Synology NAS 방화벽 설정: 외국 IP 차단 규칙 3개 실전 가이드

By

NAS 하드디스크를 교체하면서 DSM 설정이 전부 날아간 적이 있습니다. 공들여 잡아뒀던 방화벽 규칙도 함께 초기화됐는데, 당시엔 “곧 다시 잡으면 되지”라고 생각하고 며칠을 미뤘습니다. 그게 실수였습니다.

며칠 뒤 보안 알림 메일이 하루에 여러 통씩 날아오기 시작했습니다. 메일을 열어보니 전부 해외 IP에서 들어오는 접속 시도 알림이었습니다. 방화벽이 꺼진 상태로 며칠을 방치한 거였습니다. 속이 철렁했습니다.

당시 NAS에는 웹 서버와 DB 서버를 함께 올려서 운영 중이었습니다. SSH를 닫는다고 해결될 상황이 아니었어요. 외부에서 원격으로 사용해야 하는 서비스들이 여러 개 열려있었으니까요. 결국 문제의 근본을 건드려야 했습니다. 해외 IP 자체를 방화벽 수준에서 차단하는 것이었습니다.

Synology NAS 보안 알림 메일 수신 화면 — 해외 IP 접속 시도 알림
Synology NAS 비인가 접속 시도 로그 목록 화면

이 글은 그 재설정 과정을 처음부터 정리한 기록입니다.

DSM 방화벽 설정 진입과 활성화 확인

방화벽 설정은 DSM 제어판에서 들어갈 수 있습니다.

제어판 > 보안 > 방화벽

Synology DSM 제어판 보안 탭 방화벽 메뉴 진입 화면

방화벽 탭에 들어오면 제일 먼저 “방화벽 활성화” 체크박스 상태를 확인합니다. DSM 설정이 초기화된 직후에는 이 체크박스가 해제되어있을 수 있습니다. 규칙을 아무리 정교하게 만들어놔도 방화벽 자체가 꺼져있으면 적용되지 않습니다. 이 부분을 먼저 챙기는 것이 중요합니다.

활성화를 확인한 뒤 “규칙 편집” 버튼을 눌러서 다음 단계로 넘어갑니다.

모든 인터페이스에 적용할 방화벽 규칙 3개

규칙 편집 화면에서 “모든 인터페이스” 탭을 선택하고, 아래 3개 규칙을 이 순서대로 추가합니다.

Synology DSM 방화벽 규칙 편집 화면 전체 목록 — 모든 인터페이스 탭
순서조건동작
1원본 위치: 남한허용
2원본 IP: 내부망허용
3그 외 전부거부

여기서 순서가 핵심입니다. DSM 방화벽은 위에서부터 아래로 규칙을 순서대로 확인합니다. 들어오는 트래픽이 첫 번째 규칙에 해당하면 그 동작을 실행하고 끝입니다. 해당하지 않으면 다음 규칙으로 내려갑니다. 허용 규칙이 거부 규칙보다 반드시 위에 있어야 한국 IP와 내부망 기기들이 차단되지 않습니다.

규칙 1: 남한 IP 허용

규칙 생성 화면에서 위치 기반 필터를 선택하고, 목록에서 “남한”을 찾아 선택합니다.

DSM 방화벽 규칙 생성 — 위치 기반 필터에서 남한 선택하는 화면
DSM 방화벽 남한 위치 기반 허용 규칙 생성 결과 확인 화면

“남한”을 선택하면 DSM이 한국에 할당된 IP 대역 목록을 자동으로 불러와서 규칙에 반영합니다. IP 대역을 직접 입력할 필요 없이 클릭 몇 번으로 한국 IP 전체를 허용 대상으로 지정할 수 있습니다. 외국에서 들어오는 대부분의 접속 시도는 이 규칙 하나로 걸러집니다.

외부에서 원격 접속을 사용하는 경우라면 이 규칙이 특히 중요합니다. “남한” 허용 규칙이 없으면 3번 거부 규칙에 의해 해외에서 접속하는 본인도 차단됩니다.

규칙 2: 내부망 허용

로컬 네트워크, 즉 공유기 아래 연결된 기기들에서의 접근은 별도 규칙으로 처리합니다. 규칙 생성 화면에서 “특정 IP”를 선택한 뒤 “내부망”을 지정합니다.

DSM 방화벽 규칙 생성 — 특정 IP 항목에서 내부망 선택하는 화면
DSM 방화벽 내부망 허용 규칙 적용 결과 화면

이 규칙이 없으면 집 안 기기에서 보내는 요청도 3번 거부 규칙에 걸릴 수 있습니다. 외부 보안을 강화하면서도 내부에서는 자유롭게 NAS에 접근하려면 내부망 허용 규칙은 반드시 있어야 합니다.

고정 IP로 자주 접속하는 분이 있다면, 이 단계에서 해당 IP를 특정 IP 항목에 개별로 추가하여 허용할 수 있습니다.

규칙 3: 그 외 전부 거부 + 인터페이스별 추가 설정

앞의 두 허용 규칙에 해당하지 않는 모든 트래픽을 차단하는 규칙입니다. 규칙 목록 맨 아래에 “그 외 전부 거부”를 추가합니다.

저는 LAN 포트 1만 사용하고 PPPoE와 VPN은 쓰지 않습니다. 그렇다고 해당 인터페이스들을 그냥 두면 불필요한 접근 경로가 남아있는 셈입니다. 각 인터페이스 탭으로 이동해서 LAN 포트 1, PPPoE, VPN에 대해서도 개별적으로 거부 규칙을 추가해뒀습니다.

DSM 방화벽 인터페이스 탭 선택 화면
DSM 방화벽 LAN1 PPPoE VPN 인터페이스별 접근 거부 규칙 적용 화면

모든 인터페이스 거부 규칙과 인터페이스별 거부 규칙을 함께 쓰면, 어느 경로로 들어오는 요청이든 허용 규칙에 해당하지 않으면 막히는 구조가 됩니다. 실제로 이 설정을 적용하고 나서 보안 알림 메일이 눈에 띄게 줄었습니다. 경험상 이 구성이 가장 효과적이었습니다.

HDD 교체나 DSM 재설정 후 반드시 확인할 것

이 방법으로 해외 IP에서 들어오는 접속 시도는 대부분 차단할 수 있습니다.

한 가지 더 챙겨두면 좋은 것이 있습니다. NAS 하드디스크를 교체하거나 DSM이 초기화되면 방화벽 설정도 함께 날아갑니다. 저처럼 뒤늦게 알게 되기 전에, 하드웨어 교체나 시스템 업데이트 후에는 방화벽 활성화 여부와 규칙 목록을 바로 확인하는 습관을 들이면 좋습니다.

tvN 드라마 “스타트업”에서 포트 하나를 잘못 열어뒀다가 랜섬웨어에 감염되어 수개월치 개발 자료를 잃는 장면이 나왔는데, 인상 깊게 봤습니다. NAS 안에 아이들 사진, 영상 같은 개인 자료가 들어있다면, 이 설정만큼은 미루지 않는 게 맞습니다. 내 자료가 어딘가 모르는 서버에서 돌아다니는 건 생각만 해도 찝찝하니까요.

이 글은 2020년 12월 실경험을 바탕으로 작성했으며, 당시 DSM 기준입니다. DSM 버전에 따라 일부 메뉴 위치나 표시 방식이 다를 수 있습니다.

Similar Posts