비밀번호 보안은 조직의 사이버 보안에서 핵심 요소입니다. 본 가이드는 비밀번호 관리 도구 사용 및 다중 인증을 포함한 강력한 비밀번호 생성 및 관리에 대한 필수 팁을 제공합니다.
일반적인 비밀번호 취약점과 직원 대상 비밀번호 보안 교육의 모범 사례에 대해 알아보세요. 비밀번호 보안을 이해하는 것은 민감한 정보를 보호하고 무단 접근을 방지하는 데 매우 중요합니다.
사용자의 비밀번호는 계정의 문을 여는 열쇠입니다. 시스템 내부에서 해당 사용자 계정이 가진 권한에 따라 그 열쇠는 매우 강력할 수 있습니다. 만약 제가 귀하의 온라인 뱅킹 비밀번호를 가지고 있다면, 귀하의 계정과 그 안에 포함된 모든 데이터에 접근할 수 있습니다. 이는 귀하에게 큰 불편을 초래할 것입니다. 하지만 서버 수준에서 온라인 뱅킹 시스템 관리자의 비밀번호를 얻을 수 있다면, 귀하의 정보뿐만 아니라 다른 모든 사용자의 정보까지 손에 넣을 수 있습니다. 놀랍도록 많은 데이터 유출 사건이 이런 식으로 발생합니다.
좋은 비밀번호 보안이 중요한 이유는 다음과 같습니다: 일단 비밀번호를 확보하면, 이를 악용하기 위해 특별한 기술 지식이 필요하지 않습니다. 백도어, 원격 악성코드 설치(악성코드 설치나 웹 서버에 악성 코드 주입 같은 다른 유형의 보안 침해는 상당한 전문 지식이 필요합니다. 하지만 비밀번호는? 타인의 데이터에 접근하는 가장 쉬운 방법입니다. 바로 이 때문에 다크 웹의 비밀번호 시장, 어려운 부분(침입)은 방법을 아는 사람들에게 맡기고, 실제 파괴 행위는 악의만 품은 사람에게 맡기는 셈이다. 크리덴셜 스터핑, 패스워드 스프레이링 및 기타 유형의 패스워드 기반 공격은 종종 우수한 패스워드 보안만으로도 차단될 수 있습니다.
NIST의 비밀번호 보안 권고사항
국립표준기술연구소(NIST)는 연방 차원의 보안 강화를 위해 이 문제를 연구해 왔습니다. 연방 정부 시스템의 보안을 강화하기 위해 국가 비밀번호 보안 정책에 대한 개정안 초안을 발표했습니다. 이 정책이 시행되면 연방 기관에서 근무하는 사용자만 영향을 받습니다. 그러나 IT 인프라(또는 개인 계정) 보안을 책임지는 모든 사람은 이를 진지하게 고려해야 합니다.
일부 권고 사항은 오랫동안 통용되어 온 비밀번호 보안에 관한 상식과는 상반됩니다:
1. 사용자가 기억하기 쉬운 비밀번호를 만들 수 있도록 하세요
비밀번호 형식에 제한을 두지 마십시오. 대문자 하나 이상, 숫자 하나 이상, 특수 문자 사용을 강제하거나 비밀번호가 너무 길다고 알려주는 것은 사용자를 좌절시켜 쉬운 방법을 찾게 할 뿐입니다. John Smith가 비밀번호를 "johnsmith"로 정한다면 이는 허용되지 않습니다. 하지만 특정 형식을 요구함으로써, 당신은 그가 "J0hnsm1th!"와 같은 제한된 범위 내에서 무언가를 만들도록 부추기고 있습니다." 같은 변형을 만들도록 유도하게 되는데, 이는 실제로 더 나은 방법이 아닙니다. 암호 해독에 능숙한 사람이라면 이런 변형을 쉽게 알아낼 수 있습니다.
대신 존에게 더 넓은 창작의 여지를 주세요. 더 긴 문구 사용을 권장하고(현재 권장 최대 길이는 16자가 아닌 64자입니다), 시스템이 ASCII 텍스트뿐만 아니라 유니코드 문자(이모지 포함)까지 포함한 모든 문자를 처리할 수 있도록 하세요. 이 방법은 시스템이 검증할 수 있는 알려진 취약한 비밀번호 사전이 있을 때 가장 효과적입니다. 그러면 존이 처음 시도한 비밀번호 "johnsmith"가 거부되면, 그는 좌절감을 훨씬 더 안전한 49자 비밀번호로 전환할 수 있습니다: "우리 시스템 관리자는 정말 짜증나는 ????."
물론, 이건 꽤 직관적인 영어지만, 단순히 글자를 비슷한 숫자로 바꾸는 것보다 더 무작위적이죠.
