자멸적인 보안 요소 (Self-defeating Security Elements)

<aside> 👉

🔍 정의

‘자멸적인 보안 요소’란 보안을 강화하려는 목적에서 도입된 정책이나 설계가 오히려 사용성을 해치고, 결과적으로 시스템을 더 취약하게 만드는 것을 말합니다. 이는 컴퓨터 구조, 운영 체제, 사용자 경험 설계 전반에서 흔히 발생하는 문제이며, 실제 보안 사고로 이어지는 경우가 많습니다.

</aside>

예시 1: 지나치게 복잡한 비밀번호 정책

원인

• 90일마다 비밀번호 변경을 강제
• 대소문자, 숫자, 특수문자 필수 조건 요구
• 동일 비밀번호 재사용 금지

결과

• 사용자는 기억하기 어려운 비밀번호를 종이에 적거나, Passw0rd!1, Passw0rd!2와 같이 쉽게 추측 가능한 패턴을 사용
• 여러 사이트에서 동일 비밀번호 재사용 → 한 곳 유출되면 연쇄적인 보안 침해 가능

현실 사례:

▶ 미국 국립표준기술연구소(NIST)의 정책 변경 (2017)

• 과거의 복잡한 비밀번호 요구가 실제 보안에 도움이 되지 않고 오히려 사용자를 위험에 빠뜨린다는 연구 결과에 따라,

  "기억하기 쉬운 길고 복잡하지 않은 비밀번호"를 권장하는 방식으로 지침이 바뀜

• 예: HorseBatteryStaple처럼 문장을 조합한 긴 비밀번호

예시 2: 기본적으로 관리자 권한을 사용하는 프로그램

원인

• 일부 운영 체제 또는 응용 프로그램이 기본 설정으로 관리자 권한에서 실행