비밀번호 정책 설정
이 문서는 "비밀번호 정책 설정(Password Policy Setup)" 기능의 개념과 설정 방법을 안내하는 문서입니다.
개요
Freshservice에서는 상담원과 요청자를 위한 다양한 수준의 비밀번호 보안을 설정할 수 있습니다. 기본적으로 모든 비밀번호는 최소 8자 이상이어야 하며 사용자명을 포함해서는 안 됩니다.
고급 설정을 통해 비밀번호 만료 시간이나 최소 비밀번호 길이와 같은 맞춤 비밀번호 정책을 설정할 수 있습니다. 상담원/요청자가 접근하는 데이터가 민감할수록 더 엄격한 비밀번호 규칙을 적용해야 합니다.
SSO(Single Sign-On)가 활성화되어 있는 경우 비밀번호 정책을 설정할 수 없습니다.
비밀번호 정책 설정 단계
1단계: 관리자 계정으로 로그인
관리자 권한으로 서비스 데스크에 로그인합니다.
2단계: 서비스 데스크 보안 설정 접근
단일 워크스페이스인 경우: 관리자 → 계정 설정 → 서비스 데스크 보안으로 이동합니다.
다중 워크스페이스인 경우: 관리자 → 글로벌 설정 → 계정 설정 → 서비스 데스크 보안으로 이동합니다.
3단계: 기본 로그인 정책 수정
- 기본 로그인 정책(Default Login Policy) 섹션에서 현재 로그인 정책을 확인합니다.
- 기본 로그인 정책 옆의 편집 아이콘을 클릭합니다.
4단계: 로그인 방식 선택
새 페이지에서 기본 로그인 정책 아래에서 다음 옵션 중 하나를 선택할 수 있습니다:
- Freshworks 로그인 - Freshworks 조직 내에서 비밀번호 정책 설정 가능
- 비밀번호 없는 로그인 - 비밀번호 없이 로그인 (이메일 인증 등)
- Google SSO - Google 계정으로 로그인
- Single Sign-On - 외부 SSO 시스템 연동
라디오 버튼을 사용하여 각 옵션을 활성화하거나 비활성화할 수 있습니다.
5단계: 변경사항 저장
설정을 완료한 후 저장을 클릭합니다.
Freshworks 로그인 설정
Freshworks 로그인 선택 시
Freshworks 로그인을 선택하면 Freshworks 조직 내에서 비밀번호 정책을 설정할 수 있습니다. 이는 Freshworks Neo 관리 센터 내의 SSO와 같은 기능입니다.
정책 적용 시점 선택
Freshworks 로그인을 활성화할 때 현재 정책이 언제 적용될지 선택할 수 있습니다:
적용 시점 옵션:
- 즉시 적용: 설정 저장과 동시에 모든 사용자에게 적용
- 다음 로그인 시: 사용자가 다음에 로그인할 때 적용
- 지정 날짜: 특정 날짜부터 적용
비밀번호 정책 유형
기본 비밀번호 요구사항
기본 설정:
- 최소 8자 이상
- 사용자명 포함 금지
- 영문자, 숫자 조합 권장
고급 비밀번호 정책 옵션
강도별 정책 설정
| 보안 수준 | 최소 길이 | 복잡성 요구사항 | 만료 주기 |
|---|---|---|---|
| 기본 | 8자 | 영문 + 숫자 | 없음 |
| 보통 | 10자 | 영문 + 숫자 + 특수문자 | 90일 |
| 높음 | 12자 | 대소문자 + 숫자 + 특수문자 | 60일 |
| 매우 높음 | 14자 | 대소문자 + 숫자 + 특수문자 + 금지 패턴 | 30일 |
비밀번호 복잡성 규칙
필수 포함 요소
권장 조합:
✅ 올바른 예시:
- MyCompany2024!
