전체 문장 가운데 앞글자만 따보자

최근 들어 금융권은 물론 포털 사이트에서도 생년월일, 주민등록번호, 휴대번호 등의 개인생활과 관련된 사항을 패스워드로 사용하는 것을 제한하고 있다. 사이트 자체적으로 비밀번호를 체크해 입력 자체가 안되는 경우가 많아진 것.

정보보호 관리자들이 추천하는 좋은 패스워드는 특수문자([, *, #, ?)와 숫자, 영문자가 조합된 패스워드다. 또한, 최소 7자 이상의 길이로 영문자와 숫자를 조합한 패스워드, 하나 이상의 숫자를 포함한 패스워드, 하나 이상의 특수문자를 포함한 패스워드, 특수문자를 패스워드 중간(2~6문자 사이)에 넣는 패스워드 등이 있다.

시스템의 특성을 파악해 패스워드를 만드는 것도 좋은 방법이라고 한다. 예를 들어, NT계열(윈도우 NT는 고도의 기능을 필요로 하는 사용자들이나, 비즈니스 요건을 위해 설계된 마이크로소프트의 PC용 운영체계)의 OS는 패스워드의 자릿수를 7의 배수로(7, 14, 21 등)하는 것이 좋다고 한다. 이유는 NT계열의 OS에서는 패스워드를 암호화해서 저장할 때 7자리 단위로 끊어서 암호화한다. 9자리의 경우 7+2로 저장되기 때문에 뒤의 2자리 문자는 빠르게 해독되고, 2자리 문자를 통해 나머지 7자리를 유추하는 것이 가능해지기 때문이다.

인포섹의 신수정 상무는 강력한 패스워드 만들기 비법에 대해 다음과 같은 예를 들어 설명했다.

미국에서 패스워드와 관련해 조사한 자료에 따르면, 세가지 유형을 제시했다고 한다. 먼저, 일정한 룰을 정하고 사용자 마음대로 패스워드를 선택하는 경우. 두 번째, 시스템에서 패스워드를 정해주는 경우. 세 번째, 사용자가 패스워드를 선택할 때 외우기 쉬운 방식으로 만드는 경우.

첫 번째의 경우는 사용자 50% 이상이 룰을 지키지 않았다고 한다. 예를 들어 연속적인 번호는 안되고, 단어를 사용할 때는 어떤 식으로 하라는 등의 일정한 룰을 제시한 것인데, 이에 대해 사용자들이 귀찮아하고 염두에 두지 않는다고 한다.

두 번째의 경우는 보안성은 높은데 사용자들이 패스워드를 기억하지 못한다고 한다. 시스템이 정해주는 패스워드는 연관성이 없고 복잡해서 쉽게 잊어버린다.

마지막의 경우는 예를 들어, ILMW(I Love My Wife)으로 기억하기 쉬운 문장의 앞부분을 따서 패스워드를 만들었는데 기억하기도 수월하고 보안성도 뛰어났다고 한다.

신수정 상무는 “자신과 연관성이 있는 전체 문장의 앞글자를 따서 패스워드를 만들면 기억하기도 쉽고 해커들이 보기에 전혀 연관성이 없기 때문에 공격하기 어렵다”며, “여기에 #ㆍ*ㆍ! 등의 특수문자를 섞는다면 더욱 좋다”고 제안했다.

이어 신 상무는 “사이트를 해킹당했을 때 나쁜 패스워드를 쓰는 사용자에 대해 제재도 필요하다”며, “나쁜 패스워드는 해킹을 수월하게 할 수 있는데 아직까지 이에 대해 대책이 없어 사용자들이 패스워드에 대해 안이하게 생각하는 경향이 있는 것도 문제”라고 지적했다. 신 상무는 사용자들 스스로 패스워드 관리에 대한 중요성을 인식할 필요가 있다는 것을 강조했다.

사이트마다 동일한 ID와 패스워드 - 사이트 구별 문자를 넣어보자

이니텍의 백효성 과장은 ID와 패스워드를 각 사이트마다 동일하게 하는 것을 방지하기 위한 제언을 했다. 각양각색 사이트의 ID와 패스워드를 다 달리하고 싶지만 쉽게 잊어버릴 것이 염려되어 결국 동일하게 사용하는 경우가 태반이다.

이를 방지하기 위해 ID 혹은 패스워드 맨 뒤나 맨 앞에 문자나 숫자를 넣는 방법이다. 예를 들어, 포털 사이트라면 그 사이트의 앞 영문자를 ID 혹은 패스워드에 넣거나 숫자를 넣는다.

백효성 과장은 “동일한 ID와 패스워드를 사용하면 아무리 어렵게 만들어도 허술한 사이트에 들어가 유출할 가능성이 높다”며, “사이트마다 다르게 하라고 권고하고 싶지만 실천이 어렵기 때문에 제안하는 방법”이라고 설명했다.

또한, 백 과장은 그래도 유출 가능성이 높기 때문에 개인적으로는 OTP(One Time Password) 솔루션 사용을 권한다. 그는 “원래 패스워드의 개념은 불변하는 게 아니라 사용자들이 바꿀 수 있는 값을 말한다”며, “그래서 수시로 패스워드를 바꾸라고 하는데 일반 사용자들이 자신의 패스워드를 수시로 바꾸기는 어렵기 때문에 시스템적인 보안카드의 개념으로 OTP가 나온 것”이라고 설명했다.

백 과장은 “공인인증서도 처음 도입할 때는 사용자들이 낯설고 혼란스러워 했지만 1~2년이 지난 지금은 자연스럽게 해결됐다”며, “현재 금융권에서 전자 금융거래 보안강화를 위해 OTP 솔루션을 본격적으로 도입하고 있는 상황으로 일반화되면 사용자들이 우려하는 불편함은 적어질 것이다”고 덧붙였다.
[동성혜 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>