이번 글에서는 "보안장비의 Default 패스워드 변경"에 대한 내용을 알아보겠습니다. 일단 디폴트 패스워드는 디폴트 계정과 마찬가지로 방화벽이나 VPN, IPS 같은 보안장비를 처음 설치하고 관리자 페이지 등에 접속할 때 사용하는 기본 패스워드를 의미하는데요. 지난 "S-01) 보안장비 Default 계정 변경"에 이어서 비교적 간단하게 점검할 수 있는 항목이기 때문에, 이번에도 가볍게 말씀드리고 넘어가도록 하겠습니다.
사실 내용이 워낙 간단하지만, 실제 ISMS 인증이나 정보통신기반시설 컨설팅을 진행한 경험을 기반으로 해당 내용을 말씀드려보겠습니다. 이전 글에서 말씀드렸던 것처럼 인프라 취약점 진단 시 보안장비 점검은 보안 담당자와 인터뷰를 수행하거나, 질의서를 통해서 점검을 하게 되는데요. 인터뷰를 진행할 때는 실제로 보안장비의 관리자 페이지를 보면서 점검하거나 질의서에 점검 항목에 맞는 관련 증적 이미지들을 첨부하도록 하고 있죠.
디폴트 패스워드를 변경하는 것이 기업의 정보보호지침이나 매뉴얼에 가장 기본적으로 나와 있는 항목이다 보니 문제가 되는 경우는 거의 없긴 합니다. 다만 컨설팅과 무관하게 기업에서 새로운 보안장비를 도입해 놓고, 담당자의 실수로 디폴트 패스워드를 바꾸지 않고 장비를 운영하다가 발견하는 경우가 종종 있다고는 합니다. 지난 번에도 말씀드렸다시피 보안장비를 만드는 업체마다 설정되어 나오는 기본 관리자 계정의 계정이나 패스워드가 인터넷에 공유되고 있기 때문에, 보안장비에 접속할 수 있는 IP와 계정 정보를 알면 침해사고가 발생할 가능성이 있겠죠.
또한 해당 점검 항목에서는 디폴트 비밀번호를 변경했는지 확인하는 것과 더불어, 비밀번호 복잡도 정책을 준수하여 사용하고 있는지도 점검하게 되는데요. 일반적으로 보안장비를 만드는 업체에서도 이런 점검 항목들을 알고 있기에, 영문/숫자/특수문자를 포함한 8자리 이상으로 설정 등의 패스워드 복잡성을 만족해야 보안장비의 패스워드를 변경할 수 있죠. 패스워드 복잡성에 대한 내용은 리눅스 서버 점검 항목인 "U-02) 패스워드 복잡성 설정"에서 설명드린 바 있으니 참고하시기 바랍니다.
여기까지 간단하게 기업에서 보안장비를 도입해서 사용할 때, 점검 항목에 따라 디폴트 패스워드를 변경해서 사용해야 한다는 내용에 대해 말씀드렸고요. 지난 글에서 디폴트 계정을 변경해야 한다는 항목을 설명드리면서, 몇몇 보안장비에서는 디폴트 계정을 변경할 수 없다고 설명드린 적 있었죠. 이 경우에는 디폴트 패스워드를 변경해서 사용해야함은 물론 가능하면 디폴트 계정을 비활성화시키거나, 반드시 특정 IP에서 관리자 페이지에 접속할 수 있도록 하는 접근통제를 적용할 수 있도록 권고해주시길 바랍니다. 그럼 이번 글은 여기서 마치도록 하고 다음 점검 항목으로 돌아오겠습니다. 읽어주셔서 감사합니다.
'취약점 점검 > 정보보호시스템' 카테고리의 다른 글
| S-01) 보안장비 Default 계정 변경 (0) | 2022.09.24 |
|---|---|
| 주요정보통신기반시설 보안장비 취약점 분석/평가 항목 (0) | 2022.09.12 |
댓글