More

    비밀번호에 사용되는 ‘특수문자’ 사실은 의미없다?

    - Advertisement -

    비밀번호, 어떻게 관리하세요? 동일한 비밀번호를 사용하기도 하지만, 사이트마다 요구하는 조건이 각각 달라 여러 개를 쓰게 되죠. 특수문자를 섞어 설정해달라는 곳도 있고, 대·소문자와 숫자를 추가해라는 사이트도 있고. 또 이 모~든 걸 조합해 만들라는 엄격한 사이트도 있어요. 정말 복잡하죠.

    그러다 보니 사이트의 비밀번호가 뭐였는지 까먹는 일이 많아요. ‘비밀번호가 틀렸습니다’, ‘비밀번호를 다시 입력해 주세요’ 이런 메시지를 보는 건 일상다반사예요. 비밀번호를 찾기 위해 인증 메일, 번호를 쓰는 일도 잦고요.

    오늘은 하루에도 여러 번 입력하게 되는 이 ‘비밀번호’에 대해 얘기해볼까 해요. 찾아보니 우리가 몰랐던 썰이 많더라고요. 특히 당연하게 여겼던 ‘복잡한 비밀번호는 안전하다’가 사실이 아닌 걸 알게 됐어요.

    ‘대소문자+숫자+특수문자=안전한 비밀번호’❌

    언젠가부터 비밀번호 설정 시 ‘특수문자’를 넣는 건 당연해졌어요. 회원가입 시 ‘특수문자를 사용하세요’, ‘!,@,#,$,%를 포함한 비밀번호를 설정해 주세요’라는 메시지를 보는 게 흔해졌죠. 대부분의 웹사이트는 1개 이상의 특수문자를 섞어 쓰라고 권고하고 있어요. 이런 규칙이 적용된 시기는 2000년대부터였어요.

    2003년 미국 국립표준기술연구소(NIST)는 ‘디지털 신원 지침’을 발표하면서 비밀번호에 대한 규칙을 규정했어요. 그중 하나가 ‘패스워드는 대문자, 소문자, 숫자, 특수문자를 각 하나 이상 포함해야 한다’였죠. 이 규칙은 미국을 포함한 기업·기관에 영향을 미쳤고, 우리나라 사이트들도 이 규칙을 적용하게 됐어요.

    해당 문서를 작성한 사람은 당시 연구소에서 일하던 엔지니어 빌 버(Bill burr)였어요. 그는 4년 전인 2017년, 월스트리트저널(WSJ)과 인터뷰에서 충격적인 발언을 했어요. 특수문자를 포함한 비밀번호가 보안 수준을 높이는 데 별 도움이 되지 않는다는 거예요.

    그는 해커가 비밀번호를 추측하기 어렵게 하기 위해서 이런 규칙을 만들었어요. 하지만 사람들은 그의 생각과 다르게 비밀번호를 구성했어요. 빌은 ‘pr0t3cT3d4!’로 복잡하게 섞어 사용하는 걸 바랐지만, ‘Monkey-1’과 같이 추론하기 쉬운 비밀번호를 만든 거예요. 보안 강화에는 전혀 효과가 없었죠.

    괜히 사용자의 부담만 높이는 셈이 된 거예요. 게다가 비밀번호를 외우지 못하는 사용자가 메모장이나 다른 형태에 로그인 정보를 보관하게 됐고 이를 탈취당하는 일까지 생겼어요.

    빌은 인터뷰에서 많은 이들의 불편과 시간 낭비를 유발했다면서 “내가 했던 일을 많이 후회한다”라고 사과했어요.

    🔀자주 바꿔야지 안전한 비밀번호일까?

    ‘개인 정보 보호를 위해 비밀번호를 변경해 주세요’

    오랜만에 방문한 사이트에 로그인하면 이런 메시지를 볼 수 있어요. 이 규칙 역시 NIST에서 발표한 ‘디지털 신원 지침’에 포함된 내용이었어요. 45~90일마다 정기적으로 비밀번호를 바꾸는 것. 비밀번호를 바꾸지 않고 오랫동안 사용할 경우 유출·해커의 무차별 대입 공격 가능성이 높다는 게 그 이유였죠.

    하지만 몇 년 뒤 NIST는 관련 규칙을 변경했어요. 정기적인 비밀번호 변경이 아닌, “해킹 당했다고 생각할 때만 비밀번호를 변경해라”라는 거였죠. NIST는 잦은 변경이 오히려 사용자가 여러 도메인에서 사용하는 비밀번호를 기억하기 어렵게 만든다면서 “보안 효과 저해를 초래한다”라고 언급했어요.

    실제로 관련 연구결과도 나온 바 있어요. 노스 캘리포니아 대학교 연구진은 ‘비밀번호 만기일에 대한 보안연구’를 진행했어요. 연구 방식은 다음과 같았어요.

    1. 연구진은 3개월마다 비밀번호를 변경하도록 강제된 10,000개의 계정 정보를 확보했어요.

    (계정은 과거 학교 학생, 학사 행정직이 사용했던 것!)

    2. 계정 이용자가 이전에 변경했던 비밀번호 이력 몇 개(약 4~15개)도 제공받았어요.

    연구진이 총 제공받은 비밀번호는 5만 1000여 개 정도였죠.

    3. 연구진은 비밀번호를 추측할 수 있는 ‘해독 도구’를 사용해 비밀번호를 알아내는 과정을 반복했어요.

    4. 수개월간 작업을 반복한 결과, 연구진은 약 60%의 비밀번호를 해독할 수 있었어요.

