2019.05.13

칼럼 | 기업의 올바른 비밀번호 변경 정책은?

Roger A. Grimes | CSO
윈도우 기본 ‘최대 비밀번호 사용기간’(강제 만료) 제거 결정이 큰 논란을 일으키고 있다. 그러나 조직이 비밀번호를 정기적으로 교체해야 할 이유들이 있다. 여기 그 이유를 정리한다.

종전의 기본(그리고 권장) 최대 비밀번호 사용기간은 OS 버전에 따라 45-60일이었다. 이번 마이크로소프트의 4월 24일 강제 만료 기본값 삭제는 비밀번호가 해킹됐다는 사실이 파악될 때까지 비밀번호 변경을 요청하지 말라는 최근NIST(National Institute of Standards and Technology)의 권고에 따른 것이이다.

마이크로소프트의 이번 조치는 비밀번호가 일반적으로 추측/해킹 외의 수단으로 침탈되곤 한다는 생각에 기인한 것이다. 게다가 사람들이 비밀번호를 자주 변경하도록 요구하면 여러 웹사이트에서 같은 비밀번호나 패턴을 재사용하도록 조장한다는 생각도 깔려 있다. 실제로 대부분의 비밀번호는 피싱 공격을 통해 침탈되며 강제적인 비밀번호 변경으로는 이를 방지할 수 없다.

NIST와 마이크로소프트를 따라 강제적인 비밀번호 만료 정책을 없애야 할까? 그렇지 않다고 생각한다. 그 이유는 다음과 같다.
 
ⓒ Credit: Ben Patterson / IDG

준수성 때문에 여전히 비밀번호 만료가 요구된다
필자는 아직까지 사이버 보안 규정 또는 법률(PCI-DSS, HIPAA, SOX, NERC)이 적용되지 않는 조직을 본 적이 없다. 이 모든 규정은 자동화되고 빈번한 비밀번호 변경을 요구한다. NIST의 새로운 비밀번호 권고사항을 신뢰한다면 행운을 빈다. 규정이 변경될 때까지 기존의 권고사항에 발목을 잡히게 될 것이다.

비밀번호가 언제 해킹되었는지 아는 경우가 거의 없다
"해킹되었다는 사실을 파악할 때까지 비밀번호를 변경하지 말라"는 권고에서 가장 우려되는 부분은 대부분의 사람들이 비밀번호가 해킹되었는지 모른다는 점이다. 필자가 읽은 모든 ‘드웰 타임’(dwell time) 데이터 포인트에 따르면 일반적인 해커가 네트워크와 비밀번호 전체에 액세스한 후 수 개월이 지나야 발견된다.

수 억 개의 비밀번호가 해킹되고 수 년이 지난 후에야 다크웹이나 페이스트빈 웹사이트에서 발견되는 경우가 많다. 많은 사람들이 비밀번호를 변경하지 않기 때문에 이런 비밀번호는 여전히 유효하다. 이런 사실만 보아도 비밀번호 변경이 의무적이어야 한다는 것을 알 수 있다.

사용자가 정기적으로 비밀번호를 변경하도록 강제함으로써 해킹된 비밀번호 공격이나 덤프 가능성이 최소화된다. 이것이 컴플라이언스 준수 다음으로 자동 비밀번호 만료가 필요한 중요한 이유이다.

강제적인 변경으로 인해 비밀번호 재사용이 증가하지 않을 수도 있다
다시 한 번 말하지만 강제적인 비밀번호 재사용으로 인해 사람들이 여러 웹사이트 및 서비스에서 비밀번호나 패턴을 재사용할 가능성이 높아진다고 생각한다. 필자는 이를 입증하는 NIST의 데이터를 본 적이 없다. 데이터가 존재할 수도 있지만 몇 년 동안 시도했음에도 불구하고 찾지 못했다.

사이트에서 정기적으로 비밀번호 변경을 요청할 때 모든 웹사이트에서 모든 비밀번호를 변경할 가능성은 거의 없다. 일반적으로 사용자는 해당 비밀번호만 변경하고 다른 사이트는 변경하지 않는다. 기업 네트워크에서는 더욱 그렇다. 조직이 대부분의 다른 사이트보다 더욱 빈번한 비밀번호 변경을 요구하는 경우 실제로 비밀번호가 고유하거나 더 적은 웹사이트와 공유하게 된다. 비밀번호 변경을 요구하지 않으면 웹사이트들 사이에서 비밀번호를 공유하기가 더 쉬워진다.

