비밀번호는 다중인증 체계로 가기 위한 중간 단계로서의 가치를 발휘하고 있다. 수명이 언제 다 할지는 모르지만 아직은 아니다. 그렇기에 안전하게 사용할 방법들을 자꾸만 발견해 개선할 필요가 있다. 그 중 NIST가 제안한 것들을 정리해 보았다.
[보안뉴스 문가용 기자] 보안 업계에서는 오래 전부터 ‘비밀번호의 죽음’이 예견되어 왔었다. 비밀번호란 인류 역사상 가장 오래된 인증 도구라, 새로운 시대에 맞지 않는다는 것이 비밀번호를 반대하는 이들의 주장이었고, 실제로 그런 주장을 입증하는 사례들은 지금까지도 꾸준히 나오고 있다. 하지만 비밀번호는 아직도 살아 있고, 여전히 가장 인기가 많은 인증 도구로서 남아 있다. 지금도 기업들의 70% 이상이 비밀번호를 사용해 중요한 자산을 보호하고 있다.
[이미지 = utoimage]
비밀번호보다 다중인증이 강력한 보안 장치인 것은 사실이다. 다중인증을 도입하는 것이 안전하다는 보안 업계의 권고 사항은 여전히 유효하다. 하지만 오랜 시간 사용해 왔던 비밀번호를 하루아침에 없애고 다른 인증 장치를 사용하라는 건 어려운 주문이다. 과도기라는 게 존재할 수밖에 없고, 그 기간 동안 비밀번호가 사용되는 것 또한 인정할 수밖에 없다. 어쩌면 지금이 그러한 과도기일 수도 있다. 그러므로 안전한 비밀번호 사용에 대한 연구도 지속되어야 한다.
최근 미국의 NIST는 우리가 흔히 알고 있던 비밀번호 안전 사용법에 대한 연구를 진행하여 일부를 새롭게 바꿔 발표했다. 기존에 우리가 가지고 있던 상식들이 꽤나 파괴되는 지점이 있어 이번 주 주말판을 통해 다뤄본다.
1. 비밀번호, 나쁘기만 한 건 아니다
비밀번호는 그 자체로 취약하거나 형편없는 인증 장치라고 말할 수 없다고 NIST는 주장한다. 다만 사용성과 보안성의 균형을 잡는 게 어려워서 문제가 되는 것이란다. 너무 쉽게 사용하려고 들면 안전하지 않게 되고, 지나치게 안전을 강조하다가는 사용이 불편해지기 때문에 ‘비밀번호’와 관련된 문제는 늘 ‘균형’의 문제로 귀결될 때가 많은 게 사실이다.
보안 전문가 트로이 헌트(Troy Hunt)는 “비밀번호에도 강점이 존재하고, 그 강점을 인정하고 키워주는 게 비밀번호 안전 사용법”이라고 정리한다. “비밀번호의 최고 강점은 세상 거의 모든 사람들이 이 보안 장치를 어떻게 사용하는지 알고 있다는 것입니다. 접근성이 높은 보안 장치라는 것이죠. 이러한 측면에서 비밀번호는 그 어떤 보안 장치들보다 강력합니다.”
그렇기에 비밀번호가 아예 없는 인증 장치는 아직 많은 사용자들에게 낯설다. 비밀번호를 완전히 배제한 다중인증이 아무리 안전하다 한들 갑자기 체제를 바꾸면 거부감이 있을 수밖에 없다. 다중인증으로 넘어가되 누구에게나 익숙한 비밀번호를 거쳐서 가는 게 보다 부드럽고 원활하다. 헌트는 “비밀번호보다 다중인증이 99.9% 강력한 건 사실”이라며 “다중인증에 대한 거부감을 비밀번호가 줄이는 역할을 해야 한다”고 말한다.
2. 비밀번호, 복잡하게 만들어야 한다?
비밀번호를 복잡하게 만들어야 한다는 요구 사항을 들어보지 못한 사람은 아마 거의 없을 것이다. 어떤 사이트들은 회원 가입을 할 때 대문자, 소문자, 숫자, 특수기호를 전부 넣지 않으면 비밀번호를 생성하지 못하게 되어 있기도 하다. 복잡하고 어렵게 만들수록 비밀번호가 강력해진다는 생각 때문이다.
