매년 요맘때면 새해가 주는 설렘은 가라앉고 새해 결심은 어느 새
흐릿하다. 다행히 설 연휴가 다가오면서 “올해는 꼭…!”이라며 다시 결심을 하는 시기이기도 하다. 운동, 자기개발, 이직 등 더 나은 일년, 더
나은 미래를 위한 새해 결심 못지 않게 중요한 것이 있다. 건강만큼 소중한 개인정보를 안전하게 지키기 위해 매번 ‘3개월 후 변경’으로 버텨왔던
비밀번호를 이제는 정리해야 할 때다. 이왕이면 다가오는 설 연휴를 이용해 PC 앞에 앉아서 자주 이용하는 온라인 서비스들의 비밀번호를 싹 다
바꿔보는 것은 어떨까? 바람직한 비밀번호 설정 방법과 관리 팁을 다시 한 번 알아본다.
대부분의 웹 사이트나 앱은 8글자 이상의 비밀번호를 대문자, 소문자, 숫자, 그리고 특수문자를
최소 1개 이상 섞어서 쓰도록 사실상 강제하고 있다. 그럼에도 불구하고 해킹 피해와 개인정보 유출 사건은 지속적으로 발생하고 있다. 이에
일각에서는 복잡한 비밀번호가 해킹 방지에 효과가 없다는 ‘무용론’을 제기하는 목소리도 있다. 새로운 사이트에 가입할 때마다, 3개월 마다 복잡한
비밀번호를 만들며 스트레스를 받는데, 이것이 그저 의미 없는 몸짓에 지나지 않는다면 이렇게 억울한 일이 있을까 싶다. 복잡한 비밀번호가 정말
해킹 예방에 도움이 되지 않을까?
‘복잡한 비밀번호’의 허와 실
국내외를 막론하고 현재 대부분의 온라인 서비스에서 강제 또는 권장하는 8자 이상의 대소문자와
특수문자가 결합된 비밀번호 설정 조건은 2003년 미국 국립표준기술연구소에서 제안한 내용이다. 이것이
이후 13년 동안 미국을 비롯한 전세계 주요 국가의 비밀번호 설정 가이드라인으로 자리잡은 것이다.
이에 일부에서는 “요즘 같은 시대에 13년 전이면 세상이 최소 두 번은 달라졌을 기간”이라며 현재와는
맞지 않다고 말한다. 결론부터 말하자면, 일리는 있지만 꼭 그렇지는 않다.
2003년만 해도 우리가 비밀번호를 설정하는 곳, 즉 기기는 PC였다. 그러나 2020년 현재 우리는
PC보다는 스마트폰에서, 심지어 기기는 보이지 않는 클라우드 서비스에 대한 비밀번호를 설정한다.
우리의 IT 환경이 13년 전과는 확연히 달라진 것은 분명하다. 그러나 어떤 기기나 서비스를 이용하든
비밀번호가 보안의 시작이라는 것은 변함없다. 전통 가옥에 살든 단독 주택이나 아파트에 살든, 또
열쇠냐 도어락 비밀번호 또는 출입 카드냐의 차이만 있을 뿐 소중한 자산이 있는 곳을 보호하기 위해
입구에 남들이 함부로 들어갈 수 없도록 잠금 장치를 달아 두는 것과 마찬가지다.
이것이 핵심이다. 즉, 남들이 들어갈 수 없도록, 다시 말해 ‘제3자가 쉽게 추측할 수 없는’
비밀번호여야 한다는 것이다. 특수문자나 숫자를 섞어 쓰는 이유는 해커들이 추측하기 어렵게 하기 위한
목적이다. 그러나 실제 사용자들은 특수문자와 숫자를 섞어 아주 단순한 비밀번호를 만든다. 대다수의
사용자들이 사용하는 특수문자는 느낌표(!)나 물음표(?) 정도로, @나 #을 사용하는 개인 사용자는
찾아보기 어렵다.
