운영체제 구성

BioStar X 보안 강화(Hardening) 절차의 첫 단계는 운영체제 수준의 보안 기준선을 확보하는 것입니다. 패치되지 않은 운영체제, 불필요한 서비스, 취약한 인증 설정은 BioStar X를 포함한 모든 서버 워크로드의 주요 공격 경로가 됩니다. 이 문서의 안내에 따라 Windows Server 환경을 강화하세요.

Windows Server LTS 릴리스 사용

지원되지 않거나 오래된 Windows 버전에서 BioStar X를 실행하면 패치가 적용되지 않은 취약점에 시스템이 노출됩니다. Microsoft는 보안 업데이트, 안정성 수정 및 10년 이상(5년 기본 지원 + 5년 연장 지원) 지원을 보장하는 Windows Server 장기 지원(LTS) 버전을 제공합니다. LTS 릴리스를 선택하면 BioStar X 서버가 가능한 가장 긴 보안 지원 기간을 확보하고, 기능 업데이트로 인한 시스템 중단을 최소화할 수 있습니다.다.

관리자를 위한 요약

• 반드시 Windows Server LTS 에디션(2019 또는 2022)에 BioStar X를 배포하세요.

• 설치 후 운영체제 버전을 확인하세요.

• 지원 종료일 이전에 업그레이드를 계획하세요.

• 자동 업데이트를 활성화하거나 WSUS/SCCM에 연결하세요.

• 지원되지 않는 소프트웨어를 실행하지 않도록 제품 수명 주기를 문서화하세요.

지원 버전 확인

Microsoft에서 활성 지원하는 LTS Windows Server 에디션(2026년 5월 기준):

• Windows Server 2019 (LTS) — 기본 지원: 2024년 1월까지 / 연장 보안 지원: 2029년 1월까지

• Windows Server 2022 (LTS) — 기본 지원: 2026년 10월까지 / 연장 보안 지원: 2031년 10월까지

• Windows Server 2025 (LTS) — 기본 지원: 2029년 11월까지 / 연장 보안 지원: 2034년 11월까지

주의

Semi-Annual Channel(SAC) 릴리스는 수명이 짧고 BioStar X와 같은 프로덕션 워크로드에는 적합하지 않으므로 피하세요.

현재 OS 버전 확인

• Win + R 키를 누른 후 winver를 입력하세요. Enter 키를 누르면 에디션 및 버전이 표시됩니다.

• PowerShell에서 다음 명령어를 실행하여 운영체제 이름과 버전을 확인할 수도 있습니다.

  PowerShell

  systeminfo | findstr /B /C:"OS Name" /C:"OS Version"

업그레이드 계획

• Windows Server 2016 버전 이하를 실행 중이라면 마이그레이션을 계획해야 합니다.

• 2019 또는 2022 LTS 버전으로 업그레이드하면 보안 업데이트 및 최신 TLS 프로토콜(TLS 1.2/1.3)과의 호환성이 보장됩니다.

모범 사례

지원되는 운영체제로 새 가상머신(VM)이나 서버를 구축하세요. BioStar X를 새로 설치한 후 구성 및 데이터베이스를 마이그레이션하세요. 이를 통해 다운타임과 위험을 최소화할 수 있습니다.

Windows Update 구성 확인

보안 패치를 위한 자동 업데이트를 활성화하세요. 또는 Windows Server Update Services(WSUS) 또는 System Center Configuration Manager(SCCM)를 사용하는 경우 호스트가 올바르게 등록되어 있는지 확인하세요.

최신 Windows 업데이트 및 보안 패치 적용

프로덕션 배포 전에 최신 Windows 업데이트와 보안 패치를 적용하여 알려진 취약점으로부터 시스템을 보호하세요.

패치되지 않은 Windows 서버는 랜섬웨어, 원격 코드 실행, 권한 상승 익스플로잇(Exploit)의 주요 공격 경로입니다. 최신 보안 업데이트를 적용하면 BioStar X 호스트가 모든 알려진 취약점으로부터 보호된 상태로 라이프사이클을 시작할 수 있습니다.