하지만 최근 연구를 통해 NIST는 복잡한 비밀번호를 설정했을 때 얻을 수 있는 이득이 많지 않다는 것을 밝혀냈다. 비밀번호 크래킹을 방어하는 데에 실질적인 도움이 된다고 말하기는 어려운데, 사용자들의 망각 비율은 분명하게 올라간다는 것이다. 이 때문에 결국 password라는 비밀번호가 p@ssw0rd로 변할 뿐 큰 변화가 생기지 않는다고 NIST는 주장한다. 복잡하게 만드나 안 만드나 같은 곳으로 돌아온다는 것이다.
3. 새로운 비밀번호를 보호해야 하는 건 맞다
그렇다면 웹사이트들에서는 신규 가입자들이 아무 비밀번호를 쉽게 설정하도록 놔두는 편이 나을까? 헌트는 “신규 비밀번호 설정에 대한 과거 규칙들 중 유효한 것들이 있다”고 말한다.
“사전에 등재된 단어를 사용하지 않도록 하며, 그런 비밀번호들은 블랙리스트 처리한다는 것은 올바른 방침입니다. 또한 같은 문자나 숫자를 연속해서 사용하는 것도 지양해야 하고, 사용자 이름이나 서비스 이름 등 맥락에 맞췄을 때 너무나 뻔한 용어도 사용하지 않도록 해야 합니다. 거기에 더해 이전에 침해된 것으로 알려진 비밀번호와 비교해 보고, 만약 침해된 비밀번호와 겹치는 것이면 허용하지 않는 절차도 필요합니다. 사용자한테 어려움을 감당하라고 할 것이 아니라, 뒷단에서 까다로운 절차들을 도입함으로써 비밀번호를 보호하는 게 맞습니다.”
4. 주기적인 재설정, 필요 없다
한 때는 비밀번호를 주기적으로 재설정 하는 것이 보안 1수칙이기도 했었다. 그래야 다크웹에서 내 비밀번호가 팔린다 하더라도 소용없게 만들 수 있다는 게 그 이유였다. 하지만 수년이 지나고 보니 이 수칙에도 허점이 있다는 것이 발견됐다. 비밀번호가 침해됐다는 증거나 의심되는 상황도 없이 기계적으로 비밀번호를 바꾸는 건 불필요한 자원 낭비라는 것이다. 오히려 침해 사실이 드러났을 때 즉각 바꾸도록 하는 게 더 효과적이라는 게 최근의 정설이다.
그렇다는 건 공격자들에게 침해된 비밀번호를 주기적으로 모니터링함으로써 현존하는 비밀번호의 안전성을 끊임없이 확인하는 게 필요하다는 뜻이 된다. “모든 비밀번호를 계속해서 바꾸는 게 아니라 바꿀 비밀번호가 어디에 있는지 확인하고 즉각적인 조치를 취해주는 것이 더 올바른 방향입니다.” 비밀번호 침해 여부 서비스에는 ‘해브 아이 빈 폰드(Have I Been Pwned)’와 같은 것이 있다.
5. 비밀번호의 강력함을 결정하는 건 길이다
각종 특수문자와 숫자를 활용한 ‘어려운’ 비밀번호는 사용자에게만 어려운 것이라고 위에서 설명을 했다. 크래커들에게 어려운 비밀번호는 긴 비밀번호라고 NIST는 강조한다. 많은 보안 전문가들 역시 이 부분을 계속해서 강조해 왔다. NIST 비밀번호 가이드라인에 의하면 최소한의 비밀번호 길이는 8글자였는데, 새로운 권장사항은 ‘최대한 길게’이다.
하지만 길면 길수록 사용자들이 사용하기(기억하기) 어려워진다는 단점이 존재한다. 그래서 헌트는 “단문을 활용하라”고 권장한다. “대문자 소문자 가릴 것 없이 간단한 문장들을 비밀번호로 활용해 글자수를 늘리고 기억하기도 편리하게 만드는 것이 효과적입니다. 웹사이트나 시스템 관리자들도 비밀번호 생성 시 글자 제한 수를 대폭 늘리는 편이 좋고요. 긴 문장을 비밀번호로 사용해도 되도록 하는 것이 좋습니다.”
