2.5.4 비밀번호 관리

인증 기준

법적 요구사항, 외부 위협요인 등을 고려하여 정보시스템 사용자 및 고객, 회원 등 정보주체(이용자)가 사용하는 비밀번호 관리절차를 수립·이행하여야 한다.

주요 확인사항

• 정보시스템 및 개인정보처리시스템에 대한 안전한 사용자 비밀번호 관리절차 및 작성규칙을 수립·이행하고 있는가?

• 정보주체(이용자)가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립·이행하고 있는가?

관련 법규

• 🔗개인정보 보호법 🔗제29조(안전조치의무)

• 🔗개인정보의 안전성 확보조치 기준 🔗제5조(접근 권한의 관리)

• 🔗개인정보의 기술적·관리적 보호조치 기준 🔗제4조(접근통제)

세부 설명

• 사용자, 관리자 및 개인정보취급자가 안전한 비밀번호를 설정하여 사용할 수 있도록 비밀번호 관리절차 및 작성규칙을 수립·이행하여야 한다.

  • 비밀번호 작성규칙 예시(불가피한 경우를 제외하고는 시스템적으로 강제화 필요)

    • 조합 규칙 적용

      • 영문, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상
      • 또는 영문, 숫자, 특수문자 중 3종류 이상을 조합하여 최소 8자리 이상

    • 변경주기 설정

      • 비밀번호 유효기간을 설정하여 반기별 1회 이상 변경

    • 추측하기 쉬운 비밀번호 설정 제한

      • 연속적인 숫자, 생일, 전화번호 등 추측하기 쉬운 개인정보 및 ID와 비슷한 비밀번호 사용 제한 권고

    • 동일한 비밀번호 재사용 제한

      • 비밀번호 변경 시 이전에 사용한 비밀번호 재사용 제한 권고

  • 비밀번호 관리절차 예시

    • 시스템 도입 시 설정된 초기 또는 임시 비밀번호의 변경 후 사용
    • 비밀번호 처리(입력, 변경) 시 마스킹 처리
    • 종이, 파일, 모바일 기기 등에 비밀번호 기록·저장을 제한하고, 부득이하게 기록·저장하여야 하는 경우 암호화 등의 보호대책 적용
    • 침해사고 발생 또는 비밀번호의 노출 징후가 의심될 경우 지체 없이 비밀번호 변경
    • 비밀번호 분실 등에 따른 재설정 시 본인확인 절차 수행
    • 관리자 비밀번호는 비밀등급에 준하여 관리 등

• 정보주체(이용자)가 안전한 비밀번호를 설정하여 사용할 수 있도록 비밀번호 작성규칙을 수립·이행하여야 한다.

  • 사용자 및 개인정보취급자 비밀번호 작성규칙을 참고하되, 서비스의 특성 및 민감도 등을 고려하여 적절한 수준에서 비밀번호 작성규칙 적용

  • 비밀번호 분실, 도난 시 본인확인 등을 통한 안전한 재발급 절차 마련 등

증거자료

예시

• 웹페이지, 정보시스템 및 개인정보처리시스템 비밀번호 설정 화면

• 비밀번호 관리 정책 및 절차

결함사례

• 사례 1 : 정보보호 및 개인정보보호 관련 정책, 지침 등에서 비밀번호 생성규칙의 기준을 정하고 있으나, 일부 정보시스템 및 개인정보처리시스템에서 내부 지침과 상이한 비밀번호를 사용하고 있는 경우

• 사례 2 : 비밀번호 관련 내부 규정에는 비밀번호를 초기화 시 임시 비밀번호를 부여받고 강제적으로 변경하도록 되어 있으나, 실제로는 임시 비밀번호를 그대로 사용하고 있는 경우

• 사례 3 : 사용자 및 개인정보취급자의 비밀번호 변경주기가 규정되어 있음에도 불구하고 변경하지 않고 그대로 사용하고 있는 경우