CA-04: 클라우드 계정 비밀번호 정책 관리

분류: Cloud

중요도: 중

개요

비밀번호 설정 정책의 복잡성 만족 여부 점검

안전한 비밀번호(*비밀번호 설정 기준 참조)를 사용함으로써 무차별 대입 공격, 사전 공격 등 비밀번호 탈취 목적의 공격에 대해 대비하기 위함

무차별 대입 공격, 비밀번호 추측 공격 등 비밀번호가 비교적 단순하거나 비교적 자주 쓰이는 비밀번호 (예:1q2w3e4r! 등)로 비인가 접근을 시도하는 공격 위험이 존재함

무차별 대입 공격(Brute-force Attack)

특정한 암호를 풀기 위해 가능한 모든 조합을 시도하여 비밀번호를 찾아내는 공격 방식

사전 공격(Dictionary attack)

사전에 있는 단어를 입력하여 비밀번호를 알아내거나 해독하는 컴퓨터 공격 방식

클라우드 플랫폼

✅ 양호: 복잡성을 만족하는 비밀번호 정책을 설정하고 로그인 시도 제한을 설정한 경우

❌ 취약: 복잡성을 만족하지 않는 비밀번호를 사용하거나 로그인 시도 제한을 설정하지 않은 경우

비밀번호 정책을 해당 기관의 보안 정책에 적합하게 설정

일반적인 경우 영향 없음

Step 1) 클라우드 콘솔 계정에 대한 비밀번호 정책 설정

클라우드 관리 콘솔 계정 비밀번호는 영문자, 숫자 및 특수문자를 두개 조합시에는 10자리 이상, 세 개 조합시에는 8자리 이상 사용해야 함

무차별 대입 공격을 방지하기 위한 로그인 시도 횟수 제한 설정 적용이 필요함