NIST는 비밀번호가 더 복잡해지면 사람들이 여러 웹사이트에서 재사용하게 될 것이라고 추측하고 있다. 다시 한 번 말하지만 필자는 이를 뒷받침하는 데이터를 본 적이 없으며 심지어 그것이 가능한지도 의심스럽다. 일부 웹사이트는 8-12자 길이를 허용한다. 글자만 허용하는 곳도 있다. 일부 웹사이트는 숫자와 글자만 허용한다. 여러 사이트에서 길고 복잡한 비밀번호를 재사용하고 싶다면 행운을 빈다.

비밀번호 추측과 크래킹은 여전히 이뤄지고 있다
비밀번호 추측/크래킹이 과거만큼 인기가 없더라도 여전히 이뤄지고 있다. 이로 인해 여전히 수 만 건의 해킹이 발생하고 있다. 무수히 많은 맬웨어 프로그램이 사람들과 조직의 비밀번호를 추측할 수 있다. 이 봇들은 매일 매초 윈도우 RDP(Remote Desktop Protocol), 퍼티(Putty), VNC, SSH, 온라인 로그온 포탈에서 계속 추측한다. 

이 모든 것들은 길거나 복잡한 비밀번호를 사용하여 물리칠 수 있지만 해킹을 당한 피해자들은 그렇게 하지 않았다. 비밀번호 변경을 강제함으로써 추측자/크래커는 비밀번호의 길이나 복잡성에 상관없이 더 짧은 시간 안에 평문 비밀번호를 얻을 수 있다.

비밀번호 추측이나 크래킹이 사라지지 않는 한 위험을 상쇄하는데 위험할 것이 있을까? 필자의 생각을 바꾸고 싶은가? 강제적인 비밀번호 변경으로 인해 위험이 더 커진다는 증거를 대보자. 필자는 그런 데이터를 본 적이 없지만 비밀번호 추측 봇에 의해 해킹을 당한 수 만 명의 사람들에 대한 글은 읽어보았다.

이메일을 통해 비밀번호를 훔칠 수 있다
필자는 클릭하도록 속여서 브라우저가 윈도우 비밀번호 해시를 전송하도록 하는 임베디드 링크를 쉽게 구성할 수 있다. 이를 방지하는 방법은 많지만 대부분의 조직은 올바른 방어책을 이행하지 않으며 모바일 사용자가 네트워크에서 정기적으로 떠나는 경우에는 더욱 그렇다.

평문 비밀번호를 전송하지 않는다. 윈도우 NTLM 문제 답변 핸드셰이크를 전송하며, 여기에서 비밀번호 해시를 추출할 수 있는 해킹 툴이 많다. 비밀번호 해시를 다른 유형의 공격에서 재생하거나 평문 비밀번호를 크래킹 할 수 있다.

8글자 비밀번호 해시는 기본적으로 복잡성에 상관없이 크래킹 하기가 너무 쉽다. 12글자 비밀번호 해시가 깨지는 경우도 많이 보았으며 16글자 비밀번호가 깨지는 경우도 있었다. 엄청나게 복잡한 것들은 없었지만 필자가 대부분의 환경에서 목격한 일반적인 비밀번호의 형태와 유사해 보였다. 해당 임베디드 링크를 클릭하도록 속여 비밀번호 해시를 얻을 수 있는 경우 비밀번호를 정기적으로 변경하지 않으면 위험이 증가하게 된다.

비밀번호를 얼마나 자주 변경해야 할까?
마이크로소프트는 공식적으로 비밀번호 만료를 전적으로 포기하도록 권고하지 않았다. 이를 관리자에게 맡겼다. 여기에는 미묘한 차이가 있다.

자동화된 비밀번호 만료를 요구하는 규정을 준수해야 하는 경우에는 고려할 가치가 없다. 규정이 요구하는 대로 따라야 한다. 조직에 가장 적합한 최대 비밀번호 사용기간을 선택할 수 있는 경우 조직의 위험 수용도에 따라 달라진다. 

30-45일마다 변경을 강제하는 것은 제정신이 아니라고 생각한다. 그렇게 주기가 짧으면 재사용 문제가 발생할 수 밖에 없다. 일반적인 조직은 90일마다 요구할 것이며, 필자는 (제대로 설명할 실질적인 데이터는 없지만) 대부분의 조직보다 위험을 크게 낮추고 싶은 조직에는 적합하다고 생각한다. 심지어 180-365일 동안 비밀번호 변경을 강제하지 않는 조직의 위험 프로필도 평균적이다.

모든 조직에서 모든 강제적인 비밀번호 만료를 없애면 해킹만 증가할 것이다. 최소한 누군가 필자에게 이를 반박할 실질적인 데이터를 제시할 수 있을 때까지는 그렇다.

* Roger A. Grimes는 2005년부터 기고해온 보안 전문 칼럼니스트다. ciokr@idg.co.kr



2019.05.13

칼럼 | 기업의 올바른 비밀번호 변경 정책은?

