N-02(상) 패스워드 복잡성 설정

※ 해당 가이드는 2017년 기준입니다.

주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.

주요정보통신기반시설 취약점 네트워크 장비 점검 항목

■ 취약점 개요

○ 점검개요 : 네트워크 장비에 기관 정책에 맞는 계정 패스워드 복잡성 정책이 적용되어 있는지 점검하며 패스워드 복잡성 정책 설정 기능이 장비에 존재하지 않을 경우 기관 정책에 맞게 계정 패스워드를 설정하여 사용하는지 점검

○ 점검목적 : 패스워드 복잡성 정책이 장비 정책에 적용되어 있는지 점검하여 비인가자의 네트워크 장비 터미널(콘솔, SSH, https 등) 접근 시도 공격(무작위 대입 공격, 사전 대입 공격 등)에 대한 대비 여부를 확인

○ 보안위협 : 패스워드 복잡성 정책이 적용되어 있지 않을 경우 계정 생성 후 초기 패스워드 설정 및 기존 패스워드 변경 시 패스워드 복잡성 제약 규칙을 적용받지 않아 취약한 패스워드(예 qwerty, 12345, passl234 등)를 설정할 수 있도록 허용될 수 있으며, 해당 취약점으로 인해 비인가자의 공격(무작위 대입 공격, 사전 대입 공격 등)에 계정 패스워드가 유출되는 원인을 제공하여 유출된 패스워드를 사용하여 비인가자가 네트워크 장비 터미널에 접근할 수 있는 위험이 존재

○ 점검대상 : CISCO, Alteon, Passport, Juniper, Piolink 등

○ 판단기준

- 양호 : 기관 정책에 맞는 패스워드 복잡성 정책이 네트워크 장비에 적용되어 있거나, 패스워드 복잡성 기능이 장비에 존재하지 않을 경우 기관 정책에 맞게 패스워드를 설정하여 사용하는 경우

- 취약 : 기관 정책에 맞지 않는 패스워드를 설정하여 사용하는 경우

 

■ 점검방법

○ 장비별 점검방법 예시

CISCO, Alteon, Passport, Juniper, Piolink 등

ㆍ장비에 패스워드 복잡성 설정이 적용되어 있는지 점검 ㆍ패스워드 복잡성 설정이 존재하지 않을 경우 기관 내 정책에 따라 패스워드를 설정 하여 사용하는지 확인

 

■ 조치방안

○ CISCO, Alteon, Passport, Juniper, Piolink 등

Step 1

패스워드 설정 시 아래와 같은 패스워드 정책을 적용   ㆍ암호는 최소 9 자 이상 설정(Passport 9 자 이상) ㆍ사용자 계정 이름이나 이름의 문자를 3 개 이상 연속하여 포함되지 않도록 설정 ㆍ암호에는 다음 네 가지 중 세 가지 범주의 문자가 포함되도록 설정 1) 대문자(26개) 2) 소문자(26개) 3) 숫자(10개) 4) 특수문자(32개)   ※개인정보의 안정성 확보조치 기준 고시 및 해설서 1) 최소 10자리 이상: 영대문자, 영소문자, 숫자 및 특수문자 중 2종류 이상으로 구성한 경우 2) 최소 8자리 이상: 영대문자, 영소문자, 숫자 및 특수문자 중 3종류 이상으로 구성한 경우

 

■ 조치 시 영향

일반적인 경우 무관

 

■ 패스워드 복잡성

○ 계정 패스워드 설정 시 영문(대문자, 소문자), 숫자, 특수문자가 혼합된 패스워드로 설정하는 것

 

■ 무작위 대입 공격(Brute Force Attack)

○ 컴퓨터로 암호를 해독하기 위해 가능한 모든 키를 하나하나 추론해 보는 시도

 

■ 사전 대입 공격(Dictionary Attack)

○ 사전에 있는 단어를 입력하여 패스워드를 알아내거나 암호를 해독하는 데 사용되는 컴퓨터 공격 방법