美 패스워드 지침 개정안
비밀번호 복잡한 규칙, 잦은 변경 등 되레 보안 악화
특수문자 강요, 주기적 변경 요구 전면 금지 예고
KISA "국내 문자 혼합, 변경주기 의무규정 없어"
세계 각국이 참조하는 미국의 비밀번호(패스워드) 지침에 '사용자에게 특수문자 등을 혼용하도록 강요하거나 주기적으로 비밀번호를 변경하도록 요구하지 말라'는 금지조항이 담길 전망이다.
가장 많이 사용하는 비밀번호는 다음과 같다.
Password-1234 / Br0nc0$2012 / Password123$ / Password1234 / Summ3rSun2020! / 0rlando_0000 / Password1234! / ChangeIt123 / 1234password$ / ChangeItN0w! / admin / 12345 / 123456 / 123456789 / qwerqwer / default / password / root
Microsoft가 기업의 보안 관리자에게 권장하는 내용(보안기준)은 주기적인 비밀번호 변경이 보안에 실질적으로 도움이 되지 않는다는 주장이 힘을 얻은 상황에서 PC 운영체계인 Windows 10과 Windows 서버의 보안 기준에서 비밀번호를 주기적으로 변경해야 한다는 조항을 삭제했다.
KISA의 주기적인 비밀번호 변경 조항이 이용자 불편만 초래할 뿐 보안에 대해서는 긍정적인 효과가 미약하다.
인터넷 보안 전문가는 "사용 중인 웹사이트에 비슷한 비밀번호를 적용해 오다가 해킹으로 탈취돼 비밀번호를 변경했으나, 나 자신 조차도 변경한 비밀번호를 기억하지 못하고 있다"고 말했다. 이어 "특수문자를 포함하라는 기준이 생겼지만, 기존에 수많은 곳에 적용한 비밀번호와 다르고, 가입하는 웹사이트마다 허용하는 특수문자의 제한이 있어서 이에 대한 기억을 일일이 하지 못한다. 자신이 변경한 비밀번호를 기억 못해 해당 비밀번호 재설정에 시간과 비용 낭비를 빈번하게 경험하고 있다"고 비밀번호 기반 로그인 기능 사용의 불편함을 토로했다.
3일 정보보호업계와 외신 등에 따르면 미국 국립표준기술연구소(NIST)는 지난달 공개한 '디지털 신원 지침(가이드라인)' 개정안에 이 같은 조항을 삽입했다. 개정안에 대해선 오는 7일까지 의견을 수렴한다.
NIST는 이번 개정안의 비밀번호 요건에서 △여러 문자유형을 혼합하도록 요구하는 등 사용자에게 추가적인 비밀번호 규칙을 부과하는 행위 △정기적으로 비밀번호 변경을 요구하는 행위를 금지의무(SHALL NOT) 항목으로 격상했다. 두 행위는 2017년 지침에서 금지권고(SHOULD NOT) 항목이었다.
복잡한 비밀번호 규칙이나 정기적인 비밀번호 변경을 요구할 경우 오히려 사용자가 비밀번호 분실을 우려하며 예측하기 쉬운 비밀번호를 설정해 보안을 취약하게 만든다는 판단에서 나온 결정이다. 비밀번호를 '1q2w3e4r!'·'qwer1234!'로 설정하거나 비밀번호 변경주기마다 특수문자만 바꾸는 사례가 대표적이다.
NIST는 "유출된 비밀번호 데이터베이스를 분석한 결과 숫자·문자·기호를 혼합해 구성한 비밀번호를 선택하는 규칙의 이점이 당초 생각보다 크지 않고, 사용성과 기억력에 미치는 영향이 심각한 것으로 나타났다"며 "이 때문에 비밀번호 길이를 바탕으로 좀 더 간단한 접근방식을 제시했다"고 밝혔다.
NIST는 2017년에 이어 이번 개정안에서도 △비밀번호를 8자 이상으로 설정하도록 요구하라 △모든 유니코드 문자를 '비밀번호 1자'로 취급하라 △비밀번호가 탈취된 흔적이 있다면 사용자에게 변경을 요구하라는 조항을 의무(SHALL) 항목으로 유지했다.
이 밖에 △비밀번호 최소 길이를 15자 이상으로 요구하고 64자 이상의 비밀번호도 설정할 수 있도록 허용하라 △알파벳·숫자 외 모든 유니코드 글자를 비밀번호로 입력할 수 있도록 허용하라는 조항은 2017년에 이어 이번 개정안에서도 권고(SHOULD) 항목으로 이름을 올렸다.
