Korea Communications Standard 방송통신표준 제정일: 2011년 12월 30일 기업의 정보보호를 위한 암호 정책 수립 지침 Guideline for Cryptography Policy in Enterprise Information Security 방송통신위원회 국립전파연구원
제정일: 2011년 12월 30일 기업의 정보보호를 위한 암호 정책 수립 지침 Guideline for Cryptography Policy in Enterprise Information Security 방송통신위원회 국립전파연구원 본 문서에 대한 저작권은 방송통신위원회 국립전파연구원에 있으며, 방송통신위원회 국립전파연 구원과 사전 협의 없이 이 문서의 전체 또는 일부를 상업적 목적으로 복제 또는 배포해서는 안 됩니다. Copyrightc Korea Communications Commission National Radio Research Agency 2011. All Rights Reserved.
서 문 1. 표준의 목적 본 표준은 국내 기업이 정보보호 관리 체계 인증 제도 및 국제 표준에서 명시하고 있 는 요구 사항들에 적합한 암호 정책을 수립할 수 있도록 기본적인 기준과 모범 사례를 정의한다. 2. 주요 내용 요약 주요 내용으로는 국내 기업이 수립하는 암호 정책에 필수 선택적으로 포함되어야 하는 항목을 제시하고 각 항목의 목적 및 작성 방법에 대해 기술하는 것으로 구성되어 있다. 추가적으로 암호 정책 수립 기준에 따라 가상의 기업이 자신의 비즈니스 환경에 맞춰 암 호 정책을 수립한 예를 제시한다. 3. 표준 적용 산업 분야 및 산업에 미치는 영향 암호 정책과 관련된 정보보호 관리 체계 인증 제도 및 국제 표준의 암호 통제 항목은 암호 정책 수립을 위한 기본적인 요구 사항만을 간략히 정의하고 있다. 본 표준은 이러 한 요구 사항에 적합한 상세 암호 정책 수립 기준과 설명, 예시 등을 제시함으로써 국내 기업에서 올바른 암호 정책 수립에 기여할 수 있다. 4. 참조 표준(권고) 4.1. 국외 표준(권고) - ISO/IEC 17799, Information technology - Security techniques - Code of practice for information security management, 2005 - ISO/IEC 27001, Information technology - Security techniques - Information security management systems - Requirements, 2005 4.2. 국내 표준 - TTA, TTAS.KO-12.0036, 정보보호 관리 체계 수립 지침, 2006. 12. i
5. 참조 표준(권고)과의 비교 5.1. 참조표준(권고)과의 관련성 본 표준은 TTAS.KO-12.0036 에서 명시하고 있는 암호 통제 항목의 요구 사항에 적합한 상세 암호 정책 수립 기준을 제시한다. 5.2. 참조한 표준(권고)과 본 표준의 비교표 해당 사항 없음. 6. 지적재산권 관련 사항 본 표준의 지적재산권 취급 확약서 제출 현황은 국립전파연구원 웹사이트에서 확인할 수 있다. 본 표준을 이용하는 자는 이용함에 있어 지적재산권이 포함되어 있을 수 있으므 로, 확인 후 이용한다. 본 표준과 관련하여 접수된 확약서 이외에도 지적재산권이 존재할 수 있다. 7. 적합 인증 관련 사항 7.1. 적합인증 대상 여부 해당 사항 없음. 7.2. 시험 표준 제정 여부(해당 시험 표준 번호) 해당 사항 없음. 8. 표준의 이력 정보 8.1. 표준의 이력 판 수 제정 개정일 제정 개정 내역 제1판 2011.12.30. 제정 ii
8.2. 주요 개정 사항 해당 사항 없음. iii
Preface 1. The Purpose of Standard The purpose of this standard are to suggest criteria and best practices for Cryptographic control in Accreditation for ISMS(Information Security Management Systems) and international standard. 2. The Summary of Contents This standard specifies mandatory or optional items to be included in cryptographic policy of domestic enterprise. Each item is composed of its purpose and explanation. In addition to, This standard give an example of cryptographic policy for virtual enterprise which considered their IT environment. 3. The Applicable Fields of Industry and Its Effect Cryptographic control in Accreditation for ISMS and international standard specifies the basic requirements. This standard provides guideline, explanation and example including requirements of cryptographic control. Therefore, IT enterprise managers can easily establish cryptographic policies. 4. The Reference Standards(Recommendations) 4.1. International Standards(Recommendations) - ISO/IEC 17799, Information technology - Security techniques - Code of practice for information security management, 2005 - ISO/IEC 27001, Information technology - Security techniques - Information security management systems - Requirements, 2005 4.2. Domestic Standards - TTA, TTAS.KO-12.0036, The Guideline for Establishment of Information Security Management System, 2006. 12. iv
