W-09 비밀번호 관리 정책 설정

가이드라인 원문

상세 설명

1. 판단 기준

기본 판단 기준

• 양호: 다음 모든 조건을 만족하는 경우
  • 암호는 복잡성을 만족해야 함: 사용
  • 최근 암호 기억: 4개 이상
  • 최대 암호 사용 기간: 90일 이하
  • 최소 암호 길이: 8 문자 이상
  • 최소 암호 사용 기간: 1일 이상
• 취약: 위 조건 중 하나라도 만족하지 않는 경우

경계 케이스 (Edge Case) 처리 방법

권장 설정값

2. 점검 방법

Windows 서버 점검

비밀번호 관리 정책은 시스템 보안의 기본이 되는 중요한 설정입니다. 강력한 비밀번호를 강제하여 크래킹 공격을 방지해야 합니다.

1
2
3
4
5
6

# PowerShell - 비밀번호 정책 확인
net accounts

# 또는 secedit로 확인
secedit /export /cfg password_policy.inf
Get-Content password_policy.inf | Select-String "Password"

양호 출력 예시:

1
2
3
4
5

암호의 최소 사용 기간: 1일
암호의 최대 사용 기간: 90일
암호의 최소 길이: 8 문자
암호 길이 기록 유지: 0
암호 기억: 4

모든 항목이 권장값을 만족하면 양호

취약 출력 예시:

1
2
3
4

암호의 최소 사용 기간: 0일
암호의 최대 사용 기간: 42일
암호의 최소 길이: 0 문자
암호 기억: 0

하나 이상의 항목이 권장값 미달이면 취약

3. 조치 방법

Windows 서버 설정

1. 명령 프롬프트 설정

   1	net accounts /maxpwage:90 /minpwage:1 /minpwlen:8

2. PowerShell 설정

   1 2 3 4 5

   # 비밀번호 정책 설정 net accounts /maxpwage:90 /minpwage:1 /minpwlen:8 # 설정 확인 net accounts

3. 로컬 보안 정책 설정 (GUI)

   1 2 3 4 5 6 7 8

   시작 > 제어판 > 관리 도구 > 로컬 보안 정책 계정 정책 > 암호 정책 다음 각 항목 설정: - 암호는 복잡성을 만족해야 함: 사용 - 최근 암호 기억: 4개 - 최대 암호 사용 기간: 90일 - 최소 암호 길이: 8 문자 - 최소 암호 사용 기간: 1일

4. 그룹 정책(GPO) 설정 (도메인 환경)

   1 2 3

   GPO 편집기(gpedit.msc 또는 gpmc.msc) 컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 계정 정책 > 암호 정책 위 항목들을 동일하게 설정

5. 서비스 재시작

   1 2 3 4 5 6 7

   # 서비스 계정 비밀번호 변경 시 Stop-Service -Name "서비스명" # 비밀번호 변경 $NewPassword = ConvertTo-SecureString "새비밀번호" -AsPlainText -Force Set-ADAccountPassword -Identity "서비스계정" -NewPassword $NewPassword # 서비스 등록 정보 업데이트 Start-Service -Name "서비스명"

4. 참고 자료

• Microsoft Docs: 암호 정책
• NIST SP 800-63B: 디지털 아이덴티티 가이드라인
• CIS Benchmark: 비밀번호 정책

5. 스크립트

• 취약점 점검 스크립트
  • 이 스크립트는 KISA 주요정보통신기반시설 기술적 취약점 분석·평가 가이드라인(2026)을 준수하여 제작된 자동 점검 도구입니다. 복잡한 단일 파일 방식이 아닌 모듈화된 구조로 설계되어 유지보수가 쉽고 확장이 용이합니다.
  • 다양한 환경에서 테스트를 진행했으나, 혹시 점검 로직에 이슈가 발견되거나 개선이 필요한 경우 적극적인 제보를 부탁드립니다.