콘텐츠로 이동

N-02: 비밀번호 복잡성 설정

분류: Network Equipment

중요도: 상

개요

점검 내용

네트워크 장비에 기관 정책에 맞는 계정 비밀번호 복잡성 정책이 적용되어 있는지 점검 (비밀번호 복잡성 정책 설정 기능이 장비에 존재하지 않는 경우 기관 정책에 맞게 계정 비밀번호를 설정하여 사용하는지 점검)

점검 목적

비인가자의 네트워크 장비 터미널(콘솔, SSH, https 등) 접근 시도 공격(무차별 대입 공격, 사전 대입 공격 등)에 대한 대비 여부를 확인하기 위함

보안 위협

비밀번호 복잡성 정책이 적용되어 있지 않을 경우 계정 생성 후 초기 비밀번호 설정 및 기존 비밀번호 변경 시 비밀번호 복잡성 제약 규칙을 적용받지 않아 취약한 비밀번호(예 qwerty, 12345, pass1234 등)를 설정할 수 있도록 허용되므로, 해당 취약점으로 인해 비인가자의 공격(무차별 대입 공격, 사전 대입 공격 등)에 계정 비밀번호가 유출되는 원인을 제공하여 유출된 비밀번호를 사용하여 비인가자가 네트워크 장비 터미널에 접근할 위험이 존재함

참고

용어 설명

  • 비밀번호 복잡성: 계정 비밀번호 설정 시 영문(대문자, 소문자), 숫자, 특수문자가 혼합된 비밀번호로 설정하는 것
  • 무차별 대입 공격(Brute Force Attack): 컴퓨터로 암호를 해독하기 위해 가능한 모든 키를 하나하나 추론해 보는 시도를 말함.
  • 사전 대입 공격(Dictionary Attack): 사전에 있는 단어를 입력하여 비밀번호를 알아내거나 암호를 해독하는 데 사용되는 컴퓨터 공격 방법

점검 대상 및 판단 기준

대상

공통

판단 기준

✅ 양호: 기관 정책에 맞는 비밀번호 복잡성 정책을 설정하거나, 비밀번호 복잡성 설정 기능이 없는 장비는 기관 정책에 맞게 비밀번호를 사용하는 경우

❌ 취약: 기관 정책에 맞지 않는 비밀번호를 설정하여 사용하는 경우

조치 방법

관리기관의 비밀번호 작성규칙에 맞게 비밀번호 복잡성 정책 및 비밀번호 설정

조치 시 영향

일반적인 경우 영향 없음

점검 및 조치 사례

공통

  1. 장비에 비밀번호 복잡성 정책을 설정하거나 비밀번호 복잡성 설정 기능이 없는 장비는 기관 정책에 따라 비밀번호를 설정하여 사용하는지 확인

  2. 기반시설 관리기관의 비밀번호 작성규칙과 관련 법규를 준수하여 비밀번호 복잡성 정책을 설정하고 안전한 비밀번호를 사용

    비밀번호 작성규칙 예시

    비밀번호는 다음 사항을 반영하고 숫자·문자·특수문자 등을 혼합하여 안전하게 설정하고 정기적으로 변경· 사용해야 함

    1. 사용자 계정(아이디)과 동일하지 않은 것
    2. 개인 신상 및 부서 명칭 등과 관계가 없는 것
    3. 일반 사전에 등록된 단어의 사용을 피할 것
    4. 동일한 단어 또는 숫자를 반복하여 사용하지 말 것
    5. 사용된 비밀번호는 재사용하지 말 것
    6. 동일한 비밀번호를 여러 사람이 공유하여 사용하지 말 것
    7. 응용프로그램 등을 이용한 자동 비밀번호 입력기능을 사용하지 말 것

Cisco IOS

  1. 비밀번호 복잡성 관련 설정 확인 
    Router# show running-config
  2. 비밀번호의 최소 길이 설정(기존 비밀번호는 영향을 받지 않음) 
    Router# config terminal
Router(config)#security passwords min-length ?
<0-16> Minimum length of all user/enable passwords
Router(config)# security passwords min-length <길이>