최근 사이버 위협이 날로 증가하는 가운데, 시스템 보안을 강화하는 것은 무엇보다 중요합니다. 특히 사용자 비밀번호는 시스템에 대한 접근 권한을 제어하는 핵심 요소이기 때문에, 안전한 해싱 알고리즘을 사용하여 보호하는 것이 필수적입니다. CentOS 7.8 및 RHEL 7.8에서는 기본적으로 MD5 해싱 알고리즘을 사용하는데, MD5는 충분한 보안성을 제공하지 못한다는 것이 알려져 있습니다. 따라서 보다 안전한 SHA512 알고리즘으로 변경하는 것이 시스템 보안을 강화하는 데 효과적입니다. 본 글에서는 CentOS 7.8 및 RHEL 7.8에서 비밀번호 해싱 알고리즘을 SHA512로 변경하는 방법을 단계별로 설명합니다.
먼저, 시스템의 비밀번호 해싱 알고리즘을 SHA512로 변경하기 위해서는 /etc/login.defs 파일을 수정해야 합니다. root 권한으로 해당 파일을 열어 ENCRYPT_METHOD 라인을 찾습니다. 기본값은 MD5로 설정되어 있을 것입니다. 이 값을 SHA512로 변경합니다. 변경 후 파일을 저장하고 닫습니다. 이 작업을 통해 시스템은 새로 생성되는 계정에 대해 SHA512 해싱 알고리즘을 적용하게 됩니다.
다음으로, PAM(Pluggable Authentication Modules) 설정을 확인하여 SHA512가 제대로 적용되도록 해야 합니다. /etc/pam.d/system-auth 파일을 열고 pam_unix.so 모듈의 설정을 확인합니다. 해당 모듈의 sha512 옵션이 설정되어 있는지 확인하고, 만약 설정되어 있지 않다면 추가해야 합니다. password sufficient pam_unix.so sha512 shadow 와 같이 sha512 옵션을 명시적으로 추가합니다. 이 설정은 시스템이 SHA512 해싱 알고리즘을 사용하여 비밀번호를 검증하도록 지시합니다. 변경 후 파일을 저장하고 닫습니다.
모든 설정이 완료되면 시스템을 재부팅하거나, /etc/shadow 파일을 업데이트하여 변경 사항을 적용합니다. /etc/shadow 파일은 사용자 계정의 비밀번호 정보를 저장하는 파일이며, 해당 파일의 업데이트를 통해 기존 계정의 비밀번호도 SHA512로 재해싱될 수 있습니다. 단, 기존 계정의 비밀번호를 SHA512로 재해싱하는 과정은 시간이 오래 걸릴 수 있습니다. 따라서 시스템 부하를 고려하여 적절한 시점에 작업을 수행하는 것이 좋습니다. 또한, 변경 후에는 모든 사용자에게 비밀번호를 재설정하도록 안내하여 SHA512 해싱 알고리즘이 완벽하게 적용되도록 하는 것이 좋습니다.
본 가이드를 통해 CentOS/RHEL 시스템의 비밀번호 해싱 알고리즘을 SHA512로 안전하게 변경하고 시스템 보안을 한층 강화할 수 있습니다. 정기적인 시스템 보안 점검과 업데이트를 통해 지속적으로 시스템의 안전성을 확보하는 것을 잊지 마십시오.