안전하면서도 까먹지 않는 비밀번호
'연상 기억법’도 추천
예를 들어 블락비의 노래 ‘예스터데이’ 중
‘What did you do yesterday’라는 가사의 첫 글자를
본 따 ‘Wdydy’를 비밀번호로 쓰는 것이다.
‘이 사이트 비번(비밀번호), 뭐였지?’
이것저것 다 입력해 봐도 ‘로그인 정보가 맞지 않습니다’라는 경고만 뜬다. 개인정보 유출 사고가 있을 때마다, 불안해서 비밀번호를 바꾼 탓이다. 이제 몇 가지 유형의 비밀번호를 돌려쓰던 시대는 끝났다. 우스갯소리로 ‘이미 다 털렸다’고 체념하지만, 계속 신경이 쓰인다.
대문자, 특수문자, 숫자까지 넣으면 얼마나 안전해 질까?
source Techie Bros
edited by kcontents
최근 비밀번호 설정 시 글자 수 10자 이상, 대·소문자 혼용, 숫자·특수문자 사용, 개인정보관련 숫자 사용금지 등의 조건을 건다. 그런데, 이렇게 하면 정말 안전한 건가?
비밀번호는 조합이 가능한 경우의 수를 모두 입력하면 언젠가는 알 수 있다. 예를 들어 0000과 같이 중복 사용이 가능한 숫자만으로 이뤄진 4자리 비밀번호의 경우의 수는 10⁴으로 1만 번만 이내에 비밀번호를 알 수 있다. 리안 머피 미국 컬럼비아 컬리지 컴퓨터 수학과 교수는 달라지는 조건에 따라 해커가 비밀번호를 알아내는 데 걸리는 시간을 계산했다.>
간단한 로그 방정식에 사용가능한 문자의 수(숫자는 0~9 10가지, 소문자는 a~z 26가지 등)와 비밀번호 각 자리마다 달라지는 무작위 정도를 대입하면, 사람들이 비밀번호로 사용하기 알맞은 문자의 길이를 계산할 수 있다. 미국국립표준기술연구소(NIST)의 발표에 따르면 8~12자 사이다. 머피 교수는 이 범위 안에서 해커의 공격을 견디는 시간을 측정했다.
단어는 무작위 조합을 사용했으며 ‘a와 @’와 같이 연상되는 특수문자도 배제했다. 대문자, 특수문자, 숫자도 예측 불가능한 위치에 끼워 넣었다. 그 결과 사용하는 문자 종류가 많아져 비밀번호가 길고 복잡해질수록 내 정보를 지킬 수 있는 시간도 늘었다.
8자 비밀번호가 모두 소문자라면(예:password)는 해독하는 데 3.5분, 10자 비밀번호가 소문자 6개, 대문자 1개, 특수문자 1개, 숫자 2개 조합이면(예:P@ssword11) 1707년이 걸렸다(자세한 결과는 아래 표 참조).
물론 이 연구 결과는 절대적인 수치는 아니다. 다시 말해 알아내는 데 1707년 걸릴 거라 예상했던 비밀번호도 경우에 따라 바로 풀릴 수 도 있다는 얘기다. 이 값은 상대적인 결과이며, 조건에 따라 안전도가 어떻게 달라지는 지 그 추이를 살펴보기 위한 연구다. 머피 교수는 “세상 모든 언어 사전에 나오는 단어 조합, 전화번호나 가족의 생일 등 개인정보 관련 숫자, ‘a와 @’ 같이 누구나 연상할 수 있는 치환, 유명한 유행가 가사, 대사 인용은 피하라”고 조언했다.
