반응형

Part 1: NAS와 FTP의 기본 개념 이해

1.1 서버로서의 NAS 이해하기

NAS(Network Attached Storage)를 단순한 네트워크 연결 외장 하드로 생각하는 경우가 많지만, 그 본질을 이해하는 것이 FTP 서버 설정의 첫걸음입니다. NAS는 사실상 저전력으로 24시간 365일 작동하도록 설계된 소형화되고 단순화된 특수 목적의 컴퓨터 서버입니다. 일반 PC를 서버로 운영할 때 발생하는 높은 전력 소비, 소음, 복잡한 관리의 단점을 해결하기 위해 탄생했습니다.  

 

NAS는 Synology의 DSM(DiskStation Manager), QNAP의 QTS(QNAP Turbo-NAS System)와 같은 자체 운영체제(OS)를 탑재하고 있습니다. 이 OS 위에서 사용자는 파일 공유, 백업, 미디어 스트리밍 등 다양한 기능을 애플리케이션 형태로 설치하여 사용할 수 있습니다. FTP 서버 역시 NAS가 제공하는 핵심적인 서비스 애플리케이션 중 하나입니다.  

 

따라서 NAS를 '단순 저장 장치'가 아닌 '다목적 서비스 플랫폼'으로 인식하는 것이 중요합니다. 사용자는 단순히 기능을 켜는 것이 아니라, 자신의 NAS라는 서버에 파일 전송 서비스를 활성화하여 인터넷을 통해 어디서든 개인 데이터에 접근할 수 있는 강력한 인프라를 구축하는 것입니다.  

 

1.2 파일 전송 프로토콜(FTP) 심층 분석

FTP(File Transfer Protocol)는 이름 그대로 클라이언트와 서버 컴퓨터 간에 파일을 전송하기 위해 특별히 고안된 통신 규약(프로토콜)입니다. 웹 브라우징에 사용되는 HTTP 프로토콜과 달리, FTP는 대용량 파일이나 다수의 파일을 일괄적으로 주고받는 데 최적화되어 있어 종종 더 빠르고 효율적인 성능을 보입니다.  

 

FTP의 가장 독특하고 중요한 특징은 두 개의 완전히 분리된 통신 채널을 사용한다는 점입니다. 이 이중 채널 구조를 이해하는 것은 향후 발생할 수 있는 접속 문제 해결의 핵심 열쇠가 됩니다.

  • 제어 채널(Control Channel): 일반적으로 TCP 포트 21번을 사용합니다. 이 채널은 클라이언트가 서버에 명령을 보내고(예: 사용자 인증, 파일 목록 요청, 파일 전송 요청) 서버로부터 응답을 받는 통로입니다. 세션의 시작, 관리, 종료를 담당합니다.  
  •  
  • 데이터 채널(Data Channel): 실제 파일 데이터와 디렉터리 목록이 전송되는 통로입니다. 제어 채널을 통해 명령이 내려지면, 이 데이터 채널을 통해 실제 데이터가 오고 갑니다.  
  •  

이처럼 명령과 데이터가 별개의 경로로 움직이는 구조 때문에, 특히 방화벽이나 공유기(NAT) 환경에서 데이터 채널 연결에 문제가 발생하는 경우가 많습니다.

1.3 액티브 모드 vs. 패시브 모드: 결정적 차이점

FTP의 데이터 채널을 어떻게 생성하느냐에 따라 액티브(Active) 모드와 패시브(Passive) 모드로 나뉩니다. 이 차이점을 이해하지 못하면 외부 접속 실패의 원인을 찾기 어렵습니다.

  • 액티브 모드 (서버 주도 연결):
    1. 클라이언트가 자신의 임의 포트(N)에서 서버의 제어 포트(21)로 접속합니다.
    2. 클라이언트는 서버에게 자신이 데이터 수신을 위해 열어 둔 포트(M)를 알려줍니다.
    3. 서버가 자신의 데이터 포트(20)에서 클라이언트가 알려준 포트(M)로 직접 접속을 시도합니다.  
    4.  
    • 문제점: 이 방식은 서버가 클라이언트 PC에 예고 없이 접속을 시도하는 형태이므로, 대부분의 최신 클라이언트 측 방화벽이나 공유기는 이 '요청하지 않은 외부 접속'을 보안 위협으로 간주하고 차단합니다. 따라서 현대 인터넷 환경에서는 거의 사용되지 않습니다.  
    •  
  • 패시브 모드 (클라이언트 주도 연결):
    1. 클라이언트가 자신의 임의 포트(N)에서 서버의 제어 포트(21)로 접속합니다.
    2. 클라이언트는 제어 채널을 통해 PASV 명령을 서버에 전송하여 패시브 모드 접속을 요청합니다.
    3. 서버는 미리 정해진 범위 내에서 비어있는 임의의 포트(P)를 열고, 그 포트 번호를 클라이언트에게 알려줍니다.  
    4.  
    5. 클라이언트는 서버가 알려준 포트(P)로 직접 데이터 채널 접속을 시도합니다.
    • 해결책: 모든 연결(제어, 데이터)이 클라이언트로부터 시작되기 때문에, 방화벽이나 공유기 환경과 충돌하지 않습니다.   이것이 오늘날 인터넷을 통한 FTP 접속의 표준 방식입니다.
    •  

많은 사용자들이 겪는 "로그인은 되는데 파일 목록이 보이지 않거나 파일 전송이 안 되는" 현상은 바로 이 패시브 모드 설정이 잘못되었을 때 나타나는 전형적인 증상입니다. 제어 채널(로그인)은 성공했지만, 데이터 채널(파일 목록, 파일 전송) 생성이 방화벽에 의해 차단되었기 때문입니다. 따라서 외부 접속을 위해서는 패시브 모드 설정이 필수적이라는 점을 반드시 기억해야 합니다.  

