웹사이트에서 본인 여부를 확인하기 위한 보안점검용 질문을 더욱 복잡하게 만들어야 한다는 전문가들의 권고가 나왔다. 영국 BBC방송은 9일 케임브리지대학 인터넷 보안 전문가인 조지프 보노 교수의 말을 인용, 본인 확인용 질문이 너무 쉽다며 이같이 보도했다.
은행이나 신용카드 회사, 웹메일 제공업체 등 대다수 웹사이트 운영자들은 고객이나 가입자들이 계정을 바꿀 때 보충 질문을 사용한다.
그러나 침입하고 싶은 특정인의 계정이 있고 몇 시간 소비할 용의가 있다면 공격자들은 손쉽게 본인 확인을 받아 비밀번호를 변경할 수 있다. 마이크로소프트와 카네기멜런대학이 공동으로 벌인 조사에 따르면 특정인의 가족이나 친구들이 본인 확인용 질문의 답을 맞히는 비율이 17%에 달할 정도로 질문이 쉬웠다.
보노 교수는 “사람들이 정답으로 사용하는 정보들이 너무 많이 알려져 있는 것이 문제”라고 지적했다.
그는 “예를 들어 결혼이나 출생 기록을 묻는 경우가 많지만 이들 기록의 상당수는 온라인을 통해 입수할 수 있는 것”이라고 설명했다.
이를 확인하기 위해 보노 교수는 동료 교수들과 함께 조사를 했다.
조사 내용은 특정인에 대해 아는 것이 전혀 없는 공격자가 얼마나 쉽게 보안점검용 질문에 답을 찾아낼 수 있는지였다.
조사 결과, 세 번까지 오류를 범할 수 있는 기회를 줄 경우 공격자는 80명의 이메일 계정에 대해 정답을 찾아내는 데 성공했다.
대부분의 웹메일 제공업체들은 오답하더라도 계정을 폐쇄하기 전 세 번까지 시도할 수 있도록 허용하고 있다.
보노 교수는 “1학년 때 담임 선생님 이름이 무엇이냐는 질문을 만들어 놓는 경우가 있다”면서 “그러나 문제는 스미스라는 이름을 가진 선생님들이 수없이 많다는 점”이라고 말했다. 전문가들은 웹메일 제공업체들이 이메일의 비밀번호 변경을 허용할 때 질문을 하나가 아닌 세 개로 늘리는 아주 간단한 수고만으로도 범죄자들의 접근을 차단할 수 있다고 강조했다.
[연합뉴스]