/사진=독자 제공
"비밀번호 너무 오래 쓰셨어요" 뒷자리만 바꾸는데…효과는?웹사이트 접속 시 6~12개월 주기로 '비밀번호를 재설정하라'는 공지를 흔히 볼 수 있다. 그러나 이렇게 비밀번호를 변경한다 해도 A씨 사례처럼 기존 암호와 바뀐 암호 간 큰 차이가 없는 경우가 대부분이다. 보안기업 익스프레스VPN 설문조사 결과에 따르면 응답자 중 절반이 비밀번호 변경 시 기존에 쓰던 비밀번호와 비슷하게 바꾸는 것으로 드러났다. 전체 응답자의 38%는 "원래 암호에서 약간만 변경할 뿐"이라고 답했고 "다른 계정 비밀번호를 재사용한다"고 답한 비율은 12%였다. 암호를 다시 만들어도 기존과 큰 차이가 없다는 것이다.
또 다른 업계 관계자는 "기존에 쓰던 암호가 얼마나 복잡하게 조합돼 있는지가 중요하다"며 "이미 복잡하게 만들어진 비밀번호라면 이를 살짝만 바꾼다고 해도 해커들의 공격을 어느 정도 방어할 수 있다"고 설명했다.
"비번 복잡성 높여야…나만의 고유 패턴 필요"
/사진=게티이미지뱅크
문종현 이스트시큐리티 시큐리티대응센터(ESRC) 센터장은 "여러 웹사이트에서 공통으로 쓰는 암호는 공격자들이 쉽게 대입할 위험이 있다"며 "불특정 다수의 암호를 수집한다 해도 공격자들은 이 암호를 여러 사이트에 자동 로그인하는 프로그램을 이미 갖고 있어, 하나만 유출돼도 큰 피해를 볼 수 있다"고 지적했다.
이 시각 인기 뉴스
암호 설정 시 웹사이트별로 본인만의 고유 패턴을 만드는 것도 방법이 될 수 있다. 예컨대 네이버(NAVER (162,900원 ▼4,000 -2.40%)) 암호를 만든다면 다섯 글자(NAVER)인 것에 착안해 숫자 5를 뒤에 덧붙이거나, 키보드 자판 '5'에 붙은 '%'를 특수문자로 붙이는 방식이다. 문 센터장은 "암호를 휴대전화 등에 기록할 경우 해킹 위험이 있다"며 "자신만의 패턴을 만들면 복잡하게 조합해도 쉽게 기억할 수 있다"고 말했다.
최근엔 암호 자체가 없는 '패스워드리스'(Passwordless)가 도입되고 있다. 애플·구글·마이크로소프트(MS) 등 글로벌 빅테크 3사는 지난 5월 '암호 없는 로그인' 방식을 지원하겠다고 밝힌 바 있다. 국내 가상자산거래소 업비트도 지난달 생체인식과 PIN을 활용하는 패스워드리스 방식으로 로그인 방식을 변경하기도 했다.
다만, 아직 패스워드 리스 도입이 적은 수준인 만큼 사용률이 높아지면 이를 노린 해킹도 늘어날 우려가 있다. 한 보안업계 관계자는 "특히 생체인증을 이용할 경우 사용자 편의성이 증가하고 사회공학적인 해킹이 어렵다는 강점이 있다"면서도 "해킹은 트렌드이기 때문에 이런 방식을 뚫을 수 있는 새로운 수법은 충분히 나올 수 있다. 이를 보완할 수 있는 장치 개발은 필수"라고 말했다.