마이크로소프트가 윈도10 차기 대규모 업데이트(May 2019 Update) 통칭 1903이나 19H1과 윈도 서버 버전 1903 보안 기준 초안을 공개했다.
이번에 눈길을 끄는 건 지금도 이용하고 있는 암호 만료 정책 폐지다. 마이크로소프트는 윈도에서 암호 만료 시한을 정해 정기적으로 바꿔야 하는 정책은 더 이상 쓸모가 없다고 생각한다는 얘기다.
윈도 보안 기준은 마이크로소프트와 파트너, 전문가 등 의견에 따라 정한 보안 설정 기준이다. PC 등 보안 설정은 사용 환경에 따라 달라진다. 예를 들어 전자 상거래를 하는 기업이라면 당연히 온라인 보안을 중시해야 한다. 병원이라면 환자의 개인정보보호가 최우선인 식이다.
하지만 기업이나 조직이 처음부터 정책을 만드는 건 많은 시간과 비용 소요를 의미한다. 따라서 마이크로소프트는 파트너와 고객, 전문가 의견에 따라 보안 설정 기준을 삼는다. 원래 만료된 암호는 암호가 도난 당한 경우 부정 이용을 방지하고 피해를 줄이기 위한 구조다. 정기 업데이트를 해 비록 사용자가 알지 못한 상태에서 비밀번호를 도난 당해도 일정 기간 지나면 어느 정도 방어가 될 것이라는 생각에서 도입한 것이다.
하지만 다른 한편으론 암호가 도난되지 않은 상황에서 빈번하게 암호를 바꾸면 암호가 패턴화되고 추측하기 쉬워지거나 암호를 어딘가에 적어야 하는 등 오히려 보안 위험이 될 수 있다는 지적이 나오기도 했다.
마이크로소프트가 이번 보안 업데이트에서 암호 만료 정책을 낡고 오래된 것이라며 삭제하게 된 이유다. 동시에 기준에 바로 포함되지는 않았지만 다단계 인증을 비롯한 추가 보호 조치를 적극 권장한다는 것이다.
또 마이크로소프트가 권장하지 않게 됐더라도 버전 1903에서 암호 정기 변경 기능이 없어진 건 아니다. 계속 유효기한을 두고 정기 변경을 하도록 할 수 있다. 보안 기준은 어디까지나 한 가지 기준일 뿐이다. 중요한 건 기업이나 조직의 정책이다.
하지만 마이크로소프트도 실질적으로 암호를 정기 변경할 필요가 없다고 표명했다는 건 PC 등 보안 기준에 영향을 줄 건 분명하다. 관련 내용은 이곳에서 확인할 수 있다.