NIST는 '의무'·'금지의무'를 반드시 따라야 하고 위반을 허용하지 않는 행위, '권고'를 적합하다고 권장하는 행위, '금지권고'를 권장하지 않지만 금지도 하지 않는 행위로 규정했다. 지침의 적용대상은 웹사이트 등 인터넷 신원인증서비스제공자(CSP)와 검증기관(Verifier) 등이다.
한국 인터넷에서 흔히 찾을 수 있는 비밀번호 설정규정인 △최소 8자 이상 △영문 대소문자·숫자·특수문자 1개 이상 포함 △90일 주기 변경 등은 NIST가 2007년 발간한 디지털 신원 지침에서 비롯됐다. 이들 조건은 과거 비밀번호를 'password'·'apple' 등 사전적 단어로 설정해 각종 침해사고가 속출하자 마련된 것으로 전해진다.
NIST가 10여년 뒤 이 같은 조건들을 금지 항목으로 전환하면서 세계 각국은 비밀번호 설정기준을 완화하고 비밀번호를 보완할 '2FA(2단계 인증)' 등 추가 인증수단과 암호화 기술을 법제화하고 있다. 국내에서 '패스워드 선택 및 이용 안내서'를 발간하는 한국인터넷진흥원(KISA)은 2019년 '안전한 비밀번호'의 기준을 '두 종류 이상 문자로 구성된 8자리 이상의 문자열' 혹은 '10자리 이상 문자열'로 완화하고 비밀번호 변경주기를 삭제한 상태다.
한 당국자는 국내 상당수 웹사이트에서 유지 중인 문자·숫자·특수문자 혼합과 비밀번호 변경주기 규칙에 대해 "명시적 의무규정이 없다"고 말했다.
2차 인증의 적용방안은 다양한 운영체제와 애플리케이션 같은 정보자산 로그인 시 비밀번호 만으로는 결코 안전하지 않으며 매번 사용할 때마다 비밀번호를 대체 또는 추가 인증(2차 인증)할 수 있는 새로운 적용 방안(추가 인증, 비밀번호 대체, 새로운 비밀번호)이 필요하다.
정보자산 로그인 시 비밀번호 만으로는 결코 안전하지 않으며 매번 사용할 때마다 비밀번호를 BaroPAM 같은 동적보안 솔루션인 일회용 인증키로 대체(적용방안 중 2안) 했을 때 이점은 다음과 같다.
다양한 운영체제와 애플리케이션 같은 정보자산의 인증 정책은 다양한 사이버 공격에 대비하여 통합해 보호하는 방법이 아니라 각각의 컴포넌트 하나하나를 보호하는 방안으로 중앙 집중식에서 벗어나 탈중앙화 방식의 다계층 인증(Multi-layer Authentication)을 지원하여 보다 안전하게 정보자산을 보호할 수 있다.
사이버 보안은 현대 기업의 IT 환경에서 복잡하고 중요한 문제이다. 공격자들은 기업 방어를 뚫기 위한 새로운 방법을 계속해서 찾고 있으며, 기업은 이에 대응하기 위해 다계층 방어 전략을 채택해야 한다.
또한, 국정원에서는 획일적인 업무.인터넷망 분리에서 업무 중요도(기밀, 민감, 공개 등급으로 분리)에 따른 보안체계를 차등 적용하는 "다중 보안체계(Multi Level Security)"를 목표로 개선할 방침이다.
중앙 집중식으로 중앙화 되어 있는 Gateway(+Proxy) 방식을 사용하는 것은 해커들이 너무도 좋아하는 우회/원격 접속, 중간자 공격이 가능한 솔루션으로 보안 전문가들은 이런 분류의 솔루션은 보안 솔루션으로 취급하지도 않는다.
중앙 집중식으로 중앙화 되어 있는 Gateway(+Proxy) 방식은 기술적으로 "단일 지점 공격"에 의한 시스템 전체가 장악되거나, 파괴될 수 있는데, 이번 사태는 인증 시스템도 예외가 아님을 보여줬다.
중앙 집중식에서 벗어나 탈중앙화하는 PC, 서버, 네트워크, 애플리케이션, 데이타베이스 등 각각의 레이어(다계층)별 인증 시스템(Multi-layer authentication system)은 "단일 지점 공격"에서 시스템을 보호할 수 있다. 탈중앙화하는 다계층 인증 시스템이 필요하다는 주장이 힘을 받고 있다.
2차 인증 도입 시 검토 사항은 다음과 같다.
▶제로 트러스트(Zero Trust) 개념이 적용되어 있는지?
▶별도의 인증서버 방식인지, 모듈인증 방식인지?
