![[취재파일] "또 가물가물"…'비밀'이 된 '비밀번호'](http://img.sbs.co.kr/newimg/news/20150726/200854826_1280.jpg)
인터넷 사용자가 원한다고 해서, 하나의 비밀번호만 사용하는 것은 사실상 어렵습니다. (물론, 이런 행동은 보안상의 이유로도 해서는 안 된다는 게 보안 전문가들의 의견입니다.) 처음 느슨하게 적용됐던 비밀번호 관련 규정은 점점 까다로워지고 있고, 사이트별 비밀번호 요건도 다릅니다. 비밀번호 변경 주기(3개월~6개월)마다 변경이 권장되고, 상황에 따라 변경이 필수일 때도 있습니다.
포털 사이트와 오픈마켓 등 임의로 선정한 10곳의 비밀번호 요건을 살펴봤습니다. 비밀번호 숫자가 최소 6자부터 가능한 곳이 있는 반면, 8자 이상 요구하는 사이트들도 있습니다. 특수문자가 필수로 포함돼야하는 곳이 있는 반면, 숫자나 문자 두가지 조합만으로도 비밀번호를 만들 수 있는 곳들이 있었습니다. 같은 문자가 3자리 이상 이어지면 비밀번호로 설정할 수 없게한 곳까지 있습니다.
<비밀번호 최소 글자개수>
◆ 6자 이상 : 네이버, 지마켓, 네이트, 페이스북, 트위터
◆ 8자 이상 : 다음, 인터파크, 아이핀(2차 비밀번호는 6자리)
◆ 10자 이상 : 공인인증서
<특수문자 포함 여부>
◆ 선택 : 네이버, 다음, 네이트, 지마켓, 인터파크, 페이스북, 트위터,
(숫자, 문자, 특수문자 가운데 2가지 이상의 조합이어야 함. 페이스북과 트위터는 한가지 조합으로도 가능)
◆ 필수 : 아이핀, 공인인증서
<연속 또는 중복 배열> ex. 3자 이상, abcd, 123
◆ 가능 : 네이버, 다음, 구글, 트위터, 페이스북
◆ 불가 : 지마켓, 인터파크, 아이핀, 공인인증서
그렇다면, 비밀번호 관리 정말 어떻게 해야 할까요? 뾰족한 수가 있는지, 보안 전문가들에게 물었습니다. 보안 전문가들은 비밀번호를 어떻게 관리할까요? 결론부터 말씀드리면, 만족할 정도의 답은 얻지 못했습니다. 보안전문가들도 비밀번호를 관리하는 것이 쉽지 않다고 인정하는 것이 현실이었으니 말입니다.
다만, 지금 상황에서 적용할 수 있는 몇가지 ‘팁’은 얻을 수 있었습니다. 그 팁을 설명 드리면 이렇습니다. 암기 과목 내용을 자신만의 방법으로 외우듯, 비밀번호도 자신만의 방법으로 외우라는 것입니다. 외우기는 쉽지만, 다른 사람-해커가 추론하기는 쉽지 않은 것을 비밀번호로 만들라는 게 핵심입니다.
한글로 문장, 의미 단위를 만든 뒤 영문으로 쓰고, 여기에 자신만의 규칙을 적용해 숫자나 기호를 집어 넣는 방식을 적용해 볼 수 있습니다. 보다 구체적으로, 고려대학교 정보보호대학원 손영동 교수가 예시로 든 사례들을 살펴보겠습니다.
