美 국립표준기술연구소(NIST) 패스워드 지침 개정안 주요내용 분석 및 시사점

 

[2024.11.14]

NIST의 SP 800-63-4 개정안은 기존 비밀번호 작성 규칙의 한계를 보완하고자 도입되었습니다. 기존의 복잡한 비밀번호 작성 규칙을 강제화 하는 대신, 비밀번호 길이를 늘리고 2차 인증(2-Factor) 및 다중 인증(MFA)을 권장하면서, 기업들은 사용자 인증 체계를 재설계해야 할 필요성이 커졌습니다. 국내/외 규제 또한 일부 완화 또는 조정되고 있음으로 향후 국내외 움직임을 지켜볼 필요가 있으며 기업들은 비밀번호 정책을 재정비하고, 생체 인증과 패스키 같은 새로운 인증 방식을 도입하는 준비가 필요합니다. 이에, NIST의 SP 800-63-4 개정안의 주요내용을 분석하고 기업입장에서 향후 대비해야 할 내용에 대하여 알아보겠습니다.

1. 개정 배경
미국 국립표준기술연구소(NIST) 'SP 800-63-4 디지털 신원 지침(가이드라인)' 개정안이 발표(24.9.28) 되었습니다. 주요내용은 비밀번호 설정 정책을 17년에는 금지권고(SHOULD NOT)에서, 24년도에는 ‘△여러 문자유형을 혼합하도록 요구하는 등 사용자에게 추가적인 비밀번호 규칙을 부과하는 행위 △정기적으로 비밀번호 변경을 요구하는 행위’를 금지의무(SHALL NOT) 항목으로 격상한 것입니다.

NIST 는 개정안을 발표한 배경으로 ‘복잡한 비밀번호 규칙이나 정기적인 비밀번호 변경을 요구할 경우 오히려 사용자가 비밀번호 분실을 우려하여 예측하기 쉬운 비밀번호를 설정해 보안을 취약하게 만들거나, 비밀번호를 '1q2w3e4r!'·'qwer1234!'로 설정하거나 비밀번호 변경주기마다 특수문자만 바꾸는 사례’를 대표적으로 제시하였습니다.

(사례)

 

· 패스워드를 hwawoo 라고 만들고 싶은 사람은 길이, 복잡성 규칙에 맞춰 작성하기 위하여 Hwawoo1!, hwawoO0#, Hw@wo0111 등으로 작성 · 1q2w3e4r!, qwer1234, qwer2023으로 작성하여 주기적으로 특수기호만 변경하는 사례 · 2024경기도01, 2024강원도!1, 경상도202401# 등 특정 명칭을 활용하여 예측하기 쉬운 형태로 작성

NIST는 "유출된 비밀번호 데이터베이스를 분석한 결과 숫자 · 문자 · 기호를 혼합해 구성한 비밀번호를 선택하는 규칙이 사용성과 기억력에 미치는 영향이 심각한 것으로 나타났다"며 이 때문에 비밀번호 길이를 바탕으로 좀 더 간단한 접근방식을 제시하였습니다. 개인이 이용하는 IT 기기와 인터넷 서비스가 기하급수적으로 늘어나면서 비밀번호를 잊지 않기 위해 기존 번호에 ‘!’나 ‘@’ 같은 추측하기 쉬운 특수문자를 돌려쓰거나, 아예 수첩이나 다른 곳에 적어 두는 경우가 발생하고 있고, 대표적인 비밀번호 대상 공격인 사전대입공격, 무작위 대입 공격은 입력횟수 제한, 재시도 시간제한과 시스템내 패스워드 저장시 일방향 암호화(해시암호)로 안전하게 관리할 수 있음으로 복잡한 비밀번호가 오히려 보안성을 떨어뜨린다고 판단하여 비밀번호 설정 규칙을 변경하고자 하였습니다.


