마이크로소프트(MS)가 PC 운영체제(OS)인 윈도 10과 서버용 OS 윈도 서버의 보안 기준에서 패스워드를 주기적으로 변경해야 한다는 조항을 삭제했다.
보안 기준은 MS가 기업의 보안 관리자에게 권장하는 내용들을 담고 있다. 주기적인 비밀번호 변경이 보안에 실질적으로 도움이 되지 않는다는 주장이 힘을 얻은 상황에서 이번 조치가 이뤄졌다.
MS는 윈도 10과 윈도 서버의 1903 버전 업데이트에 이같은 내용을 포함한 변경사항이 반영됐다고 자사 블로그를 통해 밝혔다.
■42일마다 나타났던 윈도 계정 패스워드 교체 필요 없어진다
삭제된 조항은 PC에 접속하기 위한 윈도 계정과 패스워드에 대한 내용이다. 윈도에서는 기본적으로는 42일마다 사용자에게 패스워드 교체를 요구해왔다.
주기적으로 패스워드를 변경하라는 규칙의 출처는 미국 국립표준기술연구소(NIST)다. NIST는 지난 2003년 발행된 인증보안기술 관련 가이드라인의 부속서 'NIST Special Publication 800-63 Appendix A'를 통해 패스워드에 알파벳 대소문자, 숫자, 특수문자를 혼합해 넣고, 이를 주기적으로 변경할 것을 권장했다.
해당 가이드라인이 법적 구속력을 갖고 있진 않다. 다만 IT 업계 전반에서 이 내용을 자사 인증 체계 수립 과정에 참고했다.
한국인터넷진흥원(KISA)가 지난 2008년 발간한 '패스워드 선택 및 이용 안내서'에도 이같은 내용이 담겼다. 해당 안내서에는 안전한 패스워드 설정을 위한 조건으로 ▲로마자 알파벳 대문자와 소문자, 특수문자, 숫자 중 세 가지 종류 이상의 문자 구성 ▲8자 이상의 길이 ▲90일 또는 몇 달 가량의 변경 주기를 설정하라고 권고하고 있다.
■KISA, 패스워드 이용 안내서 개정판 이달 중 출시
주기적 패스워드 변경 조항이 이용자 불편만 초래할 뿐 보안에 대해서는 긍정적 효과가 미약하다는 주장이 제기되는 등 상황이 점차 달라졌다.
블로그에서 MS는 "패스워드를 도둑맞지 않는다면, 잦은 패스워드 만료로 아무런 이득을 취할 수 없다"고 이번 조치의 이유를 소개했다.
관련기사
- 페북 회원 6억명 비밀번호 비암호화 상태로 방치2019.06.04
- '패스워드 없는 웹' 웹오센티케이션, 공식 표준 인증2019.06.04
- 직원 패스워드 관리시간을 돈으로 환산하면...2019.06.04
- 구글 크롬 새 확장 "유출 계정이네요, 패스워드 바꾸세요"2019.06.04
지난 2017년 NIST는 '디지털 아이덴티티 가이드라인(Digital Identity Guidelines)'를 발행했다. 기존 인증보안기술 가이드라인의 개정판이다. 여기서는 패스워드를 여러 문자로 조합하고 이를 주기적으로 변경해야 한다는 조항이 삭제됐다.
KISA도 더 나은 보안 조치를 반영, 패스워드 선택 및 이용 안내서를 개정해 내놓을 계획이다. KISA 관계자는 "이달 중 안내서 개정판을 발표할 계획"이라며 "마무리 검토 단계를 밟고 있다"고 말했다.