'영어+숫자+특수문자' 비밀번호, 보안엔 도움 안 된다?

로그인할 때 비밀번호는 보통 영어, 숫자, 특수문자 등으로 구성되어 있는데요, 해커들로부터 계정을 보호하려고 이런 규칙이 만들어졌는데 사실 보안에는 큰 도움이 안 되는 것으로 밝혀졌습니다.

해킹당하고 싶지 않으면 이렇게 패스워드를 만들라고 한 사람은 미국의 '빌 버'라는 사람입니다.

그가 2003년 미 국립 표준 기술연구소에서 일하던 당시 만들어진 보고서가 있는데 계정을 보호하기 위해 지켜야 할 패스워드 생성 규칙을 담고 있습니다.

이 문서는 미국 정부, 대기업 등 곳곳에 퍼져 패스워드 가이드라인으로 자리 잡았고 우리나라도 대부분 따르고 있죠.

그런데 이걸 만든 빌 버가 이 규칙을 만든 걸 후회하고 있다고 밝혔습니다. 그가 만든 규칙이 보안 수준을 높이는데 별 도움이 안 되는 것으로 밝혀졌기 때문입니다.

특수문자나 숫자를 섞어 쓰라고 한 건 암호를 복잡하게 만들어 해커들이 해킹하기 어렵게 만들 목적이었는데 예상과 달리 사람들은 단순한 방식으로 패스워드를 만들었던 겁니다.

끝에 느낌표나 물음표를 추가하는 식이고, 심지어 특수문자를 사용하는 것만으로는 보안이 강화되는 것도 아니었습니다.

90일마다 패스워드를 바꾸는 것 역시 대부분 끝자리 하나만 바꾸는 등 큰 변화 없이 이뤄져 효과가 없었습니다.

해킹 시도 흔적이 있다면 패스워드를 바꾸는 것만으로도 충분하다고요. 기억하기 어렵고 입력하기도 불편하다는 평가만 받은 이 규칙은 10여 년 만에 바뀌게 되었습니다.

한국인터넷진흥원 역시 패스워드 생성 가이드라인을 수정했는데, 3종류 이상의 문자를 섞어 8자리 이상의 길이를 만드는 것에서 2종류 이상의 문자만 섞는 것으로, 또 10자리 이상의 패스워드를 만들 경우에는 문자를 섞지 않아도 된다는 내용으로 바뀌어서 사용자 입장에선 훨씬 더 편해졌습니다.

▶ 우리는 쓸데없이 복잡한 비번을 쓰고 있다?