보안 설정

Nginx 보안 설정

개요

Nginx 보안 설정은 서버 정보 숨기기, 접근 제어, 보안 헤더, DDoS 방어, SSL 강화 등을 통해 웹 서버를 외부 공격으로부터 보호하는 것이다.

서버를 인터넷에 공개하는 순간, 전 세계 누구나 접근할 수 있어요. 당연히 해커, 봇, 스캐너도 포함이에요. 실제로 서버를 올려두면 수 분 내에 자동화된 공격 시도가 들어오기 시작해요!

그래서 보안 설정은 "나중에 해도 되는 것"이 아니라 서비스 오픈 전에 반드시 해야 하는 것이에요. Nginx에서 할 수 있는 보안 설정만 잘 해둬도 대부분의 기본적인 공격은 막을 수 있어요.

Nginx 보안 계층

graph TD
    A["🌐 인터넷<br/>(공격자 포함)"] --> B["🔥 방화벽<br/>UFW/iptables"]
    B --> C["🛡️ Nginx 보안 계층"]
    C --> D["🖥️ 애플리케이션<br/>Spring Boot 등"]

    C --> C1["서버 정보 숨기기"]
    C --> C2["요청 제한 (Rate Limit)"]
    C --> C3["보안 헤더"]
    C --> C4["접근 제어 (IP/Auth)"]
    C --> C5["SSL/TLS 강화"]
    C --> C6["요청 크기 제한"]

    style C fill:#FFD700
Mermaid
복사

1. 서버 정보 숨기기

해커가 가장 먼저 하는 건 서버 정보를 파악하는 거예요. Nginx 버전이 알려지면 해당 버전의 알려진 취약점을 공격할 수 있거든요!

http {
    # Nginx 버전 정보 숨기기 (응답 헤더에서 제거)
    server_tokens off;
}
Plain Text
복사

설정	적용 전	적용 후
응답 헤더	Server: nginx/1.24.0	Server: nginx
에러 페이지	nginx/1.24.0 표시	nginx 만 표시

2. Rate Limiting (요청 제한)

DDoS 공격이나 브루트포스 공격을 방어하는 가장 효과적인 방법이에요!

graph LR
    A["👤 정상 사용자<br/>초당 5회 요청"] -->|✅ 허용| C["🖥️ Nginx"]
    B["🤖 공격자<br/>초당 100회 요청"] -->|❌ 429 차단| C

    style A fill:#90EE90
    style B fill:#FFB3B3
Mermaid
복사

http {
    # Rate Limit 영역 정의
    # $binary_remote_addr = 클라이언트 IP 기준
    # zone=limit_req:10m = 10MB 메모리 사용
    # rate=10r/s = 초당 10개 요청 허용
    limit_req_zone $binary_remote_addr zone=limit_req:10m rate=10r/s;

    # 로그인 시도 제한 (더 엄격)
    limit_req_zone $binary_remote_addr zone=login_limit:10m rate=1r/s;

    server {
        # 일반 요청에 Rate Limit 적용
        location / {
            limit_req zone=limit_req burst=20 nodelay;
        }

        # 로그인 경로는 더 엄격하게
        location /api/auth/login {
            limit_req zone=login_limit burst=5 nodelay;
            proxy_pass <http://localhost:8080>;
        }
    }
}
Plain Text
복사

설정	의미
rate=10r/s	초당 10개 요청 허용
burst=20	순간적으로 20개까지 초과 허용 (큐에 대기)
nodelay	큐 대기 없이 즉시 처리하고, 초과 시 즉시 거부

상황	결과
초당 10개 이하	정상 처리
초당 11~30개	burst 범위 내 허용
초당 31개 이상	429 Too Many Requests

3. 보안 헤더 (Security Headers)

server {
    # XSS 공격 방지
    add_header X-Content-Type-Options "nosniff" always;

    # 클릭재킹 방지 (iframe 삽입 차단)
    add_header X-Frame-Options "SAMEORIGIN" always;

    # XSS 필터 활성화
    add_header X-XSS-Protection "1; mode=block" always;

    # HTTPS 강제 (HSTS)
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

    # Referrer 정보 제한
    add_header Referrer-Policy "strict-origin-when-cross-origin" always;

    # Content Security Policy (고급)
    add_header Content-Security-Policy "default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline';" always;
}
Plain Text
복사

헤더	방어 대상	설명
X-Content-Type-Options	MIME 스니핑	브라우저가 Content-Type을 임의로 바꾸지 못하게
X-Frame-Options	클릭재킹	다른 사이트가 iframe으로 내 사이트를 삽입 못하게
X-XSS-Protection	XSS 공격	브라우저의 XSS 필터 활성화
Strict-Transport-Security	다운그레이드 공격	HTTPS 접속 강제 (1년간 기억)
Referrer-Policy	정보 유출	외부 이동 시 Referer 정보 제한
Content-Security-Policy	XSS, 데이터 삽입	허용된 출처의 리소스만 로드

