▶패스워드(비밀번호) 관리, 개인정보 안정성 확보조치 기준
| 개인정보보호법 |
제2조(비밀번호 관리) 개인정보처리자는 개인정보취급자 또는 정보주체가 안정한 비밀번호를 설정하여 이행할 수 있도록 비밀번호를 작성규칙을 수립하여 적용하여야 한다.
| 전자금융감독규정 |
제13조(전산자료 보호대책) ① 금융기관 또는 전자금융업자는 전산자료의 유출, 파괴 등을 방지하기 위하여 가은 각 호을 포함한 전산자료 보호대책을 수립·운용하여야 한다.
1. 사용자계정과 비밀번호를 개인별로 부여하고 등록·변경·폐기를 체계적으로 관리 할 것
제32조(내부사용자 비밀번호 관리) 금융기관 또는 전자금융업자는 내부사용자의 비밀번호 유출을 방지하기 위하여 가음 각 호의 사항을 정보처리시스템에 반영하여야 한다.
1. 담당업무 외에는 열람 및 출력을 제한할 수 있는 접근자의 비밀번호를 설정하여 운영할 것
2. 비밀번호는 다음 각 항목의 사항을 준수할 것
가. 비밀번호는 이용자 식별 부호(아이디), 생년월일, 주민등록번호, 전화번호를 포함하지 않은 숫자와 영 문자 및 특수문자 등을 혼합하여 8자리 이상으로 설정하고 분기별 1회 이상 변경
나. 비밀번호 보관 시 암호화
다. 시스템마다 관리자 비밀번호를 다르게 부여
3. 비밀번호 입력 시 5회 이내의 범위에서 미리 정한 횟수 이상의 입력오류가 연속하여 발생한 경우 즉시 해당 비밀번호를 이용하는 접속을 차단하고 본인 확인절차를 저쳐 비밀번호를 재부여하거나 초기화 할 것
| 안전행정부 |
▣개인정보처리자는 개인정보취급자의 비밀번호 작성규칙을 수립하고 이를 개인정보처리 시스템 및 접근통제시스템 등에 적용하여 운영하여야 한다.
1. 비밀번호의 최소길이 : 비밀번호는 구성하는 문자의 종류에 따라 최소 10자리 또는 8자리 이상의 길이로 구성하여야 하며, 이는 정보주체에 대한 비밀번호 작성규칙과는 달리 반드시 준수하여야 한다.
가. 최소 10자리 이상 : 영대문자(A~Z, 26개), 영소문자(a~z, 26개), 숫자(0~9, 10개) 및 특수문자(32개) 중 2종류 이상으로
구성 한 경우
나. 최소 8자리 이상 : 영대문자(A~Z, 26개), 영소문자(a~z, 26개), 숫자(0~9, 10개) 및 특수문자(32개) 중 3종류 이상으로
구성한 경우
다. 추측하기 어려운 비밀번호의 생성 :
- 생성한 비밀번호에 12345678 등과 같은 일련번호, 전화번호 등과 같은 쉬운 문자열이 포함되지 않도록 한다.
- love, happy 등과 같은 잘 알려진 단어 또는 키보드 상에서 나란히 있는 문자열도 포함되지 않도록 한다.
- 비밀번호의 주기적인 변경 : 비밀번호에 유효기간을 설정하고 적어도 6개월마다 변경함으로써 동일한 비밀번호를 장기간
사용하지 않는다.
- 동일한 비밀번호 사용 제한 : 2개의 비밀번호를 교대로 사용하지 않는다.
| 방송통신위원회/한국인터넷진흥원 - 설정방안 |
예측이 어려운 문자구성의 비밀번호 설정방법
1. 영문자(대/소문자), 숫자, 특수 기호들을 혼합한 구성으로 비밀번호 설정
- #3kLfN2x*S1$, 3$La#4dU7Ff% 등과 같은 구성의 비밀번호 설정
2. 비밀번호의 길이를 증가시키기 위해서는 특정위치 외에 특수문자 및 숫자 등을 삽입하여 비밀번호 설정
※특정위치는 알파벳 문자 앞뒤에 위치하는 것을 말함
3. 알파벳 대소문자를 구별할 수 있을 경우, 대,소문자를 혼합하여 비밀번호 설정
- 특정위치의 문자를 대문자변경하거나, 모음만을 대문자변경하여 비밀번호 설정
- "gkswjdqhwlsdnjs”는 gKsWjDqHwLsDnJs“로, “rnrqhghgmd”는 ”rNrQhGhGmD“로 활용하여 비밀번호 설정
기억하기 쉬운 비밀번호 설정방법
1. 특정명칭을 선택하여 예측이 어렵도록 가공하여 비밀번호 설정
- 특정명칭의 홀수․짝수 번째의 문자를 구분하는 등의 가공방법을 통해 설정
- 국내 사용자는 한글 자판을 기준으로 특정명칭을 선택하고 가공하여 설정
예) ‘한국인터넷진흥원’의 경우, 홀수 번째는 “한인넷흥”이 “gksdlssptgmd”로, 짝수 번째는 “국터진원”이
“rnrxjwlsdnjs”으로 비밀번호 설정 가능함