이 연구 결과는 조건에 따라 달라지는 ‘상대적’인 결과다. 다시 말해 절대적 수치는 아니며, 조건에 따라 얼마나 안전도가 강화되는지 그 추이를 볼 수 있는 자료다. - (주)동아사이언스(자료:Ryan Murphy) 제공
대문자, 소문자, 특수문자, 숫자까지 조합했더니 ‘최상’ 등급이 나왔다. - KISA 제공
한국인터넷진흥원(KISA)에서는 개인 비밀번호의 안전도를 검사해 볼 수 있는 소프트웨어를 제공한다. 비밀번호 길이, 문자의 연속성을 포함해 여섯 가지 항목에 따라 최상·상·중·하로 검증 결과를 보여준다. 그러나 비밀번호 조합의 안전 수준을 알려주는 것일 뿐으로 결과이므로, ‘안전’ 등급이 나와도 실제로는 ‘취약’할 수 있으니 전문가들은 참고만 하라고 당부한다.
복잡한 비밀번호 잊지 않는 방법은?
비밀번호는 길고, 복잡하고, 참신하게 만들면 비교적 안전하다. 그런데 이렇게 만들고 나면, 기억하기 어려워 정작 비밀번호 주인만 골탕 먹게 된다.
미국 IBM 사에서 최고 기술 책임자(CTO)를 맡고 있는 브르스 슈나이어 보안 전문가는 일회용 비밀번호 제작 프로그램을 이용해 각기 다르게 설정한 무작위 비밀번호를 생성(예를 들어 위와 같이 _-Q7W!Tr`P-/5U-K, 심지어 이 비밀번호를 잊지 말라고 _ - Queen 7 Walmart ! Tokyo rope ` Park - / 5 Usa - Korean와 같은 꿀팁(!)을 제공한다.), 안전하게 별도로 기록해 두는 방법을 추천했다.
별도로 기록한 비밀번호 문서 역시 비밀번호를 넣고 보관해야하는데, 이때는 생체인식과 같은 안전성이 높은 방식을 사용하라고 권했다. 특히 비밀번호 생성 및 보관용으로 제작된 소프트웨어를 사용하는 것이 안전하다고 밝혔다. 알렉스 할더만 미국 미시간주립대 공학대학 컴퓨터과학과 교수는 “전문가들은 해커의 다양한 시나리오를 모두 고려해 보안 프로그램을 만들기 때문에 가장 믿을만하다”고 설명했다.
그렇지만 이런 방식은 한 번에 모든 걸 잃을 수 있다는 게 단점이다. 이를 방지하고 싶다면 ‘연상 기억법’을 추천한다. 예를 들어 블락비의 노래 ‘예스터데이’ 중 ‘What did you do yesterday’라는 가사의 첫 글자를 본 따 ‘Wdydy’를 비밀번호로 쓰는 것이다.
여기에 자신이 좋아하는 숫자 2~4자리를 더하거나, 알파벳 사이에 특수문자(예를 들어 W^d^y^d^y7850)를 더하면 보안은 강력해진다. 전문가들은 각 사이트마다 다른 비밀번호를 사용하기를 권장하므로 여기에 각 사이트의 로고에 보이는 색을 뜻하는 단어의 일부를 더하면(예를 들어 W^d^y^d^y7850_r, _r은 빨간색을 뜻하는 red에서 가져옴) 비밀번호는 더 완벽해진다.
최진영 고려대 정보보호학부 사이버국방학과 교수는 “사람들이 주로 기억을 돕기 위해 비밀번호 일부에 한글 단어를 그대로(예를 들어 바나나는 qksksk로) 사용하는데, 국내 사이트 이용 시에는 위험하다”며 “확률적으로 한글 단어보다는 같은 알파벳을 대소문자를 섞어 길게(예를 들어 qQqQqQQQQQqqqqQQ) 사용하는 편이 낫다”고 말했다.
미국 노스캐롤라이나대 연구팀은 사용자가 비밀번호를 자주 바꿔도 예측 가능한 변형이라면 위험은 거의 줄지 않는다고 주장했다. 그러니 지금 머릿 속을 떠나지 않는 노래 가사가 있다면, 이번 기회에 비밀번호를 새 단장해 보는 건 어떨까. 지금이 바로 해커로 부터 조금 멀리 달아날 수 있는 기회다!
염지현 기자 ginny@donga.com 동아사이언스
케이콘텐츠
