[U-13] 안전한 비밀번호 암호화 알고리즘 사용 (중요도 : 중)

★ 주요정보통신기반시설 가이드 [U-13] 유닉스/리눅스 보안 설정

항목 중요도 : 패스워드 해시 알고리즘의 보안성 확보

• 1. 항목 개요 및 보안 위협
• 2. [실습] 암호화 알고리즘 점검 및 조치 프로세스
• 3. 법적 근거 및 관련 조항 (2025년 최신 개정 반영)
• 4. 오늘 공부하며 정리한 핵심 포인트

 

1. 항목 개요 및 보안 위협

출처 : 2026 주요정보통신기반시설 기술적 취약점 분석·평가 방법 상세가이드 (2025.12 발간)

[ 점검 내용 ] : 시스템에서 사용자 패스워드를 저장할 때 사용하는 암호화 알고리즘이 SHA-512 등 보안성이 강화된 최신 알고리즘인지 점검합니다.

[ 보안 위협 ] : 취약한 암호화 알고리즘(예: MD5, DES 등)을 사용할 경우, 공격자가 패스워드 파일(/etc/shadow)을 획득했을 때 무차별 대입 공격(Brute Force)이나 레인보우 테이블을 통해 패스워드를 평문으로 복구하기가 상대적으로 쉽습니다.

 

2. [실습] 암호화 알고리즘 점검 및 조치 프로세스

Step 1 : 현재 설정된 암호화 알고리즘 확인

# [Linux] /etc/login.defs 파일 내 ENCRYPT_METHOD 확인
grep -i "ENCRYPT_METHOD" /etc/login.defs

# [AIX] pwdalg 설정 확인
lssec -f /etc/security/login.cfg -s stanzas -a pwdalg

Step 2 : 보안성이 높은 알고리즘으로 변경 (조치)

# [Linux] /etc/login.defs 수정
ENCRYPT_METHOD SHA512

# [AIX] /etc/security/login.cfg 수정
pwdalg=sha512

 

3. 법적 근거 및 관련 조항

• 개인정보의 안전성 확보조치 기준 (개인정보보호위원회고시 제2025-호)
  - 제7조(개인정보의 암호화) 제1항 : 개인정보처리자는 비밀번호를 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.
  - 제7조(개인정보의 암호화) 제5항 : 안전한 암호 알고리즘을 선택하기 위한 내부 관리계획을 수립·시행하여야 한다.
• 정보통신망 이용촉진 및 정보보호 등에 관한 법률 (정보통신망법)
  - 제28조(개인정보의 보호조치) : 개인정보의 분실·도난·유출·위조·변조 등을 방지하기 위하여 대통령령으로 정하는 기준에 따라 기술적·관리적 조치를 하여야 한다.

 

4. 오늘 공부하며 정리한 핵심 포인트

• 암호화의 가역성 : 비밀번호는 반드시 '일방향(One-way)'이어야 하며, 2025년 기준 SHA-512 미만의 알고리즘은 취약한 것으로 간주될 수 있습니다.
• 운영 팁 : 설정 변경 후 기존 패스워드들이 즉시 변환되지 않으므로, 정책 적용 후 사용자들에게 **패스워드 변경 공지**를 병행하는 것이 가장 확실한 조치입니다.

다음 공부 기록 예고 : [U-14] root 홈, 패스 디렉터리 권한 및 패스 설정 (중요도 : 상)