사람들을 미치게 만드는 비밀번호!
그걸 누가 만들었나 봤더니 미국에서 만든 걸 전 세계가 따라했는데, 정작 미국에서는 이제 특수문자 대문자 등을 포함해야 한다는 비밀번호 규칙을 후회한다고 발표했다네요.
이제부터는 특수문자 대문자 숫자를 포함해야 한다거나, 3개월에 한 번씩 바꾸어야 한다거나 하는 규칙이 오히려 보안에 취약하다는 것입니다.
우리는 끊임없이 나를 증명하는 시대에 살고 있습니다.
핸드폰도 수시로 내가 진짜 나인지 물어옵니다. 비밀번호를 대라고, 아니면 지문을 제시해서 나임을 증명하라고 합니다.
너무 피곤하지요.
미국 국립표준기술연구소(NIST) 발표내용을 살펴보겠습니다.
NIST(미국 국립표준기술연구소)는 2024년에 새로운 비밀번호 규칙을 발표했습니다. 이 규칙은 기존의 불필요하고 해로운 보안 요구사항을 제거하여 전반적인 보안을 강화하는 것을 목표로 합니다.
주요 내용은 다음과 같습니다.
1. 비밀번호 길이 및 구성
- 비밀번호 최소 길이는 8자 이상이어야 하며, 15자 이상을 권장합니다.
- 최대 비밀번호 길이는 최소 64자 이상을 허용해야 합니다.
- 모든 ASCII 인쇄 가능 문자와 공백 문자를 허용해야 합니다.
- Unicode 문자 사용을 허용해야 하며, 각 Unicode 코드 포인트는 단일 문자로 계산됩니다.
2. 금지된 관행
- 다양한 문자 유형의 혼합을 요구하는 등의 구성 규칙을 부과해서는 안 됩니다.
- 주기적인 비밀번호 변경을 요구해서는 안 됩니다. 단, 인증자의 침해 증거가 있는 경우에는 변경을 강제해야 합니다].
- 인증되지 않은 사용자가 접근할 수 있는 비밀번호 힌트를 저장하도록 허용해서는 안 됩니다.
- 비밀번호 선택 시 지식 기반 인증(KBA) 또는 보안 질문을 사용하도록 요구해서는 안 됩니다.
3. 비밀번호 검증
- 제출된 비밀번호 전체를 검증해야 하며, 일부를 잘라내서는 안 됩니다.
4. 보안 강화 방안
- 비밀번호 관리자 사용을 권장합니다. 이는 다양한 시스템에서 유용하며, 하드웨어 토큰이나 생체 인증을 통해 마스터 비밀번호를 입력하는 방법도 있습니다. 이러한 새로운 규칙은 사용자 편의성을 높이면서도 보안을 강화하는 것을 목표로 합니다. 특히 유니코드 비밀번호 허용은 국제 사용자들에게 큰 도움이 될 것으로 예상됩니다. 그러나 일부 산업 표준(예: PCI, ISO 27001:2022)과 충돌할 수 있어, 기업들이 새로운 NIST 규칙을 따르는 데 어려움을 겪을 수 있습니다.
그런데, 이번에 미국에서 발표한 이러한 기준이 곧바로 우리 한국에서 시행되지는 않습니다.
한국의 기준이 있고, 플랫폼 기업들이 이러한 규칙을 적용해야 되기 때문에 약간의 시간이 더 필요하겠습니다.
한국이 미국의 비밀번호 규칙을 따라하는 것은 몇 가지 이유가 있습니다.
1. 역사적 배경
미국 국립표준기술연구소(NIST)가 2007년에 발표한 디지털 신원 지침이 전 세계적으로 영향을 미쳤습니다. 이 지침은 당시 빈번하게 발생하던 침해사고에 대응하기 위해 만들어졌으며, 많은 국가들이 이를 참고하여 자국의 보안 정책을 수립했습니다.
2. 글로벌 표준으로서의 역할 NIST의 지침은 오랫동안 정보보안 분야에서 글로벌 표준으로 인식되어 왔습니다. 많은 국가들이 이를 기준으로 삼아 자국의 보안 정책을 수립하거나 조정해 왔습니다.
3. 한국의 대응 그러나 한국은 최근 NIST의 변화된 지침을 반영하여 자체적인 기준을 마련하고 있습니다.
- 한국인터넷진흥원(KISA)은 2019년에 '안전한 비밀번호' 기준을 완화했습니다.
