주요 보안 컴플라이언스별 패스워드 정책 비교

"비밀번호는 8자 이상, 대소문자·숫자·특수문자 포함, 3개월마다 변경." — 익숙하지만 이 규칙이 정말 안전한지 의문을 가진 적 있으신가요? 보안 선진국의 최신 표준들은 이미 이 공식을 재검토하고 있습니다. 각 컴플라이언스가 요구하는 패스워드 정책을 비교하고, 그 이면의 논리를 짚어봅니다.

1. 컴플라이언스별 패스워드 정책 비교

항목	CIS v8	NIST 800-63B	PCI-DSS v4	GDPR	ISMS-P
최소 길이	14자 이상	8자 이상 (15자+ 권장)	12자 이상 (v3.2.1은 7자)	명시 없음 (업계 표준 준용)	8자 이상
복잡도 요구	길이 중심 (복잡도 강제 없음)	없음 길이로 대체	필수 대·소·숫자·특수	명시 없음	2종 이상 대·소·숫자·특수 중
주기적 변경	강제 없음 침해 시에만	강제 없음 침해 시에만	90일 MFA 시 면제 가능	명시 없음	3~6개월 의무 변경
비밀번호 이력	24개 이상	최소 8개 이상	최근 4개	명시 없음	최근 3~5개
계정 잠금	5회 실패 → 잠금	속도 제한 (잠금 대신)	10회 실패 → 30분 잠금	명시 없음	5~10회 → 잠금
침해 비밀번호 차단	권장	필수 (Have I Been Pwned 등)	명시 없음	명시 없음	명시 없음
패스워드 힌트/보안 질문	금지	금지	명시 없음	명시 없음	명시 없음

2. 컴플라이언스별 MFA(다중 인증) 요구사항

항목	CIS v8	NIST 800-63B	PCI-DSS v4	GDPR	ISMS-P
MFA 의무 대상	관리자 계정 원격 접속 전체	AAL2 이상 전체 인증	카드 데이터 환경 전체 비콘솔 관리자	의무 아님 (강력 권장)	권한 계정 (권고 수준)
허용 MFA 방식	TOTP, 하드웨어 토큰, 푸시 알림	FIDO2/패스키, TOTP, 하드웨어 토큰 SMS 비권장	TOTP, 하드웨어 토큰, SMS(허용되나 비권장)	명시 없음	OTP, 공인인증서, 생체인증
SMS OTP	비권장	비권장 (SIM 스와핑 위험)	허용 (단, 위험 인지 필요)	명시 없음	허용
피싱 저항 MFA	권장	AAL3에서 필수 (FIDO2/WebAuthn)	v4.0에서 강조	명시 없음	명시 없음

3. 왜 주기적 비밀번호 변경은 역효과를 낳는가?

주기적 변경이 실패하는 이유

• 예측 가능한 패턴으로의 변경: 사용자들은 Spring2025! → Summer2025!처럼 끝 부분만 바꾸는 경향이 있습니다. 공격자들은 이미 이 패턴을 알고 자동화 툴에 적용합니다.
• 포스트잇과 메모장 증가: 자주 바꿔야 할수록 어딘가에 적어두게 됩니다. 영국 국립사이버보안센터(NCSC) 연구에서 강제 변경 환경의 사용자 중 다수가 비밀번호를 물리적으로 기록한다고 응답했습니다.
• 재사용 증가: 기억의 한계로 변경 후 결국 이전에 사용했던 변형 패턴으로 돌아갑니다.
• 진짜 위협을 놓침: 패스워드가 이미 침해됐다면 3개월 변경 주기와 상관없이 그 기간 내내 공격자는 자유롭게 접근할 수 있습니다.

올바른 접근: 침해 기반 변경

NIST SP 800-63B와 영국 NCSC는 "주기가 아니라 침해 시에만 변경"을 권고합니다. 대신 아래 조치를 병행합니다.

• 침해 비밀번호 데이터베이스 확인: 신규 비밀번호 설정 시 Have I Been Pwned API 등으로 유출 여부 즉시 차단
• 비정상 로그인 탐지: 시간·위치·디바이스가 평소와 다를 경우 재인증 요구
• MFA 의무화: 비밀번호 하나가 뚫려도 두 번째 인증 요소가 방어선 역할

4. 패스워드리스(Passwordless)가 주목받는 이유

비밀번호의 근본 문제는 "기억해야 한다"는 것입니다. 인간의 기억 한계가 보안 취약점이 됩니다. 패스워드리스는 비밀번호 자체를 없애 이 문제를 해결합니다.