5. The Relationship to Reference Standards(Recommendations) 5.1. The Relationship of Reference Standards(Recommendations) This standard provides guideline, explanation and example including requirements of cryptographic control in TTAS.KO-12.0036. 5.2. Differences between Reference Standard(Recommendation) and this standard None. 6. The Statement of Intellectual Property Rights IPRs related to the present document may have been declared to RRA. The information pertaining to these IPRs, if any, is available on the RRA Website. No guarantee can be given as to the existence of other IPRs not referenced on the RRA website. And, please make sure to check before applying the standard. 7. The Statement of Conformance Testing and Certification 7.1. The Object of Conformance Testing and Certification None. 7.2. The Standards of Conformance Testing and Certification None. 8. The History of Standard 8.1. The Change History Edition Issued date Contents The 1st edition 2011.12.30 Established v
8.2. The Revisions None vi
목 차 1. 개요 1 2. 표준의 구성 및 범위 1 3. 용어 정의 2 4. 암호 정책 수립 기준 3 4.1. 총칙 및 책임 사항 3 4.2. 암호 관리 5 4.3. 키 관리 8 4.4. 문서 및 기록 10 부록 Ⅰ. 암호 정책 수립 예 11 부록 Ⅱ. 국내 외 암호화 기술 24 부록 Ⅲ. 보안 강도별 암호 알고리즘 비교표 25 부록 Ⅳ. 안전한 패스워드 및 취약한 패스워드 예시 26 vii
Contents 1. Introduction 1 2. Constitution and Scope 1 3. Terms and Definitions 2 4. Guideline for Cryptography Policy 3 4.1. General Provisions and Responsibilities 3 4.2. Management of Cryptographic tools 5 4.3. Key Management 8 4.4. Documents and Records 10 Appendix Ⅰ. Example for Cryptographic Policy Establishment 11 Appendix Ⅱ. Domestic and International Cryptographic Algorithm 24 Appendix Ⅲ. Security Strength of Cryptographic Algorithm 25 Appendix Ⅳ. Samples on Secure Password and Weak Password 26 viii
기업의 정보보호를 위한 암호 정책 수립 지침 방송통신표준 (Guideline for Cryptography Policy in Enterprise Information Security) 1. 개요 인터넷 기술의 발달로 기업의 정보 자산에 대한 중요성과 부가가치가 증가함에 따라, 많은 기업에서는 정보 자산을 안전하게 보호하고 관리하기 위한 정보보호 관리 체계를 수립하여 운영하고 있다. 정보보호 관리 체계에서는 기업의 정보 자산에 대한 외부 위험을 감소시키기 위해 물 리적 보안, 접근 통제, 운영 관리 등과 같은 적절한 정보보호 대책을 선정하도록 하고 있 으며, 이중 암호 통제라는 항목으로 암호 제품의 도입 및 서비스를 위한 암호 정책을 수 립하도록 하고 있다. 그러나 정보보호 관리 체계 관련 제도와 표준, 지침에서 명시하고 있는 암호 통제 항목들은 암호 정책 수립을 위한 기본 요구 사항만을 정의하고 있고 구 체적인 암호 정책 수립 기준이나 방법, 암호기술 도입 기준 등은 명시하고 있지 않아 정 보보호 관리 체계를 수립하고자 하는 기업에서 암호 정책 수립에 어려움을 겪고 있다. 본 표준에서는 기업이 암호 정책 수립 시 참고가 될 수 있도록 국내 정보보호 관리 체 계 인증 제도 및 국제 표준에서 명시하는 요구 사항에 적합한 상세 암호 정책 수립 기준 을 제시한다. 다만, 본 표준은 기본적인 권고 사항만을 제시하는 것으로 각 기업의 비즈 니스 환경과 고객 요구에 따라 상세 내용에는 차이가 있을 수 있다. 2. 표준의 구성 및 범위 본 표준은 자사의 정보보호를 위해 암호 정책을 수립하고자 하는 기업의 정보보호 관 리 담당자와 정보보호 컨설턴트를 대상으로 한다. 암호 정책 수립 기준에서는 정보보호 관리 체계 관련 제도와 표준, 지침에서 요구하는 암호 통제 항목들을 포함하여, 기업의 암호 정책 수립 시 필수적 선택적으로 포함되어야 하는 항목들과 각 항목에 대한 설명 및 작성 방법을 명시하고 있다. 또한 부록으로, 국내 기업에서 암호 정책 수립 시 참조할 수 있도록 본 표준의 암호 정 책 수립 기준에 따라 가상의 기업이 자신의 비즈니스 환경에 맞춰 암호 정책을 수립한 예 를 제시한다. 1
