2026 주정통 가이드라인

[2026 주요정보통신기반시설] S-05 계정잠금 임계값 설정

보안장비에서 제공하고 있는 로그인 실패 임계값 설정 적용 여부 점검

S-05 계정잠금 임계값 설정

가이드라인 원문

항목내용
항목코드S-05
점검내용보안장비에서 제공하고 있는 로그인 실패 임계값 설정 적용 여부 점검
점검대상방화벽, VPN, IDS, IPS, Anti-DDoS, 웹방화벽 등
양호기준로그인 실패 임계값을 5회 이하로 설정된 경우
취약기준로그인 실패 임계값을 5회 이하로 설정되지 않은 경우
조치방법로그인 실패 임계값을 5회 이하로 제한

상세 설명

1. 판단 기준

기본 판단 기준

양호

  • 로그인 실패 임계값을 5회 이하로 설정된 경우
  • 계정 잠금 시간(예: 15분~30분) 함께 설정 권장

취약

  • 로그인 실패 임계값을 5회 이하로 설정되지 않은 경우
  • 계정 잠금 기능이 비활성화된 경우
  • 임계값이 너무 높게 설정된 경우 (예: 100회 이상)

경계 케이스 (Edge Case) 처리 방법

  1. 서비스 계정

    • 자동 로그인이 필요한 계정: 별도 정책
    • 잠금 면제: IP 기반 허용 목록 관리

  2. VPN 등 원격 접속

    • 잠금 시 대안 접속 경로 마련
    • 관리자에게 알림 전송 필수

  3. DoS 공격 대응

    • 잠정된 잠금 정책 남용 가능성
    • 잠금 해제 프로세스 신속화 필요

권장 설정값

  • 로그인 실패 허용 횟수: 3회~5회
  • 계정 잠금 시간: 15분~30분
  • 잠금 해제: 자동 해제 또는 관리자 개입
  • 영구 잠금: 10회 이상 실패 시 고려

2. 점검 방법

Step 1) 계정 잠금 설정 확인

  • 보안장비의 계정 메뉴에서 로그인 실패 임계값 확인
  • 기종에 따라 “Account Lockout”, “Failed Login Limit”, “Max Retry” 등으로 표시

Step 2) 현재 설정값 점검

1
2
3
4
5

확인 항목:
- 로그인 실패 허용 횟수 (예: 3회, 5회, 10회)
- 계정 잠금 시간 (예: 15분, 30분, 1시간)
- 영구 잠금 여부
- 잠금 해제 방법 (자동/관리자)

Step 3) 테스트를 통한 검증

  • 의도적으로 비밀번호 5회 오류 입력
  • 계정이 잠기는지 확인 (실운영 환경에서 주의)

3. 조치 방법

Step 1) 로그인 실패 임계값 설정

1
2
3
4

권장 설정:
- 로그인 실패 허용 횟수: 3회~5회
- 계정 잠금 시간: 15분~30분
- 잠금 해제: 자동 해제 또는 관리자 개입

Step 2) 잠금 정책 구성

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12

옵션 1: 자동 잠금 및 해제
├── 5회 실패 시 30분간 계정 잠금
└── 30분 후 자동 해제

옵션 2: 자동 잠금 및 관리자 해제
├── 3회 실패 시 영구 잠금
└── 관리자가 수동으로 계정 해제

옵션 3: 점진적 잠금 (일부 장비)
├── 3회 실패: 5분 잠금
├── 5회 실패: 30분 잠금
└── 10회 실패: 영구 잠금

Step 3) 잠금 시 계정 보호

1
2
3
4
5

계정 잠금 시 추가 보안 조치:
- 관리자에게 이메일/알림 전송
- 잠금된 계정의 IP 로그 기록
- 반복적 잠금 시도 시 IP 차단 (IPS 연동)
- 잠금 해제 전 관리자 승인 요구

Step 4) 예외 계정 설정 (필요 시)

1
2
3
4

예외 처리가 필요한 경우:
- 서비스 계정 (자동 로그인): 별도 정책
- 관리자 계정: 더 엄격한 정책 (3회 등)
- 모니터링 계정: 잠금 해제 프로세스 수립

4. 참고 자료

임계값별 보안 수준

1
2
3
4
5

1-2회: 매우 엄격하지만 오탐 많음, 정상 사용자 불편
3-5회: 권장 수준, 보안성과 사용성 균형 (⭐추천)
6-10회: 보안성 약화, 자동화된 공격 가능성
11회 이상: 거의 효과 없음, 자동화된 도구 탐지 불가
무제한: 보안 기능 없음 (⚠️매우 위험)

계정 잠금과 함께 적용 권장

  • S-02: 비밀번호 복잡성 정책
  • S-07: 보안 접속 (HTTPS, SSH)
  • S-08: 세션 종료 시간 설정
  • S-19: 이상징후 탐지 모니터링

DoS 공격 주의

1
2
3
4
5
6
7
8

잠정된 잠금 정책의 남용 가능성:
- 공격자가 고의로 계정 잠금 유도
- 모든 관리자 계정을 잠금 → DoS 공격

대응 방안:
- 잠금 해제 프로세스 신속화
- 잠금 시간 적정성 확보 (30분 이내)
- IP 기반 차단과 연계 (반복적 공격 IP 차단)

5. 스크립트

  • 취약점 점검 스크립트
    • 이 스크립트는 KISA 주요정보통신기반시설 기술적 취약점 분석·평가 가이드라인(2026)을 준수하여 제작된 자동 점검 도구입니다. 복잡한 단일 파일 방식이 아닌 모듈화된 구조로 설계되어 유지보수가 쉽고 확장이 용이합니다.
    • 다양한 환경에서 테스트를 진행했으나, 혹시 점검 로직에 이슈가 발견되거나 개선이 필요한 경우 적극적인 제보를 부탁드립니다.
© 2025 - 2026 코딩이 싫은 거북이
Hugo로 만듦
JimmyStack 테마 사용 중