현재 패치 수준 확인

• 최신 패치 상태를 확인하려면 설정 → Windows 업데이트를 열고 업데이트 확인을 클릭하세요.

• PowerShell에서 최근 설치된 패치 10개를 확인하려면 다음 명령어를 실행하세요.

  PowerShell

  Get-HotFix | Sort-Object -Descending InstalledOn | Select-Object -First 10

주의

최신 패치가 30일 이상 지났다면 즉시 업데이트를 진행하세요.

업데이트 프로세스

1. Windows 업데이트를 수동으로 실행하세요.

2. 모든 보안 및 중요 업데이트를 설치하세요.

   서버가 아직 프로덕션 상태가 아니더라도 미루지 말고 최신 패치를 적용하는 것을 권장합니다.

3. 필요하다면 서버를 재부팅하세요.

4. '최신 상태입니다'가 표시될 때까지 업데이트 및 설치 작업을 반복하세요.

지속적인 패치 전략

• 월별 패치: Microsoft는 매월 두 번째 화요일에 새 패치를 배포합니다.

• 스테이징 환경이 있다면 테스트 후 배포에서 1–2주 이내에 패치를 적용합니다.

• 즉시 패치를 적용할 수 없다면, 패치가 적용될 때까지 방화벽 제한, 인터넷 접속 차단, 강화된 모니터링 등의 보완 제어(Compensating controls)를 적용하여 위험을 완화하세요.

불필요한 Windows 기능 제거 또는 비활성화

활성화된 모든 Windows 기능은 서버의 공격 표면(Attack Surface)을 증가시킵니다. 전용 BioStar X 호스트에서는 Print Spooler, Fax, IIS 등의 서비스가 거의 필요 없으며, 이는 심각한 취약점(예: PrintNightmare)의 이력을 가지고 있습니다.

예: Internet Explorer, SMBv1, 레거시 구성 요소

1. 시작 → 서버 관리자 → 관리 → 역할 및 기능 제거를 실행하세요.

2. 설치된 역할(예: 파일 서비스, IIS, 인쇄 서비스)을 검토하세요.

3. BioStar X에 필요하지 않은 역할을 제거하세요.

4. 관리 워크플로에 필요한 경우에만 .NET Framework 기능 및 데스크탑 환경(Desktop Experience)을 유지하세요.

5. services.msc를 열고 불필요한 서비스(Fax, Remote Registry, Bluetooth, SMBv1)를 사용 안 함으로 설정하세요.

모범 사례

호스트를 BioStar X 전용으로 사용하세요. 다른 워크로드를 실행하지 마세요.

Windows Defender 활성화 및 최신 상태 유지

Windows Defender(기본 제공 바이러스 백신)는 악성 코드 및 랜섬웨어로부터 보호합니다. 비활성화하면 호스트가 취약해집니다.

1. 설정 → 개인 정보 및 보안 → Windows 보안 → 바이러스 및 위협 방지를 실행하세요.

2. 설정 관리 → 실시간 보호가 활성화되어 있는지 확인하세요.

3. 클라우드 전송 보호 및 자동 샘플 전송이 활성화되어 있는지 확인하세요.

4. 보안 인텔리전스(정의라고도 함)를 최신 상태로 유지하세요. 일반적으로 Windows Update를 통해 자동 수행됩니다.

주의

타사 바이러스 백신을 사용한다면 충돌을 방지하기 위해 하나의 바이러스 백신 솔루션만 실행되고 있는지 확인하세요.

물리적 도난 방지를 위한 BitLocker 활성화

공격자가 서버에 물리적으로 접근하면(예: 디스크 도난, VM 스냅샷, 백업 미디어) 암호화되지 않은 드라이브에서 크리덴셜, 로그, 생체 정보 등 민감한 데이터에 직접 접근할 수 있습니다. BitLocker는 미사용 데이터 보호를 위한 전체 디스크 암호화를 제공합니다.

권고 사항

• 다음 드라이브에 BitLocker를 활성화하세요.