    비밀번호를 어떻게 알아낸 걸까요? 연구진은 변경된 비밀번호에는 규칙이 있다고 설명했어요. 새로운 비밀번호를 예전에 사용했던 비밀번호와 비슷하게 만든다는 거죠. S,$처럼 글자와 유사하게 보이는 기호로 변경하거나, 숫자의 순서를 바꾸고, 특수기호 위치를 앞뒤로 바꾸는 것처럼요. 연구진은 약 17% 계정은 5회 이하 추측으로 비밀번호를 해독할 수 있었다고 설명했어요.

    자주 변경하더라도 쉽게 예측될 수 있는 형태로 단순하게 조합하니, 정기적으로 변경할 필요가 없는 거예요. 앞선 특수문자와 같은 이유였죠. 이 때문에 NIST는 ‘주기적 변경 사용’ 규칙을 철회했어요.

    안전한 비밀번호는? ✅말도 안 되는 긴~ 문장

    그럼 대체 안전한 비밀번호는 뭘까요?

    미국 연방수사국(FBI)은 ‘패스프레이즈(Passphrase)’를 사용하는 걸 추천했어요. 패스프레이즈는 여러 단어를 섞어 만든 비밀번호를 말해요. ‘VoiceProtected2020WeAre’처럼 연관성 없는 단어를 붙인 형태라고 보면 돼요. 예를 들어 ‘Tr0d4dor&3’와 같이 복잡한 비밀번호보다는 ‘DirectorMonthLearnTruck’처럼 어울리지 않은 여러 단어를 섞은 게 더 낫다는 거죠.

    왜일까요? FBI는 복잡성보다 길이가 중요하다고 강조했어요. 짧고 어려운 비밀번호보다 15자 이상의 긴 비밀번호가 해독하기 더 어렵다는 거예요. NIST 역시 해커는 비밀번호 길이가 길수록 암호를 푸는 데 더 큰 노력을 기울여야 한다고 설명했어요. 조합할 경우의 수가 늘어나면서 알아내기가 힘겹다는 거죠.

    해커는 어떻게 비밀번호를 탈취할까?💫

    해커들이 비밀번호를 탈취하는 방법은 여러 가지예요. 대표적인 건 ‘스팸 메일(Spam mail)’, ‘피싱 사이트(Phishing site)’가 있죠.

    다들 알다시피 스팸 메일은 ‘급박한 소식인 척’하면서 사용자의 클릭을 유도해요. “당신이 내 저작권을 침해했다!”라거나, 경찰청을 사칭해 사용자가 클릭할 수밖에 없게 만들죠. 이렇게 출처가 불분명한 메일을 열 경우, 피싱 사이트에 접속할 확률이 높아요.

    피싱 사이트는 정보를 꺼내기 위해 홈페이지를 모방해 만든 가짜 홈페이지를 말해요. 로그인 정보를 탈취하기 위해 만들어진 사이트인데, URL을 보기 전까지는 평범한 로그인 창이라 구분이 어려워요. 메일뿐만 아니라 문자, 카카오톡으로도 이런 링크가 온다고 해요.

    최근에는 중X나라를 통한 거래에서도 비슷한 피해가 발생한 바 있어요. 네이버 페이로 결제를 유도하면서 해킹 URL을 전송해 계정 정보를 입력하게 만든 거죠. 또 가상화폐 거래소를 위장해 로그인을 하게끔 만드는 경우도 있어요.

    공용 PC를 통한 유출 사례도 많아요. PC방이나 도서관처럼 하나의 PC를 여러 명이 사용할 수 있는 환경의 경우 로그아웃을 꼭 해야 해요. PC가 악성 프로그램에 감염됐을 경우 비밀번호가 유출될 확률이 높아요.

    동일한 아이디, 비밀번호를 타 사이트에서도 사용할 경우도 위험해요. 보안이 허술한 사이트에서 피해가 발생할 경우, 계정 정보가 한 번에 다 탈취될 수 있어요. 사이트별로 비밀번호를 각기 다르게 설정해두는 게 좋겠죠.

    계정이 털리지 않으려면… 🍀‘2단계 인증’ 설정해두기

    요즘은 보안을 위해 이중 보안 서비스를 적용하는 사이트가 많아요. 회원이 평소 사용하지 않던 기기, 다른 IP에서 접속했을 경우, “정말로 당신이 맞나요…?”처럼 한 번 더 확인 단계를 거치는 거죠. 이를 ‘2단계 인증’이라고 해요.

    네이버로 예를 들어볼게요. 네이버는 평소와 다른 환경에서 로그인됐을 때, 앱으로 알려줘요. ‘새로운 환경에서 로그인되었습니다’라는 메시지와 함께 인증 요청 메시지를 보내죠. 만약 이 인증 과정을 통과하지 못하면 서비스를 이용할 수 없어요.

    다음이나 구글, 트위터, 슬랙, 마이크로소프트도 모두 2단계 인증을 사용하고 있어요. 물론 사이트 별로 방식은 다 달라요. 개인 휴대폰·이메일로 전송된 코드를 입력해야 하거나, 전용 앱을 통해 ‘확인’ 버튼을 눌러야 하는 경우도 있죠.

    보안을 위해서는 2단계 인증을 걸어두는 게 좋아요. 구글플레이스토어에서 동의 없이 결제가 되는 피해는 이 ‘2단계 인증’을 해두지 않아서예요. 개인 정보나 동의 없는 결제를 막기 위해선 꼭 필요한 단계라고 볼 수 있어요. 현재 이용하는 사이트에서 2단계 인증을 지원하고 있다면 꼭 설정해서 미리 대비하면 좋겠죠~

    테크플러스 에디터 전다운

    tech-plus@naver.com​

    - Advertisement -

    Recent Articles

    Related Stories

    Enable Notifications    OK No thanks