과유불급의 보안 정책

강력한 비밀번호 정책

내가 겪었던 어떤 회사는 비밀번호 정책이 매우 강력했다.

특수문자, 영어 대/소문자, 숫자를 섞어서 비밀번호를 만들어야 했고, 대략 한 달이 지나면 다른 비밀번호로 교체를 요구했다. 교체 시에는 직전 3개의 비밀번호는 재사용할 수 없었다. 비밀번호를 다섯 번 틀리면 계정이 잠겨버리고, 복잡한 초기화 절차를 거쳐야 했다.

이런 복잡한 규칙 때문에 대부분의 사람들은 크롬의 비밀번호 저장 기능에 의존했고, 대충 저장해두다가 까먹는 일이 다반사였다.

크롬의 비밀번호 저장 기능도 만능은 아니어서, 도메인이 비슷하고 리다이렉트가 난무하다 보니 A 사이트에 B 사이트의 비밀번호를 자동 입력해주는 일이 생겼다. 그렇게 다섯 번 틀리면 또다시 비밀번호 초기화 절차를 거쳐야 했고, 직전 3개 비밀번호는 재사용이 불가능했다.

이런 복잡한 규칙을 통해 과연 보안이 강해졌을까?

하지만 사람들은

결론적으로, 팀원들은 공용 계정을 만들기로 했다. 물론 보안 담당자는 공용 계정을 허용하지 않지만, 어차피 안 걸리면 그만이라는 생각이었다.

모두가 쓰는 공용 계정 하나를 만들고 비밀번호를 공유했다. 비밀번호 관리는 한 사람(대개 막내 팀원)이 전담하고, 다들 그 계정을 돌려 썼다.

이제 보안이라는 건 사실상 없는 셈이 되었다. 누가 그 계정을 사용했는지도 알 수 없게 되었다.

문제가 터졌다면 어떻게 됐을까? 다행히 그런 일은 일어나지 않았다.

과유불급

너무 과도한 보안 정책은 사람들의 불편함을 초래한다.

매일 사용하는 업무용 사이트의 비밀번호를 한 달에 한 번씩 바꾸게 하고, 이전 비밀번호는 계속 쓰지 못하게 하니 사람들이 복잡한 비밀번호를 계속 외울 수는 없는 노릇이다. 잊어버리면 또 복잡한 절차가 기다리고 있다.

적절한 비밀번호 정책을 만들고 IP 대역 기반의 접근 제어 등을 함께 활용했어야 했는데, 무작정 복잡하고 강력한 비밀번호 정책만 강요한 것이 문제였다. (이 모든 사태가 보안 인증 요건 때문이라는 말도 있다.) 사람들은 생각보다 영리하다. 필요 이상으로 복잡하고 불편한 제약이 생기면 어떻게든 우회하려 하지, 순순히 따르지 않는다.

보안 담당자는 정말로 저런 정책을 사람들이 그대로 받아들일 것이라 기대했을까?