W-22 FTP 디렉토리 접근 권한 설정

가이드라인 원문

상세 설명

1. 판단 기준

기본 판단 기준

• 양호: FTP 홈 디렉터리에 Everyone 그룹에 부여된 권한이 없는 경우
• 취약: FTP 홈 디렉터리에 Everyone 그룹에 쓰기/수정 권한이 부여된 경우

경계 케이스 (Edge Case) 처리 방법

권장 설정값

2. 점검 방법

Windows 서버 점검

FTP 디렉토리에 과도한 권한이 부여되면 무단 파일 업로드, 웹쉘 설치, 데이터 변조 등의 공격에 악용될 수 있습니다.

1
2

# FTP 기본 홈 디렉터리 권한 확인
icacls "C:\inetpub\ftproot"

양호 출력 예시:

1
2
3
4

C:\inetpub\ftproot
NT AUTHORITY\SYSTEM:(OI)(CI)(F)
BUILTIN\Administrators:(OI)(CI)(F)
BUILTIN\IIS_IUSRS:(OI)(CI)(RX)

취약 출력 예시:

1
2
3
4

C:\inetpub\ftproot
Everyone:(OI)(CI)(F)
또는
BUILTIN\Users:(OI)(CI)(M)

1
2

# PowerShell로 권한 확인
Get-Acl "C:\inetpub\ftproot" | Format-List

1
2
3

# IIS FTP 권한 부여 규칙 확인 (PowerShell)
Import-Module WebAdministration
Get-WebConfiguration -Filter "/system.ftpServer/security/authorization" -PSPath "IIS:\"

3. 조치 방법

Windows 서버 설정

1. Everyone 권한 제거

   1 2 3 4 5

   # Everyone 권한 제거 icacls "C:\inetpub\ftproot" /remove "Everyone" # 상속 비활성화 및 명시적 권한 설정 icacls "C:\inetpub\ftproot" /inheritance:d

2. IIS 서비스 계정 권한 설정

   1 2 3 4 5

   # IIS_IUSRS에 읽기 및 실행 권한 부여 icacls "C:\inetpub\ftproot" /grant "BUILTIN\IIS_IUSRS:(OI)(CI)(RX)" # 관리자에게 완전 제어 권한 확인 icacls "C:\inetpub\ftproot" /grant "BUILTIN\Administrators:(OI)(CI)(F)"

3. 개별 사용자별 권한 부여 (필요시)

   1 2	# 특정 사용자에게 읽기/쓰기 권한 부여 icacls "C:\inetpub\ftproot\UserFolder" /grant "DOMAIN\Username:(OI)(CI)(RW)"

4. IIS 관리자에서 FTP 권한 설정 (GUI)

   1 2 3 4 5 6 7

   1. IIS 관리자 실행 > FTP 사이트 선택 2. "FTP 권한 부여 규칙" 더블클릭 3. "모든 사용자" 규칙 선택 > [제거] 4. [허용 규칙 추가] 클릭 5. "지정한 사용자 또는 그룹" 선택 6. 허용할 사용자 또는 그룹 입력 7. 권한(읽기/쓰기) 선택 > [확인]

5. 익명 인증 비활성화 (연계 조치)

   1 2 3 4

   1. IIS 관리자 > FTP 사이트 선택 2. "FTP 인증" 더블클릭 3. "익명 인증" 선택 > [사용 안 함] 4. "기본 인증" [사용] 상태 확인

4. 참고 자료

• Microsoft Docs: IIS FTP 보안
• Microsoft Docs: icacls 명령
• NIST SP 800-53: AC-3 Access Enforcement

5. 스크립트

• 취약점 점검 스크립트
  • 이 스크립트는 KISA 주요정보통신기반시설 기술적 취약점 분석·평가 가이드라인(2026)을 준수하여 제작된 자동 점검 도구입니다. 복잡한 단일 파일 방식이 아닌 모듈화된 구조로 설계되어 유지보수가 쉽고 확장이 용이합니다.
  • 다양한 환경에서 테스트를 진행했으나, 혹시 점검 로직에 이슈가 발견되거나 개선이 필요한 경우 적극적인 제보를 부탁드립니다.