- ServiceDesk@123
- Team$ecure9876
❌ 잘못된 예시:
- password123 (일반적인 단어)
- company (너무 단순)
- 12345678 (숫자만)
금지 패턴
사용 불가 패턴:
- 연속된 문자:
abcd,1234 - 반복 문자:
aaaa,1111 - 키보드 패턴:
qwerty,asdf - 사용자 정보: 이름, 이메일 일�부
- 회사 정보: 회사명, 부서명
로그인 방식별 특징
1. Freshworks 로그인
특징:
- Freshworks 생태계 내 통합 인증
- 비밀번호 정책 중앙 관리
- 다른 Freshworks 제품과 SSO
장점:
- 일관된 사용자 경험
- 통합 보안 관리
- 간편한 계정 관리
적용 시나리오:
- 여러 Freshworks 제품 사용
- 중앙 집중식 사용자 관리 필요
- 보안 정책 통일 필요
2. 비밀번호 없는 로그인
특징:
- 이메일 기반 인증
- 일회용 로그인 링크
- 비밀번호 관리 부담 제거
장점:
- 비밀번호 분실 위험 없음
- 피싱 공격 방지
- 사용자 편의성 향상
적용 시나리오:
- 보안성과 편의성 균형
- 외부 사용자 접근
- 임시 계정 관리
3. Google SSO
특징:
- Google 계정 연동
- Google Workspace 통합
- 2단계 인증 지원
장점:
- 기존 Google 계정 활용
- 강력한 보안 기능
- 간편한 설정
적용 시나리오:
- Google Workspace 사용 조직
- Gmail 기반 업무 환경
- Google 보안 정책 활용
4. 외부 SSO
특징:
- 기업 SSO 시스템 연동
- SAML/OIDC 프로토콜 지원
- 기존 인프라 활용
장점:
- 기업 보안 정책 준수
- 기존 시스템과 통합
- 중앙 집중식 관리
적용 시나리오:
- 대기업 환경
- 엄격한 보안 요구사항
- 기존 SSO 인프라 보유
보안 모범 사례
비밀번호 정책 수립 가이드
1. 위험 평가 기반 정책 설정
평가 요소:
- 접근 가능한 데이터의 민감도
- 사용자 유형 (내부/외부)
- 업무 환경 (원격/사무실)
- 규정 준수 요구사항
2. 단계적 보안 강화
권장 순서:
- 1단계: 기본 길이 및 복잡성 요구사항 설정
- 2단계: 만료 주기 및 재사용 제한 추가
- 3단계: 다단계 인증(MFA) 도입
- 4단계: 위험 기반 인증 적용
사용자 교육 및 지원
비밀번호 생성 가이드
권장 방법:
1. 패스프레이즈 방식:
"내가좋아하는음식은김치찌개2024!"
2. 첫 글자 조합 방식:
"My Favorite Food Is Pizza 2024!" → MFFiP2024!
3. 치환 방식:
"ServiceDesk" → S3rv1c3D3sk!
비밀번호 관리자 도구 권장
추천 도구:
- 1Password: 팀 기능 강화
- LastPass: ��기업용 정책 지원
- Bitwarden: 오픈소스 기반
- Dashlane: 사용자 친화적 인터페이스
정책 적용 및 모니터링
정책 적용 시나리오
신규 도입 시
단계적 접근:
- 공지 단계: 정책 변경 사전 공지 (2주)
- 유예 단계: 경고만 표시 (1주)
- 강제 단계: 정책 강제 적용
- 지원 단계: 사용자 지원 및 문제 해결
기존 정책 변경 시
변경 관리:
현재 정책: 8자, 영문+숫자
→ 변경 정책: 10자, 영문+숫자+특수문자
적용 계획:
1. 신규 사용자: 즉시 적용
2. 기존 사용자: 다음 비밀번호 변경 시 적용
3. 관리자: 2주 내 강제 변경
정책 준수 모니터링
모니터링 지표
측정 항목:
- 정책 준수율
- 비밀번호 변경 빈도
- 로그인 실패율
- 계정 잠금 발생률
보고서 생성:
- 주간 보안 현황 보고서
- 월간 정책 준수 현황
- 분기별 보안 위험 평가
문제 해결
일반적인 문제와 해결책
| 문제 상황 | 원인 | 해결책 |
|---|---|---|
| 정책 설정 메뉴가 보이지 않음 | 관리자 권한 부족 | 계정 관리자에게 권한 부여 요청 |
| SSO와 비밀번호 정책 충돌 | SSO와 로컬 정책 동시 사용 | 하나의 인증 방식만 선택 |
| 사용자가 정책 준수 비밀번호 생성 실패 | 정책 이해 부족 | 가이드라인 제공 및 교육 실시 |
| 정책 적용 후 로그인 실패 증가 | 기존 비밀번호가 정책 미준수 | 단계적 적용 및 지원 강화 |
긴급 상황 대응
대량 계정 잠금 발생 시
즉시 조치:
- 현황 파악: 잠금 계정 수 및 원인 분석
- 임시 완화: 정책 일시 완화 고려
- 대량 해제: 관리자 권한으로 계정 일괄 해제
- 근본 해결: 정책 재검토 및 조정
보안 사고 발생 시
대응 절차:
- 즉시 강화: 모든 계정 비밀번호 강제 변경
- 접근 제한: 의심 계정 일시 비활성화
- 정책 강화: 더 엄격한 정책 임시 적용
- 사후 조치: 보안 정책 전면 재검토