외국 서비스와 다르게 희한하게도 우리나라 서비스에서는 비밀번호를 8자 이상 영문, 숫자, 특수문자를 섞어서 쓰라며 외우지도 못할 비밀번호를 만들라고 강제하는 경우가 많다.
이는 관계 법령 때문이다.
'정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령' 제47조 ~ 제55조에 따라서 인터넷으로 매출이 100억 이상이거나 뭐 기타 등등에 해당되면 정보보호 관리체계 인증을 받아야만 한다.
여기에서 말하는 '정보보호 관리체계'가 ISMS라고 부르는 것인데..
여기의 인증기준에 보면
95페이지에 있다.
분명 예시라고 적혀 있지만 다른 방법을 이용하려면 일일이 설명하고 심사관들을 설득해야 한다. 그러니 그냥 예시대로 하게 된다.
그리고 심지어 설득이 안통할 수도 있다.
그리고 심지어 설득이 안통할 수도 있다.
어쨌든 심사관들이 봤을 때 통과가 되야 하는 일이기 때문에 하나하나 설득을 하려고 하기 보다는 그냥 예시대로 하게 된다.
비밀번호만 설득하려고 하면 모를까.. 비밀번호 말고도 ISMS를 통과하려면 정말 많은 기준을 맞춰야 하는데 그걸 다 이런식으로 할 수는 없는 노릇이다.
그래서 저기 있는 '조합 규칙 적용' 항목의 '영문, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는, 영문, 숫자, 특수문자 중 3종류 이상을 조합하여 최소 8자리 이상'이라는 세상 귀찮은 비밀번호 규칙이 강제되는 것이다.
kisa의 패스워드 가이드 문서에도 나와있다.
위 내용은 2019년 패스워드 선택 및 이용 안내서가 개정되서 완화된 거지 원래는 ISMS에서의 예시와 동일했다.