| # |
중요도 |
점검 항목 |
설명 |
진단 결과 |
| SEC-001 |
상 |
보안장비 Default 계정 변경 |
최초 설치 시 제공되는 기본 계정(admin/admin, root/root 등)을 변경하지 않으면 무차별 대입 공격에 취약 |
|
| SEC-002 |
상 |
보안장비 Default 패스워드 변경 |
기본 패스워드를 변경하지 않으면 인터넷에 공개된 기본 정보로 로그인 가능 |
|
| SEC-003 |
상 |
보안장비 계정별 권한 설정 |
운영자별 최소 권한 원칙(최소 권한) 미적용 시 불필요한 권한 남용 가능 |
|
| SEC-004 |
상 |
보안장비 계정 관리 |
사용하지 않는 계정이 존재하면 침해사고 발생 시 추적이 어려움 |
|
| SEC-005 |
중 |
로그인 실패횟수 제한 |
실패횟수 제한이 없으면 무차별 대입 공격으로 계정 탈취 가능 |
|
| SEC-006 |
중 |
계정 잠금 임계값 설정 |
5회 이상 실패 시 계정을 일정 시간 잠금 처리해야 하나 미설정 |
|
| SEC-007 |
상 |
패스워드 복잡도 설정 |
영문/숫자/특수문자 조합 최소 8자리 이상 요구 필요 |
|
| SEC-008 |
상 |
패스워드 주기적 변경 |
90일 이내 주기적 패스워드 변경 정책 미적용 |
|