윈도우 취약점 관리를 위한 계정 보안 설정 가이드
윈도우 서버와 PC는 기본적인 보안 설정만으로도 많은 취약점을 예방할 수 있습니다.
그중에서도 가장 중요한 항목이 바로 계정 정책(패스워드 정책 + 계정 잠금 정책) 입니다.
아래 단계별로 따라 하면 누구나 쉽게 계정 보안을 강화할 수 있으니 참고해 보세요.
윈도우 보안을 위해 계정정책을 설정해주는 방법에 대해 알려드리겠습니다.
1. 관리도구 접속
- 시작 메뉴 클릭
- Windows 관리도구 실행
- 로컬 보안 정책(Local Security Policy) 선택
2. 패스워드 정책(암호 정책) 설정
로컬 보안 정책 → 계정 정책 → 암호 정책
아래 항목들을 상황에 맞게 조정하면 됩니다.
✔ 암호 복잡성 요구사항
암호가 일정 수준의 복잡성을 갖추도록 강제하는 설정입니다.
활성화 시 다음 조건을 충족해야 합니다.
- 계정 이름 또는 계정 이름의 일부(연속 2자 이상)를 포함할 수 없음
- 최소 길이 6자 이상
- 아래 4가지 범주 중 3가지 이상 포함
- 영문 대문자 (A–Z)
- 영문 소문자 (a–z)
- 숫자 (0–9)
- 특수문자 (!, @, # 등)
✔ 최대 암호 사용 기간
암호를 사용할 수 있는 최대 기간을 설정합니다.
- 1~999일 범위
- 0으로 설정 시 만료되지 않음
✔ 최소 암호 길이
암호에 포함되어야 하는 최소 문자 수입니다.
- 1~14자 설정 가능
- 0으로 설정하면 암호 없이 계정 사용 가능(비추천)
3. 계정 잠금 정책 설정
로컬 보안 정책 → 계정 정책 → 계정 잠금 정책
특정 횟수 이상 로그인 실패 시 계정을 자동으로 잠그는 정책입니다.
✔ 계정 잠금 기간
잠긴 계정이 자동 해제되기까지 유지되는 시간입니다.
- 0~99,999분
- 0으로 설정하면 관리자 해제 전까지 잠금 유지
※ 이 정책은 ‘계정 잠금 임계값’을 설정해야 의미가 있습니다.
✔ 계정 잠금 임계값
로그인 실패 횟수가 몇 번 누적되면 계정을 잠글지 설정합니다.
- 0~999회
- 0으로 설정하면 계정 잠금 기능이 비활성화됨
✔ 관리자 계정 잠금 허용
기본 administrator 계정에도 잠금 정책을 적용할지 결정합니다.
- 보안을 위해 적용을 권장
- 단, 원격 서버 환경에서는 주의 필요
✔ 계정 잠금 횟수 초기화 시간
로그인 실패 기록이 초기화되는 시간입니다.
- 1~99,999분
- 계정 잠금 기간보다 짧거나 같아야 함
※ 이 설정 역시 ‘계정 잠금 임계값’이 있어야 동작합니다.
4. 암호 입력 횟수 초과 시 안내 문구 설정
정책 설정 후 실제 로그인 실패 횟수를 초과하면
아래와 같은 경고 문구가 표시됩니다.
(환경별 문구는 상이할 수 있음)
“지정된 횟수 이상 잘못 입력하여 계정이 잠겼습니다.
관리자에게 문의하세요.”
🛡 마무리 — 윈도우 보안을 위한 필수 기본 작업
위와 같이 계정 정책을 올바르게 설정하면
비밀번호 추측 공격, 무차별 대입 공격, 비인가 접근 등
대부분의 기초 보안 위협을 크게 줄일 수 있습니다.
윈도우 보안 설정은 어렵지 않으며,
정책만 잘 구성해도 취약점 위험을 크게 감소시킬 수 있습니다.
읽어주셔서 감사합니다.