패스워드 증후군까지 등장할 정도로 비밀번호 관리 어려움 호소
다양한 비밀번호 관리방법 제시...암호화 방법까지 동원
[보안뉴스 김태형] 최근 본지가 보안담당자 2,437명을 대상으로 가입되어 있는 인터넷 사이트 비밀번호 교체 주기에 대해 설문조사를 진행한 결과, ‘한달에 한번 이상’ 교체한다는 응답자는 311명(12.77%)이었고, ‘분기마다 한번 이상’ 바꾼다고 응답한 사람이 응답자 897명(36.82%)으로 가장 높은 비율을 차지했다.
.jpg)
개인정보보호 및 정보유출 피해 최소화를 위해서는 자신이 이용하는 웹사이트의 주기적인 비밀번호 변경이 중요하다. 그러나 이에 못지 않게 중요한 게 바로 비밀번호를 어떻게 설정하고 관리하느냐라는 게 보안전문가들의 의견이다.
개인정보 유출사고 피해를 입은 사용자들 중에서 외우기 쉬운 비밀번호 또는 쉽게 유추가 가능하도록 비밀번호를 설정하는 경우가 많기 때문이다. 더욱이 여러 사이트에 대해 동일한 비밀번호를 사용하는 경우도 상당수다. 그렇다면 비밀번호 관리를 잘 하고 있는 보안담당자들의 특별한 비밀번호 설정 및 관리방법은 무엇일까?
본지는 보안담당자들의 비밀번호 교체 주기에 대한 설문조사에 이어 ‘본인만의 비밀번호 관리 노하우’에 대해서 보안담당자 2,437명을 대상으로 설문조사를 진행했다. 이 가운데 나만의 비밀번호 설정 노하우를 알려준 보안담당자들이 720명(30%)에 달했다.
720명의 답변 중에서 가장 많은 답변은 △영문, 숫자, 특수 문자의 조합으로 8자리 이상 주기적 교체 △기본 비밀번호 앞에 사이트의 특징적인 문자로 구성 △기념일이나 생일과 특수문자의 결합 △나만의 문구를 영문으로 입력 △비밀번호를 따로 정리해서 관리한다 등으로 소개했다.
특이할 만한 답변으로는 △쌍자음으로 들어간 한글을 영문으로 전환하고 숫자와 특수 문자 결합 △비밀번호를 RSA 알고리즘화 △자동완성 프로그램 사용 △한번 변경할 때 가입된 모든 사이트 비밀번호 변경 △가족이나 주변 사람들의 정보로 비밀번호 생성 등이 있었다.
현재 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률)의 ‘개인정보의 기술적·관리적 보호조치 기준(고시)’ 제4조 접근통제 항목에서 웹사이트의 비밀번호는 영문 대문자, 영문 소문자, 숫자, 특수문자 중 2종류 이상을 조합해 최소 10자리 이상 또는 3종류 이상을 조합해 최소 8자리 이상의 길이로 구성해야 한다고 규정하고 있다.
또한, 개인정보보호법의 ‘개인정보 안전성 확보조치 기준’ 제5조 비밀번호 관리에 대한 해설서에도 마찬가지로 영문 대문자, 영문 소문자, 숫자, 특수문자 중 2종류 이상을 조합해 최소 10자리 이상 또는 3종류 이상을 조합해 최소 8자리 이상의 길이로 구성하도록 명시했다.
이처럼 웹사이트에서 회원가입이나 비밀번호 변경 시 법령에 해당하는 규칙이 아니면 비밀번호를 사용할 수 없게 강제하고 있지만, 복잡한 비밀번호를 사용하다 보니 최근에는 패스워드를 잘 기억하지 못해 혼란을 겪는 ‘패스워드 증후군’이라는 말까지 생겨났다. 또한, 이용자들에게 잃어버린 비밀번호나 ID를 찾아주기 위해 카드사 등에서 핸드폰 본인인증 서비스를 제공하는 업체에게 지급하는 비용도 점점 늘어나고 있다.
