2017.09.05

글로벌 칼럼 | "자신의 비밀번호는 얼마나 안전한가" 기업이 따라야 할 실전 규칙

Ira Winkler | CSO
미국 국립표준기술연구소(NIST)가 비밀번호 지침을 바꾼 것은 늦었지만 반가운 조치였다. 기존 지침은 숫자, 문자, 특수 문자를 섞어 주기적으로 바꾸라고 권장했는데 보안 연구원들은 이를 비판했다. 


Credit: Ben Patterson / IDG

새로 나온 지침을 검토해 본 결과, 매우 흔한 공격에 대한 설명이 없다는 점이 특징이다. 간단히 말하면 NIST 지침은 대부분의 계정 인증을 비밀번호에만 의존하는 사람들을 더욱 취약하게 만들고 있다.

NIST 지침의 대부분은 비밀번호가 아닌 토큰 인증과 같은 다른 인증 방식에 집중하고 있다. 인증에 비밀번호만 사용하는 것은 낮은 수준의 계정에서만 허용된다. 이것은 보통 위험에 따른 결정이지만 현실은 대부분의 계정이 비밀번호만 사용하는 인증에 의존하고 있다.

비밀번호 강도
비밀번호 관련해서 바뀌지 않은 것은 사전 등재 단어와 같이 짐작하기 쉬운 비밀번호는 허용되지 않는다는 점이다. 아무 비밀번호나 짐작해서 무차별적으로 시도하는 사람들을 차단하기 위해 로그온 시도 속도에 제한을 둬야 한다고 명시되어 있기는 하다. 그러나 이는 가장 짜증스러운 비밀번호 보안 기능 가운데 하나이며 공격을 멈추기보다는 합법적인 사용자를 차단하는 경우가 훨씬 많다.

누구나 반길 만한 중요한 변화는 비밀번호가 짐작하기 쉬운 단어가 아닌 한 특수 문자를 의무적으로 사용할 필요가 없다는 점이다. 새 지침에 따르면 주기적인 비밀번호 변경을 의무화하지 않을 것도 권장된다. 비밀번호를 자주 바꿀 필요가 없다는 점에서 괜찮아 보이기는 한다. 개인적으로는 특수 문자가 없는 것은 몰라도 추가적인 인증 방식이 없는 상태에서 비밀번호 변경마저 없는 것은 좀 아쉽다.

비밀번호 풀기
그렇다면 이 새로운 지침 중에서 얼마나 많은 부분이 기업의 비밀번호 정책에 적절할까? 이 질문에 답을 하기 위해서 먼저 계정이 대개 어떤 식으로 침해되는 살펴보자.

대부분의 인증 공격은 피싱 공격이나 탈취한 비밀번호 파일을 재사용하는 데서 비롯되는 것으로 보인다. 야후(Yahoo!)와 유사 사이트로부터 해킹된 계정 인증 정보가 다크웹에 게시되고 있다. 범죄자들은 이 인증 정보를 가지고 뱅킹 웹사이트에 로그인을 시도하거나 기업 계정과 연계된 경우라면 회사에 로그인을 시도할 수 있다. 피싱을 통해서든 탈취한 계정을 통해서든 침해된 비밀번호의 강도나 구성은 무관하다.

새 지침은 침해된 비밀번호 파일에 대한 비밀번호 풀기 도구 실행을 더 쉽게 만들어 줄 가능성이 있다. 최초 NIST 지침의 작성자인 빌 버르는 특수 문자 포함 8글자로 된 비밀번호가 특수 문자 없이 20글자로 된 비밀번호보다 더 빨리 풀린다고 밝혔다. 그러나 어차피 새 지침에는 8글자 이상을 의무화하는 내용이 없다.

실용적인 비밀번호 정책
실용적이고 실행 가능한 비밀번호 정책에 대한 합리적인 접근 방식을 위한 권장 사항은 다음과 같다.
- 모든 계정에 여러 가지의 인증 수단을 활용하는 다중 요인 인증(Multi-Factor Authentication, MFA)을 실행할 것
- 비밀번호를 재사용하거나 적어두지 말고 직원들에게 MFA 기기와 비밀번호 보호를 지시하는 비밀번호 보안 인식 캠페인을 만들 것
- 사용자가 스스로 선택한 비밀번호를 사용하도록 허락할 것


MFA를 실행하지 않는 경우에 유의할 내용은 다음과 같다.
- 주기적인 비밀번호 변경을 계속 실행할 것
- 짐작하기 쉬운 비밀번호 사용을 막는 NIST 지침을 실행할 것
- 비밀번호 로그인 속도 제한을 실행할 것
- 강력하되 기억하기 쉬운 비밀번호 생성, 비밀번호 재사용 방지, 비밀번호 보호, 피싱 방지 등의 방법을 강조하는 인식 캠페인을 실행할 것
- 비밀번호에 특수 문자 포함을 의무화하지 않는다면 그 대신 더 많은 문자를 포함시켜야 동일 수준의 보안 유지가 가능하다.


