[이슈분석]당신의 비밀번호는 안녕하십니까?

3·20 전산망 마비 사태, 6·25 청와대 해킹 사건이 터지면서 비밀번호에 대한 사회적 관심이 높아지고 있다. 본인 여부를 확인해 주는 가장 민감한 정보인 데다 한 번 유출되면 추가 피해가 불가피하기 때문이다. 또 다른 한편으로는 관리자 아이디와 비밀번호 계정 탈취를 통한 사이버 공격이 이어지면서 기업에서도 보안성을 담보하는 기술에 대한 수요가 생겨나고 있다.

이에 따라 안전한 대한민국 건설을 위해서 비밀번호에 대한 정부의 정책적 관심이 필요하다는 목소리 또한 나오고 있다.

◇공감 100%, 비밀번호 스트레스

4자리였던 비밀번호의 보안 취약점이 제기되면서 비밀번호 숫자는 지속적으로 늘어나고 있다. 6자리는 기본이고, 10자리까지 다양하다. 갈수록 복잡해지면서 이에 따른 스트레스가 적지 않다.

사회경제적 비용도 만만찮다. 보안을 위해 복잡한 비밀번호를 요구하는 사이트들이 늘면서 정작 사용을 위해 접속할 때 기억을 못하는 경우가 비일비재하다. 임시 비밀번호를 받아 접속한 경험은 대부분이 갖고 있다. 어떤 이는 암호를 세번 이상 잘못 입력해 계정이 막히는 경우도 있다.

특히 일부 해외 사이트의 경우 대문자, 소문자, 숫자와 특수문자를 모두 한 비밀번호에 사용하도록 강제한다. 사전에 등재돼 있는 단어도 쓰지 못하도록 한다. 결국 비밀번호가 매우 복잡하게 돼 기억 못하는 경우가 있다. 자신이 가입한 사이트의 비밀번호를 모두 동일한 것으로 쓰는 경우도 있다.

전직 해커 출신 보안업계 관계자는 “대부분 자신이 가입한 사이트 비밀번호를 동일하게 사용하기 때문에, 보안이 허술한 사이트 해킹을 통해 2, 3차 공격을 시도한다”고 말한다.

◇당신의 비밀번호 안전한가

전문가들은 같은 패스워드를 두 군데서 사용하지 말고 적어도 한달에 한번은 바꾸라고 권장한다. 그러나 이러한 불편함을 감당하는 사용자는 많지 않다. 설마 내 아이디와 비밀번호가 유출되겠는가라고 하면서 넘어간다.

하지만 비밀번호의 안전성 여부를 즉시 테스트할 수 있는 인터넷사이트(www.howsecureismypassword.net)에서 숫자 `1234`를 치면 `즉시(Instantly)`라는 단어가 뜬다. 해커 공격에 즉시 노출될 수 있다는 의미다. 전문가들은 거의 모든 비밀번호는 수일 안에 해킹프로그램에 의해 발각될 수 있다고 말한다. 해킹을 시도하는데 적어도 100년 정도 걸려야 비교적 안전하다는 것이다. 그런데 이렇게 하기 위해선 적어도 10자리 이상의 복잡한 비밀번호를 사용해야만 하는 불편함이 따른다. 이 때문에 비밀번호에 관한 사회적 지혜를 모을 때가 됐다는 지적이 나온다. 암기하기 쉬우면서도 해킹을 막을 수 있는 비밀번호 개발이 필요한 것이다.

우선 외국처럼 이메일+비밀번호 입력 시스템으로 변경하는 게 한 방안이다. 여기에 `한글`을 비밀번호에 쓸 수 있게 만들면 특수문자를 섞어 쓰는 것 보다 훨씬 보안성이 높아진다는 의견도 나온다.

한 네티즌은 “일회용 비밀번호 생성기(OTP:one time password)를 우리 사회 모든 분야에 적용하는 방식이다. 아무리 복잡한 비밀번호도 해킹에는 무용지물이라는 게 증명이 되었으니 사용자 편의성 중심으로 바뀌어야 한다”고 지적했다.

기업체도 마찬가지다. 전산 시스템 담당자가 시스템에 접근하는 비밀번호는 매우 중요한 열쇠다. 특히 최근 벌어지는 사이버 테러는 지능형지속위협(APT) 공격에서는 관리자 계정 탈취가 최우선적으로 이뤄지기 때문이다.

해커들은 통상 관리자의 아이디와 패스워드 탈취를 위해 짧게는 3개월 길게는 2년 동안 관리자를 연구한다. 공격방식은 신용카드 사용명세서, 사회복지 혜택 등 마우스로 클릭하게 만드는 흥미로운 내용의 이메일을 보내는 방식이다. 사회공학적 기법을 이용한 관리자 계정 탈취는 엄청난 사회적 재앙을 낳을 수 있다.

김원석기자 stone201@etnews.com