비밀번호 딜레마…쉽고 안전한 방법 없을까

 '비밀번호 딜레마'

기억하기 쉽도록 간단히 만들자니 불안하고, 보안을 위해 복잡하게 만들면 정작 본인이 기억하지 못하는 어이없고 허무한 상황이 발생한다. 비밀번호를 만드는 일은 이제 개인적으로도 사회적으로도 하나의 고민거리로 떠올랐다.

네이트, 옥션 등 개인정보 유출 사건이 빈번하게 일어나면서 각종 사이트에서 주문하는 비밀번호는 더 길어지고 있다. 숫자와 문자 뿐 아니라 특수기호까지 섞어야 하며 3개월이나 6개월에 한 번씩은 바꿔주기까지 해야 한다. 비밀번호 때문에 스트레스를 받는다는 말이 나오는 이유다.

◆복잡한 비밀번호는 또 다른 문제 불러올수도

사용자들은 쉬운 비밀번호를 선호하는 경향이 강하다. 이유는 당연히 기억하기 쉽기 때문이다.

지난해 'D33DS'라는 이름의 해커 집단이 야후 서버에서 훔쳐냈다고 주장하는 다량의 이메일 주소와 비밀번호 등을 온라인상에 공개한 적이 있다. 이를 통해 가장 많이 사용한 비밀번호를 파악해본 결과 '123456'과 'password'가 1, 2위로 드러났다.

이밖에도 welcome, ninja, abc123 등 10위 권 내 든 단어들 상당수가 모두 추측하기 쉬운 비밀번호였다. 길고 복잡한 비밀번호를 사용하고 주기적으로 바꿔주는 것이 보안의 관점에서는 타당하나 현실은 정반대였던 셈이다. 이는 한국의 상황에 적용해도 크게 다르지 않을 것이다.

보안 전문가들에 의하면 이같이 간단한 숫자나 문자를 나열하는 비밀번호는 쉽게 깨질 수밖에 없다. 해커들은 수동으로 일일이 비밀번호를 대입하는 것이 아니라 사전 대입법 소프트웨어를 사용하기 때문에 시간도 오래 걸리지 않는다.

실제로 안전성 여부를 테스트할 수 있는 미국의 인터넷사이트(www.howsecureismypassword.net)에서 숫자 '1234'나 영문 'ABCD'를 치면 '즉시(Instantly)'라는 단어가 뜨는 것을 확인할 수 있다. 만약 누군가 비밀번호를 알아내려고 해킹 프로그램을 쓴다면 곧바로 뚫린다는 의미다.

대다수의 사이트가 (심지어 12자리까지) 점점 더 긴 비밀번호를 요구하는 추세지만 무조건 길게 만든다고 해서 해킹에 안전한 것도 아니다. 외우기 쉽지 않은 비밀번호를 사용하게 되면 사용자들은 이를 문서나 파일에 기록해둘 가능성이 커지기 때문이다. 결국 또 다른 보안 위험을 만드는 셈이다.



◆안전한 비밀번호 어떻게 만들까

기억하기 쉬우면서 안전한 비밀번호는 없을까.

신수정 인포섹 대표는 최근 펴낸 저서 '보안으로 혁신하라'에서 로스 앤더스(Ross Anderson)이라는 보안학자의 실험을 인용하며 '문장의 앞 글자를 따서 비밀번호를 만드는 법에 주시할 필요가 있다'고 전하고 있다.

'I have lunch at 12'라는 문장을 기억한다면 이 문장의 앞 글자를 따서 비밀번호는 'ihla12'로 생성하도록 하는 것이다. 단순히 숫자와 문자만을 혼합하는 방식은 깨지기 쉽고 그렇다고 복잡한 8자리 비밀번호는 기억하기가 어려운 반면 이 방식은 양 측면 모두에서 효과적이라는 것이다.

보안업체 안랩(대표 김홍선)은 영문 타자를 기준으로 한글을 사용해 비밀번호를 생성하는 방법을 권한다. 영문 타자를 기준으로 '홍길동'을 쳐서 나열된 의미 없는 영문 단어(ghdrlfehd)를 비밀번호를 삼으라는 것이다.

이에 대해 안랩 관계자는 "영문 상태에서 한글을 쳐 뜻이 없는 영어 단어를 만들면 외국의 공격자들은 한글을 모르기 때문에 이같은 비밀번호를 유추하기 상당히 어렵다"며 "특수기호를 포함시켜 8자리 이상으로 만드는 것도 효과적"이라고 설명했다.

최근에는 발상의 전환을 통해 간단하면서도 보안을 유지할 수 있는 방법들도 등장하고 있다. 미국 IBM은 사용자가 키보드를 치는 박자를 비밀번호에 포함시킨 시스템을 내놨고 국내 한 벤처기업도 비밀번호를 누르는 시간을 각각 달리 설정하는 방식을 선보이기도 했다.

김국배기자 vermeer@inews24.com 2013-08-27