 

Part 2: 보안의 중요성: FTP, FTPS, SFTP 비교 분석

기본적인 FTP 설정만으로는 데이터가 그대로 노출될 위험이 있습니다. 현대 네트워크 환경에서는 보안이 선택이 아닌 필수이며, FTP 역시 보안 프로토콜을 적용해야 합니다. 사용자들이 가장 혼동하는 FTPS와 SFTP의 차이점을 명확히 이해해야 합니다.

2.1 일반 FTP의 보안 취약성

표준 FTP는 1970년대에 설계된 매우 오래된 프로토콜로, 당시의 인터넷은 신뢰를 기반으로 했습니다. 이로 인해 FTP는 사용자 이름, 비밀번호, 파일 내용 등 모든 데이터를 암호화하지 않은 **평문(Plain Text)**으로 전송합니다. 이는 인터넷상의 누군가가 네트워크 트래픽을 가로채기만 하면 모든 정보를 손쉽게 탈취할 수 있다는 것을 의미합니다. 공용 Wi-Fi나 인터넷을 통해 일반 FTP를 사용하는 것은 로그인 정보와 데이터를 그대로 노출하는 것과 같으므로 절대적으로 피해야 할 심각한 보안 위험입니다.  

 

2.2 FTPS (FTP over SSL/TLS): 보안 계층 추가

FTPS는 완전히 새로운 프로토콜이 아니라, 기존의 FTP에 웹사이트 보안에 사용되는 SSL(Secure Sockets Layer) 또는 그 후속 기술인 TLS(Transport Layer Security)라는 보안 계층을 추가한 것입니다. HTTP가 보안 계층을 추가하여 HTTPS가 되는 것과 동일한 원리입니다.  

 

FTPS는 서버의 신원을 확인하고 데이터를 암호화하기 위해 X.509 인증서(Certificate)를 사용합니다. 이를 통해 제어 채널과 데이터 채널 모두를 암호화하여 중간자 공격(Man-in-the-middle attack)이나 도청으로부터 데이터를 안전하게 보호합니다. FTPS는 접속 방식에 따라 두 가지로 나뉩니다.  

 
  • Explicit FTPS (명시적, FTPES): 클라이언트가 표준 FTP 포트(21)로 먼저 접속한 뒤, AUTH TLS라는 특정 명령을 통해 암호화된 TLS 연결로 전환할 것을 명시적으로 요청하는 방식입니다. 이는 유연성이 높고 국제 인터넷 표준화 기구(IETF)에서 권장하는 현대적인 방식입니다. 대부분의 최신 NAS와 클라이언트는 이 방식을 지원합니다.  
  •  
  • Implicit FTPS (암시적): 클라이언트가 처음부터 암호화 통신 전용 포트(일반적으로 990)로 접속하여 세션 전체를 암호화하는 방식입니다. 이는 구식이며 현재는 거의 사용되지 않는(deprecated) 방식이지만, 일부 레거시 시스템과의 호환성을 위해 여전히 사용되기도 합니다.  
  •  

2.3 SFTP (SSH File Transfer Protocol): 근본적으로 다른 접근

사용자들이 가장 많이 혼동하는 부분입니다. SFTP는 FTP에 보안(Secure)이 추가된 것이 아닙니다. SFTP는 원격 서버 관리에 널리 사용되는 SSH(Secure Shell) 프로토콜을 기반으로 하는, 완전히 별개의 파일 전송 프로토콜입니다.  

 

SFTP는 FTP의 이중 채널 구조를 사용하지 않습니다. 대신, SSH의 표준 포트인 TCP 22번 포트를 통해 생성된 단일 암호화 연결 내에서 인증, 명령, 데이터 전송 등 모든 통신이 이루어집니다. 인증 방식 또한 SSH의 강력한 메커니즘을 그대로 사용하여, 일반적인 비밀번호 인증은 물론 훨씬 더 안전한 SSH 키 쌍(공개키/개인키) 방식의 인증도 지원합니다.  

 

이 단일 포트 구조 덕분에 SFTP는 FTPS에 비해 방화벽 설정이 매우 간단합니다. FTPS는 제어 포트와 데이터 전송을 위한 넓은 범위의 패시브 포트를 모두 열어주어야 하지만, SFTP는 22번 포트 하나만 열어주면 되기 때문입니다.  

 

2.4 프로토콜 최종 비교: FTPS와 SFTP 중 무엇을 선택할 것인가?

