S-01 보안장비 Default계정 변경
가이드라인 원문
| 항목 | 내용 |
|---|---|
| 항목코드 | S-01 |
| 점검내용 | 보안장비에 기본적으로 설정된 관리자 계정의 변경 여부 점검 |
| 점검대상 | 방화벽, VPN, IDS, IPS, Anti-DDoS, 웹방화벽 등 |
| 양호기준 | 장비에서 제공하고 있는 기본계정을 변경하여 사용하는 경우 (기본계정 변경이 불가능할 경우 기본 비밀번호 변경으로 보완 필요) |
| 취약기준 | 장비에서 제공하고 있는 기본계정을 변경할 수 있으나 변경하지 않고 사용하는 경우 |
| 조치방법 | 기본계정 변경 |
상세 설명
1. 판단 기준
기본 판단 기준
양호
- 장비에서 제공하는 기본계정을 변경하여 사용하는 경우
- 기본계정 변경이 불가능한 경우 기본 비밀번호를 변경한 경우
취약
- 장비에서 제공하는 기본계정을 변경할 수 있으나 변경하지 않고 사용하는 경우
경계 케이스 (Edge Case) 처리 방법
기본계정 변경이 불가능한 장비
- 기본 비밀번호 변경으로 보완 조치 인정
- 별도 보안 강화 조치 권장 (2단계 인증 등)
벤더별 기본계정 복구 기능
- 비상시 복구 계정은 별도 관리
- 비밀번호 반드시 변경
권장 설정값
- 계정명: admin → sec_admin, root → sys_admin
- 비밀번호: 8자리 이상, 영문자/숫자/특수문자 조합
2. 점검 방법
Step 1) Web을 통한 접속
- 보안장비 관리 페이지에 접속
- 기본 계정과 비밀번호 입력
Step 2) 접속 확인
- 로그인이 성공하면 기본 계정 사용 중
Step 3) 계정 변경 확인
- 보안장비의 계정 관리 메뉴에서 기본 계정(예: admin/admin, root/root 등)이 그대로 사용되고 있는지 확인
3. 조치 방법
Step 1) 기본 계정 변경
- 보안장비의 계정 메뉴에서 기본 계정명 변경
- 예: admin → sec_admin, root → sys_admin
Step 2) 비밀번호 변경
- 기본 비밀번호를 강력한 비밀번호로 변경
- 영문자, 숫자, 특수문자 조합 8자리 이상 권장
Step 3) 불가능 시 보완 조치
- 기본 계정 변경이 불가능한 장비의 경우 기본 비밀번호를 반드시 변경
4. 참고 자료
기본 계정 예시
- Cisco: admin/admin
- Fortinet: admin/(공백)
- Palo Alto: admin/admin
- Check Point: admin/admin
보안 권장사항: 장비 도입 시 초기 설정 단계에서 반드시 기본 계정 변경
5. 스크립트
- 취약점 점검 스크립트
- 이 스크립트는 KISA 주요정보통신기반시설 기술적 취약점 분석·평가 가이드라인(2026)을 준수하여 제작된 자동 점검 도구입니다. 복잡한 단일 파일 방식이 아닌 모듈화된 구조로 설계되어 유지보수가 쉽고 확장이 용이합니다.
- 다양한 환경에서 테스트를 진행했으나, 혹시 점검 로직에 이슈가 발견되거나 개선이 필요한 경우 적극적인 제보를 부탁드립니다.