[재안내] 성균인 계정(킹고포털 ID) 보안강화(비밀번호 변경 등) 시행 [10월 1일(화)~]
- 문지환
- 2024-09-20
■ 배경
지속적으로 발생하는 성균인 계정(킹고포털/메일 로그인 시 사용하는 ID와 비밀번호) 탈취/도용 문제 예방 및 정보보호 규정 실현을 위한 보안강화 정책 추진
■ 관련 규정
- 교육부 정보보안 기본지침 제74조(비밀번호 관리)
- 우리대학 정보시스템 운영보안 지침 제10조(패스워드 생성 및 관리)
■ 주요내용
항목 | 현재 | 10월 1일 이후 |
1) 비밀번호 변경 안내 | 없음 | (비밀번호 변경 후 6개월 경과된 경우) 로그인 시 비밀번호 변경 안내 표기 |
2) 비밀번호 변경 필수 | 없음 | (비밀번호 변경 후 1년 경과된 경우) 로그인 시 비밀번호 변경 필수 |
3) 로그인 실패 잠금 | 없음 | 로그인 5회 연속 실패 시 일정시간(약 10분) 계정 잠금 |
- 적용 범위 : 로그인이 필요한 학교 주요 서비스(포털 등)
- 적용 대상 : 재학생 전체
- 시행 일자 : 2024년 10월 1일(화)부터
1) 비밀번호 변경 안내
- (비밀번호 변경 후 6개월 경과 시) 로그인 할 때마다 비밀번호 변경 안내 표시
2) 비밀번호 변경 필수
- (비밀번호 변경 후 1년 경과 시) 새로운 비밀번호로 변경 후 로그인 가능
3) 로그인 실패 잠금
- 비밀번호 입력 연속 5회 실패 시 10분 간 계정 잠금
■ 자주 묻는 질문
Q1. 10월 1일부터 시행이라면 그 전에 비밀번호를 변경해야 하나요?
-> 미리 변경 하시는 것이 좋습니다. 10월 1일 이후에는 현재 비밀번호가 6개월 이상 사용되고 있는 경우 변경 안내 메세지가 뜨게 되고, 1년 이상 사용되고 있는 경우는 의무적으로 비밀번호를 변경해야만 로그인이 가능합니다.
Q2. 비밀번호를 변경하면 더 안전한가요?
-> 동일한 비밀번호를 오래 사용할 경우, 탈취될 확률은 점차 커집니다. 또한 대부분의 이용자들이 (보안 가이드와 달리) 여러 서비스에서 ID/비밀번호를 모두 동일하게 사용하는 현실에서, 한곳에서 탈취한 ID/비밀번호로 다른 많은 서비스들에도 피해를 발생시키는 '크리덴셜 스터핑(Credential Stuffing)' 공격이 기승을 부리고 있다는 점을 상기할 때, 주기적인 비밀번호의 변경은 꼭 필요하다고 볼 수 있습니다.
Q3. 최근에는 전체적인 비밀번호 관련 가이드가 변경되어, 주기적으로 변경할 필요 없다고 본 것 같은데 아닌가요?
-> 미국 국립표준기술연구소(NIST)의 가이드를 참고하여 2019년에 발간된 '패스워드 선택 및 이용 안내서'(한국인터넷진흥원)를 보면 이전과 같은 '주기적 변경 의무' 조건은 삭제되었습니다. 조건의 삭제에 따라 각 조직은 이에 대한 정책을 독자적으로 판단하여 적용중인데 주요 대학들을 포함한 대부분의 조직들은 아직 기존의 '주기적 변경'을 유지하고 있는 상황입니다.
또한 해당 조건의 삭제와 함께 강조되고 있는 '비밀번호 탈취를 인지하면 즉시 새로운 비밀번호로 변경'의 경우, 일반적인 상황에서 탈취를 바로 인지하기는 사실상 매우 어려우며 피해가 이미 발생한 상태에서 후속조치를 하는 것보다는 이를 예방할 수 있는 비밀번호의 주기적 변경이 더욱 효과적이라는 판단에 따라 본 조치를 시행하게 되었습니다.
Q4. 비밀번호 변경은 어디에서 하나요?
-> 킹고포털(https://eportal.skku.edu) 로그인 후 (우측 상단) '내정보'에서 가능 합니다. 해당 메뉴에서는 내가 현재 비밀번호를 얼마나 오래 사용 중인지도 확인 가능합니다.
Q5. 비밀번호 변경 후 6개월이 지나면 안내가 뜬다고 하는데 안내가 뜬 후에도 동일한 비밀번호를 계속 사용 가능한가요?
-> 가능합니다. 다만, 안내가 뜬 후 6개월이 더 경과되어 동일한 비밀번호를 총 1년 동안 사용하게 된다면 그때는 비밀번호를 변경해야만 로그인이 가능합니다.
Q6. 5회 연속 비밀번호 입력 실패로 계정이 잠기면 어떻게 되나요?
-> 일정시간(약 10분)동안은 로그인이 불가합니다. 이는 비밀번호 무차별 대입 공격을 막기 위한 조치입니다. 혹 잠금 시간 내 반드시 로그인이 필요하다면 정보통신팀으로 연락 주시기 바랍니다.
Q7. 연속 비밀번호 입력 실패 횟수는 계속 누적인가요?
-> (그 전에 입력 실패가 연속으로 있었더라도) 로그인 성공시 해당 횟수는 0으로 초기화됩니다.
Q8. 비밀번호를 변경하면, 그때그때 로그인 없이도 사용하던 킹고-M, 무선 Wi-Fi 등은 어떻게 되나요?
-> 변경된 비밀번호를 입력해야 합니다.
비밀번호를 내부적으로 저장하여 (매번 로그인없이) 사용하는 서비스들이 있습니다. 대표적으로 모바일 서비스인 킹고-M과 무선 Wi-Fi 인증인데, 킹고-M은 안내에 따라 새로운 비밀번호를 입력하시면 문제없이 사용 가능합니다. 무선 Wi-Fi 인증의 경우, 서비스 특성 상 안내 메세지없이 Wi-Fi 연결만 실패할 수 있습니다. 새로운 비밀번호로 다시 입력하여 사용하시기 바랍니다.
Q9. 비밀번호를 변경한 후, 계속 로그인 실패 누적으로 잠겼다고 나옵니다.
-> 변경된 비밀번호를 무선 Wi-Fi 에도 적용해 주어야 합니다.
무선 Wi-Fi 비밀번호를 변경하지 않으면, 휴대폰/테블릿/노트북 등 모바일 기기들은 기존 비밀번호로 무선 Wi-Fi 연결을 자동으로 계속 시도하여 계정이 잠길수도 있습니다. 킹고포털에서 비밀번호를 변경했다면 변경한 비밀번호를 Wi-Fi에도 꼭 설정해 주시기 바랍니다. 기존에 연결된 'SKKU' 연결을 삭제한 뒤, 다시 등록하시면서 새로운 비밀번호를 입력하면 됩니다.
Q10. 이번 정책의 정확한 대상은 누구인가요?
-> 학부/대학?┐° 재학생 전체 입니다.
■ 관련 문의
031) 290-5217 / 5220
security@skku.edu
정보통신처