3. 용어 정의 암호화 (Encryption) 복호화 (Decryption) 암호화 키 (Encryption Key) 암호화 패스워드 (Encryption Password) 인증 패스워드 (Authentication Password) 데이터베이스 (Database) 가상 사설 통신망(VPN, Virtual Private Network) 보안 소켓 계층(SSL, Secure Sockets Layer) 암호화 기법 및 프로그램을 사용하여 평문 정보를 알아볼 수 없는 정보로 변환하는 과정 암호화 기법 및 프로그램을 사용하여 암호화된 정보를 다 시 평문 정보로 변환하는 과정 암호화 및 복호화를 수행하기 위해 암호화 기법 및 프로 그램에서 사용하는 키 기밀 데이터를 암호화 및 복호화하기 위해 사용하는 패스 워드 시스템에 접근하기 위해 사용자 인증 시 사용하는 패스워드 기업이나 조직체의 활동에 필요 불가결한 자원이 되는 대 량의 정보를 수집, 관리하는 데이터 집합 공중망상에 사설망을 구축하여 마치 사설 구내망 또는 전용망 같이 이용하는 통신망 데이터를 송수신하는 두 컴퓨터 사이, 종단 간 즉 TCP/IP 계층과 애플리케이션 계층 사이에 위치하여 인증, 암호화, 무결성을 보장하는 업계 표준 프로토콜 2
4. 암호 정책 수립 기준 본 장에서는 기업의 정보보호를 위해 수립하고자 하는 암호 정책의 기본적인 수립 기 준을 제공한다. 암호 정책 수립 기준은 크게 총칙 및 책임 사항, 암호 관리, 키 관리, 문 서 및 기록의 4 개 항목으로 구성된다. 또한 각 항목별로 포함되어야 할 내용에 대한 세 부 항목을 설명하고 있으며, 정보보호 관리 체계 관련 제도와 표준, 지침에서 공통으로 요구하는 항목에 대해서는 필수로 포함할 것을 권고하고 있다. 그 외의 항목들에 대해서 는 기본적으로 암호 정책 내에 포함을 권고 하나, 기업의 비즈니스 환경 등에 따라 포함 여부를 자체적으로 결정할 수 있다. 4.1. 총칙 및 책임 사항 4.1.1. 개정 이력 암호 정책의 수립 및 개정 이력과 시행일을 명시하고, 필요한 경우 개정 이력에 대한 추적이 가능하도록 하기 위해 암호 정책의 개정 과정에서의 주요 변경 사항을 기록한다. 개정 이력에는 개정된 암호 정책의 버전, 개정 일자, 담당자, 개정 내용 및 변경 사유, 개정 정책의 시행일 등을 포함할 수 있다. 4.1.2. 목적 암호 정책 수립 목적과 정책 적용을 통해 최종적으로 해당 기업이 달성하고자 하는 목 적을 모든 조직원들이 공유할 수 있도록 암호 정책을 수립하는 목적을 명시한다. 4.1.3. 적용 범위 암호 정책이 적용되는 정보 자산의 범위를 명시함으로써 암호화 기술 및 프로그램 등 을 적용해야 할 대상(즉, 암호화가 필요한 기밀 데이터들의 범위)을 명확히 하도록 한다. 본 항목은 암호 정책에 포함할 것을 권고한다. 이 항목에서는 기업이 보유한 정보 자산의 중요도에 대해 분류하고, 해당 중요도에 따 라 암호 정책을 적용할 것인지에 대해 명시할 수 있다. 다음 표 4.1은 적용 범위 작성 예이다. 기업이 보유한 정보를 기밀/대외비/일반 정보로 분류하고 이 중 기밀, 대외비 정보에 대해서만 암호 정책을 적용한다. 표 4.1 적용 범위 작성의 예 3
4.1.4. 용어 정의 암호 정책에 사용되는 용어들에 대한 정의와 상세 설명을 통해 암호 정책에 대한 이해 를 높임으로써 정책 시행에 오류가 없도록 한다. 4.1.5. 책임 사항 기밀 데이터에 대한 보호 및 관리를 담당하는 관리자에 대한 업무와 책임 사항을 명시 함으로써 정책 위반 등으로 인한 문제에 대해 책임 소재를 명확히 하도록 한다. 본 항목 은 암호 정책에 포함할 것을 권고한다. 다음 표 4.2는 책임 사항 항목의 작성 예로서, 기밀 데이터 보호 및 관리 담당자를 명 시한 예이다. 표 4.2 책임 사항 항목의 작성 예 담당자 역할 및 책임 사내의 전반적인 보안 계획을 수립 관리하는 자로, 암호화 기술 정보보호 관리자 및 프로그램 선정 등 암호화 관련된 모든 사항들에 대한 최종 승 인과 총괄 관리를 담당한다. 시스템 관리자 컴퓨터 및 통신 시스템의 사용에 대한 관리 책임자로, 사용자 계정 및 암호 할당, 접근 권한 설정 등을 담당한다. 4
4.2. 암호 관리 4.2.1. 암호화 기술 및 프로그램 선택 기준 데이터 보안을 위해 선택한 알고리즘, 키 길이 등의 암호화 기술과 프로그램의 선택 기 준 근거를 명시함으로써 기준에 적합한 암호화 기술 및 프로그램만을 운영하거나 이용할 수 있도록 한다. 본 항목은 암호 정책에 포함할 것을 권고한다. 이 항목에서는 중요 정보 자산에 대한 기밀성, 무결성 및 부인 방지 등을 위해 이용 가 능한 대칭 키 및 비대칭 키 암호 알고리즘, 해시 알고리즘 등의 암호화 기술이나 프로그 램에 대해 기업 내 기준을 제시한다. 암호화 프로그램 선택 기준은 프로그램 사용 목적, 사내 시스템과의 적합성, 사내 시스 템 구성요소별 지원 기능 및 동작 프로토콜 등의 시스템 환경, 기타 보안 요구 사항 등 을 기준으로 하여 각 기업의 비즈니스 환경에 맞춰 설정 가능하다. 4.2.2. 암호화 기술 및 프로그램 적용 대상 정보 자산의 가중치 및 저장 형태, 시스템 환경 등에 따라 자산을 분류하고 명시함으로 써 다양한 형태의 암호화 기술 및 프로그램이 중요 정보 자산에 적절히 적용될 수 있도 록 한다. 본 항목은 암호 정책에 포함할 것을 권고한다. 분류 기준에 따라 다양한 형태로 암호화 기술 및 프로그램의 적용 대상이 선정될 수 있다. 다음 표 4.3은 분류 기준에 따른 적용 대상 분류 예이다. 표 4.3 분류 기준에 따른 적용 대상 분류 예 분류 기준 물리적/네트워크 환경 정보 자산 이용 관리 형태 정보 자산 이용 관리 매체 정보 자산의 가중치 적용 대상 분류 내부 인트라넷을 통해서만 접근 가능한 정보 자산 외부 네트워크에서 접속 가능한 정보 자산 등 내부 시스템 내 정보 자산에 대한 저장 관리 저장된 정보 자산에 대한 접근 관리 정보 자산의 내 외부 시스템으로 송수신 관리 등 사내 데이터베이스 개인용 PC/노트북 이동식 저장매체 등 영업 정보 등의 사내 1 급 기밀 정보 고객 개인정보 등 제휴사와 정보 공유가 가능한 정보 인가된 일반 사용자에 공개 가능한 정보 등 5
