Sarasinakei Blog

Fortigate 특정 국가 접속 차단하기

Fortinet 2026년 3월 9일
💡
FortiOS 7.2.x 환경에서 진행했습니다. 참고하시기 바랍니다.

Docker 서버의 Access Log를 확인하던 중, 익숙한 패턴이 눈에 들어왔습니다.
특정 국가의 IP 대역에서 /.env 같은 민감한 파일에 직접 접근을 시도하거나, 경로를 조금씩 바꿔가며 노출 가능성을 탐색하는 요청이 반복적으로 들어오고 있었습니다.

대부분은 자동화된 봇 트래픽으로 보였지만, 이런 요청이 계속 찍힌다는 것 자체가 결국 공격 시도가 이어지고 있다는 뜻이기도 합니다.


특히 /.env, /config, /admin, /.git 같은 경로는 서버 설정이 잘못되어 있을 경우 실제 정보 유출로 이어질 수 있는 지점이기 때문에 더 신경이 쓰였습니다. 최근 여기저기서 해킹 이슈도 계속 보이다 보니, 더 미루지 말고 손봐야겠다는 생각이 들었습니다.


그래서 그동안 미뤄두었던 Geo Block(국가별 접근 차단) 설정을 적용하기로 했습니다. 물론 이 방법이 완벽한 방어책은 아니지만, 불필요한 스캔 트래픽을 줄이는데에는 충분히 효과적이라고 생각합니다.

차단할 국가 주소(Geo Address) 생성하기

Policy & Objects -> Address 로 들어와서 맨 위에 Create New 를 클릭 후 Address를 클릭해 줍니다.

먼저 Policy & Objects → Addresses로 이동합니다.
상단의 Create New를 클릭한 뒤, Address를 선택합니다.

이후 차단할 국가 정보를 아래와 같이 입력하면 됩니다.

  • Name: 식별용 이름
  • Type: Geography
  • Country/Region: 차단할 국가
  • Interface: 선택 사항. 지정하면 특정 인터페이스 기준으로 묶을 수 있습니다.

입력을 마친 뒤 OK를 눌러 저장합니다.

저는 예시로 2개의 국가를 등록했습니다.

차단 대상 Geo Address Group 생성하기 (선택 사항)

여기까지 진행하면 바로 IPv4 Policy에 반영할 수도 있습니다.
하지만 여러 국가를 개별적으로 정책에 넣기보다는 Address Group으로 묶어두는 편이 이후 유지보수에 훨씬 편리합니다. 그래서 이번 글에서는 그룹까지 생성하는 방식으로 진행하겠습니다.

다시 Create New를 클릭한 뒤, 이번에는 Address Group을 생성합니다.

입력 항목은 다음과 같습니다.

  • Group Name: 식별용 이름
  • Type: Group
  • Members: 앞서 생성한 차단 대상 국가들을 모두 추가

입력이 끝났다면 OK를 눌러 저장합니다.

그룹까지 생성 완료된 모습

차단할 국가를 방화벽 정책에 적용하기

이제 생성한 Geo 객체 또는 그룹을 실제 방화벽 정책에 적용합니다.
IPv4 Policy로 이동한 뒤 새 정책을 생성하고, 아래와 같이 설정합니다.

  • Name: 식별용 이름
  • Incoming Interface: 유입되는 인터페이스. 일반적으로 WAN, WAN2
  • Outgoing Interface: 내부로 나가는 인터페이스. 보통 LAN 또는 A (FortiLink)
  • Source: 앞서 생성한 Geo Address Group
  • Destination: Outgoing Interface로 접근 가능한 IP 또는 Subnet
  • Schedule: always
  • Service: ALL
  • Action: DENY

여기서 가장 중요한 부분은 Action을 DENY로 지정하는 것입니다.
해당 정책은 특정 국가에서 들어오는 요청을 허용하는 것이 아니라 차단하는 목적이기 때문에, 이 설정을 반드시 확인해야 합니다.

설정을 마친 뒤 OK를 눌러 저장합니다.

적용 결과 확인하기

설정이 정상적으로 적용되었다면, 몇 시간 뒤 Log & Report → Forward Traffic에서 관련 로그를 확인할 수 있습니다.
차단 대상 국가에서 들어온 요청이 Deny로 기록되고 있다면 정상적으로 동작하는 것입니다.

추가로 IPv4 Policy 화면에서도 해당 정책에 얼마나 많은 요청이 들어왔는지, 마지막 매칭 시점이 언제인지 함께 확인할 수 있습니다.

마무리

Geo Block은 어디까지나 보조적인 방어 수단입니다.


국가 기반 차단만으로 모든 공격을 막을 수는 없고, 우회 경로도 얼마든지 존재합니다. (VPN사용하면 바로 접근 가능한정도) 하지만 반복적으로 들어오는 불필요한 스캔 트래픽을 줄이고, 혹시 모르는 대입 공격에 대해서는 도움이 될꺼라 생각합니다.

태그

Kim Seihoon

추천 게시물