본문 바로가기
카테고리 없음

Cisco 스위치 Console 접속 보안 강화 방법

by 초보 탈출 랜(LAN)선 일기 2026. 6. 15.

Cisco 스위치 Console 접속 보안 강화 방법

들어가며

Cisco 스위치를 처음 구축하거나 운영할 때 대부분의 관리자는 VLAN 설정, IP 주소 설정, 라우팅 설정 등에 집중한다. 하지만 정작 중요한 보안 설정은 초기 구축 단계에서 간과되는 경우가 많다. 그중에서도 Console Port 보안은 네트워크 장비 보안의 가장 기본적인 부분임에도 불구하고 제대로 구성되지 않는 경우가 많다.

Console Port는 스위치에 직접 연결하여 관리할 수 있는 물리적 관리 인터페이스이다. 네트워크 연결이 불가능한 상황에서도 장비를 관리할 수 있다는 장점이 있지만, 반대로 물리적 접근이 가능한 사람이라면 누구나 장비에 접근할 수 있다는 위험성도 존재한다.

실제로 보안 점검이나 취약점 진단을 진행할 때 Console 접속 보안 설정은 필수 점검 항목으로 분류된다. Console 보안이 미흡한 경우 관리자 권한 탈취, 설정 유출, 네트워크 마비 등 심각한 보안 사고로 이어질 수 있다.

이번 글에서는 Cisco L2/L3 스위치 환경에서 Console 접속 보안을 강화하는 방법과 실무에서 반드시 적용해야 하는 설정 항목들을 알아보겠다.

Cisco 스위치 Console 접속 보안 강화 방법
Cisco 스위치 Console 접속 보안 강화 방법

 

Console Port란 무엇인가?

Console Port는 Cisco 장비를 직접 관리하기 위한 물리적 관리 인터페이스이다.

일반적으로 다음과 같은 상황에서 사용된다.

  • 장비 최초 설치
  • 네트워크 설정 초기 구성
  • SSH 접속 불가 시 장애 조치
  • 비밀번호 복구 작업
  • 긴급 유지보수

Console 연결 시 일반적으로 다음과 같은 화면이 나타난다.

Switch>

관리자는 Console을 통해 장비의 모든 설정을 변경할 수 있다.

즉, Console 접속 권한을 가진 사람은 사실상 장비 전체를 제어할 수 있다고 볼 수 있다.

Console 보안이 중요한 이유

1. 물리적 접근만으로 장비 제어 가능

SSH는 네트워크 접근 권한이 필요하지만 Console은 장비 근처에만 가면 접속이 가능하다.

예를 들어 다음과 같은 장소에 설치된 스위치를 생각해보자.

  • 사무실 통신실
  • 공장 제어실
  • 학교 전산실
  • IDC 랙

만약 통신실 출입 통제가 미흡하다면 누구나 Console 케이블을 연결하여 장비에 접근할 수 있다.

2. 네트워크 보안 정책 우회 가능

방화벽, ACL, VLAN 정책 등이 아무리 잘 구성되어 있어도 Console 접속은 별개의 문제이다.

예를 들어 다음과 같은 보안 정책이 있다고 가정하자.

SSH 접속 제한
특정 IP만 허용
방화벽 정책 적용

하지만 Console을 통해 접속하면 이러한 정책을 우회할 수 있다.

따라서 Console 보안은 네트워크 보안의 마지막 방어선이라고 볼 수 있다.

3. 설정 유출 위험

Console 접속 후 다음 명령어를 실행하면 모든 설정을 확인할 수 있다.

show running-config

여기에는 다음 정보가 포함될 수 있다.

  • 관리자 계정
  • VLAN 정보
  • 관리 IP
  • SNMP 설정
  • AAA 설정
  • NTP 설정
  • 인증 서버 정보

즉, Console 접근 권한은 곧 네트워크 전체 정보 접근 권한과 동일한 의미를 가진다.

Console 암호 설정

가장 기본적인 보안 설정은 Console 암호 적용이다.

기본 설정 상태에서는 다음과 같이 접근이 가능할 수 있다.

Switch>

이를 방지하기 위해 Console 인증을 적용한다.

Switch(config)# line console 0
Switch(config-line)# password Cisco123
Switch(config-line)# login

설정 후 Console 접속 시 암호 입력이 요구된다.

User Access Verification

Password:

다만 최근에는 Password 방식보다 로컬 계정 인증 방식을 권장한다.

로컬 계정 기반 인증 적용

실무에서는 다음과 같이 관리자 계정을 생성한다.

Switch(config)# username admin privilege 15 secret P@ssw0rd!

이후 Console 인증을 로컬 계정으로 변경한다.

