지금 입력하는 '비밀번호' 최악은 아닌가요?

[쉿!보안노트]<13>보안의 기본은 '비밀번호 관리'지만 소홀한 개인사용자들

#최근 러시아 해킹 그룹이 42만개 웹사이트에서 사용자 이름과 비밀번호 12억개를 확보한 소식이 전해졌다. 포춘 500대 기업부터 중소기업에 이르기까지 피해 기업 범위는 방대한 것으로 알려졌다.

세계적인 해킹사고에 보안전문가들이 가장 먼저 당부한 것은 '비밀번호 관리'다. 2차 피해를 막기 위해서 가장 먼저 손써야하는 부분인 것. 비단 기업 뿐 아니라 개인 사용자들에게도 비밀번호 관리는 정보 유출을 막는 첫번째 과제다.

갈수록 다양한 웹사이트에서 비밀번호를 사용하기 때문에 비밀번호 관리에 소홀한 사용자들이 대다수다. 보안전문가들은 기억하기 쉬운 번호를 동시에 여러 웹사이트에서 사용하는 것은 '최악'의 관리법이라고 지적한다.

한국인터넷진흥원(KISA)에서 발표한 위험한 비밀번호 유형을 보면, 우선 7자리 이하 또는 두가지 종류 이하의 문자구성으로 8자리 이하 비밀번호는 보안을 위해 피해야하는 유형이다. 해커가 암호 해독을 하는데 단 몇 분, 몇 초 밖에 걸리지 않기 때문이다.또 'abcabc' 'ekbox2' 등과 같이 동일한 문자가 반복되거나 숫자가 제일 앞이나 뒤에 오는 구성의 비밀번호도 보안성이 떨어진다.

이밖에도 가족이름, 생일, 주소 등 제3자가 쉽게 알 수 있는 개인정보, 사용자ID(아이디)를 사용한 비밀번호는 최악의 비밀번호로 분류된다. △한글, 영어 등을 포함한 사전적 단어로 구성된 경우 △특정인물 이름 등 널리 알려진 단어 포함된 것 △숫자 영문자를 비슷한 문자로 치환한 형태 등은 피해야하는 비밀번호 유형이다.

안전한 비밀번호를 만드는 법으로 본인이 기억하기 쉬운 특정 명칭을 선택해 예측이 어렵도록 가공하는 방식이 있다.

예를 들어 '머니투데이(ajslxnepdl)'라는 명칭을 선택한 후 '머니투이(ajslxndl)'와 같이 변경해서 사용하는 것. 여기에 '머1니!투2이@(ajs1sl!XO2dl@)'처럼 중간 중간에 대소문자와 숫자, 특수문자를 혼합하면 보안성은 더 높아진다. 비밀번호 기억이 어렵다면 노래제목이나 명언, 속담, 가훈 등을 이같은 방식으로 가공해서 사용하는 것도 좋은 방법이다.


본인이 만든 비밀번호가 얼마나 안전한지 확인할 수 있는 도구도 있다. KISA가 제공하는 비밀번호 안전성 강도 자가진단도구 SW(소프트웨어)를 다운로드 받아서 활용하면 된다. 이 프로그램은 윈도우 및 유닉스용 비밀번호에 대한 안전성 강도를 손쉽게 검사하도록 지원한다.

KISA는 이렇게 만든 비밀번호 사용을 안전하게 하기 위해서 웹사이트별로 특정 규칙을 적용해 비밀번호를 달리 설정할 것을 권고한다. 또 주기적으로 변경하되 이전에 사용하지않은 새로운 것으로 바꿔야한다고 말한다. 특히 비밀번호가 제3자에 노출된 사실이 확인되면 지체없이 변경해야 추가 피해를 막을 수 있다.