패스워드(암호) 관리 정책에 대해서

패스워드(암호) 관리 정책에 대해서

 보안 담당자로 근무하면서 임직원들에게 가장 많이 컴플레인을 듣고 지원 요청을 받는 사항 중 하나가 패스워드 잠김 또는 패스워드 분실 건이었습니다. 이유는 간단했습니다. 임직원 한 명이 기억하고 있어야 하는 계정 정보가 최소 2개 이상이며, 변경 주기도 90일(3개월)에 한 번씩, 거기에 과거에 사용하였던 패스워드는 사용하지 못하도록 정책이 되어 있으니 처음 한두 번은 괜찮지만 이게 누적이 되다 보면 잊어버리거나 분실하거나 하는 이슈가 하나둘씩 생겼기 때문입니다.

임직원 나름 패스워드 분실의 예방차원으로 노트나 포스트잇 등에 작성하여 어딘가 부착해 두기도 합니다. 하지만 그렇게 되면 사내 보안 정책에 걸려 나중에 인사상 불이익이 발생하기 때문에 임직원들의 원성을 듣는 걷는 언제나 보안부서였습니다.  회사의 정책을 지키면서도 오히려 원성을 듣는 그런 일이 발생하는 것이었습니다.

 

 결론부터 말하자면 패스워드는 중요하고 꼭 관리가 되어야 하는 정보이지만 국가에서 고시나 가이드 등에서 정책을 정의 할 필요가 없다고 생각됩니다. 이제 회사 내부 규정 준수 정도로 명시하여도 괜찮다고 생각됩니다. 오히려 국가의 정책보다는 기업에서 더 철저하게 정책을 반영하여 OTP나 2FA 등을 적용하여 사용하고 있으며, 일상에서는 스마트폰에서 사용하는 얼굴 인식이나 지문인식 등 기존의 아이디, 패스워드 방식은 구시대(?)의 낡은 유물쯤으로 변경이 되어가고 있기 때문입니다.

물론 아직 일반적으로 아이디, 패스워드 정책을 사용하고 있지만 변화가 일어난 이후에는 너무 늦기 때문에 변화가 되기 전에 국가 규제도 변화가 필요하지 않을까 생각이 듭니다.

 
현재 고시나 규정 등에 대해서는 명확히 정책에 대한 부분이 정의 되어 있기 때문에 기업 입장에서는 그것을 지키지 않을 수 없게 되어 있습니다.

'개인정보의 기술적 관리적 보호조치 기준 제4조(접근통제) 8항', '개인정보의 안전성 확보조치 기준 제5조(접근 권한의 관리) 5항', '전자금융감독규정 제32조(내부 사용자 비밀번호 관리), 제33조(이용자 비밀번호 관리)'

일반적으로 기업에서 패스워드 정책은 아래와 같이 정의하고 있습니다.

- 최소 8자리 이상으로 영문자 대소문자, 숫자, 특수문자 중 3종류 포함
- 최소 10자리 이상으로 영문자 대소문자, 숫자, 특수문자 중 2종류 포함
- 변경 주기는 최소 90일(3개월)
- 직전 패스워드 기억 최소 5개
- 5회 이상 틀릴시 계정 잠금

위 정책은 기업마다 조금씩 다르기는 하지만 저 범위에서 크게 벗어나지 않습니다.

정보통신 사업자, 개인정보보호 사업자, 금융업 등 한마디로 웬만한 기업체에서는 기본적으로 위 정책을 따라가야 한다는 의미입니다.

위에 언급한 것과 같이 이제는 시대의 흐름에 따라서 이런 낡은 규제는 국가의 규제로 정의하는 것이 아닌 기업의 자율성에 맡기는 방향으로 나아가는 것이 맞지 않을까 합니다.

 

실례로 EU GDPR과 같은 경우 패스워드와 같은 사항에 대해서 명확히 어떤 규칙으로 정의하여야 한다고 되어 있지 않습니다. 기업의 자율성에 최대한 맡기고 그에 합당하는 제재를 명시하고 있기 때문입니다.

[공유] 패스워드 안전도 검사 사이트