이중 가장 기억하기 쉽고 관리하기 편한 비밀번호 만드는 방법은 웹사이트 고유의 특성을 포함시켜 비밀번호를 작성하는 방법이다. 이러한 방법은 보안전문가들도 많이 추천하는 방식으로, 기본적으로 사용하는 비밀번호에 도메인이나 웹사이트의 특성을 추가하는 것인데, 이는 특정 웹사이트가 해킹되어 아이디, 비밀번호가 유출되더라도 그 비밀번호를 다른 웹사이트에서는 사용할 수 없기 때문에 정보유출에 의한 추가 피해를 예방할 수 있다.
예를 들면, 네이버 비밀번호의 경우 아이디는 동일하게 하되 암호만 다르게 구성하는 식이다. 자주 사용하는 기본적인 비밀번호가 ‘red!@1234’라면 여기에 네이버만의 특징적인 NA를 추가한다면 ‘red!@1234NA’가 되는 것이다. 그러나 이마저도 불안하다면 한발 더 나아가 네이버를 연상시킬 수 없도록 ‘NA’를 한 번 더 암호화하는 방법이 있다. 알파벳 다음 글자를 넣는다거나 키보드의 옆자리 키를 넣는 식으로 할 수 있다. 다음 알파벳 글자를 넣는다고 치면 N->O, A->B로 바꿔서 ‘red!@1234OB’로 만들면 더 안전하게 관리할 수 있다. 해당 방법은 일례이기 때문에 그대로 따라하기 보다는 자신만의 규칙을 만드는 게 중요하다.
또 다른 방법은 비밀번호 관리의 중요성이 매우 큰 IT 관리자나 보안담당자를 위한 것으로, 도메인 주소와 내 키워드를 함께 암호화하는 방법이다. 네이버를 예로 들면, naver.com에 ‘@!boan’를 추가한 문자열 ‘naver.com@!boan’을 MD5 방식으로 암호화하는 것이다. MD5는 단방향 암호의 한 종류로 파일의 무결성을 확인하는데 많이 사용되는 알고리즘이다. 매번 MD5로 변환해 사용하면 복잡한 번호를 외울 필요도 없고, 툴로 해킹하기에는 거의 불가능하기 때문에 안전하다는 설명이다.
[김태형 기자(boan@boannews.com)]
다양한 비밀번호 관리방법 제시...암호화 방법까지 동원
[보안뉴스 김태형] 최근 본지가 보안담당자 2,437명을 대상으로 가입되어 있는 인터넷 사이트 비밀번호 교체 주기에 대해 설문조사를 진행한 결과, ‘한달에 한번 이상’ 교체한다는 응답자는 311명(12.77%)이었고, ‘분기마다 한번 이상’ 바꾼다고 응답한 사람이 응답자 897명(36.82%)으로 가장 높은 비율을 차지했다.
개인정보보호 및 정보유출 피해 최소화를 위해서는 자신이 이용하는 웹사이트의 주기적인 비밀번호 변경이 중요하다. 그러나 이에 못지 않게 중요한 게 바로 비밀번호를 어떻게 설정하고 관리하느냐라는 게 보안전문가들의 의견이다.
개인정보 유출사고 피해를 입은 사용자들 중에서 외우기 쉬운 비밀번호 또는 쉽게 유추가 가능하도록 비밀번호를 설정하는 경우가 많기 때문이다. 더욱이 여러 사이트에 대해 동일한 비밀번호를 사용하는 경우도 상당수다. 그렇다면 비밀번호 관리를 잘 하고 있는 보안담당자들의 특별한 비밀번호 설정 및 관리방법은 무엇일까?
본지는 보안담당자들의 비밀번호 교체 주기에 대한 설문조사에 이어 ‘본인만의 비밀번호 관리 노하우’에 대해서 보안담당자 2,437명을 대상으로 설문조사를 진행했다. 이 가운데 나만의 비밀번호 설정 노하우를 알려준 보안담당자들이 720명(30%)에 달했다.
720명의 답변 중에서 가장 많은 답변은 △영문, 숫자, 특수 문자의 조합으로 8자리 이상 주기적 교체 △기본 비밀번호 앞에 사이트의 특징적인 문자로 구성 △기념일이나 생일과 특수문자의 결합 △나만의 문구를 영문으로 입력 △비밀번호를 따로 정리해서 관리한다 등으로 소개했다.
