비밀번호 정책은 취약한 로그인 자격 증명이나 프로세스로 인한 무단 액세스로부터 시스템과 애플리케이션을 보호하기 위해 구현된 일련의 규칙입니다. 강력한 비밀번호 정책은 조직의 보안 태세에 있어 핵심적인 부분으로, 효과적인 액세스 제어에 매우 중요합니다. 비밀번호 정책은 비밀번호 생성 및 사용을 관리하여 비밀번호의 오용이나 도용을 최소화함으로써 전반적인 보호 기능을 최적화합니다.
NIST 비밀번호 정책 지침
사용자 비밀번호 정책 기준
- 사용자에게 비밀번호 정책을 제시하고 직접 비밀번호를 만들도록 해야 합니다.
- 사용자가 만든 비밀번호는 8자 이상, 64자 이하여야 합니다.
- 사용자는 비밀번호에 모든 인쇄 가능한 ASCII(RFC 20) 문자와 공백뿐만 아니라 유니코드(ISO/ISC 10646) 문자도 사용할 수 있어야 합니다. 각 코드 포인트는 하나의 문자로 간주되어야 합니다.
- 비밀번호 정책이 사용자의 비밀번호 선택에 다른 제한을 가해서는 안 됩니다(즉, 추가적인 복잡한 요구 사항이 있어서는 안 됨). 예를 들어 사용자에게 여러 문자 유형을 혼합하여 비밀번호를 만들도록 하거나 연속적으로 반복되는 문자를 금지해서는 안 됩니다.
- 비밀번호가 유출되었다는 증거가 없는 한, 사용자에게 비밀번호를 변경하라고 요구해서는 안 됩니다.
비밀번호 정책 및 블랙리스트
사용자가 선택한 비밀번호(즉, 신규 또는 업데이트된 비밀번호)를 확정하기 전에, 쉽게 예상할 수 있거나 일반적으로 사용되거나 이미 유출된 것으로 알려져 추측이 가능한 값 목록과 비교해야 합니다. 추측 가능한 비밀번호 유형의 예로는 이전에 유출된 자료에서 가져온 비밀번호, 사전에 있는 단어, 반복적이거나 연속적인 문자(예: aaaaaa, 1234abcd), 특정 상황과 관련 있는 단어(예: 서비스 이름, 사용자 이름, 해당 이름의 파생어)가 있습니다.
사용자가 선택한 비밀번호가 지정된 기준을 충족하지 않거나 유출된 비밀번호 블랙리스트에 포함되어 있어 허용되지 않는 경우, 사용자는 다른 비밀번호를 선택해야 합니다. 이러한 경우 사용자에게 해당 비밀번호가 허용되지 않는 이유를 알려야 합니다.
잘라내기/붙여넣기 및 표시 기능에 대한 비밀번호 정책
사용자가 잘라내기 및 붙여넣기 기능을 사용하여 양식에 비밀번호를 입력할 수 있도록 해야 합니다. 또한 비밀번호가 맞는지 확인할 수 있도록 입력 시 사용자에게 비밀번호를 표시하는 옵션도 제공해야 합니다.
로그인 시도 실패에 대한 비밀번호 정책
온라인 추측 공격으로부터 보호하기 위해 사용자의 계정에서 발생할 수 있는 로그인 시도 실패 횟수를 제한하는 속도 제한 메커니즘을 구현해야 합니다. NIST 800-63B 섹션 5.2.2에 따르면, 로그인 시도는 최대 100회까지만 허용해야 합니다.
비밀번호 보호에 대한 비밀번호 정책
요청한 비밀번호를 안전하게 전송하기 위해 암호화 및 인증 솔루션을 사용해야 합니다. 또한 비밀번호는 적절한 단방향 키 파생 함수를 사용하여 솔트 및 해시 처리되어야 합니다. 솔트는 다음과 같아야 합니다.
- 난수 비트 생성기로 생성
- 32비트 이상
- 임의로 선택
해시는 검증 서버 성능이 허용하는 한도 내에서 최대한 크게 설정되어야 하며, 일반적으로 10,000번 이상의 반복이 필요합니다.
무작위 생성에 대한 비밀번호 정책
비밀번호가 애플리케이션이나 시스템에서 무작위로 생성되는 경우 6자 이상이면 됩니다.
품질에 대한 비밀번호 정책
비밀번호 강도 측정기를 사용하여 사용자에게 해당 비밀번호의 품질을 보여줘야 합니다. 이를 통해 강력한 비밀번호 생성을 촉진하고, 허용되지 않은 비밀번호를 약간만 변경하여 품질이 낮은 비밀번호가 승인되는 상황을 방지할 수 있습니다.
