S-02 비밀번호관리정책 설정
가이드라인 원문
| 항목 | 내용 |
|---|---|
| 항목코드 | S-02 |
| 점검내용 | 보안장비의 계정 비밀번호가 기관 정책에서 정의된 비밀번호 관리정책 적용 여부 점검 |
| 점검대상 | 방화벽, VPN, IDS, IPS, Anti-DDoS, 웹방화벽 등 |
| 양호기준 | 비밀번호 관리정책에 맞는 비밀번호가 사용된 경우 |
| 취약기준 | 비밀번호 관리정책에 맞지 않는 비밀번호가 사용된 경우 |
| 조치방법 | 해당 기관의 비밀번호 관리정책에 따라 적합하게 설정 |
상세 설명
1. 판단 기준
기본 판단 기준
양호
- 비밀번호 관리정책에 맞는 비밀번호가 사용된 경우
- 예: 8자리 이상, 영문자/숫자/특수문자 조합
취약
- 비밀번호 관리정책에 맞지 않는 비밀번호가 사용된 경우
- 예: 4자리, 영문자만, 숫자만, 사전에 있는 단어
경계 케이스 (Edge Case) 처리 방법
장비별 지원 제한
- 장비가 복잡성 요건을 지원하지 않는 경우: 최대한 긴 비밀번호 권장
- 최소 길이만 설정 가능한 경우: 12자리 이상 권장
레거시 장비
- 비밀번호 길이 제한이 있는 장비: 특수문자 + 숫자 조합으로 복잡성 확보
권장 설정값
- 최소 길이: 8자리 이상 (권장: 12자리 이상)
- 복잡성: 영문 대문자, 소문자, 숫자, 특수문자 조합
- 최소 사용기간: 1일 (빈번한 변경 방지)
- 최대 사용기간: 90일 권장
- 비밀번호 기록: 최근 3-5개 비밀번호 재사용 금지
2. 점검 방법
Step 1) Web을 통한 접속
- 보안장비 관리 화면 접속
Step 2) 기본 계정/비밀번호 입력
- 현재 사용 중인 계정으로 로그인
Step 3) 접속 확인
- 로그인 성공 후 현재 비밀번호 정책 확인
Step 4) 비밀번호 정책 점검
- 다음 항목 확인:
- 비밀번호 최소 길이 (8자리 이상 권장)
- 비밀번호 복잡성 (영문대문자/소문자/숫자/특수문자 조합)
- 비밀번호 최소/최대 사용기간 설정
- 비밀번호 기록 유지 (이전 비밀번호 재사용 방지)
3. 조치 방법
Step 1) 비밀번호 변경
- 보안장비의 비밀번호 메뉴에서 비밀번호 변경
- 새 비밀번호:
- 최소 8자리 이상 (권장: 12자리 이상)
- 영문 대문자, 소문자, 숫자, 특수문자 조합
- 개인정보 포함 금지 (생일, 전화번호 등)
- 사전에 있는 단어 금지
- 예:
SecuRity#2024!,F1rew@ll$Adm1n
Step 2) 비밀번호 관리정책 설정 보안장비에서 제공하는 범위에서 다음 정책 설정:
- 복잡성 요건: 특수문자, 숫자, 영대/소문자 포함
- 최소 길이: 8자리 이상
- 최소 사용기간: 1일 설정 (빈번한 변경 방지)
- 최대 사용기간: 90일 권장
- 비밀번호 기록: 최근 3-5개 비밀번호 재사용 금지
Step 3) 계정 잠금 정책 연계
- 로그인 실패 5회 이상 시 계정 잠금 (S-05 항목 참조)
4. 참고 자료
무차별 대입 공격(Brute Force Attack)
- 가능한 모든 조합 시도
- 예: a부터 z까지 8자리 = 208,827,064,576 조합
- 강력한 비밀번호는 수십 년이 걸릴 수 있음
사전대입공격(Dictionary Attack)
- 흔히 사용하는 비밀번호 목록 사용
- 예: password, 123456, qwerty, admin 등
- 약한 비밀번호는 몇 초 만에 탈취 가능
비밀번호 강도 체크
- 매우 약함: 1234, password, admin
- 약함: hello123, test01
- 보통: Hello123, Test#01
- 강함: H3ll0#W0rld!, T3st$P@ss2024
- 매우 강함: 15자리 이상의 무작위 조합
5. 스크립트
- 취약점 점검 스크립트
- 이 스크립트는 KISA 주요정보통신기반시설 기술적 취약점 분석·평가 가이드라인(2026)을 준수하여 제작된 자동 점검 도구입니다. 복잡한 단일 파일 방식이 아닌 모듈화된 구조로 설계되어 유지보수가 쉽고 확장이 용이합니다.
- 다양한 환경에서 테스트를 진행했으나, 혹시 점검 로직에 이슈가 발견되거나 개선이 필요한 경우 적극적인 제보를 부탁드립니다.