비밀번호 재설정
개인적으로 강제로 비밀번호를 바꿔야하는 것은 짜증나지만 비밀번호가 침해되는 지경에 이르기까지 바꾸지 않는 것도 무식한 짓이다. 예를 들면, 많은 사람이 회사 계정 인증 정보를 포켓몬 고(Pokemon Go) 계정에 사용하고 있다.

만일 해당 사이트가 침해되고 어떤 직원이 회사 비밀번호를 그곳에 재사용했다면 회사는 취약해진다. 해당 직원이 회사 이메일 주소를 사용하지 않는다고 해도 비밀번호가 여러 계정에 재사용되었다면 회사는 표적 공격에 여전히 취약하다. 주기적인 비밀번호 변경을 강제하지 않는다면 직원이 회사에 유효한 계정을 갖고 있는 한 회사는 취약하다.

MFA를 사용해야 할 이유
이런 공격에 대한 위험을 기하급수적으로 줄일 수 있는 해결책은 MFA를 실행하는 것이다. NIST 지침은 비밀번호 이외에 다른 인증 수단 사용을 지지하고 있다. 비밀번호를 바꾸거나 복잡한 비밀번호를 만들 필요가 없어져 좋아하고 있는 독자와 언론이 미처 알아채지 못한 부분이다.

현실은 대부분의 회사가 비용이 더 들거나 기술적으로 복잡한 인증 도구를 이런 저런 이유로 실행하지 않을 것이라는 점이다. 심지어 보안 전문가들조차도 이런 도구는 보안을 약화시킬 구실을 제공할 것이라고 보고 있다. 만일 사람들이 실제로 NIST 지침 전체를 따른다면 보안은 더 나아질 것이다. 다만 약해진 비밀번호를 보완할 지침까지 빠짐없이 꼼꼼히 읽고 실천할 때서야 그러하다. editor@itworld.co.kr  


2017.09.05

글로벌 칼럼 | "자신의 비밀번호는 얼마나 안전한가" 기업이 따라야 할 실전 규칙

Ira Winkler | CSO
미국 국립표준기술연구소(NIST)가 비밀번호 지침을 바꾼 것은 늦었지만 반가운 조치였다. 기존 지침은 숫자, 문자, 특수 문자를 섞어 주기적으로 바꾸라고 권장했는데 보안 연구원들은 이를 비판했다. 


Credit: Ben Patterson / IDG

새로 나온 지침을 검토해 본 결과, 매우 흔한 공격에 대한 설명이 없다는 점이 특징이다. 간단히 말하면 NIST 지침은 대부분의 계정 인증을 비밀번호에만 의존하는 사람들을 더욱 취약하게 만들고 있다.

NIST 지침의 대부분은 비밀번호가 아닌 토큰 인증과 같은 다른 인증 방식에 집중하고 있다. 인증에 비밀번호만 사용하는 것은 낮은 수준의 계정에서만 허용된다. 이것은 보통 위험에 따른 결정이지만 현실은 대부분의 계정이 비밀번호만 사용하는 인증에 의존하고 있다.

비밀번호 강도
비밀번호 관련해서 바뀌지 않은 것은 사전 등재 단어와 같이 짐작하기 쉬운 비밀번호는 허용되지 않는다는 점이다. 아무 비밀번호나 짐작해서 무차별적으로 시도하는 사람들을 차단하기 위해 로그온 시도 속도에 제한을 둬야 한다고 명시되어 있기는 하다. 그러나 이는 가장 짜증스러운 비밀번호 보안 기능 가운데 하나이며 공격을 멈추기보다는 합법적인 사용자를 차단하는 경우가 훨씬 많다.

누구나 반길 만한 중요한 변화는 비밀번호가 짐작하기 쉬운 단어가 아닌 한 특수 문자를 의무적으로 사용할 필요가 없다는 점이다. 새 지침에 따르면 주기적인 비밀번호 변경을 의무화하지 않을 것도 권장된다. 비밀번호를 자주 바꿀 필요가 없다는 점에서 괜찮아 보이기는 한다. 개인적으로는 특수 문자가 없는 것은 몰라도 추가적인 인증 방식이 없는 상태에서 비밀번호 변경마저 없는 것은 좀 아쉽다.