2. 개정안 주요내용 (SP 800-63-4)
비밀번호 작성규칙은 초기 권고사항은 8자리 ~ 10자 (복잡도) 영 대/소문자, 특수기호, 숫자를 포함하여 작성하도록 권고하였지만 최근 변경사항은 비밀번호 길이가 최소 15자이상, 최대 64자까지 암호를 허용하도록 변경되었습니다. 이는 모바일 인증번호, 생체인증 등을 활용한 2차 인증(2-Factor)을 권고하여 다중인증(MFA) 보완체계를 갖추라는 의미로 해석할 수 있습니다. 또한 비밀번호에 모든 ASCII 인쇄 가능 문자(=특수문자 포함됨)와 공백 문자를 허용하는 것은 특수문자 사용을 허용하고 범위는 모든 아스키 및 유니코드를 허용하되, 사용을 강제하지 않도록 권고한 것입니다.

패스워드의 상세요구사항
NIST에서는 SHALL, SHALL NOT은 필수의 의미로 엄격히 따라야 하거나 위반하는 것을 허용하지 않는 의미로 사용되며, SHOULD와 SHOULD NOT은 권장 또는 권고 수준으로 분류하였습니다.

3. 국내 및 국제 현황 (분야별 법령·지침 등)

4. 시사점
개정안으로 비밀번호 설정 시, 특수문자 혼용을 강제화 하기보다는 비밀번호 길이를 대폭 늘리고 특수문자 포함된 ASCII 인쇄 가능하도록 권고, 문자 전체를 비밀번호에 사용할 것을 권장하였고, 특히, 모바일 인증번호, 생체인증 등을 활용한 2차 인증(2-Factor)을 사용 권장함에 따라 사용자의 비밀번호 설정 편의성을 높이면서, 각 기업의 실제적인 정보보호체계는 더욱 강화시키는 효과가 기대됩니다. 즉, NIST의 SP 800-63-4는 기업들이 보안 강화와 사용자 환경 최적화라는 두 가지 측면에서 긍정적인 효과가 기대됩니다.

세계 각국이 참조하는 NIST의 정책이 위와 같은 조건들을 금지 항목으로 전환하면서 세계 각국은 비밀번호 설정기준을 완화하고 비밀번호를 보완할 '2FA(2단계 인증)' 또는 ‘패스키(Passkey)*와 같은 추가 인증수단과 암호화 기술을 법제화할 것으로 예상되며, 이에 따라 기업들도 인증방식을 변경하기 위한 정책과 신규 인증 기술을 도입해야 될 것으로 보입니다.

*패스키(Passkey): 2023년부터 애플, 구글, 마이크로소프트가 '암호 없는 로그인(passwordless sign-in)' 표준에 따라 비밀번호 대신 이용자가 갖 고 있는 IT기기를 인증 수단으로 삼는 방식, 지문·얼굴 인식이나 핀번호 등으로 자신의 IT 기기에 접속하면, 비밀번호 입력 없이도 이메일· 은행 등 각종 사이트에 접속 가능한 기술

글로벌시장 측면에서, NIST의 SP 800-63-4는 미국에 준용되는 가장 공신력 있는 보안 표준으로, 이를 준수하는 기업은 글로벌 시장에서도 신뢰할 수 있는 시스템을 구축운영중인 해킹에 안전한 기업이라는 긍정적인 평가를 받을 수 있을 것입니다. 특히 SP 800-63-4는 특히 미국 정부와 공공 기관, 금융, 의료 관련의 협력에 당연히 필요한 기준이 되므로, 글로벌 확장을 계획하거나 다양한 국가로의 진출을 추구하는 기업에게 이 표준을 준수하는 것은 중요한 경쟁요소로 작용할 것입니다.


이근우 센터장/파트너변호사(klee@yoonyang.com)
정한근 고문(hkjung@yoonyang.com)
이광욱 파트너변호사(kwlee@yoonyang.com)
이수경 파트너변호사(sgyi@yoonyang.com)
백재환 전문위원(jhb@yoonyang.com)
지재원 연구위원(jwji@yoonyang.com)

 

출처: 

https://www.lawtimes.co.kr/LawFirm-NewsLetter/203028