N-02 비밀번호 복잡성 설정

가이드라인 원문

상세 설명

1. 판단 기준

기본 판단 기준

양호

• 기관정책에 맞는 비밀번호 복잡성 정책을 설정하거나, 비밀번호 복잡성 설정 기능이 없는 장비는 기관 정책에 맞게 비밀번호를 사용하는 경우

취약

• 기관정책에 맞지 않는 비밀번호를 설정하여 사용하는 경우

경계 케이스 (Edge Case) 처리 방법

1. 장비별 기능 제한

   • 복잡성 정책 미지원 장비: 최대한 강력한 비밀번호 수동 설정
   • 길이 제한: 특수문자 + 숫자 조합으로 복잡성 확보

2. 기존 비밀번호 영향

   • Cisco IOS의 security passwords min-length: 새로 설정하는 비밀번호에만 적용
   • 기존 비밀번호: 재설정 필요

권장 설정값

• 최소 길이: 8자리 이상 (권장: 12자리 이상)
• 문자 종류: 영문 대문자, 소문자, 숫자, 특수문자 중 3가지 이상 혼합
• 개인정보 포함 금지
• 사전 단어 사용 금지

2. 점검 방법

공통 사항:

장비에 비밀번호 복잡성 정책을 설정하거나 비밀번호 복잡성 설정 기능이 없는 장비는 기관 정책에 따라 비밀번호를 설정하여 사용하는지 확인

Cisco IOS:

1
2
3
4
5
6
7
8
9

# Step 1) 비밀번호 복잡성 관련 설정 확인
Router# show running-config

# Step 2) 비밀번호의 최소 길이 설정 (기존 비밀번호는 영향을 받지 않음)
Router# config terminal
Router(config)# security passwords min-length ?
<0-16>  Minimum length of all user/enable passwords

Router(config)# security passwords min-length <길이>

3. 조치 방법

비밀번호 작성 규칙 예시:

1. 사용자 계정(아이디)과 동일하지 않은 것
2. 개인 신상 및 부서 명칭 등과 관계가 없는 것
3. 일반 사전에 등록된 단어의 사용을 피할 것
4. 동일한 단어 또는 숫자를 반복하여 사용하지 말 것
5. 사용된 비밀번호는 재사용하지 말 것
6. 동일한 비밀번호를 여러 사람이 공유하여 사용하지 말 것

주요 공격 유형 이해하기:

1. 무차별 대입 공격 (Brute Force Attack)

컴퓨터를 이용해 암호를 해독하기 위해 가능한 모든 키 조합을 하나하나 추론해보는 방식입니다. 예를 들어 4자리 숫자 비밀번호의 경우 0000부터 9999까지 모든 조합을 시도합니다.

대책: 비밀번호 길이를 늘리고 복잡성을 높여 공격에 필요한 시간을 기하급수적으로 증가시킵니다.

2. 사전 대입 공격 (Dictionary Attack)

사전에 있는 단어나 자주 사용되는 비밀번호 목록을 입력하여 비밀번호를 알아내는 공격 방식입니다. “password”, “admin”, “qwerty” 등 자주 사용되는 비밀번호를 순차적으로 시도합니다.

대책: 사전에 등록된 단어를 사용하지 않고 문자, 숫자, 특수문자를 혼합하여 사용합니다.

4. 참고 자료

Cisco IOS 비밀번호 복잡성 설정:

1
2
3
4
5
6
7
8

# 비밀번호 최소 길이 설정
Router(config)# security passwords min-length 8

# 비밀번호老化 시간 설정 (일)
Router(config)# security password age 1

# 비밀번호 재사용 금지 설정
Router(config)# security password reject-reuse 5

5. 스크립트

• 취약점 점검 스크립트
  • 이 스크립트는 KISA 주요정보통신기반시설 기술적 취약점 분석·평가 가이드라인(2026)을 준수하여 제작된 자동 점검 도구입니다. 복잡한 단일 파일 방식이 아닌 모듈화된 구조로 설계되어 유지보수가 쉽고 확장이 용이합니다.
  • 다양한 환경에서 테스트를 진행했으나, 혹시 점검 로직에 이슈가 발견되거나 개선이 필요한 경우 적극적인 제보를 부탁드립니다.