  • OS 드라이브(C:)

  • BioStar X 데이터베이스, 로그, 백업을 저장하는 모든 데이터 드라이브

• 더 강력한 보호를 위해 가능한 경우 TPM + PIN을 사용하세요.

단계별 안내

1. 제어판 → 시스템 및 보안 → BitLocker 드라이브 암호화로 이동하세요.

2. 각 드라이브에서 BitLocker 켜기를 클릭하세요.

3. 인증 방법으로 TPM(기본값) 또는 TPM + PIN(권장됨)을 선택하세요.

4. 복구 키를 Active Directory/Azure AD(선호) 또는 보안 볼트로 저장하세요. 로컬에 저장하지 마세요.

5. 암호화 방법을 XTS-AES 256비트(권장)로 선택하세요.

6. 암호화를 시작합니다.

BitLocker 상태 모니터링

다음 명령어를 실행하여 BitLocker 상태를 확인하세요.

PowerShell

Get-BitLockerVolume

알아두기

BitLocker는 미사용 데이터만 보호합니다. 데이터베이스 암호화 또는 TLS 암호화를 대체하지 않습니다.

안전한 인증 정책 시행

취약한 로컬 계정이나 캐시된 크리덴셜은 서버가 무차별 대입 공격이나 권한 상승에 취약해질 수 있습니다.

1. 로컬 보안 정책(secpol.msc)을 실행하세요.

2. 계정 정책 → 암호 정책에서 아래와 같이 구성하세요.

   • 최소 암호 길이: 12자 이상

   • 암호는 복잡성을 만족해야 함: 활성화

   • 최대 암호 사용 기간: 90일

3. 계정 정책 → 계정 잠금 정책에서 아래와 같이 구성하세요.

   • 계정 잠금 임계값: 5회 시도

4. 기본 Administrator 계정을 비활성화하거나 이름을 변경하세요.

5. RDP 또는 원격 관리 액세스에 멀티팩터 인증(MFA)을 요구하세요.

보안 기준선을 위한 그룹 정책 설정 적용

Microsoft의 Microsoft 보안 준수 도구 키트(Security Compliance Toolkit, SCT)는 보안 기준선에 맞추어진 그룹 정책 개체(Group Policy Objects, GPO)를 다운로드할 수 있도록 제공합니다. 이 기준선은 구성 오류 위험을 줄이고 BioStar X가 강화된 Windows 운영체제에서 실행되도록 보장합니다.

1. Microsoft Security Compliance Toolkit을 다운로드하세요.

2. 운영체제 버전(Windows Server 2019 또는 2022 Security Baseline)에 맞는 기준선을 선택하세요.

3. 그룹 정책 관리 콘솔에 기준선 그룹 정책 개체(GPO)를 가져오기하세요.

   gpmc.msc 실행 → 그룹 정책 개체(Group Policy Objects)에서 마우스 오른쪽 버튼 클릭 → 설정 가져오기 클릭

4. 액티브 디렉토리의 BioStar X 서버 OU에 기준선 그룹 정책 개체(GPO)를 연결하세요.

5. 중요 설정을 검토하세요.

   계정 잠금, 감사 로깅, 네트워크 보안(SMB 서명, LDAP 서명), LSA 보호

6. 스테이징에서 먼저 테스트 후 BioStar X 호환성을 확인하고 프로덕션 환경에 배포하세요.

필요하지 않은 원격 데스크톱 비활성화

원격 데스크톱(RDP)은 무차별 대입 공격, 크리덴셜 도용의 일반적인 공격 벡터(Attack Vector)입니다.

필요하지 않은 경우

시스템 속성 → 원격 → 이 컴퓨터에 대한 원격 연결 허용 안 함을 선택하세요.

필요한 경우 보안 강화

원격 데스크톱을 사용해야 하는 경우 다음 보안 강화 조치를 적용하여 위험을 완화하세요.

• VPN 또는 LAN 환경에서만 접속하도록 제한하세요.

• 네트워크 수준 인증(Network Level Authentication, NLA)을 필수로 설정하세요.

• 기본 RDP 포트를 변경하세요. (3389 → 사용자 지정)

• 이벤트 로그 및 알림을 통해 모니터링하세요.