Roger A. Grimes | CSO
윈도우 기본 ‘최대 비밀번호 사용기간’(강제 만료) 제거 결정이 큰 논란을 일으키고 있다. 그러나 조직이 비밀번호를 정기적으로 교체해야 할 이유들이 있다. 여기 그 이유를 정리한다.

종전의 기본(그리고 권장) 최대 비밀번호 사용기간은 OS 버전에 따라 45-60일이었다. 이번 마이크로소프트의 4월 24일 강제 만료 기본값 삭제는 비밀번호가 해킹됐다는 사실이 파악될 때까지 비밀번호 변경을 요청하지 말라는 최근NIST(National Institute of Standards and Technology)의 권고에 따른 것이이다.

마이크로소프트의 이번 조치는 비밀번호가 일반적으로 추측/해킹 외의 수단으로 침탈되곤 한다는 생각에 기인한 것이다. 게다가 사람들이 비밀번호를 자주 변경하도록 요구하면 여러 웹사이트에서 같은 비밀번호나 패턴을 재사용하도록 조장한다는 생각도 깔려 있다. 실제로 대부분의 비밀번호는 피싱 공격을 통해 침탈되며 강제적인 비밀번호 변경으로는 이를 방지할 수 없다.

NIST와 마이크로소프트를 따라 강제적인 비밀번호 만료 정책을 없애야 할까? 그렇지 않다고 생각한다. 그 이유는 다음과 같다.
 
ⓒ Credit: Ben Patterson / IDG

준수성 때문에 여전히 비밀번호 만료가 요구된다
필자는 아직까지 사이버 보안 규정 또는 법률(PCI-DSS, HIPAA, SOX, NERC)이 적용되지 않는 조직을 본 적이 없다. 이 모든 규정은 자동화되고 빈번한 비밀번호 변경을 요구한다. NIST의 새로운 비밀번호 권고사항을 신뢰한다면 행운을 빈다. 규정이 변경될 때까지 기존의 권고사항에 발목을 잡히게 될 것이다.

비밀번호가 언제 해킹되었는지 아는 경우가 거의 없다
"해킹되었다는 사실을 파악할 때까지 비밀번호를 변경하지 말라"는 권고에서 가장 우려되는 부분은 대부분의 사람들이 비밀번호가 해킹되었는지 모른다는 점이다. 필자가 읽은 모든 ‘드웰 타임’(dwell time) 데이터 포인트에 따르면 일반적인 해커가 네트워크와 비밀번호 전체에 액세스한 후 수 개월이 지나야 발견된다.

수 억 개의 비밀번호가 해킹되고 수 년이 지난 후에야 다크웹이나 페이스트빈 웹사이트에서 발견되는 경우가 많다. 많은 사람들이 비밀번호를 변경하지 않기 때문에 이런 비밀번호는 여전히 유효하다. 이런 사실만 보아도 비밀번호 변경이 의무적이어야 한다는 것을 알 수 있다.

사용자가 정기적으로 비밀번호를 변경하도록 강제함으로써 해킹된 비밀번호 공격이나 덤프 가능성이 최소화된다. 이것이 컴플라이언스 준수 다음으로 자동 비밀번호 만료가 필요한 중요한 이유이다.

강제적인 변경으로 인해 비밀번호 재사용이 증가하지 않을 수도 있다
다시 한 번 말하지만 강제적인 비밀번호 재사용으로 인해 사람들이 여러 웹사이트 및 서비스에서 비밀번호나 패턴을 재사용할 가능성이 높아진다고 생각한다. 필자는 이를 입증하는 NIST의 데이터를 본 적이 없다. 데이터가 존재할 수도 있지만 몇 년 동안 시도했음에도 불구하고 찾지 못했다.

사이트에서 정기적으로 비밀번호 변경을 요청할 때 모든 웹사이트에서 모든 비밀번호를 변경할 가능성은 거의 없다. 일반적으로 사용자는 해당 비밀번호만 변경하고 다른 사이트는 변경하지 않는다. 기업 네트워크에서는 더욱 그렇다. 조직이 대부분의 다른 사이트보다 더욱 빈번한 비밀번호 변경을 요구하는 경우 실제로 비밀번호가 고유하거나 더 적은 웹사이트와 공유하게 된다. 비밀번호 변경을 요구하지 않으면 웹사이트들 사이에서 비밀번호를 공유하기가 더 쉬워진다.

