[취약점] 약한 문자열 강도

 

정의

 

  웹 사이트에서 취약한 패스워드로 회원가입이 가능할 경우 공격자는 추측 및 주변 정보를 수집하여 작성한 사전 파일로 대입을 시도하여 사용자 계정을 탈취할 수 있는 취약점을 의미한다.

 

 

공격 시나리오

 

  유추가 용이한 계정 및 패스워드의 사용으로 인한 사용자 권한 탈취 위험이 존재한다.

 

 

대응 방안

 

• 계정 및 비밀번호 복잡도 준수 여부 체크 로직 구현

 

 

판단 기준

 

주요정보통신기반시설

• 양호 : 관리자 계정 및 패스워드가 유추하기 어려운 값으로 설정되어 있으며, 일정 횟수 이상 인증 실패 시 로그인을 제한하고 있는 경우
• 취약 : 관리자 계정 및 패스워드가 유추하기 쉬운 값으로 설정되어 있으며, 일정 횟수 이상 인증 실패 시 로그인을 제한하고 있지 않은 경우

 

 

점검 예시

 

주요정보통신기반시설

• 웹 사이트 로그인 페이지의 로그인 창에 추측 가능한 계정이나 비밀번호를 입력하여 정상적으로 로그인되는지 확인
• 일정 횟수(3~5회) 이상 인증 실패 시 로그인을 제한하는지 확인

 

전자금융기반시설

• 이용자의 주민등록번호, 전화번호 등과 같이 쉽게 유추 가능한 개인 신상정보를 이용한 인증정보 사용 가능 여부를 점검
• 연속숫자, 연속문자, 동일숫자, 이름 등과 같이 제 3자가 비밀번호를 쉽게 유추할 수 있는 인증정보 사용 가능 여부를 점검
• 로그인 및 ARS 등에 사용되는 인증정보가 계좌 원장 비밀번호와 동일하게 사용 가능한지를 점검
• 비밀번호 복잡도를 준수하지 않는 비밀번호를 등록 및 변경 가능 여부를 점검 등

*비밀번호 복잡도 : 영문 대문자, 영문 소문자, 숫자, 특수문자 2개 조합시 10자리 이상, 3개 조합시 8자리 이상

 

 

구체적 보안 설정 방법

 

1. 취약한 계정 및 비밀번호를 삭제한다.

 

2. 사용자가 유추가능한 계정이나 비밀번호를 등록하지 못하도록 비밀번호 규정이 반영된 체크 로직을 회원가입, 정보변경, 비밀번호 변경 등 적용 필요한 웹 페이지에 모두 구현하도록 한다.

 

 *비밀번호 규정 예시

Step 1)
다음 각 목의 문자 종류 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성

(1) 영문 대문자(26개)
(2) 영문 소문자(26개)
(3) 숫자(10개)
(4) 특수문자(32개)

Step 2)
연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않는 것을 권고

Step 3)
비밀번호에 유효기간을 설정하여 반기별 1회 이상 변경

Step 4)
최근 사용되었던 패스워드 재사용 금지

 

3. 로그인 시 비밀번호 입력 실패가 일정 횟수(3~5회) 이상 초과할 경우 그 소식을 관리자에게 통보한 후 입력 실패한 계정은 잠근다.