FTP와 SFTP 차이점, 보안 관점에서 비교

웹사이트 운영을 하다 보면 서버에 파일을 올리거나 내려받기 위해 FTP를 쓰는 경우가 많습니다. 그런데 “FTP 계정이 털렸다”, “사이트가 변조됐다” 같은 사고의 시작점이 FTP인 경우도 정말 흔합니다. 그래서 운영자 입장에서는 FTP와 SFTP의 차이를 단순 기능이 아니라, 보안 관점에서 명확히 구분해둘 필요가 있습니다.

FTP와 SFTP를 한 문장으로 정리

FTP는 전송 과정이 암호화되지 않아 위험하고, SFTP는 암호화된 통신으로 안전하게 파일을 주고받는 방식입니다.

이 차이 하나만 기억해도 “어떤 방식을 써야 하는지”는 거의 결정됩니다.

FTP란 무엇인가

FTP(File Transfer Protocol)는 오래전부터 쓰이던 파일 전송 프로토콜입니다.
서버에 접속해 파일을 업로드/다운로드하는 기능 자체는 단순하고 편리하지만, 기본 FTP는 보안 설계가 약한 편입니다.

가장 큰 문제는 아이디와 비밀번호, 전송 데이터가 평문으로 오갈 수 있다는 점입니다. 즉 중간에서 누군가 트래픽을 가로채면 계정 정보가 그대로 노출될 수 있습니다.

SFTP란 무엇인가

SFTP는 Secure File Transfer Protocol로, 이름 그대로 “보안이 강화된 파일 전송”입니다.
여기서 중요한 포인트는 SFTP가 FTP에 보안을 덧댄 형태가 아니라, 보통 SSH(서버 원격 접속) 기반으로 동작하는 별개의 방식이라는 점입니다.

SFTP는 연결부터 파일 전송까지 전 과정이 암호화되며, 인증도 비밀번호뿐 아니라 SSH 키(공개키/개인키) 방식으로 강화할 수 있습니다.

보안 관점에서 핵심 차이 5가지

1) 암호화 여부

• FTP: 기본적으로 암호화 없음(평문 전송)
• SFTP: 전 구간 암호화

운영자 입장에서 가장 큰 차이입니다. FTP는 공용 와이파이, 사내 네트워크, 중간 장비를 통해 정보가 새는 순간 치명적입니다.

2) 계정 정보 노출 위험

• FTP: 아이디/비밀번호 탈취 가능성이 큼
• SFTP: 암호화로 도청 위험이 크게 줄어듦

FTP 계정이 털리면 웹파일이 변조되고, 악성 스크립트가 심어지는 사고로 이어지기 쉽습니다.

3) 포트와 방화벽 관리 난이도

• FTP: 제어 채널/데이터 채널로 나뉘고 모드(액티브/패시브) 때문에 포트 관리가 복잡함
• SFTP: 보통 SSH 포트(기본 22) 하나로 처리

운영에서 방화벽을 제대로 잡기 쉽고, 네트워크 오류도 줄어드는 편입니다.

4) 인증 방식의 강도

• FTP: 주로 비밀번호 기반(추측·재사용 공격에 취약)
• SFTP: 비밀번호 + 키 기반 인증 가능(권장)

키 기반 인증은 운영자가 “비밀번호 유출” 위험을 크게 줄이는 데 도움이 됩니다. 또한 특정 IP만 허용하는 접근 제어와 함께 쓰면 훨씬 안전합니다.

5) 감사/통제(권한 관리)

• FTP: 계정 관리가 단순하지만 세밀한 통제가 어려운 구성도 많음
• SFTP: SSH 계정 정책과 권한 분리, 접근 제한 등 운영 통제가 더 유리한 편

특히 “업로드만 가능하게”, “특정 폴더만 접근하게” 같은 요구가 있을 때 SFTP가 운영 정책을 세우기 쉽습니다.

FTPS는 뭐고 SFTP와는 다르다

여기서 자주 헷갈리는 게 FTPS입니다.

• FTPS: FTP에 TLS(SSL) 암호화를 추가한 방식
• SFTP: SSH 기반 파일 전송(FTP와 별개 계열)

둘 다 암호화를 제공하지만, 설정·포트·호환성에서 차이가 있습니다. 초보 운영자 관점에서는 “보안 전송이 목적이라면 SFTP가 관리가 단순한 경우가 많다” 정도로 이해하면 충분합니다.

운영자에게 현실적인 결론: 무엇을 써야 하나

가능하면 FTP는 피하고, 기본값을 SFTP로 잡는 것이 안전합니다.

• 개인 블로그/소규모 사이트라도: SFTP 권장
• 외주/협업으로 계정을 공유해야 한다면: SFTP + 계정 분리 + 권한 최소화
• 비밀번호 대신 키 인증을 쓸 수 있다면: 키 인증 우선

FTP를 계속 써야 하는 상황이라면 최소한

• FTPS로 전환
• 강력한 비밀번호와 2단계 대안 적용(가능한 경우)
• 접속 IP 제한
• 계정 주기적 변경
  같은 보완책이 필요합니다.

보안 사고를 줄이는 운영 체크포인트

운영자 관점에서 실무적으로 도움이 되는 항목을 정리하면 다음과 같습니다.

• 파일 전송은 SFTP(또는 FTPS)로만 허용
• FTP(21포트)는 차단하거나 최소한 내부망에서만 사용
• 계정은 사람별로 분리하고, 퇴사/외주 종료 시 즉시 회수
• 접근 권한은 필요한 폴더만 최소 부여
• 로그인 실패/접속 로그를 남기고 이상 징후 알림 설정
• 가능하면 SSH 키 기반 인증으로 전환

결론

FTP와 SFTP의 차이는 기능이 아니라 “전송 과정이 암호화되느냐”라는 보안의 차이입니다. FTP는 평문 전송 특성 때문에 계정 탈취와 사이트 변조 사고로 이어지기 쉽고, SFTP는 SSH 기반 암호화로 이를 크게 줄입니다. 웹사이트 운영자라면 가능하면 FTP를 기본에서 제외하고, SFTP를 표준으로 사용하는 것이 가장 현실적인 보안 전략입니다.