특이할 만한 답변으로는 △쌍자음으로 들어간 한글을 영문으로 전환하고 숫자와 특수 문자 결합 △비밀번호를 RSA 알고리즘화 △자동완성 프로그램 사용 △한번 변경할 때 가입된 모든 사이트 비밀번호 변경 △가족이나 주변 사람들의 정보로 비밀번호 생성 등이 있었다.
현재 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률)의 ‘개인정보의 기술적·관리적 보호조치 기준(고시)’ 제4조 접근통제 항목에서 웹사이트의 비밀번호는 영문 대문자, 영문 소문자, 숫자, 특수문자 중 2종류 이상을 조합해 최소 10자리 이상 또는 3종류 이상을 조합해 최소 8자리 이상의 길이로 구성해야 한다고 규정하고 있다.
또한, 개인정보보호법의 ‘개인정보 안전성 확보조치 기준’ 제5조 비밀번호 관리에 대한 해설서에도 마찬가지로 영문 대문자, 영문 소문자, 숫자, 특수문자 중 2종류 이상을 조합해 최소 10자리 이상 또는 3종류 이상을 조합해 최소 8자리 이상의 길이로 구성하도록 명시했다.
이처럼 웹사이트에서 회원가입이나 비밀번호 변경 시 법령에 해당하는 규칙이 아니면 비밀번호를 사용할 수 없게 강제하고 있지만, 복잡한 비밀번호를 사용하다 보니 최근에는 패스워드를 잘 기억하지 못해 혼란을 겪는 ‘패스워드 증후군’이라는 말까지 생겨났다. 또한, 이용자들에게 잃어버린 비밀번호나 ID를 찾아주기 위해 카드사 등에서 핸드폰 본인인증 서비스를 제공하는 업체에게 지급하는 비용도 점점 늘어나고 있다.
이중 가장 기억하기 쉽고 관리하기 편한 비밀번호 만드는 방법은 웹사이트 고유의 특성을 포함시켜 비밀번호를 작성하는 방법이다. 이러한 방법은 보안전문가들도 많이 추천하는 방식으로, 기본적으로 사용하는 비밀번호에 도메인이나 웹사이트의 특성을 추가하는 것인데, 이는 특정 웹사이트가 해킹되어 아이디, 비밀번호가 유출되더라도 그 비밀번호를 다른 웹사이트에서는 사용할 수 없기 때문에 정보유출에 의한 추가 피해를 예방할 수 있다.
예를 들면, 네이버 비밀번호의 경우 아이디는 동일하게 하되 암호만 다르게 구성하는 식이다. 자주 사용하는 기본적인 비밀번호가 ‘red!@1234’라면 여기에 네이버만의 특징적인 NA를 추가한다면 ‘red!@1234NA’가 되는 것이다. 그러나 이마저도 불안하다면 한발 더 나아가 네이버를 연상시킬 수 없도록 ‘NA’를 한 번 더 암호화하는 방법이 있다. 알파벳 다음 글자를 넣는다거나 키보드의 옆자리 키를 넣는 식으로 할 수 있다. 다음 알파벳 글자를 넣는다고 치면 N->O, A->B로 바꿔서 ‘red!@1234OB’로 만들면 더 안전하게 관리할 수 있다. 해당 방법은 일례이기 때문에 그대로 따라하기 보다는 자신만의 규칙을 만드는 게 중요하다.
또 다른 방법은 비밀번호 관리의 중요성이 매우 큰 IT 관리자나 보안담당자를 위한 것으로, 도메인 주소와 내 키워드를 함께 암호화하는 방법이다. 네이버를 예로 들면, naver.com에 ‘@!boan’를 추가한 문자열 ‘naver.com@!boan’을 MD5 방식으로 암호화하는 것이다. MD5는 단방향 암호의 한 종류로 파일의 무결성을 확인하는데 많이 사용되는 알고리즘이다. 매번 MD5로 변환해 사용하면 복잡한 번호를 외울 필요도 없고, 툴로 해킹하기에는 거의 불가능하기 때문에 안전하다는 설명이다.
[김태형 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