또한 비밀번호 유효기간을 설정하거나 사용자에게 변경을 강요하지 마세요. 그렇게 할 때마다 비밀번호가 해킹되기 쉬워질 가능성이 높아집니다. 게다가 유효기간이 30일, 6개월, 1년이든 상관없이 그 기간 동안 비밀번호가 유출되지 않았다면, 이미 제대로 된 조치를 취하고 있다는 뜻입니다.
추가 보호를 위해 매년 집 자물쇠를 교체하는 사람은 없습니다. 아무도 집에 침입하지 못했다면, 여전히 당신만이 열쇠를 가지고 있다는 뜻입니다. 접근 권한이 없는 사람이 당신의 열쇠를 입수했다는 사실을 알게 되었을 때만 교체합니다. 비밀번호도 마찬가지입니다.
2. 비밀번호 힌트 사용 중단하기
우리는 너무 오랫동안 이런 방식을 사용해 왔기에 이를 없애는 것이 직관적이지 않게 느껴집니다. 하지만 생각해 보면, 암호를 찾거나 재설정하기 위한 힌트와 메커니즘을 설정하는 것 자체가 말이 안 됩니다. 힌트의 핵심은 답을 더 쉽게 찾도록 하는 데 있습니다.
빌 게이츠가 계좌를 가지고 있는 은행에 들어가서 100만 달러를 인출하려고 한다고 상상해보세요. 창구 직원이 신분증을 요구하지만, 당신은 빌 게이츠가 아니기 때문에 신분증이 없습니다. 하지만 직원은 당신을 돌려보내지 않고 "그럼, 당신이 태어난 도시 이름이 뭐죠?"라고 묻습니다."라고 묻습니다. 이 정보는 훨씬 쉽게 얻을 수 있는 정보이며, 자산을 보호하는 데는 끔찍한 방법처럼 보입니다.
강력한 비밀번호는 디지털 자산을 보호하는 첫걸음입니다(대부분의 경우, 이러한 디지털 자산은 실제 화폐에 대한 접근권을 의미합니다). 누군가가 비밀번호를 모른다면, 그들에게 도움을 주는 것보다 그럴 만한 이유가 있다고 생각하는 것이 더 낫습니다.
3. SMS 기반 2단계 인증을 없애세요
2단계 인증, 심지어 다단계 인증은 반드시 필요합니다. 그러나 지문이나 망막 스캔과 같은 생체 인식은 계정을 보호하는 훨씬 더 나은 방법이며, 더 이상 미래의 공상 과학 소설에나 나올 법한 기술이 아닙니다. 미래는 이미 우리 곁에 있습니다.
SMS를 통한 인증은 매우 열악한 방법입니다. 장애물이라는 측면에서, 문자 메시지를 통해 휴대폰으로 인증 코드를 보내는 것은 말에게 15cm 높이의 장애물을 뛰어넘으라고 요구하는 것과 같습니다. 이 글 에서 알 수 있듯이, 비밀번호를 알아낼 만큼 똑똑한 사람은 문자 기반 인증 코드를 우회할 방법을 찾아낼 만큼 충분히 영리합니다.
물론, 이제 모두가 이 방법의 비효율성을 알게 되면서 보안 블로거들은 다양한 방법 이러한 유형의 보호 장치는 우회될 수 있습니다.
4. 관리자는 비밀번호 저장 방식에 대해 더 현명해져야 합니다
2013년, Naked Security 블로그는 세계 최대 소프트웨어 기업 중 하나인 어도비가 1억 5천만 명의 사용자에게 피해를 입힌 사건을 상세히 보도했습니다. 비참한 관행을 통해 비밀번호를 보호하고 있었습니다.
비밀번호 보안 힌트가 얼마나 무의미한지 드러낸 것 외에도, 어도비가 상당히 기본적인 암호화만 사용하고 다른 보호 장치는 전혀 추가하지 않았다는 사실도 분명해졌습니다. 그 결과, 아이들이 장난감 스파이 키트로 얻던 것보다 그다지 정교하지 않은 단순한 해독 과정이 가능해졌습니다.
비밀번호로 보호된 세상에서 보안은 결국 모두의 책임입니다. 정책은 신중하게 수립되어야 하며, 사용자는 이를 준수해야 하고, 관리자는 침입자가 비밀번호를 훔쳐갈 수 없다고 가정하지 않고 사용자를 위해 올바르게 행동해야 합니다. NIST의 새로운 권고사항과 연구 결과는 분명 모두가 시작하기에 좋은 지점입니다.
비밀번호 관리 도구: 장단점 비교
비밀번호 관리자는 개인과 조직이 비밀번호 사용 위험을 줄이려는 또 다른 방법입니다. 다른 보안 도구와 마찬가지로 비밀번호 관리자는 도움이 될 수 있지만, 조직을 비밀번호 관련 위험으로부터 완전히 면책시켜 줄 완벽한 해결책은 아닙니다. 또 다른 고려 사항은 대부분의 비밀번호 관리자가 취약점을 가지고 있거나 심지어 수년간 보안 침해를 당한 사례가 발견되었다는 점입니다.