4.2.3. 적용 대상에 따른 암호화 기술 및 프로그램 암호화 기술 및 프로그램 적용 대상에 따라 적용하기로 선택한 특정 암호화 기술 및 프로그램을 명시함으로써 기업 전체 시스템에 동일한 암호화 기술 및 프로그램이 적용될 수 있도록 한다. 본 항목은 암호 정책에 포함할 것을 권고한다. 적용 대상에 대한 분류에 따라 동일한 정보 자산에 대해서도 다양한 형태의 암호화기 술 및 프로그램이 적용될 수 있다. 다음 표 4.4와 표 4.5는 각각 정보 자산 이용 관리 매 체에 따라 또는 정보 자산 가중치에 따른 암호화 기술 및 프로그램 적용 예이다. 표 4.4 정보 자산 이용 관리 매체에 따른 암호화 기술 및 프로그램 적용 예 적용 대상 데이터베이스 개인용 PC/노트북 이동식 저장매체 암호화 기술 및 프로그램 데이터베이스 보안 전용 프로그램이나 데이터베이스 관리 시스템 (DBMS)을 이용하여 중요 데이터를 접근 제어 또는 암호화한다. 파일/디스크 보안 프로그램이나 운영체제 또는 압축 프로그램 등 에서 제공하는 보안 기능을 이용하여 중요 데이터를 접근 제어 또는 암호화한다. 중요 정보의 경우, 암호화 등의 보안 기능을 제공하는 보안 USB 에 저장하거나 암호화된 파일을 저장한다. 표 4.5 정보 자산 가중치에 따른 암호화 기술 및 프로그램 적용 예 적용 대상 1급 기밀정보 제휴사와 정보공유 가능한 정보 인가된 사용자에 공개 가능한 정보 암호화 기술 및 프로그램 데이터베이스 보안 전용 프로그램을 이용하여 암호화한다. 외부 접근 시, 가상 사설 통신망(VPN) 보안통신을 통해서만 접 근 가능하다. 제휴사에 제공 정보는 보안 소켓 계층(SSL) 보안 통신을 통해 전송한다. 개인PC 및 이동식 저장매체에 저장 시, 디스크/파일 암호화 프 로그램을 이용하여 암호화한다. 인가된 회원에 의한 정보 접근이 가능하도록 ID/패스워드를 통 해 접근 제어 한다. 6
4.2.4. 암호화 기술 및 프로그램 운용 암호화 기술 및 프로그램의 사용 변경 절차, 보안감사 기준 등 안전한 관리 및 운용을 위한 절차와 규정 등을 명시함으로써 암호화 기술 및 프로그램 이용 과정에서 발생할 수 있는 문제들을 사전에 방지하고 이로 인한 위협으로부터 정보 자산을 보호할 수 있도록 한다. 본 항목은 암호 정책에 포함할 것을 권고한다. 암호화 기술 및 프로그램의 안전한 관리 운영을 위해서는 일반적으로 다음과 같은 항목 들에 대한 정책 수립 및 주기적인 점검이 필요하다. - 암호화 기술 및 프로그램 승인 절차(이용 및 변경 포함) - 예외 사항 및 오류 발생 시 조치 절차 및 내용 - 프로그램의 무결성 검사 등 암호화 기술 및 프로그램에 대한 주기적 감사 실시에 대 한 규정 7
4.3. 키 관리 4.3.1. 키 선택 기준 암호화 기술 및 프로그램에서 사용하는 암호화 키나 패스워드를 선택하는 기준을 컴퓨 터의 성능, 해킹 기술 등을 고려하여 명시함으로써 안전한 암호화 키와 패스워드를 사용 할 수 있도록 한다. 본 항목은 암호 정책에 포함할 것을 권고한다. 암호화 키는 암호 알고리즘에 따라 다양한 키 길이를 선택할 수 있다. 이 때 필요이상 으로 긴 길이의 키를 선택하면 키 생성 및 처리 시간이 길어 비효율적일 수 있고, 짧은 길이의 키를 선택하면 보안에 취약할 수 있다. 따라서 정보보호 담당자는 기업의 암호화 사용 환경 등에 따라 알맞은 길이의 키를 선택하여 사용하도록 한다. 4.3.2. 키 관리 암호화 키나 패스워드를 생성 사용 폐기하는 방법, 비인가자의 접근 제한 등의 관리 방 법을 명시함으로써 기업 내 암호화 키 및 패스워드에 대한 체계적인 관리가 가능하도록 한다. 본 항목은 암호 정책에 포함할 것을 권고한다. 보안강도가 높은 암호화 기법 및 프로그램을 사용하더라도 암호화 키와 패스워드의 관 리가 잘못된다면, 기밀 데이터 등의 중요 정보들은 쉽게 노출될 수 있으므로 암호화 키 및 패스워드에 대한 안전 관리가 중요하다. 키 관리에서는 암호화 키와 패스워드의 생성부터 폐기까지 모든 단계에 따른 관리 방 법을 명시할 수 있다. 예를 들어 키 관리를 생성, 사용, 폐기의 3 단계로 나누었다면 다 음과 같은 관리 방법을 명시할 수 있다. 다음 표 4.6은 키 이용 단계별 관리 방법의 예 이다. 표 4.6 키 이용 단계별 관리 방법 예 단계 생성 사용 폐기 관리 방법 암호화 키와 패스워드를 생성, 사용, 관리하는 사람 등을 명시하 고 키를 생성하는데 사용하는 프로그램 등 어떠한 방법으로 생 성하는지에 대한 절차를 명시한다. 암호화와 패스워드를 어떠한 방법으로 사용하는지에 대한 절차, 생성한 키의 종류에 따른 변경 주기, 인가된 사용자만 키에 접근 할 수 있는 접근 통제 방법 및 요구 사항 등을 명시한다. 키의 사용 주기가 만료된 경우 또는 사용 용도가 종료된 경우 등 생성한 키를 폐기하여야 하는 경우를 명시하고, 암호화 키와 패스워드를 안전하게 폐기하는 절차 및 요구 사항 등을 명시한 다. 8
4.3.3. 키 복구 사용자의 퇴사 등으로 암호화 키와 패스워드를 알 수 없거나, 사용자의 부주의로 인해 분실 및 훼손되었을 경우를 대비하여 키를 복구하기 위한 절차 및 방법을 명시함으로써 키 분실 및 훼손으로 인한 피해를 최소화하도록 한다. 본 항목은 암호 정책에 포함할 것 을 권고한다. 사용자 퇴사 등으로 본래 사용자 이외의 사람이 키를 복구해야 할 경우, 암호화 키는 정보보호 담당자의 관리하에 암호화 키 관리 대장 등에서 복구하고, 패스워드는 정보보 호 담당자가 임시 패스워드를 발급하는 등 키 복구에 대한 방안을 마련하도록 한다. 9