Switch(config)# line console 0
Switch(config-line)# login local

이 방식의 장점은 다음과 같다.

  • 사용자별 계정 관리 가능
  • 암호 암호화 저장
  • 권한 분리 가능
  • 감사 추적 가능

특히 여러 명의 관리자가 운영하는 환경에서는 필수적으로 적용하는 것이 좋다.

Enable Secret 설정

Console 인증만 설정한다고 보안이 완성되는 것은 아니다.

사용자가 Console 접속 후 Enable 모드에 진입할 수 있기 때문이다.

예시

Switch> enable
Switch#

따라서 반드시 Enable Secret을 설정해야 한다.

Switch(config)# enable secret C1sco@123

확인

Switch# show running-config

암호는 암호화된 형태로 저장된다.

Enable Password보다 Enable Secret 사용을 권장한다.

Console Idle Timeout 설정

많은 현장에서 가장 많이 놓치는 부분 중 하나이다.

관리자가 작업 후 자리를 비웠는데 Console 세션이 유지되는 경우가 있다.

다른 사람이 해당 세션을 이용하여 장비를 조작할 수 있다.

이를 방지하기 위해 자동 로그아웃을 설정한다.

Switch(config)# line console 0
Switch(config-line)# exec-timeout 5 0

의미

5분 동안 입력이 없으면 자동 로그아웃

확인

show running-config | section line con

실무에서는 보통 5~15분 정도를 설정한다.

로그인 실패 메시지 및 배너 설정

보안 감사 시 자주 확인하는 항목 중 하나가 로그인 배너이다.

설정 예시

Switch(config)# banner motd #
Unauthorized Access Prohibited
All Activities Are Monitored
#

Console 접속 시 다음과 같이 표시된다.

Unauthorized Access Prohibited
All Activities Are Monitored

장점

  • 보안 정책 고지
  • 무단 접근 경고
  • 법적 증거 자료 활용 가능

Password Recovery 방지

Cisco 장비는 Password Recovery 기능을 제공한다.

하지만 보안이 중요한 환경에서는 이를 제한하기도 한다.

설정 예시

Switch(config)# no service password-recovery

주의사항

해당 설정 후 비밀번호 분실 시 장비 초기화가 필요할 수 있다.

따라서 반드시 운영 정책에 따라 적용해야 한다.

AAA 인증 서버 연동

대규모 환경에서는 로컬 계정보다 AAA 인증을 사용한다.

대표적인 방식

  • TACACS+
  • RADIUS

예시

aaa new-model

장점

  • 중앙 계정 관리
  • 사용자별 권한 제어
  • 접속 기록 관리
  • 보안 감사 대응

수십 대 이상의 장비를 운영한다면 AAA 도입을 고려하는 것이 좋다.

물리적 보안도 중요하다

Console 보안은 설정만으로 완성되지 않는다.

다음과 같은 물리적 보안도 함께 고려해야 한다.

통신실 출입 통제

  • 출입카드 적용
  • CCTV 설치
  • 방문자 기록 관리

랙 잠금 장치 사용

  • Rack Door Lock
  • Cabinet Lock

Console 케이블 관리

  • 상시 연결 금지
  • 작업 시에만 연결
  • 관리 담당자 보관

아무리 강력한 암호를 설정하더라도 물리적 접근이 자유롭다면 보안 효과가 크게 감소한다.

실무 권장 설정 예제

다음은 실무에서 자주 사용하는 Console 보안 설정 예제이다.

username admin privilege 15 secret P@ssw0rd!

enable secret C1sco@123

line console 0
 login local
 exec-timeout 5 0

banner motd #
Unauthorized Access Prohibited
All Activities Are Monitored
#

이 정도만 적용해도 기본적인 Console 보안 수준을 크게 향상시킬 수 있다.

마무리

Cisco 스위치의 Console Port는 네트워크 장비를 관리하기 위한 가장 강력한 접근 경로이다. 따라서 Console 보안은 단순한 선택 사항이 아니라 필수 구성 요소라고 할 수 있다.

특히 기업 및 공공기관 환경에서는 Console 암호 설정, 로컬 계정 인증, Enable Secret 적용, Idle Timeout 설정, 배너 구성 등을 기본적으로 적용해야 하며, 규모가 큰 환경에서는 AAA 인증 서버와 연계하여 중앙 집중식 관리 체계를 구축하는 것이 바람직하다.

네트워크 보안은 복잡한 보안 장비만으로 완성되는 것이 아니다. Console Port와 같은 기본적인 관리 인터페이스를 얼마나 안전하게 보호하느냐가 전체 네트워크 보안 수준을 결정하는 중요한 요소가 될 수 있다.

티스토리툴바