또 90일마다 비밀번호를 바꿀 때도 대부분 맨 앞자리나 끝자리 하나만 바꾸거나 비밀번호에 1개 정도
포함된 숫자를 1부터 9까지 번갈아 가며 변경하는 경우도 허다하다. 너도 나도 이런 식이니 8자리가
되든 12자리가 되든 제3자가 유추하기 어려울 정도의 ‘복잡한 비밀번호’가 될 리 없다.
‘유추하기 어렵지 않은 비밀번호’와 더불어 ‘비밀번호 돌려 막기’가 심각한 문제로 지적된다.
일반적으로 1인당 최소 5개 이상의 온라인 서비스를 이용하는데, 비밀번호는 모두 동일하거나 2~3개의
비밀번호로 다수의 사이트에 번갈아 가며 사용한다. 게다가 돌려 막는 2~3개의 비밀번호도 매우 유사한
형태인 경우가 많다. 이렇게 되면 어떤 사이트 한 곳의 비밀번호만 유출되더라도 이메일, 온라인 뱅킹
등 내가 이용 중인 모든 서비스의 로그인 비밀번호가 노출되거나 유추 가능해진다.
그렇다면 어떤 비밀번호를 어떻게 만들어야 할까? 한국인터넷진흥원(KISA)이 발표한 ‘패스워드 선택
및 이용 안내서’를 통해 사용하면 안되는 비밀번호와 바람직한 비밀번호 만드는 법을 살펴본다.
이런 비밀번호는 사용하지 말자
▲ 배송, 결제 안내 등으로 위장한 문자 메시지
기본적으로 생일이나 전화번호 등 개인정보를 바탕으로 구성된 비밀번호는 위험하다. 또 아이디(ID)를
이용한 패스워드도 금물이다. 다행히 요즘 많은 사이트에서는 사용자의 개인정보와 관련된 연속된 숫자나
ID와 일정 부분 중복되는 문자는 비밀번호에 사용할 수 없도록 강제되어 있다.
동일한 문자가 반복되거나 키보드 상에서 연속된 위치에 있는 문자들로 구성된 비밀번호는 지양해야 한다.
예를 들어, 키보드에 손을 올려 놓은 채 왼쪽 새끼손가락부터 다섯개의 키(asdf)를 입력하고 좀 더
복잡하게 하기 위해 오른쪽 새끼손가락부터 다섯개의 키(;lkj)를 입력하면 특수문자가 무려 2개나
포함된 복잡한 비밀번호(asdf;lkj)가 되지만, 이미 많은 사람들이 사용해 널리 알려진 비밀번호
패턴이다.
KISA는 또 숫자와 영문자를 비슷한 문자로 치환한 형태를 포함한 비밀번호 역시 안전하지 않다고
경고한다. 예를 들어 영문자 o 대신 숫자 0으로 표시하는 것인데, 한때 꽤 유행하던 방식이라 이
또한 이제는 충분히 유추 가능한 비밀번호 패턴이 되었다.
특정 인물이나 역할, 또는 널리 알려진 단어가 포함된 비밀번호도 좋지 않다. 기업의 시스템 관리자가
admin이라는 문자를 아이디나 비밀번호에 사용하는 경우가 대표적이다.
또 우리나라에서는 한글 발음을 영문으로, 반대로 영어 단어를 한글로 표기하는 방식의 비밀번호도 자주
쓰였던 탓에 이제는 더 이상 안전하지 않다 '사랑'을 SaRang으로 표기하거나 Love를 우리말
발음인 '러브(FJQM)'로 표기하는 사용자도 많은데, 이 또한 널리 알려진 패턴이 되었기 때문이다.
이 밖에도 시스템에 초기 설정되어 있거나 예시로 제시되는 비밀번호를 그대로 사용하는 것은 절대 삼가야
한다.
안전하고 기억하기 쉬운 비밀번호 만들기!
타인이 짐작할 수 없어야 하지만 정작 본인도 기억할 수 없는 비밀번호라면 바람직하지 않을 터.
기억하기 쉽지만 안전성 높은 비밀번호 만드는 방법 3가지 정도는 알아 두자.
