패스워드 규칙관련 법규를 찾아보면
대부분 개인정보처리시스템에 해당하는 경우인데.
개인정보처리시스템이 아닌 임직원들이 재택근무 시 사용하는 SSLVPN 장비인데요.
이 SSLVPN 계정의 패스워드를 안전하게 설정해야 한다는 관련 법규가 있나요?
내부 지침 말고 법적으로 정해진 사항이 있는지 궁금합니다.
임직원용 시스템 사용자 패스워드 규칙 관련 법규
패스워드 규칙관련 법규를 찾아보면
대부분 개인정보처리시스템에 해당하는 경우인데.
개인정보처리시스템이 아닌 임직원들이 재택근무 시 사용하는 SSLVPN 장비인데요.
이 SSLVPN 계정의 패스워드를 안전하게 설정해야 한다는 관련 법규가 있나요?
내부 지침 말고 법적으로 정해진 사항이 있는지 궁금합니다.
13개의 답변이 있습니다.
개인정보를 취급하는 곳에 접근 하시는 것이라면
개인정보 보호법 시행령 제30조(개인정보의 안전성 확보 조치), 개인정보의 안전성 확보조치 기준 제6조 (접근통제) 따라가시면 됩니다.
따라가기 위해 힘을 실으시려면 위에 말씀 하시는 것처럼 내부적으로 패스워드 관리지침이나 개인정보 내부관리계획을 세워서 운영하는 것도 방법입니다.
아마도 개인정보법이 상위법이 되지 않을까 하며..그곳에 패스워드를 잘관리 해야 한다. 라고만 되어져 있지 않나요?
잘 관리하는 것은 .해당 주체가 주관해야 하는 것이기에.. 법문상으로 몇자리 이렇게 까지 정해지지는 않을 것입니다.
패스워드 구성 규정은 각자 알아서 내규로 정해도 문제 없고 대신 이를 보호하기 위한 각종 방법은 외부 규정 (ISMS, ISOxxx 등등) 준수하도록 해야 겠죠..
외부에서 사내에 접속할때 SSLVPN 으로만 사용하니 그에 따른 지침서가 있어야 합니다.
VPN 사용지침 같은 거요. ISMS 나 ISO27001 에 꼭 포함되는 내용입니다.
에이스퐝 | 7달 전
그 내부 지침서안에 패스워드 및 이중인증여부내용까지 있어야 합니다.
외부에서 사내로 일단 들어가는 거 자체가 개인정보처리시스템이 아니어도,
다른것과 연계되는 부분이 많아서요.
법규는 따로 없습니다. 사내 규정으로 정해서 사용을 하고 있습니다.
어떤 특정 장비, 솔루션은 비번설정을 10자리로 하고 다른건 4자리로 하는 규정, 정책 등등 은 없습니다. 장비던, 서비스던, 솔루션이던 비번규칙은 조금씩 상이하지만 기준이 되는 비번정책은 개인정보보호 관련 내용을 참고하면 됩니다. 그렇게 하는게 제일 안전합니다. 최소한..
아직도 이런 규칙 무시하고 1234 쓰고 어드민 사용하고 ... 정말 다 털리고 난리한번 나야 정신 차릴 듯... 그래도 안하는 사람 꼭 주변에 있음 ㅋ
법규는 없는 걸로 압니다 다만 추천 구성이
영숫자특수문자 대소문자 복합구성으로 8-10자리?
패스워드
설정 부분을 조건에 부합 안돠면 설정 안되게 코딩해서 제한중입니다^^
금융, 군 등 특정 집단은 별도로 있는것으로 알지만
일반 민간기업은 법규보다는 기업 환경에 맞게 사내 규정으로 패스워드 정책 수립하여
운영하면 되지 않을까요?
법규는 따로 못 본 듯 하고, 내규로 지정해서 사용하는 기업은 몇군데 보았습니다.
제일 많이 사용하는 8자 이상, 2가지 이상의 문자/숫자/특수문자 등의 조합...
이렇게 제일 많이 사용하는 듯 하네요~~~
개인적으로 패스워드 복잡성이나 이전 사용 암호 사용하지 못하게 한다거나, 일정 기간마다 암호를 강제적으로 변경하게 하는 등의 규정이 오히려 보안을 취약하게 만들지 않을까 하는 생각이 드네요.
암호를 억지로 복잡하게 만들어야 하고, 이전에 사용한 암호도 사용하지 못하게 되기 때문에 암호를 사용하기에도 어려움이 있고, 암호를 자주 잊어 버리게 되는 결과를 가져 오게 되어... 로긴하려 할때 마다 암호를 잊어버려서 헤매게 되기도 하고...
변경한 암호를 잊어 버리지 않으려고 어디다 적어 둬야 하는 상황이다 보니... ㅎㅎ
자신만이 생각하고 있는 규칙으로 머리속에 저장되어 있는 안전한 암호를 사용하지 못해서 생소한 새로운 암호를 만들어야 하고, 잊어 버리지 않으려고 어디다 메모해둔 암호가 다른 사람에게 노출될 가능성이 높아 지게 되는 취약점이 될 가능성이 높지 않을까 하는 생각이네요.
너무 엄격한 암호 규칙에 대한 반감이 느껴지더군요.
차라리 암호보다는 다른 인증 수단을 통한 로긴을 도입해서 권장하는게 더 낫지 않을까 싶기도 하고...
그리고, 관련 법에 의존하려는 것보다는 사내 임직원을 대상으로 하는 필요한 규정이 있다면 사내 규정으로 해서 만드는게 낫지 않을까 하는 생각이네요.
저희는 사내 보안관리 규정에 넣어서 공유중입니다. SSL-VPN 부분도 규정에 추가하면 될 거 같네요.
꽤 많은 내용이 있지만 비밀번호 부분만 공유 드리면,
(1) 개인용 컴퓨터(이하 "PC"라 한다)는 다음 호에 따라 개인별로 비밀번호를 설정하여 운용하여야 한다.
1.비밀번호 (CMOS, Windows, SSL-VPN 등) 는 숫자와 문자, 특수문자를 혼합하여 9가지 이상으로 조합할 것
이런식으로 사내 보안관리 규정에 넣어서 공지하면 될 거 같습니다.
보안 ssl_vpn 접속이면 안전하고 그에 따른 패스워드에 대한 규칙은 없지만 총 8자리 숫자,문자, 특수문자를 사용하면 더 안전할것 겉네요
VPN 이면 원격 접속과 관계가 있다고 보시면 되고요.
개인정보 보호법에 VPN에 대한 항목 들이 존재 합니다.
"VPN을 사용해야 한다" 라는 식으로 정리가 되어 있긴 합니다.
다만 VPN의 패스워드에 대해서는 따로 찾지는 못했고요.
아마도 VPN 패스워드 까지는 포함하지 않는 것으로 보이고요.
패스워드는 사내 규정으로 정하시면 되지 않을까 생각 합니다.
참고하실만한 링크 추가 합니다.
http://coashanee2.blogspot.com/2016/02/vpnvirtual-private-network.html
일반적으로 웹페이지 회원 가입 시 아이디나 패스워드 정의 규칙을 보시고 자체적으로 정의 하시면 됩니다.
관련 법규는 없는 걸로 압니다.