외국 서비스와 다르게 희한하게도 우리나라 서비스에서는 비밀번호를 8자 이상 영문, 숫자, 특수문자를 섞어서 쓰라며 외우지도 못할 비밀번호를 만들라고 강제하는 경우가 많다.
이는 관계 법령 때문이다.
'정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령' 제47조 ~ 제55조에 따라서 인터넷으로 매출이 100억 이상이거나 뭐 기타 등등에 해당되면 정보보호 관리체계 인증을 받아야만 한다.
https://www.law.go.kr/LSW//lsLinkProc.do?lsNm=정보통신망+이용촉진+및+정보보호+등에+관한+법률+시행령&chrClsCd=010202&mode=20&ancYnChk=0#
여기에서 말하는 '정보보호 관리체계'가 ISMS라고 부르는 것인데..
https://isms.kisa.or.kr/main/
여기의 인증기준에 보면
https://isms.kisa.or.kr/main/ispims/notice/
95페이지에 있다.
분명 예시라고 적혀 있지만 다른 방법을 이용하려면 일일이 설명하고 심사관들을 설득해야 한다. 그러니 그냥 예시대로 하게 된다.
그리고 심지어 설득이 안통할 수도 있다.
어쨌든 심사관들이 봤을 때 통과가 되야 하는 일이기 때문에 하나하나 설득을 하려고 하기 보다는 그냥 예시대로 하게 된다.
비밀번호만 설득하려고 하면 모를까.. 비밀번호 말고도 ISMS를 통과하려면 정말 많은 기준을 맞춰야 하는데 그걸 다 이런식으로 할 수는 없는 노릇이다.
그래서 저기 있는 '조합 규칙 적용' 항목의 '영문, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는, 영문, 숫자, 특수문자 중 3종류 이상을 조합하여 최소 8자리 이상'이라는 세상 귀찮은 비밀번호 규칙이 강제되는 것이다.
kisa의 패스워드 가이드 문서에도 나와있다.
https://seed.kisa.or.kr/async/MultiFile/download.do?FS_KEYNO=FS_0000000229&MNK=MN_0000001249
위 내용은 2019년 패스워드 선택 및 이용 안내서가 개정되서 완화된 거지 원래는 ISMS에서의 예시와 동일했다.
https://www.krcert.or.kr/data/guideView.do?bulletin_writing_sequence=436&queryString=cGFnZT0xJnNvcnRfY29kZT0mc29ydF9jb2RlX25hbWU9JnNlYXJjaF9zb3J0PXRpdGxlX25hbWUmc2VhcmNoX3dvcmQ9JUVEJThDJUE4JUVDJThBJUE0JUVDJTlCJThDJUVCJTkzJTlD