4.4. 문서 및 기록 4.4.1. 예외 규정 암호 정책 적용 대상인 정보 자산 중, 특정 사유로 인해 암호 정책을 적용할 수 없거나 보류해야 하는 사항들에 대해 사전에 규정하여 예외 사항에 대해 처리할 수 있도록 한 다. 본 항목에는 예외 사항에 대한 처리 절차도 포함될 수 있다. 4.4.2. 경과 조치 특정 사유로 인해 암호 정책 적용을 보류해야 하는 경우, 언제까지 해당 암호 정책을 적용할 것인지를 명시하여, 경과 조치 기간 내에 암호 정책이 적용될 수 있도록 한다. 4.4.3. 관련 지침 암호 정책을 수립하면서 참조된 지침이나 문서들을 명시하여, 암호 정책 적용 시 암호 정책을 이해하는데 도움이 될 수 있도록 한다. 4.4.4. 관련 서식 암호화 키 관리 대장, 암호화 키 복구 대장 등 암호 정책 적용 시 필요한 서식들을 명 시하여, 암호 정책 적용 시 쉽게 사용할 수 있도록 한다. 4.4.5. 별첨 암호 정책에 별도로 추가되는 문서들을 명시하여, 암호 정책 적용 시 참고할 수 있도록 한다. 10
부록 Ⅰ 암호 정책 수립 예 본 부록에서는 앞서 제시한 암호 정책 수립 기준에 따라 기업이 실제 암호 정책을 수 립하는 과정에서 참고할 수 있도록 임의의 암호 정책 수립 예를 소개한다. Ⅰ.1. 총칙 및 책임 사항 Ⅰ.1.1. 개정 이력 번호 작성 일자 작성자 적용 부분 변경 사유 시행일 No.1 2008년 6월 30일 박 관 리 전체 최초 작성 2008년 7월 1일 Ⅰ.1.2. 목적 본 암호 정책은 정보통신망 이용 촉진 및 정보보호 등에 관한 법률 의 개인정보의 보호, 정보통신망의 안전성 확보 등 관계 법령의 규정을 토대로, 사의 중요 정보 자산에 대해 기밀성, 무결성, 인증 및 부인 방지 등을 보장하기 위한 암호화를 적용하는 데 있어 필요한 사항들을 규정하는데 그 목적이 있다. Ⅰ.1.3. 적용 범위 사내의 중요 정보 자산을 기밀/일반 데이터로 분류하고, 기밀 데이터로 분류된 모든 데 이터들에 대해서 암호화를 적용한다. Ⅰ.1.4. 용어 정의 - 암호화(Encryption) : 암호화 기법 및 프로그램을 사용하여 평문 정보를 알아볼 수 없는 정보로 변환하는 과정 - 복호화(Decryption) : 암호화 기법 및 프로그램을 사용하여 암호화된 정보를 다시 평 문 정보로 변환하는 과정 - 암호화 키(Encryption Key) : 암호화 및 복호화를 수행하기 위해 암호화 기법 및 프 로그램에서 사용하는 키 - 암호화 패스워드 : 기밀 데이터를 암호화 및 복호화하기 위해 사용하는 패스워드 - 인증 패스워드 : 시스템에 접근하기 위해 사용자 인증 시 사용하는 패스워드 11
Ⅰ.1.5. 책임 사항 - 정보보호 관리자 : 사내의 전반적인 보안 계획을 수립 관리하는 자로 사내에서 한 명 을 선정하여, 암호화 기술 및 프로그램 등 암호와 관련된 모든 사항들에 대해서 최종 승인과 총괄적인 관리를 담당한다. 그리고 기술의 발달에 따라 암호화 기술 및 프로 그램, 키의 기준을 검토하고 개정할 의무를 가진다. - 정보보호 담당자 : 각 부서의 정보보호를 담당하는 자로 부서별로 한 명씩 선정하여, 암호화 기술 및 프로그램의 도입 또는 개발과 암호화 키 관리 등을 담당한다. - 사용자 : 암호화 기술 및 프로그램을 실제로 사용하는 자로 정보를 다루는 사내의 모든 직원이 이에 해당되며, 정보보호 관리자가 승인한 암호화 기술 및 프로그램만 을 사용해야 한다. Ⅰ.2. 암호 관리 Ⅰ.2.1. 암호화 기술 및 프로그램 선택 기준 가. 암호화 기술의 선택 기준 암호화 기술은 다음의 사항들을 만족하는 암호화 기술 중에서 기밀 데이터의 보안성, 성 능, 호환성 및 목적 등을 고려하여 정보보호 담당자가 선택 및 검토하고, 정보보호 관리 자가 최종 승인한다. - 기밀성을 위한 암호 기술은 최소 128 비트 암호화 키를 사용하는 시드 블록 암호 알 고리즘(SEED) 이상 또는 이에 준하는 안전성이 입증된 대칭 키 암호화 알고리즘을 이용한다. - 무결성 또는 전자 서명을 위한 암호 기술은 각각 최소 SHA-256과 RSA-2048 비트 이상 또는 이에 준하는 안전성이 입증된 해시 함수와 비대칭 키 암호화 알고리즘을 이용한다. 나. 암호화 프로그램의 선택 기준 암호화 프로그램은 다음의 사항들을 고려하여 정보보호 담당자가 선택 및 검토하고, 정보보호 관리자가 최종 승인한다. - 사용 목적 - 사내 시스템의 적합성 여부 및 암호화 키 관리 방안 - 시스템 구성도 및 동작 프로토콜 - 시스템 구성 요소별 기능 및 제원 - 보안 서비스 요구 사항 12
Ⅰ.2.2. 암호화 기술 및 프로그램 적용 대상 암호화 기술 및 프로그램 적용 대상은 크게 데이터의 저장, 데이터의 접근 제어, 네트 워크를 통한 데이터의 송수신으로 분류한다. 가. 데이터의 저장 구 분 개인 PC/노트북 데이터베이스 이동식 저장매체 기타 적용 대상 내부 또는 외부에서 개인이 사용하는 PC/노트북에 저장하는 내 부 보안 문서 등의 기밀 데이터 내부 서버에 저장하는 고객정보, 보안 시스템 정책, 네트워크 구성도 등의 기밀 데이터 분실 위험이 있는 이동 가능한 디스켓, 디스크, USB 메모리 등 의 저장매체에 저장하는 기밀 데이터 그 외 컴퓨팅 디바이스와 저장매체들에 저장하는 기밀 데이터 나. 데이터의 접근 통제 구 분 적용 대상 개인 PC/노트북 개인 사용자 기반의 컴퓨터 시스템에 대한 사용자 인증 데이터베이스와 같은 공용 자원을 다수의 사용자가 이용할 수 서버 있도록 서비스를 제공하는 컴퓨터 시스템에 대한 사용자 인증 전산화된 정보를 저장하는 장치로서 이동 가능한 디스크, USB 이동식 저장매체 메모리 등의 저장매체에 대한 사용자 인증 외부에서 내부 내부 직원들이 회사 외부에서 내부 시스템으로 접근하는 경우 시스템 접근 사용자 인증 그 외 인가된 사용자만이 기밀 데이터에 접근 가능하도록 인증 기타 이 필요한 대상들에 대한 사용자 인증 다. 네트워크를 통한 데이터의 송수신 구 분 적용 대상 메일 메일을 사용하여 내부 또는 외부와 송수신하는 기밀 데이터 메신저 메신저를 사용하여 내부 또는 외부와 중요한 내용의 대화 및 송수신하는 기밀 데이터 내부 서버와 외부 클라이언트 사이에 송수신하는 로그인 정보 서버와 클라이언트 (패스워드)와 같은 기밀 데이터 기타 그 외 네트워크에서 송수신하는 기밀 데이터 13