FTPS와 SFTP 중 어떤 것을 선택할지는 레거시 호환성과 현대적인 보안 및 단순성 사이의 균형 문제입니다. 하지만 대부분의 신규 설정 환경에서는 SFTP가 거의 모든 면에서 더 나은 선택입니다.

FTPS는 오래된 FTP 프로토콜에 보안을 덧씌운 방식이라면, SFTP는 처음부터 보안을 염두에 두고 설계된 현대적인 프로토콜입니다. 특히 단일 포트를 사용한다는 점은 공유기나 방화벽 설정의 복잡성을 크게 줄여주어 사용자 오류의 가능성을 낮추고 보안성을 높이는 결정적인 장점입니다.  

 

다음 표는 세 가지 프로토콜의 핵심적인 차이점을 요약한 것입니다.

표 1: 프로토콜 비교 (FTP vs. FTPS vs. SFTP)

특징 일반 FTP FTPS (Explicit) SFTP
기반 프로토콜 FTP FTP SSH
암호화 없음 (평문 전송) SSL/TLS SSH
기본 포트 제어: 21, 데이터: 20 제어: 21, 데이터: 패시브 포트 범위 단일 포트: 22
통신 채널 제어 채널 + 데이터 채널 제어 채널 + 데이터 채널 단일 암호화 채널
방화벽 설정 난이도 매우 어려움 보통 (포트 범위 필요) 매우 쉬움 (단일 포트)
주요 인증 방식 평문 비밀번호 인증서, 사용자/비밀번호 SSH 키, 사용자/비밀번호
권장 사항 인터넷 사용 절대 금지 좋은 보안, 복잡한 설정 강력 권장
Sheets로 내보내기

결론적으로, 특정 클라이언트가 FTPS만 지원하는 특별한 경우가 아니라면, 새롭게 FTP 서버를 구축하는 모든 사용자는 SFTP를 최우선으로 고려해야 합니다.

Part 3: 실전! NAS 제조사별 단계별 설정 가이드

이론을 바탕으로 실제 NAS에서 FTP 서버를 설정하는 방법을 단계별로 알아봅니다. 제조사별로 UI는 다르지만, 핵심 설정 원리는 동일합니다.

3.1 사전 준비: 필수 네트워크 설정

NAS에서 FTP 서비스를 활성화하기 전에, 안정적인 외부 접속을 위해 반드시 두 가지 네트워크 설정을 마쳐야 합니다.

  • NAS에 고정 IP 주소 할당:
    • 이유: 공유기는 기본적으로 DHCP(동적 호스트 구성 프로토콜)를 통해 내부 장치들에 유동 IP를 할당합니다. IP가 변경되면 외부에서 접속하기 위해 설정한 포트포워딩 규칙이 무용지물이 됩니다. 따라서 NAS에는 항상 동일한 내부 IP 주소가 할당되도록 고정해야 합니다.  
    •  
    • 방법: NAS의 네트워크 설정에서 직접 고정 IP를 입력하거나, 더 권장되는 방법은 공유기 관리자 페이지의 DHCP 설정 메뉴에서 NAS의 MAC 주소와 특정 IP 주소를 묶어주는 'IP 주소 예약' 또는 '고정 IP 할당' 기능을 사용하는 것입니다.  
    •  
  • DDNS(Dynamic DNS) 설정:
    • 이유: 대부분의 가정용 인터넷 서비스는 공인 IP 주소가 주기적으로 변경되는 유동 IP 방식입니다. DDNS는 이 유동적인 공인 IP 주소에 my-nas.synology.me와 같이 기억하기 쉬운 고정된 도메인 이름을 연결해주는 서비스입니다. 공인 IP가 바뀌더라도 DDNS 서비스가 자동으로 새 IP를 도메인에 업데이트해주므로, 사용자는 항상 같은 도메인 주소로 NAS에 접속할 수 있습니다.  
    •  
    • 방법: Synology, QNAP, ASUSTOR 등 대부분의 NAS 제조사는 무료 DDNS 서비스를 제공하며, NAS 제어판의 관련 메뉴에서 간단한 절차를 통해 설정할 수 있습니다.  
    •  

3.2 Synology NAS (DSM) 설정 가이드

Synology NAS의 운영체제인 DSM(DiskStation Manager)에서의 설정 방법입니다.

