기사 내용과 직접 관계없는 자료사진. 사진=픽사베이
“회원님은 장기간 똑같은 비밀번호를 사용하고 있습니다. 비밀번호를 변경해 주세요. 변경을 원하지 않으시면 30일 후에 다시 안내합니다.”
이제는 거의 모든 사이트에서 정기적으로 보게 되는 ‘비밀번호 변경’ 안내 문구다. 일정한 간격을 두고 비밀번호를 변경하는 것이 안전하다는 것은 인터넷 상식으로 통한다. 그런데 실제로 비밀번호를 주기적으로 변경하는 것이 보안에 도움이 될까?
29일 현지 언론 보도에 따르면, 일본 총무성은 지난해 가을부터 ‘국민을 위한 정보 보안 사이트’에서 “비밀번호를 정기적으로 변경하는 것은 불필요하다”고 공지하고 있다. 2003년 사이트 개설 당시에는 “(비밀번호를) 정기적으로 변경해야 한다”고 당부했지만 바뀐 것이다.
이미 지난해 6월 미국 국립 표준 기술 연구소(NIST)는 서비스를 제공하는 측에서 암호의 정기적 변경을 요구하지 말라는 지침을 발표한 바 있다. 이에 따르면 필수적인 비밀번호 변경은 비밀번호가 유출됐거나 노출될 수 있다는 큰 우려가 있는 경우, 비밀번호가 유출됐다는 증거가 있을 때에만 강제하는 것이 좋다. 임의의 일수가 지났기 때문에 비밀번호 변경을 강제하는 것은 좋지 않다. 미국 노스캐롤라이나대 연구팀도 사용자가 비밀번호를 자주 바꿔도 예측 가능한 변형이라면 위험은 거의 줄지 않는다고 주장했다.
또 일본 총무성 사이버 보안과 담당자에 따르면, 지난 2016년 12월 일본 사이버 보안 센터(NISC)는 “인터넷 사이트 비밀번호를 정기적으로 변경할 필요는 없다”는 내용을 담은 가이드북을 공개했다.
일본 총무성이 ‘국민을 위한 정보 보안 사이트’ 내용을 업데이트 한 것은 미국의 동향과 NISC의 가이드북 내용을 감안한 데에 따른 것이라는 설명이다.
그렇다면 이들은 왜 비밀번호를 정기적으로 변경하는 것이 보안에 별 도움이 되지 않는다는 것일까?
총무성 사이버 보안과 관계자는 “10자리 이상으로 충분한 길이의 암호를 만들면 정기적인 변경은 불필요하다는 이야기”라며 “4자리 숫자 등 매우 짧은 암호는 오히려 정기적으로 변경해야 할 필요가 있을 것”이라고 설명했다.
이에 따르면, 비밀번호를 정기적으로 변경하도록 하면 사용자는 오히려 최근 비밀번호를 잊기 쉽다. 또 ‘이름+생년월일’ ‘이름+1234’ 등 간단한 패턴으로 암호를 만들어 나가는 경우가 많아 보안에 더 취약해진다. 때문에 처음부터 복잡한 암호를 설정할 필요가 있고, 다양한 문자를 섞어 길이가 긴 복잡한 암호를 설정했다면 굳이 정기적으로 암호를 변경할 필요는 없다는 것이다.
다만 이 관계자는 “보안이라는 것은 그때의 기술에 따라 변하는 것”이라며 현재의 ‘비밀번호 정기 변경은 불필요하다’는 방침도 언젠가 바뀔 수 있다는 가능성을 언급했다.
한국의 사정은 어떨까.
KISA 관계자는 “사실 이 비밀번호의 보안 강도가 높고, 내 PC와 휴대전화에서만 쓴다면 바꿀 이유가 없을 것”이라며 “다만 보안이 취약한 공공장소에 가서 로그인하거나 PC방 등에서 로그인하면 비밀번호가 나도 모르게 유출 될 가능성이 높다. 때문에 이에 대비해 정기적인 비밀번호 변경을 권고하고 있는 것”이라고 설명했다.
박예슬 동아닷컴 기자 yspark@donga.com 입력 2018-03-30