본문 바로가기
IT/Proxmox

[Proxmox] Proxmox 보안 강화: 1년 운영 후 발견한 취약점과 대응책

by 수누다 2026. 6. 12.

목차

Proxmox 보안 강화: 1년 운영 후 발견한 취약점과 대응책

안녕하세요! 13년차 인프라 엔지니어, '13년차의 서버실'입니다. 홈랩을 운영하면서 가장 신경 쓰는 부분이 보안인데요. Proxmox VE(Virtual Environment)를 1년 넘게 운영하다 보니, 예상치 못한 보안 취약점들을 발견하고 대응했던 경험들을 공유해드릴까 합니다. 여러분의 소중한 홈랩 환경을 더 안전하게 지키는 데 도움이 되길 바랍니다! 🚀

Proxmox VE는 정말 강력한 오픈소스 가상화 플랫폼이지만, 인터넷에 직접 노출되거나 설정을 잘못하면 보안에 취약해질 수 있거든요. 저도 처음에는 기능에만 집중하다가, 운영 중에 몇 가지 아찔한 순간들을 겪었어요. 그래서 오늘은 제가 Proxmox를 1년 운영하면서 겪었던 실제 보안 이슈들과, 이를 해결하기 위해 적용했던 구체적인 대응책들을 말이에요, 멘토처럼 차근차근 알려드릴게요.

Proxmox VE, 왜 보안이 중요할까요?

Proxmox VE는 단순히 가상 머신(VM)이나 컨테이너(LXC)를 운영하는 것을 넘어, 네트워크, 스토리지, 고가용성(High Availability) 등 다양한 인프라 기능을 제공합니다. 이렇게 강력한 기능을 가진 만큼, **잘못 관리하면 외부 공격자에게 시스템 전체를 장악당할 위험**이 있습니다. 특히 홈랩 환경은 비용 절감을 위해 상용 보안 솔루션보다는 오픈소스 솔루션을 활용하는 경우가 많은데, 이럴수록 기본적인 보안 설정이 더 중요해지더라고요. 집 현관문에 튼튼한 자물쇠를 다는 것처럼 말이에요! 💡

1. SSH 접근 보안: 무차별 대입 공격(Brute-force Attack) 방어

가장 먼저 마주칠 수 있는 보안 위협은 SSH(Secure Shell)를 통한 무차별 대입 공격입니다. Proxmox VE의 관리 인터페이스(Web UI)는 기본적으로 SSH 접속을 허용하고 있는데요. 외부에서 IP 주소를 알게 되면, 공격자는 ID와 비밀번호를 무작위로 대입하여 침투를 시도할 수 있습니다. 저도 처음에는 별다른 설정 없이 사용하다가, 비정상적인 로그인 시도 로그를 발견하고 깜짝 놀랐어요. 😨

대응책: Fail2ban 설정으로 자동 차단

이 문제를 해결하기 위해 Fail2ban이라는 정말 유용한 도구를 설정했습니다. Fail2ban은 로그 파일을 모니터링하다가, 특정 횟수 이상 로그인 실패 같은 비정상적인 활동이 감지되면 해당 IP 주소를 자동으로 차단해주거든요. Proxmox VE에 Fail2ban을 설정하는 것도 어렵지 않아요.

  1. SSH 서비스 설정 확인: Proxmox VE의 SSH 서비스가 활성화되어 있는지 확인합니다. 보통 기본적으로 활성화되어 있어요.
  2. Fail2ban 설치: Proxmox VE 노드에 SSH로 접속하여 Fail2ban을 설치합니다.
apt update && apt install fail2ban -y
  1. Fail2ban 설정 파일 복사 및 수정: 기본 설정 파일(jail.conf)을 복사하여 사용자 설정 파일(jail.local)을 만듭니다.
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
vi /etc/fail2ban/jail.local

jail.local 파일에서 [sshd] 섹션을 찾아 enabled = true로 설정하고, bantime, findtime, maxretry 등의 값을 조정해서 공격 시도를 얼마나 오랫동안, 몇 번까지 허용할지 결정해요. 저는 보안을 강화하기 위해 maxretry를 낮게 설정하고, bantime을 길게 설정했어요. 예를 들어, 5번 실패하면 1시간 동안 차단하는 식이죠.