  • 설정 위치: 제어판 > 파일 서비스로 이동합니다.
  • FTP 탭:
    • FTP 서비스 활성화: 일반 FTP를 활성화합니다. 보안을 위해 단독 사용은 권장하지 않습니다.
    • FTP SSL/TLS 암호화 서비스(FTPS) 활성화: 체크하면 FTPS(명시적)가 활성화됩니다. 암호화된 FTP 연결을 위해 반드시 체크해야 합니다.  
    •  
    • SFTP 서비스 활성화: 체크하면 SSH 기반의 SFTP 서비스가 활성화됩니다. 가장 권장되는 옵션입니다.  
    •  
    • 포트 번호 설정: 각 서비스의 기본 포트(FTP: 21, SFTP: 22)를 보안 강화를 위해 비표준 포트(예: 2121, 2222)로 변경할 수 있습니다.  
    •  
    • 수동 FTP 포트 범위: 매우 중요한 설정입니다. 패시브 모드에서 사용할 데이터 포트 범위를 지정합니다 (예: 55536-55663). 이 포트 범위는 공유기에서 반드시 포트포워딩 되어야 합니다.  
    •  
    • PASV 모드에서 외부 IP 보고: 반드시 활성화합니다. 이 옵션은 공유기(NAT) 뒤에 있는 NAS가 클라이언트에게 자신의 공인 IP 주소를 알려주어 정상적인 데이터 채널 연결을 가능하게 합니다.  
    •  
    • 고급 설정:
      • UTF-8 인코딩: 한글을 포함한 다국어 파일 이름이 깨지지 않도록 지원하는 옵션입니다. '자동' 또는 '강제'로 설정하여 파일 이름 깨짐 문제를 해결할 수 있습니다.  
      •  
      • 속도 제한: 특정 사용자나 그룹의 업로드/다운로드 속도를 제한하여 FTP 트래픽이 전체 네트워크 대역폭을 독점하는 것을 방지할 수 있습니다.  
      •  
      • 사용자 홈: 사용자가 FTP로 접속했을 때, 다른 공유 폴더는 보이지 않고 자신의 개인 홈 디렉터리로만 접속되도록 제한하는 보안 기능입니다.

3.3 QNAP NAS (QTS) 설정 가이드

QNAP NAS의 운영체제인 QTS(QNAP Turbo-NAS System)에서의 설정 방법입니다. QNAP은 QuFTP라는 전용 앱을 제공하기도 합니다.  

 
  • 설정 위치: 제어판 > 네트워크 및 파일 서비스 > FTP (또는 QuFTP)로 이동합니다.
  • FTP 서비스 탭:
    • FTP 서비스 활성화: FTP 기능을 켭니다.
    • 프로토콜 유형: '표준 FTP' 또는 'SSL/TLS를 사용한 FTP(명시적)' 중에서 선택하여 FTPS를 활성화할 수 있습니다.  
    •  
    • SFTP 활성화: SFTP는 일반적으로 SSH 서비스와 함께 관리됩니다. 제어판 > 네트워크 및 파일 서비스 > Telnet / SSH 메뉴에서 SSH 서비스를 활성화하면 SFTP도 함께 활성화됩니다.
    • 포트 번호: 제어 채널 포트를 지정합니다.  
    •  
    • 패시브 FTP 포트 범위: 패시브 모드 데이터 연결에 사용할 포트 범위를 지정합니다 (예: 55536-56559).  
    •  
    • 패시브 FTP 연결 요청에 대한 외부 IP 주소에 응답: Synology의 '외부 IP 보고'와 동일한 기능입니다. 반드시 활성화해야 합니다.  
    •  
    • 유니코드 지원: 다국어 파일 이름 지원을 위해 활성화합니다.  
    •  
    • 액세스 권한: 익명 로그인을 허용하거나, 특정 사용자 그룹의 루트 디렉터리를 지정하는 등의 고급 권한을 설정할 수 있습니다.  
    •  

3.4 ASUSTOR NAS (ADM) 설정 가이드

ASUSTOR NAS의 운영체제인 ADM(ASUSTOR Data Master)에서의 설정 방법입니다.

  • 설정 위치: 서비스 > FTP 서버로 이동합니다.
  • 설정:
    • FTP 서버 활성화: FTP 기능을 켭니다.
    • SSL/TLS 활성화: 체크하여 안전한 FTPS 연결을 활성화합니다.  
    •  
    • SFTP 활성화: 서비스 > 터미널 및 SNMP 메뉴에서 SSH 서비스 활성화를 체크하면 SFTP가 활성화됩니다.
    • 포트 설정: FTP 제어 포트를 지정합니다.
    • 패시브 FTP 포트 범위: 패시브 모드에서 사용할 데이터 포트 범위를 지정합니다.  
    •  
    • 수동 FTP 요청에 대해 외부 IP로 응답: 공유기 환경에서 외부 접속을 위해 반드시 활성화해야 합니다.  
    •  
    • FXP 활성화: 서버 대 서버로 직접 파일을 전송하는 기능입니다. 일반적인 개인 사용 환경에서는 필요하지 않습니다.  
    •  
    • 연결/속도 제한: 최대 동시 접속자 수, IP당 최대 연결 수, 사용자별 업로드/다운로드 속도를 제한할 수 있습니다.  
    •  
    • 유니코드 지원: 다국어 파일 이름 인코딩을 지원합니다.  
    •  

제조사별 UI와 메뉴명은 조금씩 다르지만, 성공적인 FTP 서버 설정을 위한 핵심 3요소는 1) 원하는 프로토콜(FTPS/SFTP) 활성화, 2) 제어 포트 설정, 3) 패시브 FTP 데이터 포트 범위 지정 및 기록으로 동일합니다. 이 세 가지 원칙을 이해하면 어떤 NAS 장비에서도 FTP 서버를 구성할 수 있습니다.