NIST는 비밀번호가 더 복잡해지면 사람들이 여러 웹사이트에서 재사용하게 될 것이라고 추측하고 있다. 다시 한 번 말하지만 필자는 이를 뒷받침하는 데이터를 본 적이 없으며 심지어 그것이 가능한지도 의심스럽다. 일부 웹사이트는 8-12자 길이를 허용한다. 글자만 허용하는 곳도 있다. 일부 웹사이트는 숫자와 글자만 허용한다. 여러 사이트에서 길고 복잡한 비밀번호를 재사용하고 싶다면 행운을 빈다.

비밀번호 추측과 크래킹은 여전히 이뤄지고 있다
비밀번호 추측/크래킹이 과거만큼 인기가 없더라도 여전히 이뤄지고 있다. 이로 인해 여전히 수 만 건의 해킹이 발생하고 있다. 무수히 많은 맬웨어 프로그램이 사람들과 조직의 비밀번호를 추측할 수 있다. 이 봇들은 매일 매초 윈도우 RDP(Remote Desktop Protocol), 퍼티(Putty), VNC, SSH, 온라인 로그온 포탈에서 계속 추측한다. 

이 모든 것들은 길거나 복잡한 비밀번호를 사용하여 물리칠 수 있지만 해킹을 당한 피해자들은 그렇게 하지 않았다. 비밀번호 변경을 강제함으로써 추측자/크래커는 비밀번호의 길이나 복잡성에 상관없이 더 짧은 시간 안에 평문 비밀번호를 얻을 수 있다.

비밀번호 추측이나 크래킹이 사라지지 않는 한 위험을 상쇄하는데 위험할 것이 있을까? 필자의 생각을 바꾸고 싶은가? 강제적인 비밀번호 변경으로 인해 위험이 더 커진다는 증거를 대보자. 필자는 그런 데이터를 본 적이 없지만 비밀번호 추측 봇에 의해 해킹을 당한 수 만 명의 사람들에 대한 글은 읽어보았다.

이메일을 통해 비밀번호를 훔칠 수 있다
필자는 클릭하도록 속여서 브라우저가 윈도우 비밀번호 해시를 전송하도록 하는 임베디드 링크를 쉽게 구성할 수 있다. 이를 방지하는 방법은 많지만 대부분의 조직은 올바른 방어책을 이행하지 않으며 모바일 사용자가 네트워크에서 정기적으로 떠나는 경우에는 더욱 그렇다.

평문 비밀번호를 전송하지 않는다. 윈도우 NTLM 문제 답변 핸드셰이크를 전송하며, 여기에서 비밀번호 해시를 추출할 수 있는 해킹 툴이 많다. 비밀번호 해시를 다른 유형의 공격에서 재생하거나 평문 비밀번호를 크래킹 할 수 있다.

8글자 비밀번호 해시는 기본적으로 복잡성에 상관없이 크래킹 하기가 너무 쉽다. 12글자 비밀번호 해시가 깨지는 경우도 많이 보았으며 16글자 비밀번호가 깨지는 경우도 있었다. 엄청나게 복잡한 것들은 없었지만 필자가 대부분의 환경에서 목격한 일반적인 비밀번호의 형태와 유사해 보였다. 해당 임베디드 링크를 클릭하도록 속여 비밀번호 해시를 얻을 수 있는 경우 비밀번호를 정기적으로 변경하지 않으면 위험이 증가하게 된다.

비밀번호를 얼마나 자주 변경해야 할까?
마이크로소프트는 공식적으로 비밀번호 만료를 전적으로 포기하도록 권고하지 않았다. 이를 관리자에게 맡겼다. 여기에는 미묘한 차이가 있다.

자동화된 비밀번호 만료를 요구하는 규정을 준수해야 하는 경우에는 고려할 가치가 없다. 규정이 요구하는 대로 따라야 한다. 조직에 가장 적합한 최대 비밀번호 사용기간을 선택할 수 있는 경우 조직의 위험 수용도에 따라 달라진다. 

30-45일마다 변경을 강제하는 것은 제정신이 아니라고 생각한다. 그렇게 주기가 짧으면 재사용 문제가 발생할 수 밖에 없다. 일반적인 조직은 90일마다 요구할 것이며, 필자는 (제대로 설명할 실질적인 데이터는 없지만) 대부분의 조직보다 위험을 크게 낮추고 싶은 조직에는 적합하다고 생각한다. 심지어 180-365일 동안 비밀번호 변경을 강제하지 않는 조직의 위험 프로필도 평균적이다.

모든 조직에서 모든 강제적인 비밀번호 만료를 없애면 해킹만 증가할 것이다. 최소한 누군가 필자에게 이를 반박할 실질적인 데이터를 제시할 수 있을 때까지는 그렇다.

* Roger A. Grimes는 2005년부터 기고해온 보안 전문 칼럼니스트다. ciokr@idg.co.kr

X