로고

한국 CPO 포럼
회원가입 로그인
  • Let’s Privacy
  • Privacy Column
  • Let’s Privacy

    Privacy Column

    Leader's Opinion

    회원사들의 개인정보보호 관련 컬럼 으로 구성됩니다.


    Authentication! 그 방법에 대한 고민

    페이지 정보

    profile_image
    작성자 이혁중
    작성일Date 19-12-31 00:00

    본문


                                                                                         제주항공 이혁중 상무


     시스템 보안을 언급할 때 필자는 정상 사용자로 로그인하여 부여받은 권한을 사용할 수 있게하는 인증을 가장 중요시 여긴다. 인증에는 영어로 “Authentication”과 ”Authorization” 두가지 가 있지만 이번 기고에서는 ID, Password로 이야기되는 인증 즉, Authentication의 방식에 대해서 이야기 해보려고 한다. 국내에서 보안이 태동되던 1990년대 말에 보안 컨설팅에 빼놓지 않고 언급 되었던것은 고객사의 windows의 SAM파일이나 unix의 passwd 파일을 입수하여 “John the ripper”같은 툴로 비밀번호를 알아내어 취약한 비밀번호가 1순위로 보고서에 쓰여 졌었고,모의해킹에서는 brute force기법을 이용하여 패스워드를 알아내어 원격 접속을 진행하였다. (이 방식은 접근제어가 관리가 제대로 안되는 최근의 사이트에서도 공격이 성공했었다.) 이러한 비밀번호가 문제되기 시작하면서 KISA에서도 비밀번호의 복잡성등 관리방식을 강조하기 시작했고  비밀번호 생성규칙 및 관리방법이 태동되게 되었다. 오늘은 이 부분을 검토해보고 정보통신망법에서 요구하는 개인정보처리시스템의 비빌번호 생성규칙 및 주기 방식에 대해서 다시 한번 생각해 보고자 한다.


     얼마전 TV에서 방영되었던 SBS의 뉴스에 보면 “비밀번호를 만들때 대소문자, 숫자, 특수문자를 포함하여 90밀마다 변경해야 한다” 라는 식의 비밀번호 생성규칙은 미국의 Bill Burr에 의하여 2003년의 미국국립표준기술연구소에서 만들어 졌고 우리는 여기의 NIST SP 800-53의 기준에 따라 “최소 8자 이상”, “대문자, 소문자, 특수문자를 하나 이상 포함”, “90일 주기로 변경”해야 한다는 비밀번호 생성규칙을 따라가기 시작했다. 금융권에서도 이러한 생성규칙을 언급하기 시작했으니 아마 이제는 국민들 모두가 알지 않을까 싶다. 그런데 의도와는 달리 이러한 비밀번호복잡도를 만들때의 예상은 “Pa2s3!3W@rd”인데 실제는 “PASSword123!”으로 쓰이고 있고, 주기적 변경은 끝자리를 하나씩 바꾸는 현상이 발생되어 버렸으니 사람의 기억력이라는 것이 한계가 있는 것을 간과한것으로 예측된다. 과거 회사에서도 모의해킹등을 통해서 테스트해 본 결과 guessing공격을 사용하면 아주 손쉽게 찾아내는 문제가 발생했다. 물론 이러다 보니 MFA방식이 나타나게 되었다.