Ⅰ.2.3. 적용 대상에 따른 암호화 기술 및 프로그램 Ⅰ.2.2절에서 분류한 적용 대상들은 다음과 같은 암호화 기술 및 프로그램을 사용해야 한다. 가. 데이터의 저장 1) 개인 PC/노트북 개인용 또는 기업용 파일 암호화 프로그램을 사용하며, 파일 암호화 프로그램을 사용 하지 않는다면, 파일과 폴더는 운영체제 및 압축 프로그램에서 제공하는 암호화 기능 을 사용한다. 문서 파일은 문서 프로그램에서 기본적으로 제공하는 암호화 기능이나 PDF 생성 시 제공하는 보안 기능을 사용한다. 암호 이용 안내서(KISA) 및 중소 IT 서비스 기업을 위한 정보보호 안내서(KISA) 참조 2) 데이터베이스 데이터베이스 암호화 전용 프로그램이나 데이터베이스관리시스템(DBMS)을 사용해야 하며, 다양한 기능을 제공하는 데이터베이스 암호화 전용 프로그램을 사용한다. 암호 이용 안내서(KISA) 참조 3) 이동식 저장매체 저장매체에서 암호화 기능을 제공하는 보안 USB 등의 저장매체들은 반드시 인증 패 스워드를 설정하여 보안 기능을 사용하고, 풀 디스크 암호화 프로그램을 사용한다. 보 안기능이 없거나 풀 디스크 암호화 프로그램을 사용하지 않는 경우에는 매체에 기밀 데이터를 저장할 때, 각 파일을 암호화한 후에 저장한다. 암호 이용 안내서(KISA) 참조 4) 기타 그 외 컴퓨팅 디바이스와 저장매체들은 각각에 알맞은 암호화 기술 및 프로그램을 사용한다. 나. 데이터의 접근 통제 1) 개인 PC/노트북 PC/노트북의 부팅 시 시모스(CMOS)와 운영체제에서 제공하는 로그인 인증 패스워드 를 설정하여 사용한다. 또한, 화면보호기를 설정하여 일정 시간 자리를 비울 경우 화 면보호기가 자동 실행되도록 하고 재로그인 시 패스워드가 필요하도록 한다. 공용 PC/노트북인 경우 사용자의 수만큼 계정을 생성하고, 각각 다른 인증 패스워드를 사용 한다. 패스워드 선택 및 이용 안내서(KISA) 및 중소 IT 서비스 기업을 위한 정보보호 안내서 (KISA) 참조 14
2) 서버 서버의 부팅 시 시모스(CMOS)와 운영체제에서 제공하는 로그인 인증 패스워드를 설 정하여 사용한다. 또한, 화면보호기를 설정하여 일정 시간 자리를 비울 경우 화면보호 기가 자동 실행되도록 하고 재로그인 시 패스워드가 필요하도록 한다. 서버 관리자가 여러 명인 경우 관리자의 수만큼 계정을 생성하고, 각각 다른 인증 패스워드를 사용한 다. 인증 패스워드를 주기적으로 변경하고, 인증 패스워드가 지정되지 않은 계정이나, 불필요한 계정들은 제거한다. 패스워드 선택 및 이용 안내서(KISA) 및 중소 IT 서비스 기업을 위한 정보보호 안내서 (KISA) 참조 3) 이동식 저장매체 저장매체에서 사용자 식별/인증기능 및 암호화 기능을 제공하는 보안 USB 등의 저 장매체들은 반드시 인증 패스워드를 설정하여 보안 기능을 사용해야 하고, 그렇지 않 은 저장매체들은 기밀 데이터 파일을 저장할 때, 각 파일을 암호화한 후에 저장한다. 4) 외부에서 내부 시스템 접근 인가된 사용자라 할지라도 공개키 기반 구조(PKI, Public Key Infrastructure) 기반의 강화된 인증 방법을 사용하고, 가상 사설 통신망(VPN) 등의 추가적인 보안 시스템을 통해 접근을 통제한다. 5) 기타 그 외 인가된 사용자만이 기밀 데이터에 접근 가능하도록 인증이 필요한 대상들은 각각에 알맞은 암호화 기술 및 프로그램을 사용한다. 다. 네트워크를 통한 데이터의 송수신 1) 메일 메일의 경우 OpenPGP(Open Pretty Good Privacy), S/MIME(Security services for Multipurpose Internet Mail Extension) 등의 이메일 보안 프로토콜을 사용하거나 메일 암호화 프로그램을 사용한다. 추가적인 프로그램을 사용하지 않는다면, 사용자가 사용 하고 있는 메일 클라이언트 소프트웨어에서 제공하는 메일 암호화 기능을 사용한다. 암호 이용 안내서(KISA) 참조 2) 메신저 메신저 소프트웨어에서 기본적으로 제공하는 대화 암호화 기능 및 파일 암호화 전송 기능을 사용하거나, 메신저 암호화 프로그램을 사용하여 대화하고 기밀 데이터를 송수 신한다. 이러한 기능을 제공하지 않는다면, 메신저를 통한 중요한 내용의 대화는 삼가 고, 기밀 데이터 전송 시 파일을 사전에 암호화하여 전송한다. 15
3) 서버와 클라이언트 보안 소켓 계층(SSL) 및 전송 계층 보안(TLS) 프로토콜 등과 같은 통신 암호 기술이나 관련 프로그램을 이용해야 하며, ID/패스워드, 계좌번호 및 신용카드 번호, 그 외 개인 정보 등을 암호화하여 송수신한다. 패스워드 선택 및 이용 안내서(KISA) 및 보안 서버 구축 안내서(KISA) 참조 4) 기타 그 외 네트워크에서 기밀 데이터를 송수신하는 경우 각각에 알맞은 암호화 기술 및 프로그램을 사용한다. Ⅰ.2.4. 암호화 기술 및 프로그램 운용 암호화 기술 및 프로그램은 정보보호 관리자의 승인을 얻어 본 암호 정책에서 명시하 고 있는 국내외 표준 암호화 기술 및 이를 이용한(또는 탑재한) 프로그램만을 사용해야 한다. 부득이한 경우 본 암호 정책에서 정하지 않은 암호화 기술 및 프로그램을 사용하 기 위해서는 반드시 정보보호 담당자의 검토와 정보보호 관리자의 승인을 얻어야 한다. 정보보호 관리자는 사용 중인 암호화 기술 및 프로그램에 대해서 3 개월 주기로 적용 현 황, 신뢰수준의 적절성 등을 포함한 보안 감사를 실시한다. Ⅰ.3. 키 관리 키 관리는 암호화 키와 패스워드의 선택, 관리, 복구 항목으로 분류하여 규정하고, 정 보보호 관리자는 사용 중인 암호화 키 및 패스워드에 대해서 3 개월 주기로 관리 현황, 암호화 키 및 패스워드 길이의 적절성 등을 포함한 보안감사를 실시한다. 암호 이용 안내서(KISA) 및 패스워드 선택 및 이용 안내서(KISA) 참조 Ⅰ.3.1. 암호화 키 및 패스워드 선택 기준 가. 암호화 키의 길이 암호화 키의 길이는 전수 조사 공격(가능한 모든 경우의 수를 시행하여 키를 찾아내는 공 격)에 의한 피해를 막기 위해 대칭키 암호 알고리즘의 암호화 키는 128 비트 이상, 비 대칭 키 암호 알고리즘의 암호화 키는 2048 비트 이상이어야 한다. 나. 패스워드의 길이 및 문자 구성 패스워드는 3 가지 종류(대문자, 소문자, 특수문자, 숫자 등) 이상의 문자 구성으로 8 자리 이상의 길이 또는 2 가지 종류 이상의 문자 구성으로 10 자리 이상의 길이여야 한다. 또한, 다음과 같은 기준을 따라야 한다. 16