Part 4: 외부와 내부의 연결: 공유기 및 방화벽 설정

NAS 설정을 마쳤다고 해서 바로 외부에서 접속할 수 있는 것은 아닙니다. 인터넷과 내부 네트워크 사이의 문지기 역할을 하는 공유기에서 외부의 접속 요청을 NAS로 정확히 전달해주도록 길을 열어주는 작업이 필요합니다.

4.1 문지기 역할의 이해: 포트 포워딩

공유기는 NAT(Network Address Translation, 네트워크 주소 변환) 기술을 사용하여 하나의 공인 IP 주소를 여러 내부 장치(PC, 스마트폰, NAS 등)가 공유할 수 있게 해줍니다. 외부 인터넷에서는 우리 집의 공인 IP 주소만 보일 뿐, 그 안에 있는 NAS의 내부 IP 주소(예: 192.168.0.10)는 알 수 없습니다.

**포트 포워딩(Port Forwarding)**은 공유기에 설정하는 규칙으로, "우리 집 공인 IP 주소의 특정 포트로 들어오는 요청은 내부 네트워크의 특정 장치(NAS)의 특정 포트로 전달하라"고 지정하는 것입니다. 비유하자면, 회사 건물(공유기)의 안내 데스크에 "21번 스위트(포트 21)로 오는 모든 우편물은 김대리의 책상(NAS의 내부 IP)으로 직접 전달해주세요"라고 요청하는 것과 같습니다.  

 

4.2 FTP/S 및 SFTP를 위한 포트 포워딩 설정

가장 중요한 원칙은 서버가 사용하는 모든 포트를 포워딩해야 한다는 것입니다. 특히 FTPS의 경우, 제어 포트와 패시브 데이터 포트 범위를 모두 열어주어야 합니다.

단계별 포트 포워딩 설정 가이드 (일반적인 공유기 기준):

  1. 웹 브라우저에서 공유기 관리자 페이지에 접속합니다 (주소는 보통 192.168.0.1 또는 192.168.1.1).
  2. 관리자 메뉴에서 '포트 포워딩', '가상 서버', 'NAT 포워딩' 등의 항목을 찾습니다.  
  3.  
  4. 규칙 1: 제어 포트 포워딩
    • 새 규칙을 추가합니다.
    • 외부 포트(서비스 포트): 21 (FTPS) 또는 22 (SFTP), 또는 NAS에서 변경한 사용자 지정 포트
    • 내부 포트: 외부 포트와 동일하게 입력
    • 내부 IP 주소: NAS에 할당한 고정 IP 주소
    • 프로토콜: TCP
    • 규칙을 저장합니다.  
    •  
  5. 규칙 2: 패시브 포트 범위 포워딩 (FTPS 사용 시 필수!)
    • 이것이 가장 자주 놓치는 단계입니다. 새 규칙을 추가합니다.
    • 외부 포트 범위: NAS의 FTP 설정에서 지정한 패시브 포트 범위 전체 (예: 55536-55663)
    • 내부 포트 범위: 외부 포트 범위와 동일하게 입력
    • 내부 IP 주소: NAS의 고정 IP 주소
    • 프로토콜: TCP
    • 규칙을 저장합니다.  
    •  

SFTP는 단일 포트(22번)만 사용하므로 규칙 1만 설정하면 되지만, FTPS는 반드시 두 개의 규칙(제어 포트, 패시브 데이터 포트 범위)을 모두 설정해야 정상적으로 작동합니다.

4.3 NAS 보안 강화: 방화벽 및 추가 보안 설정

외부에 서비스를 개방하는 순간, NAS는 인터넷상의 수많은 자동화된 공격 시도에 노출됩니다. 따라서 다층적인 보안 설정은 필수입니다.

  • NAS 방화벽 설정:
    • 이유: 공유기 방화벽이 1차 방어선이라면, NAS 자체 방화벽은 2차 방어선 역할을 하여 더욱 정교한 접근 제어를 가능하게 합니다.  
    •  
    • 방법: NAS 제어판의 보안 메뉴에서 방화벽을 활성화합니다. 기본 정책을 '모든 접근 거부'로 설정한 뒤, FTP/SFTP 서비스 포트(예: 21, 22, 패시브 포트 범위)에 대해서만 '허용' 규칙을 추가합니다. 가능하다면 특정 국가나 IP 대역에서만 접속을 허용하도록 규칙을 더욱 강화하는 것이 좋습니다.  
    •  
  • 계정 보호 (자동 차단):
    • 이유: 전 세계의 공격 봇들은 24시간 내내 무차별 대입 공격(Brute-force attack)으로 관리자 계정의 비밀번호를 추측하려 시도합니다. '자동 차단' 기능은 일정 횟수 이상 로그인에 실패한 IP 주소를 자동으로 차단하여 이러한 공격을 무력화합니다.  
    •  
    • 방법: 보안 설정에서 이 기능을 활성화하고, '5분 이내에 3~5회 로그인 실패 시 해당 IP 차단'과 같이 합리적인 규칙을 설정합니다.  
    •  
  • 기타 보안 수칙:
    • 모든 계정에 추측하기 어려운 강력한 비밀번호를 사용합니다.  
    •  
    • 기본 관리자 계정(admin)을 비활성화하고, 개인화된 이름의 관리자 계정을 사용합니다.  
    •  
    • 관리자 계정에는 반드시 2단계 인증(2FA)을 활성화하여 보안을 한층 더 강화합니다.  
    •  
    • NAS의 펌웨어(OS)와 모든 설치된 패키지(앱)를 항상 최신 버전으로 유지하여 알려진 보안 취약점을 해결합니다.  
    •  

Part 5: 접근 제어 및 사용자 관리

서버에 접속할 수 있게 되었다면, 이제 누가 어떤 데이터에 접근할 수 있는지를 세밀하게 제어해야 합니다.

