━
"비밀번호 너무 오래 쓰셨어요" 뒷자리만 바꾸는데…효과는?━
그렇다면 비밀번호 재설정은 개인정보 보호에 얼마나 효과적일까. 보안업계에선 '경우의 수'를 늘릴 수 있는 것만으로도 정보보호 효과를 강화할 수 있다는 입장이다. 한 국내 보안업계 관계자는 "비밀번호를 주기적으로 변경하면 (해커들이) 찾아낼 확률을 낮출 수 있는 건 맞다"며 "뒷자리만 일부 변경한다 해도 기존 비밀번호를 쓰는 것보다 경우의 수를 많이 만들 수 있다. 'abcd1'을 'abcd9'로 바꾸면 1~9까지 다 입력해봐야 해킹이 가능하기 때문"이라고 말했다.
또 다른 업계 관계자는 "기존에 쓰던 암호가 얼마나 복잡하게 조합돼 있는지가 중요하다"며 "이미 복잡하게 만들어진 비밀번호라면 이를 살짝만 바꾼다고 해도 해커들의 공격을 어느 정도 방어할 수 있다"고 설명했다.
웹브라우저의 암호 저장 기능 사용은 지양해야 한다는 게 업계 중론이다. 박태환 안랩 사이버시큐리티센터(ACSC) 대응팀장은 "최근 많이 발견되는 인포스틸러 악성코드는 운영체제나 프로그램에 저장된 계정과 정보를 타깃해, 자동 로그인 기능 사용 시 정보가 유출될 수 있다"며 "공격자가 저장된 정보를 모두 훔쳐 갈 수 있어 다른 사이트 암호나 앞으로 사용할 암호 예상도 가능해진다"고 말했다.
━
"비번 복잡성 높여야…나만의 고유 패턴 필요"━
문종현 이스트시큐리티 시큐리티대응센터(ESRC) 센터장은 "여러 웹사이트에서 공통으로 쓰는 암호는 공격자들이 쉽게 대입할 위험이 있다"며 "불특정 다수의 암호를 수집한다 해도 공격자들은 이 암호를 여러 사이트에 자동 로그인하는 프로그램을 이미 갖고 있어, 하나만 유출돼도 큰 피해를 볼 수 있다"고 지적했다.
암호 설정 시 웹사이트별로 본인만의 고유 패턴을 만드는 것도 방법이 될 수 있다. 예컨대 네이버(NAVER) 암호를 만든다면 다섯 글자(NAVER)인 것에 착안해 숫자 5를 뒤에 덧붙이거나, 키보드 자판 '5'에 붙은 '%'를 특수문자로 붙이는 방식이다. 문 센터장은 "암호를 휴대전화 등에 기록할 경우 해킹 위험이 있다"며 "자신만의 패턴을 만들면 복잡하게 조합해도 쉽게 기억할 수 있다"고 말했다.
최근엔 암호 자체가 없는 '패스워드리스'(Passwordless)가 도입되고 있다. 애플·구글·마이크로소프트(MS) 등 글로벌 빅테크 3사는 지난 5월 '암호 없는 로그인' 방식을 지원하겠다고 밝힌 바 있다. 국내 가상자산거래소 업비트도 지난달 생체인식과 PIN을 활용하는 패스워드리스 방식으로 로그인 방식을 변경하기도 했다.
다만, 아직 패스워드 리스 도입이 적은 수준인 만큼 사용률이 높아지면 이를 노린 해킹도 늘어날 우려가 있다. 한 보안업계 관계자는 "특히 생체인증을 이용할 경우 사용자 편의성이 증가하고 사회공학적인 해킹이 어렵다는 강점이 있다"면서도 "해킹은 트렌드이기 때문에 이런 방식을 뚫을 수 있는 새로운 수법은 충분히 나올 수 있다. 이를 보완할 수 있는 장치 개발은 필수"라고 말했다.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]