- 현재 기준은 '두 종류 이상 문자로 구성된 8자리 이상의 문자열' 또는 '10자리 이상 문자열'입니다.
- 비밀번호 변경주기에 대한 규정도 삭제되었습니다.
4. 현재 상황 한국 당국자에 따르면, 현재 국내에서는 문자, 숫자, 특수문자 혼합이나 비밀번호 변경주기에 대한 명시적인 의무규정이 없습니다. 이는 NIST의 최신 지침과 유사한 방향으로 변화하고 있음을 보여줍니다.
결론적으로, 한국은 과거에는 미국의 비밀번호 규칙을 많이 참고했지만, 최근에는 국제적인 추세와 자국의 상황을 고려하여 독자적인 기준을 마련하고 있습니다. 이는 보안 정책이 글로벌 표준을 참고하면서도 각국의 상황에 맞게 조정되고 있음을 보여줍니다.
패스워드 선택 및 이용 안내서
2019_패스워드_선택_및_이용_안내서.pdf
2.30MB
비밀번호 생성 팁(최신)
새로운 규칙은 사용자가 더 안전하고 편리하게 비밀번호를 사용할 수 있도록 설계되었으며, 전통적인 비밀번호 정책의 문제점을 해결하는 방향으로 변경되었습니다. 주요 내용은 다음과 같습니다.
1. **복잡한 규칙 요구사항 축소** 기존의 비밀번호 정책은 대문자, 소문자, 숫자, 특수 문자를 반드시 포함하도록 요구했으며, 이를 통해 복잡성을 높이고자 했습니다. 그러나 NIST는 이러한 규칙이 실제로 사용자를 불편하게 하고, 사람들이 쉽게 기억하기 어려운 비밀번호를 사용하게 되어 오히려 보안성이 떨어질 수 있다고 판단했습니다.
**변경 사항:** 복잡한 조합을 강제하는 대신, 사용자에게 기억하기 쉬운 긴 비밀번호(예: 문구형 비밀번호)를 사용할 것을 권장합니다.
2. **주기적인 비밀번호 변경 요구 철회** 과거에는 주기적으로 비밀번호를 변경하는 것이 보안에 좋다고 여겨졌습니다. 그러나 NIST는 주기적인 비밀번호 변경이 사용자에게 불편을 주고, 새로운 비밀번호도 종종 이전 비밀번호와 비슷하거나 예측 가능하게 설정될 수 있다는 문제점을 지적했습니다.
**변경 사항:** 비밀번호가 유출되거나 보안에 위협이 있을 때만 비밀번호를 변경하도록 권장합니다. 강제로 자주 비밀번호를 바꾸도록 요구하지 않습니다.
3. **비밀번호 복구 시 보안 강화** 많은 시스템에서 비밀번호를 잊었을 때 간단한 보안 질문이나 이메일을 통해 복구할 수 있도록 되어 있지만, 이러한 절차는 공격자에게 취약할 수 있습니다.
**변경 사항:** 비밀번호 복구 절차에서 더 강력한 인증 방식을 사용하도록 권장합니다. 예를 들어, 이메일이나 전화번호를 통한 2단계 인증 절차를 도입하는 것을 추천합니다.
4. **비밀번호 길이 강화** 비밀번호의 길이가 보안에 중요한 요소로 고려되었습니다. 짧고 복잡한 비밀번호보다는 길고 단순한 비밀번호가 더 안전하다는 연구 결과를 반영했습니다.
**변경 사항:** 최소 8자 이상의 비밀번호를 사용할 것을 권장하고, 최대 길이에 대해서는 제한을 두지 않도록 했습니다. 사용자가 가능한 한 긴 비밀번호를 선택할 수 있게 허용해야 합니다.
5. **사전에 유출된 비밀번호 사용 금지** 이전에 유출된 비밀번호 목록을 참고하여, 사용자가 유출된 비밀번호를 다시 사용하는 것을 방지하도록 권장합니다.
**변경 사항:** 유출된 비밀번호 목록과 비교하여 해당 목록에 있는 비밀번호는 사용하지 못하도록 시스템에서 막아야 합니다.
6. **기타 권장 사항**
- 비밀번호 입력 시 숨김 옵션 제공
- 사용자의 비밀번호 강도를 평가하는 도구 제공
- 비밀번호 외의 생체 인증(예: 지문, 얼굴 인식) 및 2단계 인증 활성화 NIST의 이러한 비밀번호 정책은 사용자 경험을 개선하고, 실제 보안을 강화하는 데 초점을 맞추고 있습니다.
728x90