상세 컨텐츠

본문 제목

패스워드 효과적으로 관리하기

또다른공간-------/IT로만든공간

by 자청비 2011. 8. 4. 09:08

본문

네이트發 패스워드 교체 대란…너도 나도 "비번 바꿔라"


매일경제


◆ 사이버 패스워드 대란 ◆

 

더블클릭을 하시면 이미지를 수정할 수 있습니다서울에 거주하는 김미정 씨(31)는 지난주 포털사이트인 네이트가 해킹된 이후 네이트는 물론이고 은행, 온라인쇼핑, 소셜네트워크서비스(SNS) 등 다른 인터넷 사이트의 비밀번호를 몽땅 바꾸느라 머리가 아프다. 대부분 사이트에서 아이디와 비밀번호를 똑같이 사용해왔기 때문이다. 10~20개에 달하는 인터넷 사이트 비밀번호를 각각 다르게 바꾼다고 해도 나중에 기억할 자신이 없다. 김씨는 "많은 비밀번호를 모두 다르게 하면서도 나중에 쉽게 기억할 수 있게 할 아이디어도 없다. 차라리 안 바꾸는 게 나을 정도"라고 말했다.


3500만명에 달하는 인터넷 이용자의 이메일, 주민등록번호, 연락처 등이 한꺼번에 도난당한 SK커뮤니케이션즈 네이트 해킹 사태가 '패스워드 대란'으로 번지고 있다. 포털 게임 은행 등 각종 인터넷 서비스를 운영하는 사업자들이 앞다퉈 비밀번호를 바꾸라고 아우성이지만 사용자 처지에선 결코 쉽지 않기 때문이다. 기억하기 쉽거나 정보가 유출될 위험이 없는 로그인 방식도 개발되고 있지만 지금 사용 중인 비밀번호를 대체하진 못하고 있다.

국내 주요 사이트 대부분이 사용자에게 아이디와 비밀번호를 바꿀 것을 권하고 있다.

 

KISA는 호스팅, 쇼핑몰, 포털, 인터넷게임, 정보제공업체, 전자상거래, 금융, P2Pㆍ웹하드 등 102개 사업자를 대상으로 회원의 비밀번호를 즉각 변경할 수 있도록 안내하는 캠페인을 향후 2주간 실시하도록 협조를 구했다. 플레이엔씨 넷마블 피망 등 국내 주요 게임 포털은 네이트 해킹 사실이 알려진 지난주 말부터 비밀번호 변경 요청 공지를 올리면서 2차 피해를 막는 데 주력하고 있다. OTP(일회용 암호) 등 2차적인 보안 서비스를 이용할 것도 당부하고 있다.

 

우리 국민 신한 등 시중은행들도 지속적으로 고객 비밀번호를 변경할 것을 고지 중이다. 기업은행은 홈페이지를 통해 "최근 대형 포털사이트의 정보 유출 사고로 인해 명의 도용 및 금융사를 사칭한 전화 사기(보이스피싱) 등의 시도가 예상된다"며 비밀번호가 네이트와 동일한 고객은 홈페이지의 로그인 비밀번호를 변경해 달라고 알리고 있다.

 

네이트 해킹으로 다른 업체, 공공기관에까지 비상이 걸린 것은 대부분의 인터넷 사용자가 인터넷 아이디와 비밀번호를 1~2개로 통일하는 사례가 많아서다. 인터넷 업계에서는 한 사람의 인터넷 아이디와 비밀번호를 하나만 알아도 그 사람이 가입한 전체 사이트의 70%가량에 로그인할 수 있다고 추정하고 있다. 게다가 정보가 유출된 네이트에는 상대적으로 개인정보 보호에 대한 인식이 부족한 10~30대 초반 이용자가 많아 연쇄적인 피해까지 염려된다. 하지만 많은 인터넷 사용자들은 일일이 비밀번호를 바꾸는 것이 어렵다고 토로한다. 바꿔야 하는 비밀번호가 너무 많고 권장하는 방식이 복잡해서다.

 

각 사이트와 KISA 등은 비밀번호를 변경할 때 영문자, 숫자, 특수문자 각 항목의 문자 종류 중 두 종류 이상을 조합해 최소 10자리 이상, 또는 세 종류 이상을 조합해 최소 8자리 이상 길이로 변경할 것을 권장하고 있다. 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보를 비밀번호에 사용하지 않도록 권하고 있으며, 특히 금융권에선 인터넷뱅킹의 아이디와 비밀번호를 다른 사이트와 완전히 다르게 사용할 것을 고지하고 있다. 비밀번호와 다른 인증 방식도 고안되고 있지만 현재 사용되는 비밀번호 시스템을 대치하기에는 부족하다. 지문이나 홍채로 본인을 확인하는 방식은 별도의 장비가 필요한 데다 생채 인식에 대해 거부감을 가진 사람도 많다.

 

최근 '패스트워드(fastwords)'라는 것도 고안됐다. 의미 없는 암호를 만드는 게 아니라 연결되는 생각에서 뽑은 간단한 단어 세 개를 결합하는 방식이다. 예를 들면 '네이트 비밀번호 해킹'이라고 지을 수 있다. 이 시스템을 개발한 마커스 제이컵슨 페이팔 보안담당 연구원은 "기존 비밀번호보다 훨씬 기억하기 쉽고 본인의 생각으로만 연상할 수 있기 때문에 훨씬 안전하다"고 주장하지만 효과에 대해 더 검증이 필요하다.

