윈도우 패스워드. 이제 주기적으로 안바꿔도 된다?

 

 

내 패스워드는 진짜 복잡하고, 안전하게 관리도 잘하는데, 왜 주기적으로 바꿔야 하는걸까?

 

 

지금까지 이런 생각을 하신분들이 많았을거라 생각합니다.

 

마이크로소프트(MS) OS인 윈도우에서 '로컬보안정책'을 보시면 기본적으로 최대암호사용기간이 42일로 설정이 되어있을것을 볼 수 있습니다. (아 귀찮아..;;)

 

 

비밀번호를 주기적으로 바꿔라는 가이드는 2000년대 초중반에 국내외에서 적용되기 시작했는데요.

 

그런데 최근 윈도우 10과 서버용 OS 윈도 서버의 보안 기준에서 패스워드를 주기적으로 변경해야 한다는 조항을 삭제했다고 합니다! lol

 

원래 MS가 기업의 보안관리자에게 권장하기로는 비밀번호를 주기적으로 변경하도록 권고했는데, 이것이 실질적으로 큰 도움이 되지 않는다고 판단을 했기 때문입니다.

 

이 새로운 보안정책은 윈도우10 1903과 윈도우 서버 v1903부터 적용이 됩니다. 그리고 기본 게스트 계정(RID-501)은 관리자 권한을 가진 계정에서만 활성화할 수 있도록 변경이 되며, 윈도우 10에서는 로컬 관리자 계정(RID-500)도 기본적으로는 비활성화되어 관리자 계정이 필요할 경우 별도로 활성화 해야 할 것 같습니다.

 

이러한 MS의 정책을 개인적으로 환영하는데요.

안전하게 잘 관리하고 있다면 굳이 자주 변경하는게 업무에 비효율적일거라고 여러번 생각했었네요.

 

KISA(한국인터넷진흥원)에서도 패스워드 이용 안내서를 개정한다는데요. 패스워드 변경조항이 불편하고 보안에 중요한 역할을 한다고 보기 어려워 조만간 개정된 가이드가 출시될것 같습니다.  lol

 

다만, 이러한 MS의 정책이 전자금융감독규정과 같은 내용에 반영이 되지 않을 것 같아, 실질적으로 회사에서는 주기적으로 패스워드를 계~속 변경해줘야 할 것 같습니다.

 

모든 보안정책들이 현실적으로 반영이 되는 그날이 오기를 기다려봅니다!