그 검토, 최신 업데이트 적용 등을 통해 서버를 안전하게 유지해야 합니다. 오늘부터 윈도우 서버 보안 설정을 점검하고, 필요한 부분을 개선하여 안전한 서버 환경을 구축하세요.

함께 읽으면 좋은 글