4. 접근 제어

IP 기반 접근 제어

# 관리자 페이지 — 특정 IP만 허용
location /admin/ {
    allow 203.0.113.0/24;      # 회사 IP 대역
    allow 10.0.0.0/8;           # 내부 네트워크
    deny all;                    # 나머지 전부 차단

    proxy_pass <http://localhost:8080>;
}

# 특정 IP 차단
location / {
    deny 192.168.1.100;          # 특정 IP 차단
    deny 10.0.0.0/8;             # IP 대역 차단
    allow all;                    # 나머지 허용
}
Plain Text
복사

Basic 인증 (ID/비밀번호)

# htpasswd 설치
sudo apt install apache2-utils

# 비밀번호 파일 생성
sudo htpasswd -c /etc/nginx/.htpasswd admin
# 비밀번호 입력 프롬프트
Bash
복사

# 스테이징 서버 보호
location / {
    auth_basic "Restricted Access";
    auth_basic_user_file /etc/nginx/.htpasswd;

    proxy_pass <http://localhost:8080>;
}
Plain Text
복사

5. SSL/TLS 강화

server {
    listen 443 ssl http2;

    # 최신 TLS만 허용 (1.2, 1.3)
    ssl_protocols TLSv1.2 TLSv1.3;

    # 강력한 암호화 스위트
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384;
    ssl_prefer_server_ciphers off;

    # OCSP Stapling
    ssl_stapling on;
    ssl_stapling_verify on;

    # SSL 세션 캐시
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 1d;
    ssl_session_tickets off;

    # DH 파라미터 (추가 보안)
    ssl_dhparam /etc/nginx/dhparam.pem;
}
Plain Text
복사

# DH 파라미터 생성 (시간이 좀 걸림)
sudo openssl dhparam -out /etc/nginx/dhparam.pem 2048
Bash
복사

6. 요청 크기 및 버퍼 제한

http {
    # 요청 바디 크기 제한 (파일 업로드 등)
    client_max_body_size 10M;

    # 버퍼 크기 제한 (버퍼 오버플로우 방지)
    client_body_buffer_size 1K;
    client_header_buffer_size 1K;
    large_client_header_buffers 2 1K;
}
Plain Text
복사

7. 봇 및 스캐너 차단

# 악성 봇 User-Agent 차단
if ($http_user_agent ~* (SemrushBot|AhrefsBot|MJ12bot|DotBot|BLEXBot)) {
    return 403;
}

# 비어있는 User-Agent 차단
if ($http_user_agent = "") {
    return 403;
}

# 특정 HTTP 메서드만 허용
if ($request_method !~ ^(GET|HEAD|POST|PUT|DELETE|PATCH)$) {
    return 405;
}

# 숨겨진 파일 접근 차단 (.env, .git 등)
location ~ /\\. {
    deny all;
    access_log off;
    log_not_found off;
}
Plain Text
복사

보안 설정 종합 체크리스트

순서	설정	중요도	명령어/설정
1	서버 버전 숨기기		server_tokens off
2	HTTPS 적용		Let's Encrypt + HTTP→HTTPS 리다이렉트
3	보안 헤더 추가		X-Frame-Options, HSTS 등
4	Rate Limiting		limit_req_zone
5	방화벽 설정		ufw allow 'Nginx Full'
6	SSL/TLS 강화		TLSv1.2/1.3만, 강력한 cipher
7	숨김 파일 차단		location ~ /\\.
8	관리자 페이지 IP 제한		allow/deny
9	파일 업로드 크기 제한		client_max_body_size
10	악성 봇 차단		User-Agent 필터링

보안 점검 도구

도구	용도	URL/명령어
SSL Labs	SSL/TLS 설정 점검	ssllabs.com/ssltest/
Security Headers	보안 헤더 점검	securityheaders.com
Nmap	포트 스캔	nmap -sV 서버IP
curl	헤더 확인	curl -I <https://example.com>

# 보안 헤더 확인
curl -I <https://example.com>

# 열린 포트 확인
sudo ss -tlnp

# 접속 시도 로그 확인 (무차별 대입 공격 감지)
grep "error" /var/log/nginx/error.log | tail -20
Bash
복사

핵심 정리

server_tokens off: Nginx 버전 정보 숨기기 (기본 중의 기본!)

Rate Limiting: limit_req_zone으로 DDoS/브루트포스 방어

보안 헤더: X-Frame-Options, HSTS, CSP 등으로 웹 공격 방어

접근 제어: IP 제한(allow/deny), Basic 인증으로 관리자 보호

SSL 강화: TLS 1.2/1.3만 허용, 강력한 암호화 스위트 사용

숨김 파일(.env, .git) 접근 차단 필수!