 

박진호 아비코시큐리티 대표는 "지금 사용하는 방식의 비밀번호가 그래도 나은 방식이다. 하지만 비밀번호 생성과 보호를 위한 종합적인 연구가 필요한 시점"이라고 말했다.

 

 


패스워드 효과적으로 관리하기  

<안철수연구소>


“도대체 그렇게 복잡한 패스워드를 다 어떻게 기억해요!”

"기억하기 힘들어 패스워드를 적어서 모니터에 붙여둔다?"
 

최근 잇따른 대형 해킹사고로 인해 개인정보 유출에 대한 우려가 커지고 있다. 특히, 패스워드 유출로 인한2차 피해가 염려되는 상황이다. 대부분의 인터넷 사용자들은 여러 사이트에 동일 패스워드를 사용하기 때문에 한 곳에서 개인정보가 유출되면 다른 사이트까지 피해를 입을 가능성이 높다. 그래서 다음과 같은 방법으로 안전한 패스워드를 만들어 사용하는 것이 바람직하다. 

 

* 패스워드는 최소8~10자 이상의 길이로 만들어라 

* 숫자와 문자, 특수문자 등 최소3가지 이상이 조합된 패스워드를 만들어라 

* 전화번호, 생일, 주민등록번호 등 개인 정보 사용을 피하라

* 반복되는 문자나 사전에 있는 단어는 피하는 것이 좋다

* 중요한 모든 사이트마다 서로 다른 별도의 패스워드를 사용해야 한다

* 패스워드는 주기적으로 변경해야 한다

 

대다수의 사이트들은 보안성을 위해 이처럼 연관 없는 단어와 숫자, 기호를 섞어서 만들고 사이트마다 다른 패스워드를 사용할 것을 권장하고 있는 것이다. 그런데 이용자 입장에서는 이런 패스워드는 기억하기도 어렵고 입력하기도 힘들다. 인터넷 결제 서비스 페이팔에 따르면 인터넷 이용자들은 평균25개의 온라인 계정을 갖고 있다고 한다. 이 가이드대로라면 해커가 유추해 내기 힘든 25개 이상의 다른 패스워드를 만들어내야 한다. 이건 이를 사용하는 이용자도 기억하기가 힘들다.

 

이럴 때에는 어떻게 해야 할까? 하나의 대안으로 OTP(One Time Password) 발생기 사용을 고려해 볼 수 있다. OTP 발생기는 로그인할 때마다 그 세션에서만 사용가능한 일회성 패스워드를 생성하므로 정보 유출에 대한 우려가 적은 편이다. 하지만 OTP 발생기를 별도 구매해야 하며, OTP 보안 로그인 기능을 도입한 사이트가 그다지 많지 않다. 그럼 지금부터 안전하게 만든 패스워드를 효과적으로 관리하는 현실적인 방법에 대해 알아보자.

 

* 나만의 규칙을 만들어라

: 패스워드를 만들 때 내가 기억하도록 쉽게 하기 위해 특정 규칙을 적용해 보자. 예를 들어 특정 단어의 홀•짝수 번째 문자만 추출해 만든다. AhnLabHongGilDong의 경우 홀수 문자만 추출한다면 Ana@HnGlog이란 패스워드가 만들어진다.

 

* 중요도에 따라 사이트를 구분하라

: 모든 사이트의 계정을 철저하게 관리하기란 쉽지 않은 일이다. 금융기관과 같은 중요한 웹 사이트와 그렇지 않은 사이트의 패스워드를 다르게 설정하여 사용자 입장에서 효율적인 관리가 이루어지도록 한다.

 

* 각 인터넷 서비스에 따라 조금씩 변화를 주자

: 포털과 커뮤니티 사이트와 같이 일반적인 인터넷 서비스를 이용하는 사이트의 패스워드라면 해당 사이트의 이름을 넣어서 만들면 기억하기 훨씬 편하다. 예를 들어 ‘NAV*HnGlog’, Yah@HnGlog’, ‘955@HnGlog’와 같이 변형된 패스워드를 만드는 것이다.

 

* 기억하기 힘든 패스워드는 암호를 적용한 파일에 보관하라

: 기억하기 힘든 중요한 계정은 아이디와 패스워드를 각각 분리하여 별도 파일로 보관한다. 이 파일은 하드디스크에 보관하기 보다는USB 등에 보관하기 것이 더 안전하다. 특히, 엑셀이나 워드에서는 문서 암호화 기능을 지원하므로 반드시 암호를 적용해 문서를 저장하는 것이 좋다. (워드 및 엑셀 파일 암호 설정 방법: Office 단추-준비-문서 암호화 선택-암호 입력-저장)

 

지금까지 안전한 패스워드 만드는 방법과 효과적으로 관리하는 방법에 대해 알아보았다. 패스워드 관리와 함께 중요한 것은 보안의 기본 수칙을 지키는 일이다. 반드시 백신 제품을 실시간 감시 상태로 켜두고, OS 및 애플리케이션 업체에서 제공하는 최신 보안 패치를 적용하는 것이 보안의 첫걸음임을 명심해야 한다.@ /안철수연구소 세일즈마케팅팀 박정화 과장
 

관련글 더보기