시놀로지 NAS 방화벽 규칙으로 외국 IP 차단하기 — 남한 IP만 허용 설정

By

보안 메일이 쏟아지던 날

어느 날 Synology NAS에서 보안 알림 메일이 연속으로 쏟아졌습니다. 확인해 보니 외부에서 NAS에 지속적인 접속 시도가 이어지고 있었습니다. 웹 서버와 DB 서버를 외부에 열어두고 SSH도 함께 사용하는 상황이라, SSH 포트만 닫아서는 근본적인 해결이 되지 않는 환경이었습니다.

마침 NAS 하드디스크를 교체하면서 DSM 재설치가 필요했고, 그 과정에서 기존 설정이 초기화되었습니다. 이번 기회에 DSM 방화벽에서 남한 IP만 허용하고 외국 IP를 차단하는 규칙 설정을 처음부터 다시 정리했습니다.

DSM이 보낸 보안 알림 메일 화면
반복 접속 시도가 기록된 알림 목록

시작 전 준비 — 방화벽 메뉴 위치와 용어 확인

DSM 제어판에서 방화벽 설정 화면으로 먼저 이동합니다.

제어판 > 보안 > 방화벽

DSM 제어판 보안 방화벽 메뉴 위치

용어 안내: DSM 방화벽의 위치(GeoIP) 필터 목록에서 대한민국은 ‘남한’ 으로 표기됩니다. 설정 화면에서 ‘한국’이나 ‘Korea’로 찾으면 항목이 보이지 않을 수 있으니, 목록에서 반드시 ‘남한’으로 검색하세요.

방화벽 화면에서 규칙 편집 버튼을 클릭하면 인터페이스별 방화벽 규칙을 관리하는 편집 화면이 열립니다.

호환성 안내: 위치(GeoIP) 기반 국가 필터링 기능은 DSM 6.x 이상에서 지원됩니다. 일부 구형 저사양 모델에서는 방화벽 규칙 편집 화면에 위치 항목이 표시되지 않을 수 있습니다.

1단계 — 모든 인터페이스 규칙 설정

규칙 편집 화면에서 모든 인터페이스 탭을 선택합니다. 이 탭에서 다음 세 가지 규칙을 반드시 아래 순서대로 추가합니다.

⚠️ 순서 중요: 방화벽 규칙은 목록 위에서 아래 순서로 적용됩니다. 순서가 뒤바뀌면 모든 접속이 차단되거나, 반대로 차단 규칙이 무력화될 수 있습니다. 규칙을 추가할 때 순서를 반드시 지켜야 합니다.

순서출처처리
1남한 IP (위치)허용
2내부망 (특정 IP)허용
3그 외 모든 작업거부
모든 인터페이스 규칙 목록 — 남한 허용·내부망 허용·그 외 거부

외국 IP 주소에서의 접속 시도가 대부분이기 때문에, 남한 IP로 할당된 대역에서만 NAS에 접속할 수 있도록 설정합니다. 외부에서 원격으로 NAS를 사용하는 경우도 있으므로, 남한 IP 범위 안에서는 접속을 허용하는 방식입니다.

규칙 1 — 남한 IP 허용

남한 IP 허용 규칙은 생성 > 위치 > ‘남한’ 선택 경로로 추가합니다. 위치 항목에서 국가 목록을 펼치면 ‘남한’을 선택할 수 있습니다.

규칙 생성 — 위치에서 남한 선택
남한이 선택된 규칙 화면

규칙 3 — 그 외 모든 접속 거부

규칙 1·2를 모두 추가한 후, 생성 > 출처: 모든 주소 > 처리: 거부 순서로 마지막 거부 규칙을 추가합니다. 이 규칙이 없으면 규칙 1·2에 해당하지 않는 모든 접속이 기본적으로 허용된 채로 남습니다. 반드시 목록 가장 아래에 위치하도록 추가하세요.

2단계 — 내부망 허용 규칙 추가

남한 IP 대역이 내부 로컬 네트워크(공유기 대역)를 항상 포함하지는 않습니다. 내부망 대역을 명시적으로 허용해두지 않으면, 같은 공유기에 연결된 기기에서도 NAS 접속이 끊길 수 있습니다.

경로는 생성 > 특정 IP > 내부망 대역 입력입니다.

규칙 생성 — 특정 IP에서 내부망 대역 선택
내부망 대역이 입력된 규칙 화면

입력 형식은 192.168.1.0/24처럼 CIDR 표기를 사용합니다. 공유기 관리 화면이나 NAS 네트워크 설정에서 실제 내부망 대역을 확인한 후 본인 환경에 맞게 입력하세요. 공인 IP, NAS 호스트명, 계정 정보 같은 민감 정보는 외부에 공유하지 않도록 주의합니다.

3단계 — 사용하지 않는 인터페이스 거부 설정

규칙 편집 화면에서 LAN 포트 1, PPPoE, VPN 탭도 각각 설정합니다. 실제로 LAN 포트 1만 사용하는 경우라면, PPPoE와 VPN 탭은 명시적으로 접근 거부로 설정합니다. 사용하지 않는 인터페이스도 빈 상태로 두지 않고 거부 규칙을 추가해두면, 불필요한 경로를 통한 접속 시도를 줄일 수 있습니다.

사용하지 않는 인터페이스 탭에서 접근 거부 설정
PPPoE / VPN 탭의 거부 규칙

응용 — 고정 IP에서 접속하는 경우

외부에서 고정 IP로 NAS에 접속하는 경우라면, 특정 IP 항목에서 해당 고정 IP를 허용으로 추가하면 됩니다. 신뢰할 수 있는 외부 접속 위치가 있다면 이 방법으로 개별 허용을 추가할 수 있습니다.

운영 팁

이 방화벽 설정은 외국 IP 접속 시도를 거의 차단하는 데 도움이 됩니다. 원문에도 “이 작업으로 거의 차단할 수 있다”고 표현되어 있으며, 완전한 차단을 보장하지는 않습니다. 방화벽 규칙 외에 2단계 인증 활성화, SSH 키 인증 전환, 자동 차단 설정 같은 추가 보안 조치를 함께 적용하면 더 안전하게 운영할 수 있습니다.

이 팁은 원문에 없는 일반 보안 권고 사항입니다.

마치며

방화벽 설정을 마치고 나면 보안 알림 메일이 눈에 띄게 줄었습니다. 알림이 쏟아지고 나서야 설정을 들여다보게 되는 경우가 많은데, NAS를 외부에 열어두고 사용하는 이상 방화벽은 반드시 챙겨야 할 기본 설정입니다.

아이들 사진과 영상처럼 소중한 파일들이 보관된 NAS라면 더욱 그렇습니다. 이미 널리 알려진 방식이지만, NAS를 외부에 공개해서 사용하는 분이라면 방화벽 설정 상태를 한 번쯤 점검해보시길 권합니다. 보안 알림 메일이 쏟아지기 전에 미리 잡아두는 것이 훨씬 낫습니다.

이 글은 2020-12-17 작성된 Synology NAS 방화벽 설정 메모를 기반으로 정리했습니다. 스크린샷은 당시 DSM 버전 기준이며, DSM 6.x 이상에서 동일한 메뉴 경로로 확인할 수 있습니다.

Similar Posts