비밀번호 풀기
그렇다면 이 새로운 지침 중에서 얼마나 많은 부분이 기업의 비밀번호 정책에 적절할까? 이 질문에 답을 하기 위해서 먼저 계정이 대개 어떤 식으로 침해되는 살펴보자.

대부분의 인증 공격은 피싱 공격이나 탈취한 비밀번호 파일을 재사용하는 데서 비롯되는 것으로 보인다. 야후(Yahoo!)와 유사 사이트로부터 해킹된 계정 인증 정보가 다크웹에 게시되고 있다. 범죄자들은 이 인증 정보를 가지고 뱅킹 웹사이트에 로그인을 시도하거나 기업 계정과 연계된 경우라면 회사에 로그인을 시도할 수 있다. 피싱을 통해서든 탈취한 계정을 통해서든 침해된 비밀번호의 강도나 구성은 무관하다.

새 지침은 침해된 비밀번호 파일에 대한 비밀번호 풀기 도구 실행을 더 쉽게 만들어 줄 가능성이 있다. 최초 NIST 지침의 작성자인 빌 버르는 특수 문자 포함 8글자로 된 비밀번호가 특수 문자 없이 20글자로 된 비밀번호보다 더 빨리 풀린다고 밝혔다. 그러나 어차피 새 지침에는 8글자 이상을 의무화하는 내용이 없다.

실용적인 비밀번호 정책
실용적이고 실행 가능한 비밀번호 정책에 대한 합리적인 접근 방식을 위한 권장 사항은 다음과 같다.
- 모든 계정에 여러 가지의 인증 수단을 활용하는 다중 요인 인증(Multi-Factor Authentication, MFA)을 실행할 것
- 비밀번호를 재사용하거나 적어두지 말고 직원들에게 MFA 기기와 비밀번호 보호를 지시하는 비밀번호 보안 인식 캠페인을 만들 것
- 사용자가 스스로 선택한 비밀번호를 사용하도록 허락할 것


MFA를 실행하지 않는 경우에 유의할 내용은 다음과 같다.
- 주기적인 비밀번호 변경을 계속 실행할 것
- 짐작하기 쉬운 비밀번호 사용을 막는 NIST 지침을 실행할 것
- 비밀번호 로그인 속도 제한을 실행할 것
- 강력하되 기억하기 쉬운 비밀번호 생성, 비밀번호 재사용 방지, 비밀번호 보호, 피싱 방지 등의 방법을 강조하는 인식 캠페인을 실행할 것
- 비밀번호에 특수 문자 포함을 의무화하지 않는다면 그 대신 더 많은 문자를 포함시켜야 동일 수준의 보안 유지가 가능하다.


비밀번호 재설정
개인적으로 강제로 비밀번호를 바꿔야하는 것은 짜증나지만 비밀번호가 침해되는 지경에 이르기까지 바꾸지 않는 것도 무식한 짓이다. 예를 들면, 많은 사람이 회사 계정 인증 정보를 포켓몬 고(Pokemon Go) 계정에 사용하고 있다.

만일 해당 사이트가 침해되고 어떤 직원이 회사 비밀번호를 그곳에 재사용했다면 회사는 취약해진다. 해당 직원이 회사 이메일 주소를 사용하지 않는다고 해도 비밀번호가 여러 계정에 재사용되었다면 회사는 표적 공격에 여전히 취약하다. 주기적인 비밀번호 변경을 강제하지 않는다면 직원이 회사에 유효한 계정을 갖고 있는 한 회사는 취약하다.

MFA를 사용해야 할 이유
이런 공격에 대한 위험을 기하급수적으로 줄일 수 있는 해결책은 MFA를 실행하는 것이다. NIST 지침은 비밀번호 이외에 다른 인증 수단 사용을 지지하고 있다. 비밀번호를 바꾸거나 복잡한 비밀번호를 만들 필요가 없어져 좋아하고 있는 독자와 언론이 미처 알아채지 못한 부분이다.

현실은 대부분의 회사가 비용이 더 들거나 기술적으로 복잡한 인증 도구를 이런 저런 이유로 실행하지 않을 것이라는 점이다. 심지어 보안 전문가들조차도 이런 도구는 보안을 약화시킬 구실을 제공할 것이라고 보고 있다. 만일 사람들이 실제로 NIST 지침 전체를 따른다면 보안은 더 나아질 것이다. 다만 약해진 비밀번호를 보완할 지침까지 빠짐없이 꼼꼼히 읽고 실천할 때서야 그러하다. editor@itworld.co.kr  


X