'비번'을 또 바꾸라고요?

경제문화 Economy, Culture/알아두면 Useful Info.|2016. 8. 5. 17:54

카네기멜론공과대학 로리 크래너 교수

"비밀번호 자주 바꾼다고 더 안전하지는 않아

잦은 비밀번호 변경, 도리어 보안 위협"


  해킹과 개인정보 유출에 대한 우려가 계속 높아지고 있습니다. 


출처 ltnow.com

edited by kcontents


잊을만 하면 대형 해킹 사고 소식이 터지곤 하죠.

 

더 복잡하게 만들라고... 보안 강조하다 사용자는 지쳐

그래서 요즘에는 금융기관이나 공공기관 홈페이지 등에 회원 가입할 때 비밀번호도 복잡하게 만들라 하는 곳이 많습니다. 10자 이상 되어야 하고, 영어와 숫자, 특수문자 등이 고루 포함되어 있어야 하며 이름이나 생일을 연상시키는 부분이 있으면 안 된다는 등등 조건이 까다롭습니다.

 

38A*bz!jC493v… 이 정도는 되어야 안전하다는 얘기를 듣겠죠? 비밀번호 만드는 것이 회원 가입의 최대 난제라는 생각이 들 정도입니다.

 

게다가 이렇게 복잡하게 만든 비밀번호를 정기적으로 바꾸라고 요구하는 사이트들도 늘어나고 있습니다. 3개월쯤 지나면 접속할 때 팝업이 떠서 ‘안전상의 이유로’ 비밀번호를 바꾸라고 강요하죠.

 

엄청나게 귀찮지만, 그래도 개인정보를 털리는 것보다는 나으니까 참고 넘어가곤 합니다. 해커의 공격을 받아도, 비밀번호가 그새 바뀌었으면 해커가 내 정보를 가져갈 수 없습니다. 당연히 비밀번호를 자주 바꾸는 것이 더 안전해 보입니다.

 

하지만! 정말 복잡하고 유추하기 어려운 비밀번호를 만들고, 비밀번호를 정기적으로 바꾸면 해커의 공격으로부터 더 안전해질까요?

꼭 그렇지는 않다는 주장이 요즘 힘을 얻고 있습니다.

 

비밀번호 자주 바꾼다고 더 안전하지는 않아

우리나라의 공정거래위원회에 해당하는 미국 연방거래위원회(FTC)의 최고기술책임자(CTO)로 카네기멜론공과대학 로리 크래너 교수라는 사람이 얼마 전 부임했는데요. 그는 FTC가 직원들에게 정기적으로 패스워드를 바꿀 것을 요구하는 것에 놀랐다고 합니다. 업무를 위해 6개의 패스워드를 관리해야 했는데, 이 암호들을 60일에 한번 바꿔야 했습니다. 

 

해외 IT 매체 아스 테크니카에 따르면, 정보보호 전문가인 그는 “최근 정보보호에 대한 연구 결과는 잦은 비밀번호 변경이 도리어 보안을 위협한다는 점을 보여준다”며 결국 FTC의 암호 변경 정책을 바꾸었다고 합니다.

 

통념과는 반대로 비밀번호를 자주 바꿔도 보안 위협이 줄지 않는 이유는 해커들이 쉽게 바뀐 암호를 추측할 수 있기 때문입니다.

 

사람들은 매번 완전히 다르게 비밀번호를 변경하지 않습니다. 완전히 다른 암호는 만들기도 귀찮고, 기억하기도 어렵기 때문에 대부분 사람들은 일정한 규칙을 만들어 약간만 암호를 수정합니다.

 

미국 노스캐롤라이나대학교 연구팀이 더 이상 쓰이지 않는 전직 직원들의 학내 이메일 주소의 해시값을 분석한 연구가 이점을 잘 보여줍니다. 예를 들어 처음 비밀번호가 tarheels#1이었다면 다음에는 tArheels#1, 다음에는 taRheels#1 이런 식으로 바꾸는 거죠. tarheels#2, tarheels#3 이런 식으로 바꿀 수도 있겠죠.

 

어쨌든 결론은 쉽게 유추 가능하다는 것입니다. 연구진은 이런 규칙을 바탕으로 정확도 높은 암호 예측 프로그램을 만들어 온라인 공격을 성공적으로 실행할 수 있었습니다.

 

영국 정부의 정보보호 관련 기구인 CESG도 비슷한 이유로 ‘비밀번호를 정기적으로 바꾸지 말라”고 공개적으로 권장하고 있습니다. 복잡한 암호를 정기적으로 바꾼다 해도, 그 패턴은 해커에게 간파당하기 쉽습니다.

 

비밀번호가 복잡할수록 잊어버리기도 더 쉬우니 사용자는 업무에 차질을 빚고, 시스템 관리자는 사용자 계정 문제를 해결하느라 신경을 써야 합니다.

 

사용자가 복잡한 암호를 만들고 기억하는 수고에 비하면 실익은 없다는 얘기입니다. 게다가 암호를 제대로 복잡하게 만들면, 결국 비밀번호를 외우지 못 하고 포스트잇에 적어서 모니터 옆에 붙여 놓는 지경에 이릅니다.

 

CESG는 사용자가 로그인할 때 혹시 다른 곳에서 접속 시도가 있었는지를 표시해 주어 본인이 아닌 외부인의 침입 시도가 의심될 때 바로 관리자에 알릴 수 있게 하는 등 시스템 차원에서 관리하는 방법을 찾아야 한다고 권고합니다.

 

어떤가요? 공인인증서에 액티브X에 각종 보안 프로그램을 덕지덕지 깔게 하고 특수문자와 영문-숫자로 조합된 16자리 비밀번호를 만들게 하면서도, 사용자를 더 불편하게 하는 것에 별 문제를 못 느끼는 우리 공공기관이나 금융기관도 참고해야 할 얘기 아닐까요? 

한세희 테크 에디터 hahn@donga.com 동아사이언스


[전문]

http://www.dongascience.com/news/view/13280 

kcontents

그리드형

댓글()

티스토리툴바