비밀번호 힌트에 관한 정책
어떠한 경우에도 사용자는 비밀번호에 대한 힌트를 저장하여 본인 이외에 다른 사람이 액세스할 수 있도록 해서는 안 됩니다. 또한 힌트로 사용할 수 있는 프롬프트를 제공해서도 안 됩니다. 예를 들어 첫 번째 반려동물의 이름, 첫 번째 자동차 모델, 어머니의 이름 등 프롬프트로 사용할 보안 질문과 답변을 사용자에게 요구하는 것은 허용되지 않습니다.
NIST SP800-63B 비밀번호 정책 지침의 주요 내용 |
|---|
-비밀번호에 ASCII 문자, 유니코드 문자, 공백 사용을 허용합니다. |
기타 비밀번호 보안 표준 및 지침
다음은 비밀번호 정책 표준 및 지침의 예시입니다.
인터넷 보안 센터(CIS)
CIS 비밀번호 정책 가이드의 목적은 비밀번호 정책이 필요한 모든 곳에 표준으로 사용할 수 있는 포괄적인 단일 비밀번호 정책을 제공하는 것입니다. 주요 CIS 비밀번호 정책 지침은 다음과 같습니다.
- 비밀번호에 모든 문자 유형을 허용하고 비밀번호만 사용하는 계정의 경우 알파벳이 아닌 문자를 하나 이상 요구합니다.
- 비밀번호 관리자를 사용할 때 비밀번호 필드에 붙여넣기를 허용합니다.
- 45일 동안 유효한 로그인이 없으면 해당 계정을 자동으로 정지합니다.
- 비밀번호가 유출된 경우 즉시 변경합니다.
- 비밀번호를 만들 때 최소 20개의 알려진 취약한 비밀번호와 이전에 사용된 비밀번호 5개가 포함된 내부 거부 목록과 비교하여 확인합니다.
- 로그인 시 사용자가 정의한 비밀번호 힌트를 허용하지 않습니다.
- 1년 후 비밀번호가 만료되도록 합니다.
- 로그인 시도가 연속으로 5번 실패하면 15분 이상 일시적으로 계정이 잠기도록 하고, 재시도할 때마다 시간(분)을 두 배로 늘리는 제한을 적용하며, 12번 재시도하면 영구적으로 계정이 잠기도록 합니다(IT 재설정 필요).
- 15분 동안 활동이 없으면 열려 있는 세션을 잠급니다.
- 위의 잘못된 로그인 시도가 한도에 도달하면 주요 담당자에게 경고를 보냅니다.
형사사법정보서비스(CJIS)
CJIS는 법 집행 기관, 국가 안보 커뮤니티 파트너, 일반 대중에게 도구와 서비스를 제공하는 FBI 최대 규모의 부서입니다. CJIS에서 제공하는 비밀번호 정책 지침은 NIST 800-63B를 엄격하게 준수합니다. CJIS는 비밀번호 정책과 관련하여 다음과 같은 몇 가지 추가 권장 사항을 제시합니다.
- 생체 인식은 물리적 인증 수단을 사용한 다단계 인증의 일환으로만 사용해야 합니다.
- 처음 사용하기 전에 기본 비밀번호를 변경합니다.
- 최초 비밀번호 생성, 분실/유출/손상된 비밀번호, 비밀번호 무효화에 대한 관리 절차를 수립합니다.
- 비밀번호가 만료된 경우 다시 사용할 수 있어야 합니다.
- 특수 권한이 있는 계정과 특수 권한이 없는 계정 액세스에 대해 재전송 공격 방지 인증 메커니즘을 구현합니다.
- 비밀번호가 분실되거나 도난당했다는 의심이 들면 즉시 사용자에게 알립니다.
- 장시간 사용 세션 중에는 12시간마다, 사용자의 활동이 없는 경우에는 30분 후에 한 번 이상 사용자를 재인증합니다.
- 매년 또는 유출 증거가 있을 때마다 비밀번호를 업데이트합니다.
- 특수 권한이 있는 계정과 특수 권한이 없는 계정 모두 다단계 인증을 사용합니다.
건강보험 정보 이전 및 그 책임에 관한 법률(HIPAA)
HIPAA 보안 규칙은 환자의 동의나 인지 없이 환자의 건강 정보가 공개되지 않도록 보호하기 위한 국가 표준을 제공합니다. HIPAA 비밀번호 요구 사항은 HIPAA 보안 규칙의 관리 보호 조치에 포함되며, 내용은 다음과 같습니다.
- 주기적으로 비밀번호를 생성하고 변경하는 지침을 수립합니다.
- 비밀번호를 생성, 변경, 보호하기 위한 절차를 구현합니다.
