“누군가 당신의 e메일·블로그를 훔쳐보고 있다.”
한국정보보호진흥원(원장 황중연)이 국내 웹 사이트 중 로그인 정보가 가장 중요한 금융기관과 e메일·카페·블로그 등 다양한 개인정보를 담은 대형 포털 및 온라인쇼핑몰 103개를 대상으로 로그인 비밀번호 설정 상태를 조사한 결과 이 중 77%가 자동화된 해킹 프로그램만 있으면 손쉽게 로그인이 되는 것으로 나타났다.
특히 이들 사이트는 대부분 7자리 이하의 비밀번호를 사용해 45분이면 해킹이 가능한 것으로 조사됐다. 또 상대적으로 안전한 8자리 이상의 비밀번호를 요구하는 곳은 23%에 불과했으며 이마저도 20시간이면 크래킹이 가능했다. 이에 따라 중요한 개인정보를 담고 있는 대형 포털·온라인쇼핑몰 등의 사용자 인증 관리에도 비상등이 켜졌다.
진흥원은 대부분의 조사 대상 사이트가 비밀번호 최소 길이의 제약이 없고 고객이 안전하지 않은 비밀번호를 설정해도 아무런 경고를 하지 않고 있다고 밝혔다.
전길수 KISA 암호응용팀 팀장은 “사용자 차원에서 비밀번호 관리를 강조하는 것은 물론이고 웹 서비스 업체 스스로 비밀번호 입력 오류 제한이나 비밀번호 변경 주기 알림, 보안 수준 알림 서비스를 제공할 필요가 있다”며 “서비스 제공업체의 적극적인 비밀번호 관리가 필요하다”고 강조했다.
김인순기자@전자신문, insoon@
◇뉴스의 눈
비밀번호 안전 불감증이 개인은 물론이고 웹 서비스 업체에도 만연해 있다는 것이 여지없이 사실로 드러났다. 최근 연예인뿐만 아니라 일반 개인의 미니홈피나 블로그 등이 해킹당해 사생활이 유출되는 피해가 급증했다. 이런 사고의 대부분은 ID와 비밀번호 해킹에 의한 것이다. 허술하게 설정된 비밀번호로 각종 개인정보가 유출되고 금전적 피해까지 이어지고 있다.
ID와 비밀번호로 본인인증을 하는 웹 서비스 업체의 관리 소홀이 심각한 상황임이 증명된 것이다. 대부분 서비스 사이트는 고객이 알기 쉬운 비밀번호를 설정해도 아무런 조치를 하지 않고 있는 등 비밀번호 관리 정책에 허점을 드러내고 있다. 특히 이번 조사는 주요 서비스 업체만을 대상으로 한 것이어서 조사 범위를 일반 웹 사이트로 확대하면 비밀번호 관리의 문제점은 더욱 심각할 것으로 보인다.
개인의 허술한 비밀번호 관리도 위험수위다. 개인은 여러 웹 사이트에 동일한 ID와 비밀번호를 설정한다. 특히 비밀번호는 기억하기 쉽게 누구나 유추 가능한 문장에 생년월일과 같은 숫자를 조합하는 것이 대부분이다. 길이 역시 매우 짧아 주로 7자리 이하다.
실제로 KISA가 최근 20대 남녀 대학생 870여명을 대상으로 조사한 결과 64.5%가 6자리 이하의 비밀번호를 사용하고 있다. 6자리 이하 비밀번호는 일반 PC와 자동화된 비밀번호 해킹 프로그램만 있으면 수분 안에 알아낼 수 있을 정도로 매우 허술했다. 영문 소문자로 구성된 7자리 비밀번호는 45분 안에 해킹할 수 있으며 8자리라도 20시간 안에 해킹해 각종 정보를 빼낼 수 있다.
관련 통계자료 다운로드 비밀번호 길이와 해킹 소요 예상시간