① 기본글자 만들기
- 가장 기억하기 좋은 문자와 숫자는 '의미를 내포하고 있는 것'
- 그렇다고 이름의 이니셜이나 생일, 결혼기념일처럼
누구나 추측하기 쉬운 문자와 숫자를 조합하는 것은 위험
- 자신과 크게 관련이 없으면서, 기억하기는 쉬운 문자와 숫자를 사용
② 복잡하게 바꾸기
- 대소문자를 적절히 섞어주고
- 숫자의 경우 그대로 쓰거나 특정 숫자를 특수 문자로 전환
예) '왕십리 2번지 먹자골목 7번째 족발집'
왕2먹7족 → (영문표현시) dhkd2ajr7wh
→ (대소문자 구분시) dhkd2ajr7Wh
→ (특수문자 첨가시) dhkd2ajr&Wh
'백설공주와 일곱 난장이 6에디션'
백7난6 → (영문표현시) qor7sks6
→ (대소문자 구분시) Qor7Sks6
→ (특수문자 첨가시) Qor7Sks^
③ 사이트별 상이한 비밀번호 설정
- 사이트별 자기만의 규칙을 설정
예) 네이버 → nav_Qor7sks^ or Qor7sks^_n*e*r
SBS → sbs_Qor7sks^ or Qor7sks^_s*s
인터파크 → int_Qor7sks^ or Qor7sks^_i*t*r
또 다른 방법으로, 영어 문장의 앞 문자만 뽑아낸 뒤, 그리고 로그인 할 사이트와 관련된 문자를 붙여보겠습니다. 대문자 표기, 숫자 표기를 일부러 넣기보다는 축약의 의미, 비슷한 알파벳을 숫자로 바꾸는 방식을 적용해봅니다. 이후, 로그인할 사이트는 ^사이트명으로 표기 한다면, 비밀번호는 다음과 같은 방식으로 만들어지게 됩니다.
you are my sunshine my only sunshine
→ yamsmos
→ URmsmos(you->U, are->R로 변경)
→ URmsm0s(알파벳o->숫자 0으로 변경)
→ URmsm0m^sbs
복잡해 보이시죠? ‘이 과정을 기억하는 것이 더 어려울 것 같다’ 이렇게 느끼실 수 있습니다. 하지만, 이 방법을 적용하는 게 습관이 되면, 비밀번호 변경에 대한 부담이 줄어들 수 있다고 전문가들은 이야기합니다. 3개월이나 6개월에 한 번 씩 자신만의 의미 단위를 변경해주면 된다는 것이죠. 비밀번호를 바꿀 때는, 바꾸는 달, 가령 7월에 비밀번호를 변경했다면 7월과 관련된 내용을 비밀번호에 포함시켜도 된다고 합니다.
실제로 업체들의 고민은 아직 사용자만큼 깊어보이지 않았습니다. ‘비밀번호 찾기’ 서비스를 이용하는 사람들이 적지 않을 것으로 보여 일부 업체들에 관련 수치를 의뢰했지만, 정보를 받을 수는 없었습니다. 별도로 집계하지 않는다는 것이 업체들의 공통된 설명이었습니다.
보안업계에서는, 비밀번호 스트레스를 줄여줄 수 있는 새로운 방식의 로그인 기술이 이미 개발 완료된 상태라고 설명하고 있습니다. 이르면 하반기부터 일부 금융기관 사이트에서 비밀번호 입력 대신, 지문 같은 생체 인식을 통해 로그인하는 방식이 도입될 전망입니다. 하지만, 당장 이런 방식이 비밀번호 입력 방식을 대체하지는 않을 예정입니다. 보안업체 라온시큐어 김태진 연구개발실장은 생체 인식 방식이 도입되더라도, 당장은 사용자에게 두 가지 방식을 제시하고 한 방식을 선택하도록 할 가능성이 높아 보인다고 설명했습니다.
결국 새로운 방식이 도입되더라도, '비밀번호 스트레스'가 한순간에 없어지진 않을 것으로 보입니다. 혹시, 지금도 비밀번호 때문에 난처한 상황에 처해있진 않으십니까. 그나마 번갈아 사용해 온 비밀번호를 더는 활용할 수 없다면, 위에 제시된 방법 가운데 한 두가지 만이라도 활용해보면 어떨까요. 물론, 이 방법을 적용하더라도 방법을 기억하는 것 자체가 또 하나의 '스트레스'가 될 수 있음은 부인할 수 없는 현실입니다.
* 참고 : 비밀번호 안전도 검사 사이트 https://howsecureismypassword.net
▶ "기억 안 나요" 비밀번호 스트레스, 대처법은?
동영상 기사
동영상 기사
