비밀번호 만료 적용됨

Microsoft Entra ID에서 비밀번호 만료 설정이 잘못 구성되어 사용자가 정기적으로 비밀번호를 변경하도록 하는 경우, 우발적으로 보안 취약성을 초래할 수 있습니다. 기존의 만료 정책에서는 사용자가 침해된 자격 증명을 자주 업데이트한다는 낡은 가정을 사용합니다. 하지만 실제로는 비밀번호를 자주 변경하면 예측하기 쉬운 패턴을 초래하거나 이전 비밀번호를 약간 변형할 뿐이기 때문에, 전반적인 복잡도가 감소하고 계정이 무차별 대입 및 사전 공격에 더 취약해지는 경우가 많습니다.

강제로 비밀번호를 변경하면 사용자가 비밀번호를 적어두거나, 승인되지 않은 위치에 보관하거나, 외우기 쉽도록 추측하기 쉬운 패턴을 만들 가능성이 있기 때문에 안전하지 않은 저장 위험이 커집니다. 이런 행동은 보안을 저해하고 권한이 없는 액세스를 초래할 수 있습니다. 비밀번호 만료를 필수로 지정하면 조직에서 의도치 않게 사용자가 모범 사례를 우회하도록 부추겨 궁극적으로 공격 표면을 넓히게 될 가능성이 있습니다.

CISA의 "Microsoft Entra ID용 M365 보안 구성 기준" MS.AAD.6.1v1 정책(BOD 25-01에서 필수로 지정)을 보면 "사용자 비밀번호는 만료되면 안 된다"고 되어 있습니다. 규정을 위반하면 특히 CISA가 관리하는 연방 기관 및 계약업체의 경우 규제 및 운영 면에서 이에 따른 결과가 발생할 수 있습니다. 최근 보안 환경에서 비밀번호 만료를 적용하는 방식은 경직된 비밀번호 수명 주기 정책보다 지속적인 모니터링, 조건부 액세스 및 위협 기반 제어에 높은 우선 순위를 지정하는 ID 중심 보안 원칙에 정렬되지 않습니다. NIST SP 800-63의 최신 안내에서도 무작위 비밀번호 회전을 지양하라고 권고하며 침해되었다는 증거 없이 정기적으로 강제 변경하면 비밀번호 무작위성을 감소시키고 전반적인 보안이 약해질 수 있다는 점을 지적합니다. 이 위험 노출 지표는 특정 기간이 지난 뒤 비밀번호 만료를 사용하는 도메인을 탐지합니다.

Microsoft Entra ID에서 "비밀번호가 만료되지 않도록 설정" 설정을 사용하여 비밀번호 만료 정책을 제거합니다.

비밀번호를 정적인 암호로 취급하며 보안성은 높은 최초 설정, 강력한 비밀번호 만들기 가이드라인 및 신뢰할 수 있는 계정 복구 방법을 강조합니다. 시간에 기반한 비밀번호 변경을 적용하기보다 비정상적인 행동과 권한이 없는 액세스 시도를 탐지하는 데 주력합니다.

정기적인 비밀번호 변경을 적용하지 않고 다단계 인증(MFA), 조건부 액세스 정책 또는 FIDO2 키와 같은 패스워드리스 옵션 등의 방법을 활용하는 데 집중합니다. 이러한 방법을 활용하면 비밀번호에 대한 의존도를 낮추고, 비밀번호가 얼마나 오래되었든 관계없이 인증된 사용자만 계정에 액세스할 수 있도록 하여 보안을 강화할 수 있습니다.

마지막으로, CISA 권장 사항을 따르면 기술 부채를 줄이는 데 도움이 되고 ID 시스템의 강도와 신뢰성을 높일 수 있습니다.

이름: 비밀번호 만료 적용됨

코드명: PASSWORD-EXPIRATION-ENFORCED

심각도: Low

유형: Microsoft Entra ID Indicator of Exposure