1. 특수문자나 숫자를 처음이나 마지막이 아닌 곳에 삽입하기
대부분의 사람들이 비밀번호 앞이나 뒤에 숫자 또는 특수문자를 삽입한 후 90일마다 숫자나 특수문자만
바꿔주는 식으로 변경한다. 예를 들어, ‘Security1!’로 하고 3개월 후엔
‘Security2!’로 변경하는 식이다. 이 또한 유추하기 쉬운 패턴이 되었다. 이제는 끝이나 앞이
아닌 중간에 숫자와 특수문자를 삽입하자. ‘S2cur!ty’나 특수문자를 더 추가해
‘S&&2cur!ty’와 같이 비밀번호의 길이를 늘리는 것도 방법이다.
2. 특정 명칭의 일부분만 선택 가공하기
특정 명칭이나 문구의 홀수 또는 짝수 번째의 문자를 구분하는 식으로 가공하여 설정하는 방식으로, 한글
키패드라는 이점을 십분 활용하는 방식이다. 예를 들어, ''온라인몰'이라는 이름의 사이트를 이용한다면
홀수 번째에 위치한 글자인 '온, 인'만 비밀번호로 하되 이를 영문 키로 입력하는 것이다. 그러면 ‘dhsdls'
라는 글자가 되는데, 여기에 숫자나 특수문자를 삽입 또는 조합하면 ‘dhs1dls!’ 와 같이 복잡한
비밀번호를 만들 수 있다.
3. 좋아하는 문구 활용하기
유추하기 쉬운 흔한 표현이나 단어 대신 평소 내가 좋아하던 노래 제목이나 문구를 가공해 비밀번호를
설정하면 타인은 유추하기 어렵지만 자신은 기억하기에 쉽다. 앞서 예를 들었던 'Love'라는 단어를
쓰고 싶다면 유명 영화 대사인 "I love you 3000"을 활용해 'il0veu3@@@'라고
설정할 수 있다.
잘 만들 자신 없다면 안 쓰는 비밀번호부터 정리하자
복잡하지만 타인이 유추하기 쉬운 비밀번호도 문제지만 여기저기 가입 후 방치하는 계정 정보도 문제다.
이런 저런 이유로 여기 저기 사이트에 가입은 하지만 회원탈퇴를 하기 위해 평소 잘 이용하지 않는
사이트를 찾아가는 경우는 드물다. 가입 후 잊고 있던 사이트가 해킹되었을 때 동일하거나 유사한
비밀번호를 여러 사이트에서 사용하고 있다면 연쇄적으로 해킹될 수 있다는 점을 명심해야 한다.
이와 관련해 한국인터넷진흥원(KISA)은 가입한 사이트를 한 눈에 확인하고 탈퇴 요청을 할 수 있는
‘e프라이버시 클린서비스’를 제공하고 있다.
▶
‘e프라이버시 클린서비스’ 바로가기
최근 ‘### 계정으로 로그인 하기’, 이른바 소셜 로그인 기능도 비밀번호 유출의 원인이 될 수
있다는 우려가 있다. 한 개의 아이디로 여러 사이트를 동시에 가입해 이용할 수 있다는 점에서
편리하지만 한 곳만 뚫려도 연쇄 작용이 발생할 수 있기 때문이다. 이와 관련해 안랩은 시큐리티레터를
통해 소셜 로그인을 통해 가입한 서비스를 정리하는 방법을 소개한 바 있다.
▶ 안랩 시큐리티레터 ‘여기저기 가입한 소셜 로그인, 한 번에 정리하는 꿀팁’
이 밖에 개인 사용자 및 기업 관리자가 알아 두면 좋을 비밀번호 보안 지침에 대한 더 많은 내용은
한국인터넷진흥원(KISA)의 ‘패스워드 선택 및 이용 안내서’에서 확인할 수 있다.
▶ ‘패스워드 선택 및 이용 안내서’ 더 보기
[출처 : 안랩(((www.ahnlab.com)]
