[설계보안] 보안기능 02 - 인증 수행 제한

 

 

 

가. 취약점 개요

  - 로그인 시도 횟수 초과 시 계정 보호조치가 설정되지 않을 경우 패스워드 무작위 대입공격이 시도될 수 있는 취약점

   → 반복된 인증시도 제한 기능 부재

 

 

나. 요구사항

1. 제한된 로그인 인증시도 초과 시 인증제한 정책 적용

2. 실패한 인증시도에 대한 정보를 로깅

 

 

다. 요구사항 별 고려사항

1. 제한된 로그인 인증시도 초과 시 인증제한 정책 적용

  - 로그인 인증시도 횟수를 3~5회 이내로 제한

  - 인증시도 초과 시 추가 입력값, 자동입력방지 문자(CAPTCHA) 요청 또는 계정잠금

 

2. 실패한 인증시도에 대한 정보를 로깅

  - 반복된 로그인 실패에 대한 로깅정책 설정

  - 로그 기록을 통해 로그인 시도를 분석할 수 있도록 설계

  - 사용자 DB테이블에 실패횟수, 잠금상태, 마지막 성공/실패 시간, 로그아웃 시간 등을 저장

 

 

라. 요구사항 별 진단기준 및 방법

0. 공통내용

  - 요구사항 정의서에 보안요구항목에 대한 대책이 수립

  - 아키텍쳐 설계서에 보안요구항목 적용계획이 수립

  - 요구사항 추적표를 통해 요구사항 추적가능 여부

 

1. 제한된 로그인 인증시도 초과 시 인증제한 정책 적용

  - 5회 이내의 로그인 시도 횟수를 제한하도록 설계

  - 데이터베이스에 인증시도 정보를 저장하도록 설계

  - 인증실패 초과 시 계정잠금, 추가정보 요구 등의 정책이 적용되도록 설계

 

2. 실패한 인증시도에 대한 정보를 로깅

  - 사용자ID, 로그인 실패횟수, 로그인 시도시간, IP주소, 계정상태 등을 로깅에 포함

 

 

마. 진단기준

1. 제한된 로그인 인증시도 초과 시 인증제한 정책 적용

  - 로그인 기능 설계 시 인증시도 횟수가 제한되도록 설계되었는지 확인

  - 초고된 인증시도에 대한 인증제한 정책이 적용되도록 설계되었는지 확인

  - 인증시도 횟수 제한을 점검하는 테스트 계획 확인

 

2. 실패한 인증시도에 대한 정보를 로깅

  - 초과된 인증시도에 대한 로깅 정책이 적용되어 있는지 확인

  - 초과된 인증시도 시 로깅이 정상적으로 실행되는지 점검하는 테스트 계획 확인

 

 

바. 안전한 보안설계 예

No	요구사항 명	해결방안	검수기준
1	인증시도 횟수 제한	인증 시도 횟수를 5회로 제한하고 5회를 초과한 경우 24시간 동안 계정 잠금을 수행한다.	인증 실패가 5번 이상 발생하면 24시간 동안 계정잠금이 수행된다.
2	실패한 인증 시도 로깅	로그인 성공/실패 시 로그 파일에 사용자 ID, 로그인 실패 횟수, 로그인 시간, IP주소, 계정상태 등을 남긴다.	인증 시도 정보가 로그 파일에 기록된다.