6. 비밀번호의 잘라내기와 붙이기를 허용하라
NIST는 비밀번호 관리 프로그램을 사용하라고 대놓고 권하지는 않는다. 하지만 다른 보안 권고 문서를 통해 NIST는 비밀번호 관리 프로그램을 여러 번 권했었다. 비밀번호 관리 프로그램은 어렵고 긴 비밀번호를 자동으로 생성해주기 때문에 강력하면서도 사용이 편리하다. 다만 비밀번호를 복사해서 붙여넣기가 허용되지 않는다면 불편할 수 있다. 그렇기 때문에 시스템 관리자들은 비밀번호의 복사 및 붙여넣기를 허용하면서 비밀번호 관리 프로그램 사용을 권고하는 편이 좋다.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 보안 업계에서는 오래 전부터 ‘비밀번호의 죽음’이 예견되어 왔었다. 비밀번호란 인류 역사상 가장 오래된 인증 도구라, 새로운 시대에 맞지 않는다는 것이 비밀번호를 반대하는 이들의 주장이었고, 실제로 그런 주장을 입증하는 사례들은 지금까지도 꾸준히 나오고 있다. 하지만 비밀번호는 아직도 살아 있고, 여전히 가장 인기가 많은 인증 도구로서 남아 있다. 지금도 기업들의 70% 이상이 비밀번호를 사용해 중요한 자산을 보호하고 있다.
[이미지 = utoimage]
비밀번호보다 다중인증이 강력한 보안 장치인 것은 사실이다. 다중인증을 도입하는 것이 안전하다는 보안 업계의 권고 사항은 여전히 유효하다. 하지만 오랜 시간 사용해 왔던 비밀번호를 하루아침에 없애고 다른 인증 장치를 사용하라는 건 어려운 주문이다. 과도기라는 게 존재할 수밖에 없고, 그 기간 동안 비밀번호가 사용되는 것 또한 인정할 수밖에 없다. 어쩌면 지금이 그러한 과도기일 수도 있다. 그러므로 안전한 비밀번호 사용에 대한 연구도 지속되어야 한다.
최근 미국의 NIST는 우리가 흔히 알고 있던 비밀번호 안전 사용법에 대한 연구를 진행하여 일부를 새롭게 바꿔 발표했다. 기존에 우리가 가지고 있던 상식들이 꽤나 파괴되는 지점이 있어 이번 주 주말판을 통해 다뤄본다.
1. 비밀번호, 나쁘기만 한 건 아니다
비밀번호는 그 자체로 취약하거나 형편없는 인증 장치라고 말할 수 없다고 NIST는 주장한다. 다만 사용성과 보안성의 균형을 잡는 게 어려워서 문제가 되는 것이란다. 너무 쉽게 사용하려고 들면 안전하지 않게 되고, 지나치게 안전을 강조하다가는 사용이 불편해지기 때문에 ‘비밀번호’와 관련된 문제는 늘 ‘균형’의 문제로 귀결될 때가 많은 게 사실이다.
보안 전문가 트로이 헌트(Troy Hunt)는 “비밀번호에도 강점이 존재하고, 그 강점을 인정하고 키워주는 게 비밀번호 안전 사용법”이라고 정리한다. “비밀번호의 최고 강점은 세상 거의 모든 사람들이 이 보안 장치를 어떻게 사용하는지 알고 있다는 것입니다. 접근성이 높은 보안 장치라는 것이죠. 이러한 측면에서 비밀번호는 그 어떤 보안 장치들보다 강력합니다.”
그렇기에 비밀번호가 아예 없는 인증 장치는 아직 많은 사용자들에게 낯설다. 비밀번호를 완전히 배제한 다중인증이 아무리 안전하다 한들 갑자기 체제를 바꾸면 거부감이 있을 수밖에 없다. 다중인증으로 넘어가되 누구에게나 익숙한 비밀번호를 거쳐서 가는 게 보다 부드럽고 원활하다. 헌트는 “비밀번호보다 다중인증이 99.9% 강력한 건 사실”이라며 “다중인증에 대한 거부감을 비밀번호가 줄이는 역할을 해야 한다”고 말한다.
2. 비밀번호, 복잡하게 만들어야 한다?
비밀번호를 복잡하게 만들어야 한다는 요구 사항을 들어보지 못한 사람은 아마 거의 없을 것이다. 어떤 사이트들은 회원 가입을 할 때 대문자, 소문자, 숫자, 특수기호를 전부 넣지 않으면 비밀번호를 생성하지 못하게 되어 있기도 하다. 복잡하고 어렵게 만들수록 비밀번호가 강력해진다는 생각 때문이다.
하지만 최근 연구를 통해 NIST는 복잡한 비밀번호를 설정했을 때 얻을 수 있는 이득이 많지 않다는 것을 밝혀냈다. 비밀번호 크래킹을 방어하는 데에 실질적인 도움이 된다고 말하기는 어려운데, 사용자들의 망각 비율은 분명하게 올라간다는 것이다. 이 때문에 결국 password라는 비밀번호가 p@ssw0rd로 변할 뿐 큰 변화가 생기지 않는다고 NIST는 주장한다. 복잡하게 만드나 안 만드나 같은 곳으로 돌아온다는 것이다.
