| 특징 | 기존 NIST 지침 | 2025 NIST 지침 |
| 비밀번호 길이 요구사항 | 최소 8자 | 최소 12에서 16자 |
| 복잡성 요구사항 | 필수(대소문자 혼합/특수문자) | 필수는 아니며, 길이에 초점 |
| 비밀번호 변경 | 60~90일마다 | 타협안에 한하여 결정 |
| 비밀번호 힌트 사용 | 허용 | 금지 |
| 문자 집합 지원 | 제한 | 모든 ASCII 와 유니코드 지원 |
| 비밀번호 관리자 권장 | 제한 | 강력하게 권장 |
1. 복잡성이 아닌 길이에 초점
이제는 복잡성이 아닌 길이에 초점을 맞춘다. 길이가 늘어났지만, 복잡성에 포커스를 두지 않기 때문에 사용자 입장에서는 오히려 부담이 줄어들었다고 볼 수 있다. 특히, 일부 기업에서는 반드시 대문자를 넣도록 요구하는 경우가 있는데, 이런 것들이 이용자들에게 불편을 줄 수 있기 때문이다. 그리고 이미 많은 이용자들이 특수문자+알파벳+숫자의 조합을 활용한 PW 방식에 익숙해진 것을 고려할 때, 이제는 길이를 늘리는 것이 좋은 방법이 될 수 있을 것이다.
2. 최소 비밀번호 변경일 삭제
2~3달마다 비밀번호를 무조건 변경해야 하는 룰이 삭제되었다. 왜냐하면, 이것이 오히려 취약한 비밀번호를 만들 수 있기 때문이다. 그리고 우리는 사실 알고 있다. 비밀번호를 변경해야 한다면 기존 pw에서 아주 작은 변화만 줄 것이라는 사실을 말이다. 예를 들어, 기존 비밀번호가 수달귀욤12@@ 라면, 변경해야 할 시점이 도래했을 때 수달귀욤12## 으로 변경하는 것처럼 말이다. 이는 결코 강한 비밀번호를 달성한다고 볼 수 없으며, 굳이 장점을 찾자면 크리덴셜 스터핑의 가능성을 다소 줄일 수 있다는 것뿐이다. 그리고 NIST에서는 이제 보안 이벤트에 따라 변경할 것을 권고한다. 즉, 문제가 생기면 그때 변경하라는 것이다.
3. 다양한 문자 집합 지원
NIST는 사용자가 비밀번호를 만들 때 선택할 수 있는 문자 범위를 확장하고 있다. 모든 ASCII와 유니코드를 지원함으로써개인의 선택에 따라 비밀번호의 깊이를 더욱 향상시킬 수 있는 것이다. 즉, 비밀번호에 ¥, Ç, ৡ, ଳ 같은 별별 특이한 문자들을 사용할 수 있다는 것이다. 이전에 비해 훨씬 창의적인 비밀번호가 생성될 수 있게 됨에 따라 비밀번호를 추측하는 난이도는 더욱 상승할 것이다.
4. 비밀번호 힌트 금지
윈도우에 로그인할 때 비밀번호 힌트가 있는 것을 종종 볼 수 있다. 그러나 비밀번호에 힌트를 주는 것이 이제는 금지된다. 공격자에게 굳이 단서를 제공할 이유가 없기 때문이다.
5. 비밀번호 관리자 권장
비밀번호 관리자는 모든 계정에 대해 강력하고 고유한 비밀번호(흔히 임시 비밀번호를 발급받을 때 볼 수 있는 G$!e9@d8hT%lX 같이 복잡한 비밀번호)를 저장하고 생성할 수 있는 것이다. 관리자에서 직접 비밀번호를 복사하여 붙여넣을 수 있는 기능을 지원하여 모든 것을 기억하는 번거로움을 없앨 수 있다.
이번 지침을 조직에 적용한다면, 조직은 더욱 사용자 친화적이면서 강력한 비밀번호 정책을 만들 수 있을 것이며, 비밀번호를 굳이 재설정하지 않음으로써 리소스와 시간을 아낄 수 있을 것이다. 그리고 강력한 비밀번호 정책에 힘입어, 우리는 공격 위험의 감소를 꾀할 수 있을 것이다.
'보안 > 뉴스' 카테고리의 다른 글
| 개보위, 개인정보 손해배상책임보장제도 합리화 방안 발표 (0) | 2025.03.31 |
|---|---|
| 개인정보위, 2024년 개인정보 유출 신고동향 분석결과 발표 (0) | 2025.03.21 |
| 개인정보위, 24년 개인정보 처리방침 평가 결과 공개 (0) | 2025.03.18 |
| GPT를 현명하게 이용하는 법 (0) | 2025.03.04 |
| KISIA, 개인정보보호 재직자 교육 개강 (0) | 2025.02.05 |