[시큐리티월드 민세아] 호랑이에게 잡혀가도 정신만 차리면 된다고 했다. 웹사이트에서 내 아이디, 비밀번호가 유출돼도 신속하게 더욱 안전한 비밀번호로 변경해버린다면 유출로 인한 피해를 조금이나마 막을 수 있을 것이다.

현재 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률) ‘개인정보의 기술적·관리적 보호조치 기준(고시)’ 제4조 접근통제 항목을 살펴보면 영문 대문자, 영문 소문자, 숫자, 특수문자 중 2종류 이상을 조합해 최소 10자리 이상 또는 3종류 이상을 조합해 최소 8자리 이상의 길이로 구성해야 한다고 정해져 있다.

개인정보보호법 ‘개인정보 안전성 확보조치 기준’ 제5조 비밀번호 관리에 대한 해설서에 따르면 영문 대문자, 영문 소문자, 숫자, 특수문자 중 2종류 이상을 조합해 최소 10자리 이상 또는 3종류 이상을 조합해 최소 8자리 이상의 길이로 구성하도록 제시돼 있다.

이에 웹사이트에서 회원가입이나 비밀번호 변경 시 법령에 해당하는 규칙이 아니면 비밀번호를 사용할 수 없게 강제하고 있지만 복잡한 비밀번호를 사용하다 보니 최근에는 패스워드를 잘 기억하지 못해 혼란을 겪는 ‘패스워드 증후군’이라는 말까지 생겨났다. 그렇다면 복잡하지만 그나마 관리하기 쉬운 비밀번호는 없을까?

가장 좋은 방법은 웹사이트 고유의 특성을 포함시켜 비밀번호를 작성하는 방법이다. 기본적으로 사용하는 비밀번호에 도메인이나 웹사이트의 특성을 추가하는 것. 이 경우 특정 웹사이트가 해킹되어 아이디 비밀번호가 유출되더라도 그 비밀번호를 다른 웹사이트에서 사용할 수 없다는 것이다.

예를 들어 네이버 비밀번호를 설정한다고 하면 아이디는 동일하게 하되 암호만 다르게 구성 한다. 당신이 자주 사용하는 기본 암호가 ‘!@6931boan’이라면 여기에 네이버의 특성을 추가하면 된다. ‘!@6931boanNA’처럼 말이다.

그러나 이마저도 불안하다면 더 나아가 네이버를 연상시킬 수 없게 ‘NA’를 한 번 더 암호화 하는 방법이 있다. 알파벳 다음 것을 넣는다거나 키보드의 옆자리 키를 넣는 식으로 할 수 있다. 알파벳 다음 것을 넣는다고 치면 N->O, A->B로 바꿔서 최종적으로 ‘!@6931boanOB’가 된다.

더 복잡해서 까먹을 것 같지만 각 사이트마다 패턴을 기억하고 있으면 의외로 잘 잊어버리지 않을 수 있고 비교적 안전하기 때문에 많은 보안전문가들이 추천하는 방법이다.

두 번째는 해커를 위한 암호화 방식일지도 모른다. 도메인 주소와 내 키워드를 함께 암호화하는 방법이다. 역시 네이버를 예로 들면 naver.com에 MinSeAh를 추가한 문자열을 MD5방식으로 암호화하는 것이다. MD5는 단방향 암호의 한 종류로 파일의 무결성을 확인하는 데에 많이 사용됐던 알고리즘이다.

naver.comMnSeAh를 MD5방식으로 암호화하면 ‘15eff7ab2052a09e4a73ab4a0ae7b593이 된다. 이것을 비밀번호로 사용하는 것이다. 매번 MD5로 변환해 사용하면 되기 때문에 복잡한 번호를 외울 필요도 없고, 이렇게 긴 암호를 툴로 해킹하기는 거의 불가능하다.

그러나 이렇게 긴 암호라도 암호화 되지 않은 채 저장되는 웹사이트가 해킹될 경우 비밀번호가 유출될 수 있기 때문에 각 웹사이트마다 비밀번호를 다르게 설정하는 것이 중요하다.

[민세아 기자(boan5@boannews.com)]