리눅스 서버 35일간 254,177건의 보안 이벤트 분석 결과 일 평균 8,400건의 공격이 발생하며 SSH brute force가 전체 위협의 상당 부분을 차지

Context

는 14개 프로덕션 Linux 서버에 실시간 모니터링을 구축했다. 서버 환경은 VPS, 베어메탈, Docker 혼합이며 DigitalOcean, OVH, Hetzner, 온프레미스에 분산 배치되어 있다. 35일 모니터링 결과 254,177건의 보안 이벤트가 기록됐다.

Technical Solution

• SSH 접근 → 패스워드 인증 비활성화하고 공개키 인증만 허용하도록 /etc/ssh/sshd_config 수정
• Nginx → .env, .git, htpasswd 파일 접근을 deny all 규칙으로 차단
• UFW 방화벽 → 기본 인바운드 거부 설정 후 SSH, HTTP, HTTPS만 허용
• 시스템 업데이트 → apt update && apt upgrade -y 명령으로 보안 패치 적용
• 모니터링 체계 → auth.log의 Failed password 로그를 정기적으로 확인하고 실시간 탐지 에이전트 배포

Impact

일 평균 8,400건의 공격이 14개 서버 전부에 발생했다. 자동 밴 시스템이 50,919개 고유 IP를 차단했고 1,871개 IP가 4회 이상 재범으로 영구 차단됐다.

Key Takeaway

패스워드 인증을 완전히 비활성화하면 SSH brute force 공격을 100% 차단할 수 있다.