     안정성에 있어서는 이런 복잡한 비번을 사용하다 보니 국내에서 개인정보 유출 사고가 발생하면 바로 중국의 블랙마켓에서 판매되는 유출된 계정, 비번을 수집하여 전혀 다른 사이트에서 사용하면 로그인되는 상황이 발생한다. 비밀번호가 복잡하기 때문에 다양하게 기억하기 어려워서 동일한 계정, 비밀번호를 만들어 놓고 다양한 사이트에서 사용하는 현실이다. 실제 이러다 보니 더 이상 이런 비밀번호 생성규칙이 보안적으로 강화되지않는다고 인식되어 2017년도 발간된 NIST SP 800-63-3 Digital Identity Guidelines에서는 “특수문자 필수 사용” 삭제, “비밀번호 변경주기”가 삭제 되었고 MicroSoft Windows의 보안정책에서 비밀번호 변경 주기 강제화가 삭제 된 것도 이러한 영향일것이다. 경험상 비밀번호의 뒷자리만 바꾸는 주기적인 변경보다는 실제 사고가 나면 전 직원의 비밀번호를 강제로 바꾸게 하는게 보안에 도움이 되는게 현실이다.

     

     이제 우리의 정보통신망법에서 이 항목에 대해서 검토해 보니 언급된 문제가 동일하게 적용되고 있음을 보고 깜짝 놀랐다. “정보통신망 이용촉진 및 정보보호 등에 관한 법률시행령” 의 제 15조 개인정보보의 보호 조치에 보면 

    ② 항에 개인정보에 불법적인 접근을 차단하기 위하여 법으로 지정해 놓은 ISMS인증대상의 비밀번호 규칙에 대해

     4. 비밀번호의 생성방법 및 변경 주기 등의 기준 설정과 운영 이 존재하고 

    ⑥항 방송통신위원회는 제1항부터 제5항까지의 규정에 따른 사항과 법 제28조제1항제6호에 따른 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치의 구체적인 기준을 정하여 고시하여야 한다.라고 되어 있다.  구체적인 기준을 방송통신위원회고시 제 2015-3호 기술적-관리적 보호조치 기준 제 4조(접근통제) 항목에서 찾아보니 


    1. 영문, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성

    2. 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않는 것을 권고

    3. 비밀번호에 유효기간을 설정하여 반기 별 1회 이상 변경

    이라고 되어 있어 “보안상 도움이 되지 않는다고 이야기된 비밀번호 생성/변경 규정”이 ISMS인증대상 기업, 공공기관(대상은 점점 늘어나고 있다.)에서는 반드시 지켜져야 하는 상황이다. 이미 이 내용이 발의가 되었던 미국에서는 점차 폐지 되어가는 내용을 우리는 법을 준수하기 위하여 그대로 준용할 수 밖에 없는 상황이다. 필자도 법이 보수적이어야 한다는 상황에는 동의합니다. 다만, 기술은 계속 변화하고 그에 따라 대응 방법도 개선되고 있는데 이제는 문제점에 대해서 검토를 해야할 시기라 생각한다. 이미 올해 6월 KISA에서도 비밀번호 생성 가이드라인에서 다음 표와 같이 수정했다.

     

     

    변경전

    변경후

    문서명

    패스워드 선택 및 이용가이드

    패스워드 선택 및 이용 안내서

    생성규칙

    대,소문자, 숫자 3종류 이상의 문자를 섞어 8자리 이상의 길이

    8자리 이상 길이는 대,소문자 등 2종류,10자리 이상 길이는 1종류


     결론적으로 다른 나라와 달리, 우리나라의 경우 국가가 기준을 만들어 이를 준수하면 기업에 면제권을 주고 있는 상황인데, 그 기준이 큰 방향이 아니고 세부적인 기준으로 가다 보니 변화되는 기술에 따라가기가 쉽지않은 것이 현실이다. 이미 중국의 경우는 자국민의 얼굴을 스캔하여 그것을 국가의 인증 방법으로 활용하고 있는 상황이고 우리도 민간에서 스마트폰 기기인증을 앱에 적용하여 본인인증 방법에 적용하고, 기타 여러가지 방식을 적용하고 있는 상황에서 법에서 요구하고 있는 방식이 현 기술에서 적용하는 방법보다 보안성이 낫지 않다면 이제는 검토하여 수정할 시기가 온 것이 아닌가 싶고 이에 대해서 한번 심각하게 고민이 필요하지 않을까 한다.