기본 포트 변경이 진정한 보안이 아닌 이유

SSH 서버를 포트 22 대신 2222로 실행하기. 웹 서버를 80에서 8080으로 옮기기. 데이터베이스를 3306 대신 33061 포트에 숨기기. 이런 변경들이 보안처럼 느껴질 수 있지만, 이는 보안 연극에 불과합니다—집 열쇠를 다른 돌 아래에 숨기는 것과 다름없는 디지털 행위입니다.

포트 번호는 비밀이 아닙니다. 어떤 스캐너도 몇 초 만에 답을 찾아내는 퀴즈 문제일 뿐입니다.

착각

논리는 그럴듯해 보입니다: 공격자들이 포트 22에서 SSH를 스캔한다면, 2222 포트에서 실행하면 서버가 보이지 않을 것입니다. 로그가 봇들의 수천 번의 인증 실패 시도로 가득 차지 않을 것입니다. 눈에 띄지 않게 숨은 것입니다.

이 논리에는 일말의 진실이 있습니다—포트를 변경하면 자동화된 노이즈가 줄어들기는 합니다—하지만 이는 위협을 근본적으로 잘못 이해한 것입니다. 아무것도 숨긴 것이 아닙니다. 단지 게으른 봇들이 조금 더 힘들게 일하도록 만들었을 뿐이며, 실제로 침입하려는 사람에게는 아무런 방어가 되지 않습니다.

포트 스캐닝이 은폐를 무너뜨린다

nmap 같은 도구는 몇 분 안에 대상의 65,535개 포트를 모두 스캔합니다. 공격자는 어떤 포트에서 SSH가 실행되는지 추측하지 않습니다—직접 발견합니다. 2222 포트의 서버는 탐색될 때 SSH임을 스스로 알리며, 종종 버전 번호까지 포함합니다. 공격자에게 필요한 것을 정확히 건네준 셈입니다.

더 나쁜 것은, 현대 스캐너들이 자동으로 서비스 탐지를 수행한다는 점입니다. 열린 포트만 찾는 것이 아니라—각 포트에서 무엇이 실행되는지까지 파악합니다. 공격자가 커피 한 잔을 다 마시기도 전에 당신의 영리한 포트 선택은 무의미해집니다.

표적 공격은 무작위로 취약한 시스템을 찾는 데 의존하지 않습니다. 특정 대상에 집중합니다. 누군가 당신의 인프라를 원한다면, 빠짐없이 스캔할 것입니다. 포트 번호는 정찰의 처음 5분 안에 발견됩니다.

비표준 포트가 실제로 도움이 되는 경우

비표준 포트는 보안 문제가 아니라 운영 문제를 해결합니다.

SSH를 포트 22에서 옮기는 타당한 이유: 로그 노이즈. 봇들은 기본 포트에서 일반적인 서비스를 찾아 전체 IPv4 공간을 지속적으로 스캔합니다. 포트 22의 SSH 서버는 자동화된 스캐너로부터 수백만 번의 인증 시도를 받아 실제 보안 이벤트를 노이즈 속에 묻어버립니다.

비표준 포트로 이동하면 로그가 깔끔해집니다. 무차별 스캐너들이 완전히 놓치게 됩니다. 이것은 관리자를 위한 편의성 향상입니다—텔레마케터를 피하기 위해 미등록 전화번호를 쓰는 것과 같습니다. 특별히 당신에게 연락하려는 사람을 막지는 못하지만, 배경 노이즈를 줄여줍니다.

다른 합법적인 사용 사례: 한 서버에서 여러 서비스 인스턴스 실행, 개발 환경에서의 포트 충돌 방지, 제한적인 네트워크 정책 우회. 엔지니어링 문제에 대한 엔지니어링 해결책입니다.

SSH를 실제로 보호하는 것

SSH 보안에서 포트 번호는 중요하지 않습니다. 중요한 것은:

키 기반 인증. 패스워드 인증을 완전히 비활성화하세요. SSH 서버를 발견한 공격자도 개인 키 없이는 인증할 수 없습니다—어느 포트에서 발견했든 상관없이.

Fail2ban 또는 유사한 보호. 인증 실패 후 자동으로 IP를 차단합니다. 이는 포트 22든 22222든 무차별 대입 공격에 효과적입니다.

최신 소프트웨어. SSH 데몬을 패치하세요. 알려진 취약점은 악용됩니다. 패치된 시스템에는 그런 취약점이 없습니다.

접근 제한. 인증할 수 있는 사용자를 제한하세요. 사용 사례가 허용한다면 방화벽 규칙을 통해 특정 IP 대역으로 SSH 접근을 제한하세요.

이러한 조치들은 기본 원칙을 다루기 때문에 효과적입니다. 인증은 권한이 있는 사용자만 연결할 수 있도록 보장합니다. 암호화는 세션을 보호합니다. 접근 제어는 인증을 시도할 수 있는 사람 자체를 제한합니다. 이 중 어느 것도 공격자가 서비스를 찾지 못하는 것에 의존하지 않습니다.