패스워드리스가 확산되는 배경

• 피싱 원천 차단: 비밀번호가 없으면 훔칠 비밀번호도 없습니다. 패스키는 도메인에 바인딩돼 가짜 사이트에서 작동하지 않습니다.
• 사용자 경험 향상: 복잡한 비밀번호를 기억하는 부담 없이 지문 한 번으로 로그인.
• 크리덴셜 스터핑 차단: 유출된 이메일·비밀번호 조합을 자동으로 대입하는 공격이 무력화됩니다.
• 비용 절감: 비밀번호 리셋 헬프데스크 비용이 전체 IT 지원 비용의 20~50%를 차지한다는 조사가 있습니다.

5. ISMS-P 패스워드 정책 현황과 개선 방향

ISMS-P는 국내 기업이 반드시 준수해야 하는 법적 구속력 있는 인증입니다. 그러나 패스워드 관련 일부 요구사항이 글로벌 최신 트렌드와 차이를 보이고 있습니다.

항목	현행 ISMS-P 요구사항	글로벌 트렌드 (NIST/CIS)	개선 방향
최소 길이	8자 이상	15자+ 권장	최소 12자로 상향, 패스프레이즈 허용 명시 필요
복잡도	2종류 이상 혼용 (대소문자·숫자·특수)	구식 길이가 복잡도보다 중요	복잡도 강제 완화, 대신 최소 길이 상향 및 침해 비밀번호 차단 도입
주기적 변경	구식 3~6개월 의무 변경	침해 시에만 변경	MFA 적용 계정은 주기 변경 의무 면제. 침해 감지 기반 변경으로 전환
MFA 적용 범위	권한 계정 권고 수준	추세 전체 계정 의무화	관리자 계정은 MFA 의무화로 격상. 일반 계정도 단계적 의무화 로드맵 필요
SMS OTP	허용	비권장 (SIM 스와핑 위험)	SMS OTP 사용 시 위험 고지 의무화. FIDO2/패스키 사용 우선 권장으로 개정
침해 비밀번호 차단	명시 없음	필수 (NIST 800-63B)	신규 비밀번호 설정 시 유출 데이터베이스 대조 의무화 검토
패스워드리스	명시 없음	주류 (FIDO2, 패스키)	패스키·FIDO2를 인증 방법으로 명시 인정하는 조항 신설 필요

실무 개선 제언

현재 ISMS-P 심사에서 주기적 변경 정책을 제거하면 부적합 판정을 받을 수 있습니다. 그러나 아래 방식으로 심사 준수와 실질 보안 강화를 동시에 달성할 수 있습니다.

1. MFA 적용 계정 면제 조항 활용: 일부 심사 기관에서는 전체 계정에 MFA가 적용된 경우 주기 변경 의무를 완화 적용하고 있습니다. 사전에 심사 기관과 협의하세요.
2. 침해 비밀번호 탐지 보조 수단 도입: 주기 변경을 유지하더라도 Have I Been Pwned API 연동이나 Active Directory의 Azure AD Password Protection으로 유출된 비밀번호 사용을 즉시 차단하세요.
3. 길이 중심 정책으로 전환: 복잡도 요건(대소문자·숫자·특수문자)을 유지하면서 최소 길이를 12~16자로 상향해 실질 엔트로피를 높이세요. 복잡도만 충족하는 짧은 비밀번호보다 훨씬 안전합니다.
4. 패스프레이즈 허용: "올바른말배터리스테이플" 같은 4개 단어 조합은 복잡한 8자 비밀번호보다 엔트로피가 월등히 높고 기억하기도 쉽습니다. 정책에 패스프레이즈를 허용 형식으로 명시하세요.

6. 마무리 — 패스워드 보안의 방향

각 컴플라이언스의 패스워드 정책을 비교하면 분명한 방향이 보입니다. 복잡도보다 길이, 주기 변경보다 침해 감지, 비밀번호보다 패스키로 글로벌 보안 표준이 이동하고 있습니다.

ISMS-P를 준수해야 하는 국내 환경에서도 심사 요건을 충족하는 동시에 최신 보안 철학을 최대한 반영하는 방향으로 정책을 설계하는 것이 중요합니다. 단기적으로는 MFA 의무화가 가장 효과적인 단일 보안 조치입니다.

비밀번호 정책에서 가장 중요한 질문은 "얼마나 복잡한가"가 아니라 "침해됐을 때 얼마나 빠르게 탐지하고 대응할 수 있는가"입니다. MFA와 침해 모니터링이 없는 완벽한 비밀번호 정책은, MFA가 있는 평범한 비밀번호 정책보다 훨씬 취약합니다.