- 직원에게 비밀번호 정보를 보호하는 방법에 대해 교육합니다.
국제표준화기구/국제전기기술위원회 27002
ISO/IEC 27002는 국제표준화기구(ISO)와 국제전기기술위원회(IEC)에서 제정한 정보 보안 표준입니다. 여기에는 시스템 및 애플리케이션에 대한 무단 액세스를 방지하기 위한 비밀번호 정책 지침이 포함되어 있으며, 내용은 다음과 같습니다.
- 시스템이나 소프트웨어를 설치한 후에는 공급업체 기본 비밀번호를 변경합니다.
- 다음과 같이 충분한 최소 길이를 충족하는 양질의 비밀번호를 만듭니다.
- 기억하기 쉬워야 합니다.
- 다른 사람이 개인정보(예: 이름, 전화번호, 생일)를 통해 쉽게 추측하거나 얻을 수 있는 사항으로 비밀번호를 만들면 안 됩니다.
- 사전 공격에 취약하지 않아야 합니다(즉, 사전에 포함된 단어로 구성되지 않아야 함).
- 비즈니스 목적과 비즈니스 외 목적에 동일한 보안 인증 정보를 사용하면 안 됩니다.
- 비밀번호를 저장하고 자동 로그인 절차에 사용하는 경우 비밀번호를 적절하게 보호합니다.
- 연속적으로 동일한 문자를 사용하거나 숫자 또는 알파벳만 사용하는 것을 금지합니다.
- 비밀번호를 보호된 형태(예: 암호화 또는 해시 처리)로 저장하고 전송합니다.
- 다음과 같은 인터랙티브 비밀번호 관리 시스템을 사용합니다.
- 사용자가 비밀번호를 선택하고 변경할 수 있습니다.
- 비밀번호를 입력할 때 비밀번호가 화면에 표시되지 않습니다.
- 책임성을 유지하기 위해 개별 사용자 ID와 비밀번호 사용을 강제합니다.
- 사용자가 처음 로그인할 때 비밀번호를 변경하도록 강제합니다.
- 사용자의 이전 비밀번호 기록을 보관하고 재사용을 방지합니다.
- 사용자에게 정기적으로, 또는 유출될 경우 비밀번호를 변경하도록 알립니다.
- 양질의 비밀번호를 사용하도록 요구합니다.
- 비밀번호 파일을 애플리케이션 시스템 데이터와 별도로 저장합니다.
북미전력안정성회사(NERC) 핵심 인프라 보호(CIP)
NERC CIP는 대량 전력 시스템에 대한 최소 보안 요구 사항을 명시하는 표준입니다. 전력 시스템 운영자에 대한 비밀번호 정책 요구 사항은 다음과 같습니다.
- 알려진 기본 비밀번호를 변경합니다.
- 최소 15개월에 한 번씩 비밀번호를 변경하도록 강제하거나 비밀번호 변경을 의무화합니다.
- 인증 시도 실패 횟수를 제한합니다.
- 비밀번호 길이는 8자 이상이어야 하며, 세 가지 이상의 서로 다른 문자 유형(예: 알파벳 대문자, 알파벳 소문자, 숫자, 영숫자가 아닌 문자)을 포함하도록 합니다.
지불 카드 산업 데이터 보안 표준(PCI DSS)
PCI DSS에는 민감한 정보를 보호하고 개인정보보호를 유지하기 위한 요구 사항이 포함되어 있습니다. 그 일환으로 다음과 같은 비밀번호 정책 지침을 제공합니다.
- 공급업체에서 제공한 비밀번호는 반드시 변경합니다.
- 스크립트에 비밀번호를 하드코딩하도록 해서는 안 됩니다.
- 개인이 최근에 사용한 4개의 비밀번호와 동일한 새 비밀번호를 제출하지 못하도록 합니다.
- 15분 넘게 사용자의 활동이 없을 경우 비밀번호를 다시 입력하도록 합니다.
- 최대 6회의 액세스 시도 후에는 사용자 ID를 잠가서 반복적인 액세스 시도를 제한합니다.
- 사용자에게 최소한 90일에 한 번씩 비밀번호를 변경하도록 알립니다.
- 비밀번호는 12자 이상이어야 하며, 숫자와 알파벳을 모두 포함하도록 합니다.
- 비밀번호 생성 시 비밀번호 강도 표시를 제공합니다.
- 가능한 경우 항상 다단계 인증을 사용합니다.
- 비밀번호만 사용하는 계정의 경우 14자 이상, MFA 사용 계정의 경우 8자 이상이어야 하며, 최대 비밀번호 길이를 시스템 제약에 따라 가능한 한 길게 설정할 수 있도록 합니다.