안전하다는 느낌의 위험성

포트 기반 "보안"의 진짜 문제는 그것이 만들어내는 거짓 자신감입니다. 포트를 변경하는 것이 보호를 제공한다고 믿는 관리자는 실제로 효과가 있는 조치를 소홀히 할 수 있습니다. 강화한 것처럼 느껴지는 행동을 했을 뿐, 실제로 효과가 있는 보안 강화는 아무것도 하지 않은 것입니다.

은폐를 통한 보안은 은폐가 일시적이기 때문에 실패합니다. 누군가가 포트 번호를 발견하는 순간—그리고 발견은 지극히 간단합니다—보호는 완전히 사라집니다. 진정한 보안은 공격자가 설정에 대해 모든 것을 알고 있을 때도 계속 작동합니다. 키 기반 인증을 사용한다는 것을 아는 공격자도 키 없이는 인증할 수 없습니다. 방화벽 규칙을 아는 공격자도 이를 우회할 수 없습니다.

이것이 기준입니다: 공격자가 그것에 대해 알고 있어도 보호가 여전히 작동하는가? 포트 변경은 이 기준을 즉시 통과하지 못합니다. 강력한 인증은 통과합니다.

실제 위협 모델

자신에게 물어보세요: 당신은 누구로부터 방어하고 있습니까?

기본 포트를 스캔하는 자동화된 봇: 비표준 포트가 여기서 도움이 되지만, 노이즈 감소 용도로서만입니다. 이러한 봇들은 어차피 제대로 보안된 시스템에 심각한 위협이 되지 않습니다—기본 자격 증명이나 패치되지 않은 서비스처럼 손쉬운 표적을 찾고 있을 뿐입니다.

미리 만들어진 도구를 사용하는 스크립트 키디: 모든 포트를 스캔할 것입니다. 비표준 포트는 아무 소용이 없습니다.

표적 공격자: 아무것도 시도하기 전에 전체 인프라를 매핑할 것입니다. 포트 은폐는 의미가 없습니다.

비표준 포트가 막는 공격자들은 정확히 적절한 보안 조치가 어차피 막을 공격자들입니다. 적절한 보안 조치가 막는 공격자들은 정확히 비표준 포트가 막을 수 없는 공격자들입니다.

보안이 아닌 운영을 위해 포트를 사용하세요

포트 번호를 변경하는 것이 운영 문제를 해결할 때는 변경하세요—로그 노이즈 감소, 충돌 방지, 네트워크 제한 우회. 이것들은 타당한 이유입니다.

보안이 향상될 것이라 기대하며 포트를 바꾸지 마세요. 그 노력은 인증 강화, 암호화, 접근 제어, 패치, 네트워크 분리, 모니터링에 더 잘 쓰입니다.

다른 돌을 골랐다고 해서 돌 아래의 열쇠가 안전해지지 않습니다. 진정한 보안이란 애초에 열쇠를 숨길 필요가 없는 상태입니다.

기본 포트와 보안에 관한 자주 묻는 질문

SSH 포트를 변경하면 보안상 이점이 있나요?

의미 있는 보안상 이점은 없습니다. 포트 22를 스캔하는 자동화된 스캐너로부터의 로그 노이즈를 줄여주어 관리 측면에서 도움이 되지만, 실제로 시스템을 표적으로 삼는 사람에게는 전혀 보호가 되지 않습니다. 포트 스캔은 어떤 포트를 사용하든 몇 초 만에 SSH 서비스를 찾아냅니다.

포트 22에서 SSH를 찾지 못하면 공격자가 포기하지 않을까요?

가장 게으른 자동화 스크립트만 포기합니다. 시스템을 직접 표적으로 삼는 공격자는 모든 포트를 스캔할 것입니다—몇 분이면 충분한 과정입니다. 표적 공격에는 항상 정찰 단계에서 포괄적인 포트 스캐닝이 포함됩니다.

보안과 은폐의 차이는 무엇인가요?

보안은 공격자가 그것에 대해 알고 있어도 계속 작동합니다. 키 기반 SSH 인증은 공격자가 당신이 그것을 사용한다는 것을 알아도 보호합니다—여전히 개인 키가 필요하기 때문입니다. 은폐는 숨겨진 정보가 발견되는 순간 실패합니다. 비표준 포트는 누군가가 스캔하는 순간까지만 보호를 제공하며, 그것은 몇 초면 됩니다.

로그 노이즈를 줄이기 위해 SSH 포트를 변경해야 할까요?

네, 깔끔한 로그가 도움이 된다면 변경하세요. 이것은 충분히 타당한 운영상의 이점입니다—기본 포트 스캐너로부터의 배경 노이즈를 제거하여 실제 보안 이벤트를 더 쉽게 발견할 수 있게 해줍니다. 다만 이 편의성을 실제 보안 향상으로 착각하지 마세요.