강력한 암호 위생 적용
학습 목표
이 유닛을 완료하면 다음을 수행할 수 있습니다.
- 강력한 암호 위생을 정의할 수 있습니다.
- 암호 관리자가 암호를 보호하는 방법에 대해 설명할 수 있습니다.
강력한 암호 위생 사용
암호 위생은 이메일, 일정 및 기타 업무 관련 애플리케이션에 액세스하는 데 사용되는 자격 증명을 위한 것이므로 내부 조직 시스템에 매우 중요합니다. 기업이 외부 위험으로부터 스스로를 아무리 잘 보호해도 암호는 계속 보안 위협을 제기합니다. 그렇기 때문에 사용자가 액세스하는 모든 데이터베이스 및 시스템에 고유한 자격 증명을 사용할 것을 요구해야 합니다.
암호 위험은 취약한 암호, 암호 재사용, 그리고 결함이 있는 저장소 또는 암호화(알고리즘을 사용한 암호화, 인코딩 및 보호)로 인한 잘못된 자격 증명 처리 등과 같은 이유로 발생합니다. 암호 관리 도구를 사용하면 강력한 암호를 구현하는 한 가지 방법이 됩니다.
강력한 암호 위생은 액세스하는 모든 서비스에 강력한 고유 암호를 사용하고, 이런 암호를 보호하는 저장소에 저장하는 두 부분으로 구성됩니다. 암호 보안을 유지하기 위해 권장되는 방법을 몇 개 살펴보겠습니다.
강력한 고유 암호 사용
액세스하는 모든 서비스에 강력한 암호를 사용합니다. 특히 암호를 재사용하지 않도록 주의해야 합니다. 여러 계정에서 길고 복잡한 암호를 유지 및 관리하려면 힘들 수 있기 때문에 암호를 재사용하거나 조금만 수정한 암호를 사용하고 싶은 유혹을 느낄 수 있습니다. 하지만 암호를 재사용하면 조직이 보안 침해에 취약해집니다.
암호를 재사용할 경우, 암호를 약간 수정해도 해커가 계정 하나의 암호를 알아내면 나머지 계정에도 액세스할 수 있습니다. 다양한 산업의 조직에 영향을 미친 여러 중대한 보안 침해가 이런 식으로 발생하여 직원 SNS 계정, 고객 은행 계좌, 그리고 심지어는 국가 안보 시스템까지도 위험에 노출되었습니다. 암호 관리자는 이 위험을 최소화하는 매우 유용한 방법입니다.
암호 관리자 사용
강력한 암호 설정이 중요한 만큼 암호를 비밀로 지키는 것도 중요합니다. 강력한 고유 암호는 기억하기 어렵기 때문에 암호를 하드 카피 형태로 보관하고 싶은 유혹이 생길 수 있습니다. 하지만 이 방법은 특히 개방형 사무실에서 하드 카피가 노출될 수 있기 때문에 심각한 보안 침해의 원인이 될 수 있습니다. 이후에 붙이는 메모장에 암호를 적어 두고 싶어지면 생각을 바꾸세요!
암호에 관한 다음과 같은 권장 방법을 의미하는 "암호 위생"이라는 용어를 접할 수 있습니다. 강력한 암호 위생을 실천하면 공격자의 시스템 보안 침해를 방지할 수 있습니다. 암호 관리자는 계정에 강력한 암호를 사용하고 암호를 반복 사용하지 않도록 보장하는 가장 쉬운 방법입니다. 암호 관리자는 대부분 무작위 암호 생성기가 내장되어 있고, 사용자 이름과 암호를 실시간으로 수집합니다. 그리고 사용자 이름과 암호를 보안 데이터베이스에 저장하기 때문에 모든 웹 사이트마다 다른 강력한 고유 암호를 기억하지 않아도 됩니다.
조직에서 암호 관리자를 제공할 수 있지만, 그러지 않아도 암호 관리자를 직접 선택할 수 있습니다. 암호 관리자는 안전하게 사이트를 저장하고 로그인을 관리하고 무작위 암호를 생성하므로, 사용하는 모든 서비스에 각각 사용되는 복잡하고 강력한 암호를 기억하지 않아도 됩니다.
암호 관리자에 저장할 수 있는 것과 저장할 수 없는 것
암호 관리자는 강력한 암호를 구현하는 아주 좋은 방법이지만, 시스템 관리자 또는 권한 계정에 사용하지 않도록 주의해야 합니다. 권한 계정에는 암호를 암호화하는 자격 증명 모음이나 권한 키 관리 시스템을 사용해야 합니다.
암호 관리자를 사용하는 경우 다음과 같은 권장 방법을 따르세요.
- 마스터 암호의 복잡도는 최소한 암호 관리자 안에 저장된 가장 복잡한 암호보다 낮지 않아야 합니다.
- 16자 이상이고 소문자, 대문자, 숫자 및 기호가 하나 이상 포함된 암호를 암호 관리자의 마스터 암호로 선택합니다.
- 암호구를 사용합니다. 암호구는 기존 암호보다 길고 기억하기 쉽고 알아내기 힘든 문장 같은 단어 문자열이며, 인증에 사용합니다. 공백을 추가하거나 문자를 특수 문자 또는 숫자로 바꿔서 보안을 더욱 강화할 수도 있습니다.
- 로그인에 다단계 인증(MFA)을 사용하도록 암호 관리자를 설정합니다.
다단계 인증을 사용하여 방어 기능 강화
시스템 액세스를 허용하는 본인 인증 방법을 MFA로 전환한 조직이 많습니다. 인증에 사용할 수 있는 세 가지 유형의 요인은 1) 갖고 있는 것, 2) 알고 있는 것, 또는 3) 생체 정보입니다. MFA에서는 이 세 요인 중 두 개 이상을 사용하여 인증해야 합니다.
예를 들어 로그인할 때 MFA를 사용하여 알고 있는 것(암호 등)과 갖고 있는 것(스마트폰에 있는 애플리케이션 또는 하드웨어 토큰 등)으로 본인 인증을 수행할 수 있습니다. MFA를 구현하면 피해자의 컴퓨터에 무단으로 액세스하기 위한 자격 증명 수집을 목표로 하는 피싱 공격 같은 암호 공격을 방지할 수 있습니다. MFA를 사용하면 공격자가 암호를 알아내도 계정을 해킹하기 위해서는 스마트폰이나 하드웨어 토큰 같은 두 번째 요인에 접근할 수 있어야 합니다.
항상 MFA를 사용하여 암호 관리자에 액세스하도록 설정하면 관리자에 저장된 모든 암호가 가장 강력하게 보호됩니다. 요구되는 인증 방법은 암호 관리자 시스템마다 다릅니다. 인증 방법에는 Google Authenticator 같은 소프트웨어 기반 인증기 또는 YubiKey 같은 하드웨어 기반 인증기나 그 외에 생체 인식 같은 방법도 포함될 수 있습니다.
개인 암호를 보호하는 방법을 알게 되었으므로, 이제 관리자 자격 증명을 보호하는 방법을 확인해 보겠습니다.