- 한글, 영어 등의 사전적 단어를 포함하지 않는다. - 널리 알려진 단어를 포함하지 말고 예측이 어렵도록 만든다. - 사용자 ID와 연관성이 있는 단어 구성을 포함하지 않는다. - 제3자가 쉽게 알 수 있는 개인정보를 포함하지 않는다. - 해당 시스템에서 이전에 사용하지 않은 새로운 문자 구성을 사용한다. - 이전의 문자 구성과 연관된 문자 구성을 사용하지 않는다. Ⅰ.3.2. 암호화 키 및 패스워드 관리 가. 암호화 키 1) 암호화 키 생성 암호화 키는 기밀 데이터를 암호화할 경우 정보보호 담당자의 승인을 받아 생성하고 암호화 키 관리 대장 에 기록한다. 2) 암호화 키 사용 접근이 인가되지 않은 사용자는 암호화 키를 사용할 수 없도록 강력하게 접근을 통 제해야 하며, 접근이 인가된 사용자 외에게는 암호화 키가 노출되지 않도록 철저하게 관리해야 한다. 또한, 암호화 키는 노출 위협을 최소화하기 위해 1 년마다 변경해야 한다. 그 외에도 암호화 키의 생성 사용 및 폐기 기록을 관리하는 암호화 키 관리 대 장 에 대한 접근은 정보보호 담당자가 관리하며, 내화 금고 등에 보관하는 등 암호화 키를 관리하는 수준의 강력한 접근 통제가 필요하다. 3) 암호화 키 폐기 암호화 키는 사용 용도가 종료되거나 사용 주기가 만료된 경우 폐기한다. 암호화 키 는 정보보호 담당자가 폐기하고 암호화 키 관리 대장 에 기록한다. 나. 패스워드 1) 패스워드 생성 개인 패스워드는 사용자가 직접 생성하고 그룹 패스워드는 그룹의 장이 생성하여 구 성원들에게 안전한 방법을 통해 전달한다. 2) 패스워드 사용 패스워드는 제3자에게 노출되지 않도록 해야 하며, 자신의 패스워드와 관련된 정보 및 힌트를 제공하지 않아야 한다. 패스워드 변경 주기는 3 개월이다. 시스템 및 소프 트웨어의 기본 제공 패스워드는 설치 시 즉시 변경해야 한다. 17
3) 패스워드 폐기 패스워드는 사용 용도가 종료되거나 사용 주기가 만료된 경우 폐기한다. 인증 패스워 드는 시스템 담당자가 사용자 계정의 삭제와 함께 폐기하고, 암호화 패스워드는 사용 자가 직접 폐기한다. Ⅰ.3.3. 암호화 키 및 패스워드 복구 가. 암호화 키의 복구 암호화 키 소유자의 퇴사 등의 사유로 암호화 키를 알 수 없을 경우 정보보호 담당자 의 승인을 받아 암호화 키 복구 대장 에 기록하고, 암호화 키 관리 대장 에서 암호화 키 를 복구한다. 암호화 키 복구 대장 에 대한 접근은 정보보호 담당자가 관리하며, 내화금 고 등에 보관하는 등 암호화 키 수준의 강력한 접근 통제가 필요하다. 나. 패스워드의 복구 암호화 패스워드는 사용자 본인만이 알고 있는 정보로, 분실 시 복구가 어렵기 때문에 사용에 주의를 기울여야한다. 서버의 사용자 인증 등에서 사용하는 인증 패스워드는 임 시 패스워드의 재발급으로 복구한다. 임시 패스워드는 안전한 방법으로 사용자에게 발급 되어야 하며, 사용자는 임시 패스워드를 발급받은 즉시 새로운 패스워드로 변경해야 한 다. Ⅰ.4. 문서 및 기록 Ⅰ.4.1. 예외 규정 본 암호 정책에서 명시한 내용일지라도 다음에 해당하는 경우에는 정보보호 관리자의 승인을 받아 예외 취급할 수 있다. - 기술 환경의 변화로 적용이 불가능할 경우 - 기술적, 관리적 필요에 따라 암호 정책의 적용을 보류할 긴급한 사유가 있을 경우 - 기타 재해 등 불가항력적인 상황일 경우 Ⅰ.4.2. 경과 조치 특별한 사유에 의하여 본 암호 정책을 따르지 못하는 경우 시행일로부터 1년 이내에 개선 방안을 강구한다. 18
Ⅰ.4.3. 관련 지침 - 중소 IT 서비스 기업을 위한 정보보호 안내서, 한국인터넷진흥원, 2010 (http://www.kisa.or.kr/public/laws/laws3.jsp) - 암호 이용 안내서, 한국인터넷진흥원, 2010 (http://www.kisa.or.kr/public/laws/laws3.jsp) - 패스워드 선택 및 이용 안내서, 한국인터넷진흥원, 2010 - 보안 서버 구축 안내서, 한국인터넷진흥원, 2009 Ⅰ.4.4. 관련 서식 - [관련서식 1] 암호화 키 관리 대장 - [관련서식 2] 암호화 키 복구 대장 Ⅰ.4.5. 별첨 - 해당 사항 없음 19
[관련 서식 1] 암호화 키 관리 대장 일련 번호 일자 키 사용 용도 암호화 키 부서명/ 사용자명 사용자 서명 정보보호 담당자 서명 No.1 키 생성 2008.10.1 데이터 A 암호화 키 폐기 2008.10.7 FACA37E0B0C85373 DF706E73F7C9AF86 IT보호팀/ 홍길동 IT보호팀/ 홍길동 홍길동 홍길동 김담당 김담당 No.2 키 생성 2008.10.15 데이터 B 암호화 키 폐기 2008.10.20 5496A4C29C7670F6 1B5D5DF6181F5947 IT보호팀/ 이순신 IT보호팀/ 김유신 이순신 김유신 김담당 김담당 No.3 키 생성 2008.10.16 데이터 C 암호화 키 폐기 BD4089775FD1BDB0 A6C4F36D1DDAA93E IT보호팀/ 홍길동 홍길동 김담당 키 생성 키 폐기 키 생성 키 폐기 키 생성 키 폐기 키 생성 키 폐기 키 생성 키 폐기 20
[관련 서식 2] 암호화 키 복구 대장 일련 번호 일자 암호화 키 관리 대장 일련번호 키 복구 사유 부서명/ 사용자명 사용자 서명 정보보호 담당자 서명 No.1 2008.10.20 No.2 이순신의 병가로 암호화 키 폐기를 위한 키 복구 IT보호팀/ 김유신 김유신 김담당 21