비밀번호 정책의 구성 요소
다음은 비밀번호 정책에 포함되어야 하는 몇 가지 주요 구성 요소입니다.
- 비밀번호 공유 금지
- 허용 가능한 비밀번호에 대한 기준(예: 길이, 복잡성, 제외 사항)
- 비밀번호 재사용 제한
- 허용되는 로그인 시도 실패 횟수 및 잠금과 관련된 절차
- 허용 가능한 비밀번호 강도에 대한 매개변수
- 비밀번호 저장 지침 및 요구 사항
- 비밀번호 변경 프로세스
- 다단계 인증(MFA) 요구 사항
- 비밀번호 만료 및 재설정 규칙
기업 비밀번호 정책 모범 사례
다음은 비밀번호 정책을 개발할 때 고려해야 할 핵심적인 모범 사례입니다.
비밀번호 정책 적용
자동화 시스템을 사용해 비밀번호 정책을 적용하고, 자동화할 수 없는 규칙 준수 여부는 무작위 감사를 통해 확인합니다.
비밀번호 정책을 최신 상태로 유지
조직의 비밀번호 정책은 계속해서 최신 모범 사례에 맞게 조정하고 사용 가능한 최적의 기술을 활용하기 위해 정기적으로 검토하고 업데이트해야 합니다.
강력한 비밀번호 및 프로토콜 사용 요구
권한이 없는 사용자가 비밀번호를 추측하지 못하도록 하려면 다음 지침을 따라야 합니다.
- 비밀번호가 유출된 경우 변경합니다.
- 사용자가 제안한 비밀번호를 일반적으로 사용되거나 쉽게 예상할 수 있거나 유출된 비밀번호 목록과 비교하여 확인합니다.
- 사용자에게 비밀번호를 절대로 공유하지 않도록 알립니다.
- 저장된 비밀번호를 암호화합니다.
- 패스프레이즈를 사용하는 경우 사전에 있는 단어 3개 이상을 알파벳이 아닌 문자로 연결해야 합니다(예: Party-1999@Lake!bLue).
- 다단계 인증(MFA)을 구현합니다.
- Passwords must:
- 알파벳을 8자 이상 포함해야 합니다.
- 알파벳 대문자 1개 이상과 알파벳 소문자 1개 이상을 포함해야 합니다.
- 알파벳이 아닌 문자 2개 이상과 알파벳 문자 3개 이상을 포함해야 합니다.
- 가족 구성원이나 반려동물의 이름 등 쉽게 추측할 수 있거나 얻을 수 있는 개인정보를 포함하지 않아야 합니다.
- 비밀번호를 재사용하지 않아야 합니다.
침투 테스트 사용
보안에 대한 사전 예방적 접근 방식을 취하고 윤리적 해커를 활용해 시스템을 조사하고 사용자를 테스트하여 비밀번호 정책 준수 여부와 기타 보안 취약점을 파악합니다.
비밀번호 정책 FAQ
비밀번호 정책과 관련하여 자주 묻는 질문은 다음과 같습니다.
비밀번호 문제가 발생하면 기업은 어떤 유형의 문제에 직면하게 되나요?
비밀번호 정책을 준수하지 않으면 여러 문제가 발생합니다. 가장 심각한 세 가지 문제는 다음과 같습니다.
- 데이터 유출
- 컴플라이언스 실패 및 처벌
- 시스템과 기타 자산에 대한 무단 액세스
기업 비밀번호 정책이란 무엇인가요?
기업 비밀번호 정책은 워크플로, 보안, 컴플라이언스에 대한 특정 내부 요구 사항에 맞는 모범 사례와 표준을 사용합니다.
기업 비밀번호 정책은 어떻게 전달되어야 하나요?
기업 자산에 액세스하는 모든 사용자는 조직의 비밀번호 정책을 인지하고 이해해야 합니다. 이는 다음을 포함한 여러 가지 방법으로 전달되어야 합니다.
- 직원 매뉴얼
- 온보딩
- 보안 교육
- 자산에 액세스할 때 시스템 프롬프트 표시
- 보안 및 IT 팀의 업데이트 및 알림
사이버 방어에서 매우 중요한 첫 번째 방어선인 비밀번호 정책 시행
비밀번호 정책에 대한 모범 사례와 표준을 구현하고 시행하는 것만으로도 흔히 악용되는 공격 경로를 차단할 수 있습니다. 사용자가 비밀번호 정책 및 프로세스 규칙을 준수하도록 요구하는 교육과 안전 조치를 제공하면 취약성을 최소화하여 민감한 자산을 무단 액세스로부터 보호할 수 있습니다.
