[네트워크장비/계정 관리] 패스워드 복잡성 설정 (N-02)

패스워드 복잡성 설정

취약점 개요

■ 위험도
- 상

■ 점검 목적
- 패스워드 복잡성 정책이 장비 정책에 적용되어 있는지 점검하여 비인가자의 네트워크 장비 터미널(콘솔, SSH, https 등) 접근 시도 공격(무작위 대입 공격, 사전 대입 공격 등)에 대한 대비 여부를 확인하기 위함

■ 보안 위협
- 패스워드 복잡성 정책이 적용되어 있지 않을 경우 계정 생성 후 초기 패스워드 설정 및 기존 패스워드 변경 시 패스워드 복잡성 제약 규칙을 적용받지 않아 취약한 패스워드(예 qwerty, 12345, pass1234 등)를 설정할 수 있도록 허용함
- 해당 취약점으로 인해 비인가자의 공격(무작위 대입 공격, 사전 대입 공격 등)에 계정 패스워드가 유출되는 원인을 제공하여 유출된 패스워드를 사용하여 비인가자가 네트워크 장비 터미널에 접근할 수 있는 위험이 존재함

점검 및 조치 방법

■ 판단 기준
- 양호 : 기관 정책에 맞는 패스워드 복잡성 정책이 네트워크 장비에 적용되어 있거나, 패스워드 복잡성 기능이 장비에 존재하지 않을 경우 기관 정책에 맞게 패스워드를 설정하여 사용하는 경우
- 취약 : 기관 정책에 맞지 않는 패스워드를 설정하여 사용하는 경우

■ 조치 방법
- 해당 기관의 보안 정책에 맞게 패스워드 복잡성 설정

■ 장비별 점검 방법 예시
- 공통
○ Step 1) 장비에 패스워드 복잡성 설정이 적용되어 있는지 점검
○ Step 2) 패스워드 복잡성 설정이 존재하지 않을 경우 기관 내 정책에 따라 패스워드를 설정하여 사용하는지 확인

■ 장비별 조치 방법 예시
- 공통
○ Step 1) 패스워드 설정 시 아래와 같은 패스워드 정책을 적용해야 함
1. 암호는 최소 8자 이상이어야 함 (Passport 9자 이상)
2. 사용자 계정 이름이나 이름의 문자를 3개 이상 연속하여 포함하지 않아야 함
3. 암호에는 다음 네 가지 중 세 가지 범주의 문자가 포함되어야 함
가. 대문자(26개)
나. 소문자(26개)
다. 숫자(10개)
라. 특수문자(32개)

■ 용어정리/팁
※ 패스워드 복잡성 : 계정 패스워드 설정 시 영문(대문자, 소문자), 숫자, 특수문자가 혼합된 패스워드로 설정하는 것
※ 무작위 대입 공격(Brute Force Attack) : 컴퓨터로 암호를 해독하기 위해 가능한 모든 키를 하나하나 추론해 보는 시도를 말함
※ 사전 대입 공격 (Dictionary Attack) : 사전에 있는 단어를 입력하여 패스워드를 알아내거나 암호를 해독하는 데 사용되는 컴퓨터 공격 방법