부록 Ⅱ 국내외 암호화 기술 본 부록에서는 암호 정책 수립 시 참조할 수 있도록 국내 외 암호연구기관의 보고서 및 표준에서 명시하고 있는 암호화 기술을 소개한다. 표 Ⅱ.1 국내 외 암호화 기술 (2011년 기준) 분류 NIST(미국) CRYPTREC(일본) ECRYPT(유럽) 국내 1 대칭키 암호 알고리즘 AES 2TDEA 2 3TDEA 2 AES 3TDEA Camellia Cipherunicorn-A Cipherunicorn-E Hierocrypt-3 Hierocrypt-L1 MISTY1 SC2000 AES 2TDEA 3TDEA KASUMI Blowfish SEED ARIA HIGHT 해시함수 SHA-1 3 SHA-224/256/ 384/512 SHA-1 3 SHA-256/384/ 512 RIPEMD-160 SHA-1 3 SHA-224/256/ 384/512 RIPEMD-128/160 Whirlpool HAS-160 3, SHA-1 3 SHA-224/256/ 384/512 키 공유용 DH ECDH MQV ECMQV DH ECDH PSEC-KEM ACE-KEM PSEC-KEM RSA-KEM - 공개키 암호 알고 리즘 암 복호화용 전자서명용 RSA RSA DSA ECDSA RSAES-OAEP RSAES-PKCS1(v1.5) RSASSA-PSS RSASSA-PKCS1(v1.5) DSA ECDSA RSAES-OAEP RSASSA-PSS RSASSA-PKCS1(v1.5) DSA ECDSA RSAES-OAEP RSASSA-PKCS1(v1.5) RSASSA-PSS KCDSA ECDSA EC-KCDSA 1 국내 : 국내의 경우 단체표준(TTAS) 을 기반으로 구성됨 2 2TDEA(3TDEA) : 두 개의 키가 다른(세 개의 키가 다른) TDEA(Triple Data Encryption Algorithm) 3 SHA-1, HAS-160 : 2011년 현재까지 표준 등에 명시되어 있으나, 80비트이하의 보안강도를 제공하기 때문에 전자서명 및 단순 해시 분야와 신규로 구축하는 시스템에서는 사용하지 않는 것을 권고하고 있음 22
부록 Ⅲ 보안 강도별 암호 알고리즘 비교표 본 부록에서는 암호 정책 수립 시 참조할 수 있도록 한국인터넷진흥원이 2010년 발간 한 암호 알고리즘 및 키 길이 선택 및 이용 안내서 에서 명시하고 있는 보안 강도별 암 호 알고리즘 비교표를 소개한다. 표 Ⅲ.1 보안 강도별 암호 알고리즘 비교 보안 강도 (비트) 대칭 키 암호 알고리즘 (비트) 해시 함수 (비트) 인수분해 (비트) 공개 키 암호 알고리즘 공개 키 (비트) 이산대수 개인 키 (비트) 타원 곡선 암호 (비트) 암호 알고리즘 안전성 유지 기간 (연도) 80 80 80 1024 1024 160 160 2010 년까지 112 112 112 2048 2048 224 224 2011 년에서 2030 년까지 (최대 20 년) 128 128 128 3072 3072 256 256 192 192 192 7680 7680 384 384 2030 년 이후 (최대 30 년) 256 256 256 15360 15360 512 512 23
부록 Ⅳ 안전한 패스워드 및 취약한 패스워드 예시 본 부록에서는 암호 정책 수립 시 참조할 수 있도록 한국인터넷진흥원이 2010년 발간 한 패스워드 선택 및 이용 안내서 에서 명시하고 있는 안전한 패스워드 및 취약한 패스 워드 예시를 명시한다. 표 Ⅳ.1 안전한 패스워드 및 취약한 패스워드 예시 안전한 패스워드 예시 취약한 패스워드 예시 문자 구성 및 길이 조건 특정 정보 이용 및 패턴 조건 3 종류 이상의 문자 구성으로 8 자리 이상의 길이로 구성된 패스워드 2 종류 이상의 문자 구성으로 10 자리 이상의 길이로 구성된 패스워드 문자 종류는 알파벳 대문자와 소문자, 특수기호, 숫자의 4 가지임 한글, 영어 등의 사전적 단어를 포함하 지 않은 패스워드 널리 알려진 단어를 포함하지 않거나 예측이 어렵도록 가공한 패스워드 널리 알려진 단어는 컴퓨터 용어, 기업 등의 특정명칭을 가공하지 않고 명칭 그대로 사용하는 경우 속어, 방언, 은어 등을 포함하는 경우 사용자 ID와 연관성이 있는 단어 구성 을 포함하지 않은 패스워드 제3자가 쉽게 알 수 있는 개인정보를 포함하지 않은 패스워드 개인 정보는 가족, 생일, 주소, 휴대전 화번호 등을 포함 2 종류 이하의 문자 구성으로 8 자리 이하의 길이로 구성된 패스워드 문자 구성과 관계없이 7 자리 이하 길 이로 구성된 패스워드 문자 종류는 알파벳 대문자와 소문자, 특수기호, 숫자의 4 가지임 한글, 영어 등을 포함한 사전적인 단어 로 구성된 패스워드 스펠링을 거꾸로 구성한 패스워드도 포함 널리 알려진 단어로 구성된 패스워드 컴퓨터 용어, 사이트, 기업 등의 특정 명칭으로 구성된 패스워드도 포함 사용자 ID를 이용한 패스워드 사용자 ID 혹은 사용자 ID를 거꾸로 구 성한 패스워드도 포함 제3자가 쉽게 알 수 있는 개인정보를 바탕으로 구성된 패스워드 가족, 생일, 주소, 휴대전화 번호 등을 포함하는 패스워드 패턴이 존재하는 패스워드 동일한 문자의 반복: ex) aaabbb, 123123 키보드 상에서 연속한 위치에 존재하는 문자들의 집합: ex) qwerty, asdfgh 숫자가 제일 앞이나 제일 뒤에 오는 구 성의 패스워드: ex) security1, may12 숫자와 영문자를 비슷한 문자로 치환한 형태를 포함한 구성의 패스워드 영문자 'O'를 숫자 '0'으로, 영문자 'l' 을 숫자 '1'로 치환 등의 패스워드 특정 인물의 이름을 포함한 패스워드 사용자 또는 사용자 이외의 특정 인물, 유명인, 연예인 등의 이름을 포함하 는 패스워드 24
안전한 패스워드 예시 취약한 패스워드 예시 한글의 발음을 영문으로, 영문단어의 발 음을 한글로 변형한 형태의 패스워드 한글의 '사랑'을 영어 'Sa Rang'으로 표기, 영문자 'LOVE'의 발음을 한글 ' 러브'로 표기 기타 조건 해당 시스템에서 사용자가 이전에 사용 하지 않고 이전 패스워드와 연관성이 있는 단어 구성을 포함하지 않은 패스워 드 시스템에서 예제로 제시되는 패스워드 시스템에서 초기 설정된 패스워드 해당 시스템에서 사용자가 이전에 사용 했던 패스워드 25
기업의 정보보호를 위한 암호 정책 수립 지침 (Guideline for Cryptography Policy in Enterprise Information Security) 발행인 : 방송통신위원회 위원장 발행처 : 방송통신위원회 국립전파연구원 140-848, 서울 용산구 원효로41길 29 발행일 : 2011.12. 국립전파연구원 고시 제2011-28호