▶통합인증인지 분산인증인지?
▶인증키 생성 및 검증 시 사용되는 키는 정적인지, 동적인지?
▶제한된 시간 내에 횟수 제한을 할 수 있는지?
▶다양한 운영체제와 애플리케이션에 손쉽게 적용 및 관리가 단순한지?
▶간단(느슨)한 구성에서 시작해 더 복잡(견고)한 보안 시스템으로 진화할 수 있는지?
▶중앙 집중식에서 벗어나 탈중앙화 방식의 다계층 인증(Multi-Layer Authentication)을 지원하는지?
▶보안 관점에서 위험을 얼마나 분산 시킬 것인지?
▶인증 폭주 시 인증 속도는 얼마나 저하되는지?
▶통신망을 사용하는지?
▶보안시스템의 우회 및 원격접속을 차단할 수 있는지?
▶보안지역이나 통신장애에 영향을 받는지?
▶인증절차 시 데이터를 위변조하여 우회 인증절차에 대한 문제가 없는지?
▶로그인 계정이나 개인정보의 도난, 스파이 행위, 통신 방해, 데이터 변경 등에 사용되는 중간자 공격(Man-in-the-middle attack)을 방어할 수 있는지?
▶모바일 문자 메시지로 인증코드를 전송 했을 때 발생하는 심스와핑(SIM-swapping) 공격을 방어할 수 있는지?
▶리버스 프록시(Reverse Proxy)와 같은 기술을 적용하여 인증을 우회할 수 있는 구조인지?
▶푸시 알림을 계속 보내 상대방을 지치게 만들어 우발적으로 로그인 승인 버튼을 누르게 만드는 공격인 "MFA 피로 공격(fatigue attacks)"을 방어할 수 있는지?
서버 접근제어와 망분리로 인한 보안이 강화된다는 것은 어불성설이며, 지금은 정보보안에 대한 인식의 대전환이 필요한 시대이다
아직도 보안에 취약한 이런 방식이 사용되고 있다는 현실이다
▶2차 인증 중 해커들의 가장 좋아하는 적용 방식: Gateway(+Proxy) 방식
▶2차 인증 중 가장 취약한 인증 방식: SMS, 이메일 등 문자기반의 인증
▶2차 인증 중 해커들이 가장 애용하는 우회 기술과 피로공격에 취약한 인증 방식: 2 채널 인증
▶피싱 공격에 잘 속는 링크 방식: QR 코드 방식
다양한 운영체제와 애플리케이션 같은 정보자산의 보안 강화를 위해서는 가장 중요한 기본 사항은 다음과 같다.
▶보안 관점에서 위험을 얼마나 분산 시킬 것인지?
▶인증 절차 시 데이터 위변조를 어떻게 방어할 것인지?
▶계정 정보 도용 및 악용은 어떻게 차단할 것인지?
▶브라우저 자동 로그인은 어떻게 방어할 것인지?
▶단일 지점 공격을 어떻게 방어할 것인지?
▶우회/원격접속을 어떻게 차단할 것인지?
▶중간자 공격을 어떻게 방어할 것인지?
▶다중인증(MFA)의 우회기술을 어떻게 차단할 것인지?
▶다중인증(MFA)의 피로공격을 어떻게 방어할 것인지?
무엇보다도 인증키는 본인이 소유하고 있는 인증키 생성매체를 사용해서 본인이 직접 인증키를 생성하여 본인이 접근하고자 하는 정보자산에 직접 입력 및 검증해야 그나마 정보보안 사고를 예방할 수 있는 최선책이다.
"공격자들은 딱 한 번만 성공하면 된다"고 한다. 레딧의 해킹 사고가 이를 적나라하게 드러냈다. 그런데 "방어도 딱 한 사람의 의심으로 성공할 수 있다"라는 사례가, 같은 레딧 해킹 사고를 통해 입증됐다. "사람은 보안의 최종 결론"이다.
"아무 것도 하지 않으면 중간은 간다"는 건 오래된 말이고, 클라우드 시대에는 통하지 않는 말이다. 새로운 시대에는 새로운 보호 장치가 어울린다. 비밀번호 하나로 관문을 지키는 건 더 오래된 방식이다. 시스템과 인프라는 자꾸만 새 것으로 바뀌는데 왜 예전 것들을 부여잡고 있는지 각자가 스스로를 검토해야 할 때다.
결론은 "2차 인증을 도입했다"는 것이 아니라 기술 및 보안성 등 "어떤 2차 인증을 도입했느냐"가 관건이다.
"아무 것도 신뢰하지 않는다" = "아무도 믿지 마라" = "계속 검증하라"
