2026 주정통 가이드라인

[2026 주요정보통신기반시설] PC-01 비밀번호의 주기적 변경

최대암호사용기간이'90일'이하설정여부점검

비밀번호의 주기적 변경

가이드라인 원문

항목내용
항목코드PC-01
점검내용최대암호사용기간이'90일’이하설정여부점검
점검대상Windows 10, Windows 11
양호기준최대암호사용기간이'90일’이하로설정된경우
취약기준최대암호사용기간이’제한없음’이거나'90일을’을초과하여설정된경우
조치방법최대암호사용기간'90일’설정, 최소암호사용기간'1일’설정, 최근암호기억설정(권장:24개의비밀번호기억)

상세 설명

1. 판단 기준

기본 판단 기준

  • 양호: 최대 암호 사용 기간이 90일 이하로 설정된 경우
  • 취약: 최대 암호 사용 기간이 ‘제한 없음’이거나 90일을 초과하여 설정된 경우

경계 케이스 (Edge Case) 처리 방법

  • 값이 0으로 설정된 경우: ‘제한 없음’을 의미하므로 취약으로 판단
  • 최소 암호 사용 기간이 최대 암호 사용 기간보다 큰 경우: 설정 오류로 판단하고 재검토 필요
  • 최근 암호 기억이 0으로 설정된 경우: 비밀번호 재사용이 가능하므로 보안 위협

권장 설정값

  • 최대 암호 사용 기간: 90일 (권장) 또는 60일 (높은 보안 요구 시)
  • 최소 암호 사용 기간: 1일
  • 최근 암호 기억: 24개

2. 점검 방법

Windows 10, 11에서의 점검

방법 1: 계정별 비밀번호 기간 설정 확인

1
2
3

Step 1) 시작 > 실행 > LUSRMGR.MSC
Step 2) 사용자 > 계정별 속성
Step 3) '암호 사용 기간 제한 없음(P)', '계정 사용 안함(B)' 적용 해제 여부 확인

방법 2: 비밀번호 정책 설정 확인

1
2
3
4
5
6

Step 1) 시작 > Windows 관리 도구 > 로컬 보안 정책
Step 2) 보안 설정 > 계정 정책 > 암호 정책
Step 3) 다음 항목 확인
        - 최대 암호 사용 기간
        - 최소 암호 사용 기간
        - 최근 암호 기억

PowerShell 명령어로 확인:

1

net accounts

3. 조치 방법

1. 최대 암호 사용 기간 설정

GUI 설정:

1
2
3
4

Step 1) 로컬 보안 정책 > 계정 정책 > 암호 정책
Step 2) '최대 암호 사용 기간' 더블클릭
Step 3) 값을 '90'으로 설정
Step 4) 적용 > 확인

명령 프롬프트 설정:

1

net accounts /maxpwage:90

PowerShell 설정:

1
2
3
4
5

# 관리자 권한 PowerShell 실행
# 최대 암호 사용 기간 90일로 설정 (초 단위: 90 * 24 * 60 * 60 = 7776000)
$maxPwAge = 90
$seconds = $maxPwAge * 24 * 60 * 60
net accounts /maxpwage:$maxPwAge

2. 최소 암호 사용 기간 설정

GUI 설정:

1
2
3
4

Step 1) 로컬 보안 정책 > 계정 정책 > 암호 정책
Step 2) '최소 암호 사용 기간' 더블클릭
Step 3) 값을 '1'으로 설정
Step 4) 적용 > 확인

명령 프롬프트 설정:

1

net accounts /minpwage:1

3. 최근 암호 기억 설정

GUI 설정:

1
2
3
4

Step 1) 로컬 보안 정책 > 계정 정책 > 암호 정책
Step 2) '최근 암호 기억' 더블클릭
Step 3) 값을 '24'로 설정
Step 4) 적용 > 확인

명령 프롬프트 설정:

1

net accounts /uniquepw:24

4. 참고 자료

비밀번호 변경 주기와 보안

보안 위협:

  • 비밀번호를 주기적으로 변경하지 않을 경우 비밀번호 크래킹 위험 증가
  • 유출된 비밀번호의 유효 기간이 무제한
  • 비밀번호 재사용 공격에 취약

보안 효과:

  • 비밀번호 크래킹 위험 감소
  • 유출된 비밀번호의 무단 사용 기간 제한
  • 비밀번호 재사용 방지

주의사항:

  • 최소 암호 사용 기간을 설정하지 않으면 사용자가 비밀번호를 즉시 변경하여 이전 비밀번호를 재사용할 수 있음
  • 최근 암호 기억 설정을 통해 이전 비밀번호 재사용 방지

최신 보안 트렌드:

  • NIST SP 800-63B: 비밀번호 만기 정책 보다는 강력한 비밀번호와 유출된 비밀번호 검사 권장
  • 그러나 기존 보안 가이드라인에서는 주기적 변경을 여전히 권장

5. 스크립트

  • 취약점 점검 스크립트
    • 이 스크립트는 KISA 주요정보통신기반시설 기술적 취약점 분석·평가 가이드라인(2026)을 준수하여 제작된 자동 점검 도구입니다. 복잡한 단일 파일 방식이 아닌 모듈화된 구조로 설계되어 유지보수가 쉽고 확장이 용이합니다.
    • 다양한 환경에서 테스트를 진행했으나, 혹시 점검 로직에 이슈가 발견되거나 개선이 필요한 경우 적극적인 제보를 부탁드립니다.
© 2025 - 2026 코딩이 싫은 거북이
Hugo로 만듦
JimmyStack 테마 사용 중