Fail2ban 설정 파일: Proxmox SSH 보안 강화를 위한 SSHD 섹션

설정 후에는 Fail2ban 서비스를 재시작해야 적용돼요. systemctl restart fail2ban 명령어를 사용하면 됩니다. 이후에는 비정상적인 로그인 시도가 확 줄어든 것을 로그를 통해 확인할 수 있었어요. 정말 든든하더라고요! ✅

2. Web UI 접근 보안: HTTPS 필수 적용 및 인증서 관리

Proxmox VE의 웹 인터페이스는 매우 편리하지만, HTTP(Hypertext Transfer Protocol)로 접속하면 모든 통신 내용이 암호화되지 않아 중간자 공격(Man-in-the-Middle Attack)에 취약해져요. 계정 정보나 중요한 설정들이 평문으로 오갈 수 있다는 뜻이죠. 😱

대응책: Let's Encrypt를 이용한 자동 HTTPS 설정

이 문제를 해결하기 위해 **HTTPS(Hypertext Transfer Protocol Secure)**를 적용하는 것은 필수입니다. 다행히 Proxmox VE는 Let's Encrypt 같은 무료 SSL/TLS 인증서를 쉽게 적용할 수 있도록 지원하거든요. 저도 홈랩 환경에서 Let's Encrypt를 사용하여 Proxmox 웹 UI에 HTTPS를 적용했는데, 정말 간단했어요.

  1. DNS 설정: Proxmox VE 서버의 FQDN(Fully Qualified Domain Name)이 외부에서 접근 가능한 DNS 레코드를 가지고 있어야 해요. 예를 들어, pve.mydomain.com처럼요.
  2. Proxmox VE 인증서 설정: Proxmox VE의 관리자 페이지에서 'Datacenter' > 'ACME' 메뉴로 이동합니다.
  3. ACME 설정: 'Enable ACME'를 체크하고, 'DNS API Plugin'을 선택합니다. 어떤 DNS API 플러그인을 사용할지는 여러분의 도메인 등록 업체에 따라 선택하면 돼요. (예: Cloudflare, GoDaddy 등)
  4. API 키 입력: 선택한 DNS API 플러그인에 필요한 API 키를 입력합니다.
  5. 인증서 발급 및 적용: 'Register and Renew' 버튼을 클릭하면 Let's Encrypt에서 인증서를 발급받아 자동으로 적용해줘요.
Proxmox VE ACME 설정: Let's Encrypt를 이용한 자동 HTTPS 구성 화면

이렇게 설정하면 Proxmox 웹 UI에 접속할 때 자동으로 HTTPS가 적용되어 브라우저 주소창에 자물쇠 아이콘이 표시돼요. 🔒 이제 안심하고 관리할 수 있게 되었죠. 주기적으로 인증서가 갱신되니까 수동 관리 부담도 없어요. 🎉

3. 방화벽(Firewall) 설정: 불필요한 포트 차단

Proxmox VE는 자체적으로 강력한 방화벽 기능을 제공합니다. 하지만 이 기능을 제대로 활용하지 않으면, 외부에서 시스템의 모든 포트에 접근할 수 있게 되어 보안에 매우 취약해져요. 마치 집 문을 열어두고 사는 것과 마찬가지죠. 😅

대응책: 노드 및 VM/LXC별 방화벽 규칙 설정

저는 Proxmox VE의 **내장 방화벽**을 적극적으로 활용합니다. **노드(Node)** 자체에 대한 방화벽 규칙과, 각 **가상 머신(VM) 및 컨테이너(LXC)**에 대한 방화벽 규칙을 별도로 설정할 수 있다는 점이 정말 유용해요.

  • 노드 방화벽: Proxmox VE 노드 자체에 대한 접근을 제어합니다. 예를 들어, SSH(22번 포트)나 웹 UI(8006번 포트)는 신뢰할 수 있는 IP 대역에서만 접속하도록 설정할 수 있어요.
  • VM/LXC 방화벽: 각 가상 환경별로 필요한 포트만 열어줍니다. 웹 서버 VM이라면 80번(HTTP)과 443번(HTTPS) 포트만 외부에서 접근 가능하도록 허용하고, 나머지 포트는 모두 차단하는 식이죠.