5.1 사용자 및 그룹 생성

가장 중요한 원칙은 관리자 계정으로 일상적인 FTP 접속을 하지 않는 것입니다. FTP 접속이 필요한 각 개인이나 서비스마다 권한이 제한된 일반 사용자 계정을 별도로 생성해야 합니다.  

 

사용자가 많을 경우, '가족', '업무', '개발팀'과 같은 그룹을 생성하고 그룹에 폴더 접근 권한을 할당하면 관리가 훨씬 수월해집니다. 새로운 사용자가 생기면 해당 그룹에 추가하기만 하면 되기 때문입니다.  

 

5.2 세분화된 폴더 권한 할당

NAS 운영체제는 사용자별, 폴더별로 접근 권한을 정교하게 제어하는 기능을 제공합니다.

  • 설정 방법 (Synology NAS 예시):
    1. 제어판 > 공유 폴더로 이동합니다.
    2. 권한을 관리할 폴더를 선택하고 편집을 클릭합니다.
    3. 권한 탭으로 이동합니다.
    4. 상단의 드롭다운 메뉴에서 로컬 사용자 또는 로컬 그룹을 선택합니다.
    5. 목록에 있는 각 사용자/그룹에 대해 읽기/쓰기, 읽기 전용, 접근 금지 중 원하는 권한을 체크박스로 선택합니다.  
    6.  
  • 권한 적용 우선순위: 권한 설정 시 반드시 이해해야 할 중요한 개념이 있습니다. Synology NAS의 경우, 권한 적용 순서는 접근 금지 > 읽기/쓰기 > 읽기 전용 입니다. 예를 들어, 어떤 사용자가 '개발팀' 그룹(읽기/쓰기 권한)과 '방문자' 그룹(접근 금지 권한)에 동시에 속해 있다면, 더 강력한 '접근 금지' 규칙이 우선 적용되어 해당 폴더에 접근할 수 없게 됩니다. 이 우선순위 규칙을 모르면 권한 설정이 예상과 다르게 동작하여 혼란을 겪을 수 있습니다.  
  •  

효과적인 권한 관리는 다중 사용자가 데이터를 공유하는 환경에서 정보 보안을 지키는 가장 기본적인 초석입니다.

5.3 익명 접속 관리 (사용을 권장하지 않는 이유)

  • 정의: 사용자 이름 anonymous 또는 ftp를 사용하면 비밀번호 없이 누구나 로그인할 수 있도록 허용하는 기능입니다.  
  •  
  • 위험성: 이 기능을 활성화하는 것은 사실상 누구나 파일을 올리고 내려받을 수 있는 공개 파일 서버를 만드는 것과 같습니다. 매우 특수한 목적이 아니라면, 대부분의 개인 및 소규모 비즈니스 사용자에게는 심각한 보안 위협이 될 수 있으므로 반드시 비활성화 상태를 유지해야 합니다.  
  •  

Part 6: 서버에 접속하기: 클라이언트 사용 가이드

서버 설정이 완료되었으니, 이제 클라이언트 소프트웨어를 사용하여 접속하는 방법을 알아봅니다.

6.1 데스크톱 및 모바일 클라이언트 선택

  • 데스크톱: FileZilla는 무료이면서 Windows, macOS, Linux를 모두 지원하는 가장 널리 추천되는 클라이언트입니다.   WinSCP는 Windows 환경에서 강력한 기능과 스크립팅 지원으로 인해 SFTP 사용자와 개발자들에게 인기가 높습니다.  
  •  
  •  
  • 모바일: iOS용으로는 FTPManager , 안드로이드용으로는   WiFi FTP Server를 비롯한 다수의 클라이언트 앱이 존재합니다.  
  •  
  •  
  • 운영체제 내장 클라이언트: Windows 파일 탐색기나 macOS의 Finder도 기본적인 FTP 접속을 지원하지만, 보안 프로토콜(FTPS/SFTP)과의 호환성이 떨어지고 설정 옵션이 부족하여 종종 접속에 실패하는 경우가 많습니다. 안정적인 사용을 위해서는 전용 클라이언트 소프트웨어를 사용하는 것이 강력히 권장됩니다.  
  •  