팀에 비밀번호 관리자를 배포하면 보안이 이러한 도구에 의존하게 됩니다. 주목할 만한 보안 사고 사례로는 LastPass, My1Login, KeePass, OneLogin, PasswordBox, MyPasswords, Avast Passwords, RoboForm 등이 있습니다. Google Project Zero의 Tavis Ormandy는 이들 중 일부 취약점, 특히 브라우저 플러그인 내 취약점을 공개했습니다.
우리의 권고사항은? 비밀번호 관리자는 비밀번호 복구 작업의 IT 부담을 최소화하는 데 도움이 될 수 있지만, 동시에 조직에 대한 또 다른 잠재적 공급망 공격
결론
비밀번호로 보호된 세상에서 강력한 보안 정책은 모든 팀의 공급업체와 구성원을 포함합니다. 정책은 신중하게 수립되어야 하며, 사용자는 이를 준수해야 합니다. 관리자는 침입자가 비밀번호를 훔쳐갈 수 없다고 가정하지 않고 사용자에게 올바르게 행동해야 합니다. NIST의 권고 사항과 연구 결과는 모두가 시작하기에 좋은 지점입니다.
"비밀번호 보안 FAQ
비밀번호 보안이란 공격자로부터 비밀번호를 안전하게 보호하는 방법과 도구를 의미합니다. 이는 계정을 무단 접근으로부터 보호하는 디지털 자물쇠와 같습니다. 강력한 비밀번호 생성, 안전한 보관, 다중 인증과 같은 추가 보안 조치 사용이 포함됩니다.
적절한 비밀번호 보안이 없다면 공격자가 계정에 쉽게 침입하여 데이터나 돈을 훔칠 수 있습니다.
"비밀번호 보안이 중요한 이유는 취약한 비밀번호가 데이터 유출의 주요 원인이기 때문입니다. 공격자가 비밀번호를 해독하면 개인 정보, 금융 데이터, 비즈니스 계정에 접근할 수 있습니다. 비밀번호 관리가 부실하면 신원 도용, 금전적 손실, 심각한 평판 손상으로 이어질 수 있습니다.
강력한 비밀번호 보안을 사용하면 사이버 범죄자가 귀하를 표적으로 삼기 훨씬 어렵게 만드는 장벽을 구축하는 것입니다.
"다양한 비밀번호 강도 테스트 도구를 사용하여 비밀번호 보안을 확인할 수 있습니다. 이러한 도구는 비밀번호의 길이, 복잡성을 분석하고 데이터 유출 사고에 노출되었는지 확인합니다. 또한 공격자가 무차별 대입 공격으로 비밀번호를 해독하는 데 걸리는 시간을 알려줍니다. 기존 비밀번호를 테스트하고 취약한 비밀번호를 개선하기 위해 이러한 검사 도구를 사용해야 합니다.
"비밀번호를 안전하게 만들려면 대문자, 소문자, 숫자, 특수문자를 혼합한 12~15자 이상의 길이로 설정하세요. 각 계정마다 고유한 비밀번호를 생성하고 여러 사이트에서 재사용하지 마십시오. 복잡한 비밀번호를 안전하게 생성하고 저장하려면 비밀번호 관리자를 사용하세요.
추가 보호 계층을 위해 가능한 곳에서는 다단계 인증을 활성화하세요. 비밀번호에 개인 정보나 흔한 단어를 사용하지 마세요.
"복잡한 짧은 비밀번호 대신 긴 패스프레이즈로 전환하여 비밀번호 보안을 강화할 수 있습니다. 비밀번호 관리자를 사용하여 모든 계정에 고유하고 무작위적인 비밀번호를 생성하세요. 특히 은행 및 이메일과 같은 중요한 계정에는 반드시 다단계 인증을 설정하십시오.
SentinelOne, Have I Been Pwned 같은 도구를 사용해 데이터 유출 사고로 비밀번호가 유출되었는지 정기적으로 확인하세요. 취약하거나 재사용된 비밀번호는 즉시 교체하고, 노출된 비밀번호는 업데이트하세요.
"최상의 비밀번호 보안 관행에는 최소 12자 이상의 다양한 문자 유형을 포함한 비밀번호 사용이 포함됩니다. 서로 다른 계정에서 비밀번호를 재사용하지 말고 각 서비스마다 고유한 비밀번호를 생성하세요. 신뢰할 수 있는 비밀번호 관리자를 사용하여 비밀번호를 안전하게 생성, 저장 및 자동 입력하세요.
지원하는 모든 계정에 다단계 인증을 활성화하세요. 비밀번호를 적어두거나 스프레드시트 같은 안전하지 않은 장소에 저장하지 마세요. 정기적으로 비밀번호를 점검하고 유출된 비밀번호는 즉시 변경하세요.
"