Apache 웹 서버 운영 시 기본적으로 노출되는 서버 버전(Version), 운영체제(OS), 모듈(Module) 정보를 숨겨 보안성을 높이는 방법을 정리합니다.
httpd.conf파일의ServerTokens및ServerSignature지시어를 최적화하여 정보 유출 취약점을 조치합니다.
0. 배경 및 취약점 (Context)
공격자는 Banner Grabbing 기법을 통해 대상 서버의 구체적인 버전 정보를 수집하고, 해당 버전에 알려진 취약점(CVE)을 이용해 공격을 시도합니다. 따라서 서버 정보 노출을 최소화하는 것은 보안 강화(Hardening)의 첫걸음입니다.
1. 필수 설정 (Basic Configuration)
Apache 설정 파일(httpd.conf 또는 security.conf)에서 다음 두 가지 지시어를 찾아 수정하거나 추가합니다.
1) 헤더 정보 제한 (ServerTokens)
HTTP 응답 헤더의 Server 필드에 표시되는 정보량을 제어합니다.
- 기본값 (Full):
Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/7.0 ...(모두 노출) - 권장값 (Prod):
Apache(제품명만 노출)
# Server 헤더에 제품명(Apache)만 표시
ServerTokens Prod2) 에러 페이지 서명 제거 (ServerSignature)
404 Not Found, 403 Forbidden 등 에러 페이지 하단에 표시되는 서버 정보를 제어합니다.
- 기본값 (On): 에러 메시지 하단에 서버 버전과 포트 정보가 표시됨
- 권장값 (Off): 하단 서명 라인을 제거함
# 에러 페이지 하단에 서버 정보 숨김
ServerSignature Off2. 심화 설정 (Advanced Configuration)
위의 ServerTokens Prod 설정을 적용해도 Server: Apache라는 정보는 여전히 남습니다. 보안 감사를 위해 이 헤더조차 아예 삭제하고 싶다면 mod_headers 모듈을 사용해야 합니다.
Pre-check: 이 설정을 사용하려면
LoadModule headers_module modules/mod_headers.so 라인의 주석이 해제되어 있어야 합니다.
<IfModule mod_headers.c>
# Server 헤더 자체를 응답에서 제거 (권장)
Header unset Server
# 또는 다른 이름으로 위장 (Security by Obscurity)
# Header set Server "MySecureServer"
</IfModule>3. 설정 적용 및 검증 (Verification)
서비스 재기동
# Syntax 검사
apachectl -t
# 서비스 재기동 (CentOS/RHEL)
systemctl restart httpd
# 서비스 재기동 (Ubuntu/Debian)
systemctl restart apache2적용 확인 (curl)
curl -I 옵션을 사용하여 응답 헤더만 조회해 봅니다.
# 명령 실행
curl -I http://localhost
# [Before]
HTTP/1.1 200 OK
Server: Apache/2.4.6 (CentOS) ... (취약)
# [After 1 - Prod 적용]
Server: Apache
# [After 2 - Header unset 적용]
(Server 헤더가 아예 보이지 않음)Next Step:
서버 정보 숨김 조치가 완료되었다면, 추가적인 보안 강화를 위해 X-Content-Type-Options, X-Frame-Options 등 보안 헤더 적용을 검토해 보십시오.