3. 새로운 비밀번호를 보호해야 하는 건 맞다
그렇다면 웹사이트들에서는 신규 가입자들이 아무 비밀번호를 쉽게 설정하도록 놔두는 편이 나을까? 헌트는 “신규 비밀번호 설정에 대한 과거 규칙들 중 유효한 것들이 있다”고 말한다.
“사전에 등재된 단어를 사용하지 않도록 하며, 그런 비밀번호들은 블랙리스트 처리한다는 것은 올바른 방침입니다. 또한 같은 문자나 숫자를 연속해서 사용하는 것도 지양해야 하고, 사용자 이름이나 서비스 이름 등 맥락에 맞췄을 때 너무나 뻔한 용어도 사용하지 않도록 해야 합니다. 거기에 더해 이전에 침해된 것으로 알려진 비밀번호와 비교해 보고, 만약 침해된 비밀번호와 겹치는 것이면 허용하지 않는 절차도 필요합니다. 사용자한테 어려움을 감당하라고 할 것이 아니라, 뒷단에서 까다로운 절차들을 도입함으로써 비밀번호를 보호하는 게 맞습니다.”
4. 주기적인 재설정, 필요 없다
한 때는 비밀번호를 주기적으로 재설정 하는 것이 보안 1수칙이기도 했었다. 그래야 다크웹에서 내 비밀번호가 팔린다 하더라도 소용없게 만들 수 있다는 게 그 이유였다. 하지만 수년이 지나고 보니 이 수칙에도 허점이 있다는 것이 발견됐다. 비밀번호가 침해됐다는 증거나 의심되는 상황도 없이 기계적으로 비밀번호를 바꾸는 건 불필요한 자원 낭비라는 것이다. 오히려 침해 사실이 드러났을 때 즉각 바꾸도록 하는 게 더 효과적이라는 게 최근의 정설이다.
그렇다는 건 공격자들에게 침해된 비밀번호를 주기적으로 모니터링함으로써 현존하는 비밀번호의 안전성을 끊임없이 확인하는 게 필요하다는 뜻이 된다. “모든 비밀번호를 계속해서 바꾸는 게 아니라 바꿀 비밀번호가 어디에 있는지 확인하고 즉각적인 조치를 취해주는 것이 더 올바른 방향입니다.” 비밀번호 침해 여부 서비스에는 ‘해브 아이 빈 폰드(Have I Been Pwned)’와 같은 것이 있다.
5. 비밀번호의 강력함을 결정하는 건 길이다
각종 특수문자와 숫자를 활용한 ‘어려운’ 비밀번호는 사용자에게만 어려운 것이라고 위에서 설명을 했다. 크래커들에게 어려운 비밀번호는 긴 비밀번호라고 NIST는 강조한다. 많은 보안 전문가들 역시 이 부분을 계속해서 강조해 왔다. NIST 비밀번호 가이드라인에 의하면 최소한의 비밀번호 길이는 8글자였는데, 새로운 권장사항은 ‘최대한 길게’이다.
하지만 길면 길수록 사용자들이 사용하기(기억하기) 어려워진다는 단점이 존재한다. 그래서 헌트는 “단문을 활용하라”고 권장한다. “대문자 소문자 가릴 것 없이 간단한 문장들을 비밀번호로 활용해 글자수를 늘리고 기억하기도 편리하게 만드는 것이 효과적입니다. 웹사이트나 시스템 관리자들도 비밀번호 생성 시 글자 제한 수를 대폭 늘리는 편이 좋고요. 긴 문장을 비밀번호로 사용해도 되도록 하는 것이 좋습니다.”
6. 비밀번호의 잘라내기와 붙이기를 허용하라
NIST는 비밀번호 관리 프로그램을 사용하라고 대놓고 권하지는 않는다. 하지만 다른 보안 권고 문서를 통해 NIST는 비밀번호 관리 프로그램을 여러 번 권했었다. 비밀번호 관리 프로그램은 어렵고 긴 비밀번호를 자동으로 생성해주기 때문에 강력하면서도 사용이 편리하다. 다만 비밀번호를 복사해서 붙여넣기가 허용되지 않는다면 불편할 수 있다. 그렇기 때문에 시스템 관리자들은 비밀번호의 복사 및 붙여넣기를 허용하면서 비밀번호 관리 프로그램 사용을 권고하는 편이 좋다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