방화벽 규칙은 Proxmox VE 웹 UI에서 'Datacenter' > 'Firewall' 메뉴나, 각 노드, VM/LXC 개별 설정에서 쉽게 관리할 수 있어요. 'Add' 버튼을 눌러 Source, Destination, Protocol, Port 등을 지정하여 규칙을 추가하면 됩니다. **'Default policy'를 'DROP'으로 설정하고 필요한 포트만 'ACCEPT'하는 것이 가장 안전한 방법**입니다. 처음에는 조금 복잡하게 느껴질 수 있지만, 한번 설정해두면 보안 수준이 정말 달라져요. 💯

Proxmox VE 방화벽 규칙 설정: 특정 포트 허용 및 차단 예시

간혹 방화벽 설정 때문에 VM 내부의 서비스에 접속이 안 되는 경우가 생기는데요. 이때는 해당 VM/LXC의 방화벽 설정에서 필요한 포트가 제대로 열려 있는지, 그리고 Proxmox 노드의 방화벽 정책과 충돌하는 부분은 없는지 꼼꼼히 확인해야 해요. 정말 '삽질' 좀 했습니다 ㅎㅎ 😅

4. Proxmox VE 업데이트 및 패치 관리

아무리 훌륭한 보안 설정이라도, 소프트웨어 자체에 알려진 취약점이 있으면 무용지물이 될 수 있어요. Proxmox VE는 오픈소스인 만큼 커뮤니티를 통해 빠르게 보안 취약점이 발견되고 패치가 이루어지는 편이지만, 사용자가 직접 업데이트를 적용해야 합니다.

대응책: 정기적인 업데이트 및 패치 적용

저는 **최소한 한 달에 한 번은 Proxmox VE의 업데이트를 확인하고 적용**하려고 노력해요. 업데이트는 Proxmox VE 웹 UI의 'Updates' 메뉴에서 쉽게 확인할 수 있으며, 'Upgrade' 버튼을 눌러 진행하면 됩니다.

# 또는 CLI에서 업데이트 확인 및 적용
apt update
apt dist-upgrade -y

업데이트 전에 **중요한 VM이나 컨테이너는 백업**해두는 것이 좋아요. 만일의 사태에 대비하려고요. 저도 몇 번 업데이트 과정에서 문제가 발생했던 경험이 있어서, 이제는 업데이트 전 백업을 무조건 합니다.

Proxmox VE 업데이트는 단순히 기능 개선뿐만 아니라, **보안 패치**를 포함하는 경우가 많거든요. 꾸준히 적용하는 것이 정말 중요합니다. 최신 보안 상태를 유지하는 가장 확실한 방법이니까요. ✅

마무리하며: 보안은 지속적인 관심이 중요합니다

지금까지 Proxmox VE를 1년 운영하면서 발견했던 보안 취약점들과 그 대응책에 대해 이야기해 봤습니다. SSH 보안 강화, HTTPS 적용, 방화벽 설정, 그리고 꾸준한 업데이트까지. 이 네 가지는 Proxmox VE 환경의 보안을 튼튼하게 만드는 데 정말 핵심적인 역할을 합니다.

홈랩은 취미로 시작했지만, 소중한 데이터가 오가는 공간이 될 수도 있고, 때로는 외부와 연결되는 중요한 역할을 하기도 해요. 따라서 **보안은 한 번 설정하고 끝나는 것이 아니라, 지속적으로 관심을 가지고 관리해야 하는 영역**이라는 점을 꼭 기억해주셨으면 합니다.

오늘 공유해 드린 내용들이 여러분의 Proxmox VE 환경을 더욱 안전하게 만드는 데 도움이 되었으면 좋겠어요. 다음 글에서는 더욱 흥미로운 홈랩 구축 이야기나, 새로운 기술 트러블슈팅 경험으로 찾아뵙겠습니다. 감사합니다! 😊

'IT > Proxmox' 카테고리의 다른 글

[네트워크] Proxmox 방화벽 규칙: 복잡한 홈랩 네트워크 보안 최적화  (0) 2026.06.10
[Proxmox] Proxmox VE & Ceph 분산 스토리지 1년 회고: 안정성, 성능, 교훈  (0) 2026.06.08
[Proxmox] VMware 마이그레이션, Proxmox로 전환 시 고려사항 및 성공 전략  (1) 2026.06.07
[Proxmox] Proxmox HA 클러스터 구축 실패 사례와 교훈: 3년차 엔지니어의 회고  (0) 2026.06.04
[Proxmox] Ansible로 Proxmox 자동화, 실패 없는 10가지 베스트 프랙티스  (0) 2026.06.04
[Proxmox] Proxmox VE 보안 강화 체크리스트 10가지: 안전한 가상화 환경 구축  (0) 2026.06.03

관련글

티스토리툴바