6.2 FileZilla 실전 사용 가이드

  • 설치: 악성코드 감염을 피하기 위해 반드시 공식 웹사이트(filezilla-project.org)에서 다운로드합니다.  
  •  
  • 사이트 관리자를 통한 접속 (권장):
    1. FileZilla 실행 후, 파일 > 사이트 관리자 메뉴를 엽니다.
    2. 새 사이트 버튼을 클릭하고 접속 정보를 식별할 이름을 입력합니다.
    3. 프로토콜: SFTP - SSH File Transfer Protocol (가장 권장) 또는 FTPES - 명시적 TLS/SSL을 통한 FTP (FTPS용)를 선택합니다.
    4. 호스트: NAS에 설정한 DDNS 주소(예: my-nas.synology.me)를 입력합니다.
    5. 포트: 설정한 제어 포트(예: 22, 2121 등)를 입력합니다.
    6. 로그온 유형: 일반으로 선택합니다.
    7. 사용자 / 비밀번호: NAS에서 생성한 전용 FTP 사용자 계정의 정보를 입력합니다.
    8. 연결 버튼을 클릭합니다.  
    9.  
  • 인터페이스: 연결에 성공하면 프로그램 창의 왼쪽에는 로컬 PC의 파일이, 오른쪽에는 원격 NAS의 파일이 표시됩니다. 드래그 앤 드롭 방식으로 파일을 손쉽게 업로드하거나 다운로드할 수 있습니다.  
  •  

6.3 WinSCP 실전 사용 가이드 (Windows용)

  • 접속:
    1. WinSCP를 실행하여 새 세션 창을 엽니다.
    2. 파일 프로토콜: SFTP (권장) 또는 FTP를 선택합니다.
    3. 호스트 이름: DDNS 주소를 입력합니다.
    4. 포트 번호: 22 (SFTP) 또는 21 (FTP) 등 설정한 포트를 입력합니다.
    5. 사용자 이름 / 암호: FTP 사용자 계정 정보를 입력합니다.
    6. FTPS로 접속하려면, 파일 프로토콜을 FTP로 선택한 후 암호화 드롭다운 메뉴에서 TLS/SSL 명시적 암호화를 선택합니다.  
    7.  
    8. SFTP에서 SSH 키 인증을 사용하려면, 고급 버튼을 누르고 인증 섹션에서 개인키 파일(.ppk)을 불러옵니다.  
    9.  
    10. 세션을 저장한 후 로그인 버튼을 클릭합니다.

6.4 이동 중 접속: 모바일 FTP 클라이언트

모바일 클라이언트에서도 접속 정보 설정 원리는 데스크톱과 동일합니다. 앱에서 새 연결을 추가할 때 프로토콜(SFTP/FTPS), 호스트(DDNS 주소), 포트, 사용자 이름, 비밀번호를 정확히 입력하면 됩니다.  

 

Part 7: 흔히 발생하는 FTP 문제 해결 가이드

FTP 설정 시 겪는 문제들은 대부분 예측 가능하며, 체계적인 접근으로 해결할 수 있습니다.

7.1 체계적인 문제 진단 접근법

문제 발생 시, 연결 과정(클라이언트 -> 인터넷 -> 공유기 -> NAS) 중 어느 단계에서 문제가 발생했는지 파악하는 것이 중요합니다.

  • 1단계: 내부 네트워크(LAN)에서 먼저 테스트하라.
    • NAS와 동일한 네트워크에 연결된 PC에서, 공인 IP나 DDNS 주소 대신 NAS의 내부 IP 주소(예: 192.168.0.10)로 접속을 시도합니다.
    • 접속 성공 시: 문제는 공유기의 포트포워딩 설정, 공유기 방화벽, DDNS 설정 오류 등 외부 네트워크와의 연결 부분에 있습니다.
    • 접속 실패 시: 문제는 NAS 자체의 설정에 있습니다. NAS의 FTP 서비스 활성화 여부, 사용자 계정 정보, 폴더 권한, NAS 방화벽 설정을 먼저 점검해야 합니다.  
    •  

그림 1: FTP 접속 문제 해결 흐름도

코드 스니펫
 
graph TD
    A[시작] --> B{외부(WAN)에서 접속 시도};
    B -- 실패 --> C{내부(LAN)에서 내부 IP로 접속 시도};
    C -- 실패 --> D;
    C -- 성공 --> E;
    B -- 성공 --> F[정상 작동];

