MS, 윈도우 10의 비밀번호 만료일 설정 옵션 삭제

“비밀번호가 도난당할 경우에만 쓸모 있는 옵션”이라는 게 MS 입장
그 외 관리자 계정과 게스트 계정은, 실 관리자가 필요에 따라 설정하도록

[보안뉴스 문가용 기자] 마이크로소프트가 이번 주 윈도우 10의 보안 기본 옵션 사항들(security baseline)에 변화를 적용했다. 이 중 비밀번호 만료와 관련된 정책이 사라진 것이 특히 논란이 되고 있다. 이러한 변경 내용들은 다음 윈도우 10 업데이트(1903 버전)부터 적용될 예정이며, MS는 “윈도우 10의 보안에는 어떠한 영향도 없을 것”이라고 주장하고 있다.

[이미지 = iclickart]

마이크로소프트에 따르면 “비밀번호 만료 정책은 비밀번호가 도난당해서, 제3자가 악용하려고 했을 때에만 유효한 것”이라며, “비밀번호가 도난당할 일이 전혀 없는 경우라면, 있을 필요가 없는 것”이라고 한다. “게다가 비밀번호가 도난당했다는 확신이나 증거가 있다면, 그 순간에 비밀번호를 바꾸는 게 자연스럽지, 누가 만료일을 기다렸다가 바꾸겠는가”라고 덧붙이기도 했다.

“비밀번호 만료 정책을 애초에 삽입한 의도는 1) 보안에 대한 인식이 뚜렷하고 실천력의 수준도 높은 기업들이 보안의 한 정책으로서 활용하라는 것이었고, 2) 보안 감사자들이 일종의 가이드라인으로서 사용할 수 있는 도구를 마련하기 위한 것이었습니다.” MS의 설명이다.

그러므로 굳이 비밀번호 종료일을 설정하지 않더라도, 도난당한 비밀번호를 활용한 공격으로부터 조직을 보호하기 위해서 활용할 수 있는 보안 정책들이 더 많이 있다는 게 MS의 설명이다. “활용이 가능하고, 불가능한 비밀번호를 목록화 한다거나, 다중 인증을 반드시 사용하도록 한다거나, 비밀번호 추측 공격을 탐지할 수 있는 솔루션을 마련한다거나, 비정상적인 로그인 시도를 할 수 있겠죠. 비밀번호 만료일 설정보다 더 효과적이기도 하고요.”

마이크로소프트의 아론 마고시스(Aaron Margosis)는 “일정한 주기로 비밀번호를 만료시키고 새로 설정하게 하는 건 굉장히 오래된 방법일 뿐만 아니라 효과가 그리 높지도 않다”고 설명한다. “MS가 적당한 만료 주기를 결정해주도록 장치를 마련하는 것이 아니라, 차라리 이 효과 없는 장치를 없애서, 다른 안전장치를 사용자 기업들이 준비하도록 하는 것이 모두를 위해 더 낫다고 봅니다.”

그 외에도 사전 탑재된 관리자 계정(Administrator)과 게스트 계정(Guest)에 대한 변경 사항도 이번에 포함되어 있었다. 현재까지는 이 두 개의 계정들이 디폴트 상 비활성화되어 있었지만, 이제부터는 보안 기본 옵션에서 완전히 사라지게 되었다. “그렇다고 계정들이 디폴트로 활성화 된다는 뜻도 아니고, 아예 없어지는 것도 아닙니다. 각 조직의 관리자가 이 두 계정을 활성화 시키거나 비활성화시켜야 한다는 뜻입니다.”

디폴트 상 새롭게 바뀐 보안 기본 사항에 따르면 관리자 로컬 계정은 활성화시키되, 하나씩만 유지하고 비밀번호를 강력하게 설정해야 한다. 계정 이름을 바꾸는 것도 가능하지만, 이건 보안과 아무 상관이 없을 것이라고 한다.

다음과 같은 내용들도 바뀌었다.
1) svchost.exe 완화 옵션 활성화(Enable svchost.exe mitigation options) : svchost.exe에 호스팅된 서비스 보호
2) 앱 프라이버시(App Privacy)의 환경 설정 가능 : 시스템이 잠겨 있는 상태일 때 윈도우 앱들을 목소리로 활성화시킬 수 있음.
3) LLMNR의 비활성화 : 서버 스푸핑 위협의 완화

3줄 요약
1. MS의 윈도우 10 보안 기본 정책에 변화가 생겼음.
2. 비밀번호 만료일을 설정하는 옵션이 사라진 게 가장 큰 변화로 손꼽힘.
3. MS는 “비밀번호 만료일은 어차피 큰 효과가 없는 정책이었다”고 말함.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)