웹사이트 특성 반영하는 비밀번호 생성 방법...패턴만 기억하세요!
[보안뉴스 민세아] 호랑이에게 잡혀가도 정신만 차리면 된다고 했다. 웹사이트에서 내 아이디, 비밀번호가 유출됐어도 신속하게 더욱 안전한 비밀번호로 변경한다면 유출로 인한 피해를 최소화할 수 있기 때문이다.


현재 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률)의 ‘개인정보의 기술적·관리적 보호조치 기준(고시)’ 제4조 접근통제 항목을 살펴보면, 웹사이트의 비밀번호는 영문 대문자, 영문 소문자, 숫자, 특수문자 중 2종류 이상을 조합해 최소 10자리 이상 또는 3종류 이상을 조합해 최소 8자리 이상의 길이로 구성해야 한다고 의무화했다.  

또한, 개인정보보호법의 ‘개인정보 안전성 확보조치 기준’ 제5조 비밀번호 관리에 대한 해설서에도 마찬가지로 영문 대문자, 영문 소문자, 숫자, 특수문자 중 2종류 이상을 조합해 최소 10자리 이상 또는 3종류 이상을 조합해 최소 8자리 이상의 길이로 구성하도록 명시했다.

이에 웹사이트에서 회원가입이나 비밀번호 변경 시 법령에 해당하는 규칙이 아니면 비밀번호를 사용할 수 없게 강제하고 있지만 복잡한 비밀번호를 사용하다 보니 최근에는 패스워드를 잘 기억하지 못해 혼란을 겪는 ‘패스워드 증후군’이라는 말까지 생겨났다. 그렇다면 복잡하지만 그나마 관리하기 쉬운 비밀번호는 없을까?

가장 좋은 방법은 웹사이트 고유의 특성을 포함시켜 비밀번호를 작성하는 방법이다. 기본적으로 사용하는 비밀번호에 도메인이나 웹사이트의 특성을 추가하는 것. 이 경우 특정 웹사이트가 해킹되어 아이디 비밀번호가 유출되더라도 그 비밀번호를 다른 웹사이트에서 사용할 수 없다.

예를 들어 네이버 비밀번호를 설정한다고 하면 아이디는 동일하게 하되 암호만 다르게 구성하는 식이다. 여러분이 자주 사용하는 기본 암호가 ‘!@6931boan’이라면 여기에 네이버의 특성을 추가하면 된다. ‘!@6931boanNA’처럼 말이다.

그러나 이마저도 불안하다면 한발 더 나아가 네이버를 연상시킬 수 없도록 ‘NA’를 한 번 더 암호화 하는 방법이 있다. 알파벳 다음 글자를 넣는다거나 키보드의 옆자리 키를 넣는 식으로 할 수 있다. 다음 알파벳 글자를 넣는다고 치면 N->O, A->B로 바꿔서 최종적으로 ‘!@6931boanOB’가 된다.

더 복잡해서 잊어버릴 것 같지만 각 사이트마다 패턴을 기억하고 있으면 의외로 잘 잊어버리지 않을 수 있고, 비교적 안전하기 때문에 많은 보안전문가들이 추천하는 방법이다. 
두 번째는 비밀번호 관리의 중요성이 매우 큰 IT 관리자나 보안담당자를 위한 비밀번호 설정 방법으로, 도메인 주소와 내 키워드를 함께 암호화하는 방법이다. 역시 네이버를 예로 들면 naver.com에 MinSeAh를 추가한 문자열을 MD5 방식으로 암호화하는 것이다. MD5는 단방향 암호의 한 종류로 파일의 무결성을 확인하는 데 많이 사용되는 알고리즘이다.

일례로, naver.comMnSeAh를 MD5 방식으로 암호화하면 ‘15eff7ab2052a09e4a73ab4a0ae7b593'이 된다. 이를 비밀번호로 사용하는 것이다. 매번 MD5로 변환해 사용하면 되기 때문에 복잡한 번호를 외울 필요도 없고, 이렇게 긴 암호를 툴로 해킹하기는 거의 불가능하다.

그러나 이렇게 긴 암호라도 암호화되지 않은 채 저장되는 웹사이트가 해킹될 경우 비밀번호가 유출될 수 있기 때문에 각 웹사이트마다 비밀번호를 다르게 설정하는 것이 매우 중요하다.

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>