7.2 주요 오류 메시지와 해결책

  • 오류: Connection Refused (연결 거부) 또는 Connection Timed Out (연결 시간 초과)
    • 원인: 서버가 응답하지 않거나, 방화벽이 초기 연결을 차단하고 있습니다.
    • 해결책:
      1. NAS 제어판에서 FTP/SFTP 서비스가 활성화되어 있는지 확인합니다.
      2. NAS와 공유기 방화벽에서 제어 포트(21/22 등)에 대한 트래픽을 허용했는지 확인합니다.
      3. DDNS 주소가 현재 사용 중인 공인 IP 주소로 정확히 연결되는지 확인합니다.
      4. NAS의 '자동 차단' 목록에 자신의 공인 IP가 실수로 등록되어 있는지 확인하고, 있다면 제거합니다.  
      5.  
  • 오류: 530 Permission Denied (권한 거부) 또는 Login Incorrect (로그인 실패)
    • 원인: 인증 과정에서 실패했습니다.
    • 해결책:
      1. 사용자 이름과 비밀번호를 대소문자까지 정확히 다시 확인하고 입력합니다.  
      2.  
      3. NAS의 사용자 관리 메뉴에서 해당 계정이 활성화되어 있고, '응용 프로그램 권한' 설정에서 FTP 서비스 사용이 허가되었는지 확인합니다.  
      4.  
      5. 사용자 계정이 특정 거부 목록(ftpusers 등)에 포함되어 있지 않은지 확인합니다.  
      6.  
      7. 사용자의 홈 디렉터리가 존재하며 접근 가능한 상태인지 확인합니다.  
      8.  
  • 증상: 로그인은 성공했으나 디렉터리 목록을 가져올 수 없습니다 오류 또는 폴더 목록이 비어 보임
    • 원인: 이는 전형적인 패시브 모드 설정 실패입니다. 제어 채널(로그인)은 작동했지만, 데이터 채널(디렉터리 목록)이 방화벽에 의해 차단된 것입니다.
    • 해결책:
      1. 가장 큰 원인은 잘못된 포트포워딩입니다. 공유기 설정으로 돌아가 NAS에서 지정한 패시브 FTP 포트 범위 전체를 정확하게 포워딩했는지 다시 확인합니다.  
      2.  
      3. NAS의 방화벽에서도 해당 포트 범위를 허용했는지 확인합니다.
      4. FTP 클라이언트 설정에서 패시브 모드가 활성화되어 있는지 확인합니다 (대부분 기본값).  
      5.  
  • 증상: 한글 등 다국어 파일 이름이 깨져 보임 (예: ?????.txt)
    • 원인: 서버와 클라이언트 간의 문자 인코딩 방식이 일치하지 않기 때문입니다.
    • 해결책: NAS의 FTP 설정에서 UTF-8 인코딩을 활성화합니다. Synology의 경우 '자동' 또는 '강제' 옵션을 제공하는데, 하나가 작동하지 않으면 다른 하나를 시도해봅니다. FileZilla와 같은 클라이언트의 사이트 관리자 설정에서도 문자 집합을 UTF-8로 강제 지정할 수 있습니다.  
    •  

Part 8: 결론 및 최종 권장 사항

8.1 보안을 위한 핵심 수칙 요약

안전하고 안정적인 NAS FTP 서버 운영을 위해 다음 사항을 반드시 준수해야 합니다.

  • 항상 보안 프로토콜 사용: 인터넷을 통한 접속 시 SFTP를 최우선으로, 차선책으로 FTPS를 사용합니다. 일반 FTP는 절대 사용하지 마십시오.
  • 비표준 포트 사용: 봇의 자동 스캔 공격을 줄이기 위해 제어 포트(21, 22)를 1024 이상의 임의의 높은 번호(예: 21221, 22332)로 변경하십시오.
  • 강력한 인증 정보 적용: 추측이 불가능한 길고 복잡한 비밀번호를 사용하고, NAS 관리자 계정에는 반드시 2단계 인증(2FA)을 활성화하십시오.
  • 최소 권한의 원칙 준수: FTP 접속을 위해 관리자가 아닌 전용 사용자를 생성하고, 해당 사용자가 접근해야 할 최소한의 폴더에만 권한을 부여하십시오.
  • 다층 방어 체계 구축: 공유기 방화벽과 NAS 자체 방화벽을 모두 사용하여 방어선을 이중으로 구축하십시오.
  • 자동 차단 기능 활성화: 무차별 대입 공격으로부터 NAS를 보호하기 위해 로그인 실패 시 IP를 자동 차단하는 기능을 반드시 사용하십시오.
  • 지속적인 업데이트: NAS 운영체제와 모든 관련 애플리케이션을 항상 최신 상태로 유지하여 보안 취약점을 패치하십시오.

8.2 FTP를 넘어: 대안 기술 탐색

FTP는 강력한 파일 전송 도구이지만, 현대 NAS는 더 다양하고 편리한 원격 접속 방법을 제공합니다.

  • WebDAV: HTTP 프로토콜의 확장으로, 파일을 관리할 수 있게 해줍니다. HTTPS와 동일한 단일 포트를 사용하므로 방화벽 설정이 간편한 장점이 있습니다.  
  •  
  • NAS 제조사 전용 서비스: Synology의 QuickConnect나 QNAP의 myQNAPcloud와 같은 서비스는 복잡한 포트포워딩 설정 없이 간편하게 원격 접속을 제공합니다. 다만, 제조사 서버를 경유할 수 있어 속도가 다소 느릴 수 있습니다.
  • VPN(Virtual Private Network): 가장 안전한 원격 접속 방법입니다. VPN은 사용자의 장치와 집 네트워크 사이에 암호화된 터널을 생성합니다. VPN에 접속하면 마치 집에 있는 것처럼 내부 네트워크의 모든 자원(SMB/AFP 파일 공유 포함)에 안전하게 접근할 수 있습니다. 대부분의 최신 NAS는 VPN 서버 기능을 내장하고 있습니다.
반응형

티스토리툴바