2016.02.05

IDG 블로그 | 허술한 비밀번호를 바꿔 디지털 인생을 지켜내는 몇 가지 방법

Jonathan Keane | PCWorld
지금 사용하는 비밀번호를 다른 사람에게 말할 수 있는가? 아마도 그럴 사람은 없을 것이다. 그러나 다른 사람의 비밀번호를 추측할 수 있는 확률은 상당히 높다. 스플래시데이터가 발표한 2015년 최악의 비밀번호는 여전히 ‘123456’과 ‘password’였다.

사이버 범죄자들이 비밀번호를 해킹하는 것이 얼마나 쉬운지 일반 사용자들이 안다면 아마 깜짝 놀랄 것이다. 물론 모두가 너무나 간절하게 안전한 대안을 원하고 있다. 그러나 지금으로서는 일반 사용자들이 택할 수 있는 옵션은 두 가지뿐이다. 보안에 취약한 비밀번호를 모두 조금이라도 어렵게 만드는 것, 그리고 온라인에서 시작되고 있는 대안 비밀번호에 관심을 가져보는 것이다.

단어가 아니라 문장으로 만들자
조금 더 안전한 비밀번호를 위한 제 1원칙은 단순한 단어나 숫자 나열을 피하는 것이다. CIO 출신 보안 전문가 에드워드 스노든도 지난해 존 올리버와의 인터뷰에서 이 점을 지적했다.

이를 위해서는 단어가 아닌 문장으로 비밀번호를 만들어야 하고, 사전에서 흔히 찾을 수 있는 쉽고 간단한 단어는 피해야 한다. 예를 들어 올리버의 비밀번호인 “admiralalongzogostpenis420YOLO”는 우스꽝스럽기 그지없지만, 이 문장을 생각해 낸 당사자는 좀처럼 비밀번호를 잊지 않는다. 또 “admiral1”같은 단순한 단어보다 훨씬 알아내기 어렵다. 물론 사용자는 위의 두 가지 예는 참고만 하고 자기만의 독특한 비밀번호를 생각해야 할 것이다.

또한, 비밀번호는 8자 이상으로 만들되 스스로에 대한 정보를 되도록 드러내지 말아야 한다. 어머니의 결혼 전 성 등 알려고 하면 누구나 알 수 있는 정보는 더 이상 적절하지 않다.

대다수 사용자들이 똑같은 비밀번호를 계속 재활용하는 실수를 저지르고 있다. 그 어느 때보다도 많은 웹 사이트와 소셜 미디어가 등장하고 있는 지금, 어느 정도 현실에 안주해버리기가 쉽다. 그러나 다른 곳과 똑같은 비밀번호를 절대로 사용해서는 안 되는 곳을 하나 꼽으라면 바로 이메일이다. 한 번 이메일 계정이 뚫리면 엄청난 피해를 입게 된다.

마지막으로, 어려운 일이겠지만 비밀번호는 정기적으로 변경해야 한다. 웹 사이트가 해킹을 당하면 로그인 디테일을 변경하는 것과 마찬가지로, 정기적으로 비밀번호를 변경해야 데이터의 안전을 확보할 수 있다.

이상적으로는 이 모든 일들을 사용자 본인이 아닌 다른 사람이 대신 해 줄 수가 있다. 비밀번호 매니저 서비스가 바로 이런 일을 한다. 인텔 보안 분야 트루 키 부회장 마크 호킹은 “오늘날 사용자에게 가장 유용한 점은 복잡한 비밀번호를 생성 및 기억해 사용자의 부담을 덜어주는 비밀번호 관리 프로그램을 사용하는 것이다. 사용자 본인임을 확인하는 마스터 비밀번호 하나에만 의지하고 다른 모든 로그인 기록의 보안을 지킬 수 있다”고 권한다.

그러나 여느 소프트웨어처럼 비밀번호 관리 프로그램도 완벽하지는 않다. 트렌드 마이크로의 안티바이러스 프로그램은 비밀번호 관리자를 내장하고 있는데, 최근 구글 보안 전문가는 이 프로그램이 소프트웨어에 저장된 사용자의 비밀번호를 빼내는 원격 코드에 취약하다는 점을 발견했다. 유명 비밀번호 관리 프로그램인 라스트패스 역시 다른 모든 계정 정보와 연결되는 마스터 비밀번호를 유출할 수 있는 피싱 공격의 희생양이 된 적이 있다.

미래의 대안 : 다단계 인증, 생체 인증
2단계 인증은 많은 보안 전문가들이 기본적으로 권하는 표준이 되었다. 로그인에 2단계 과정이 필요하고 온라인 계정과 동기화된 휴대폰 등 다른 기기를 사용하는 방식이다. 이론적으로는 사용자만이 계정 접근 권한을 가질 수 있는 시스템이다.

생체 인증 방식도 조금 느리지만 꾸준히 확산되고 있다. 새로운 인증 단계를 소개한다. 애플 터치 ID와 삼성 지문 스캐너가 일찍 시장에 뛰어들었다. 마이크로소프트는 윈도우 10에서 얼굴 인식 기술 헬로를 선보였고, 드롭박스는 헬로를 로그인 옵션에 포함하기도 했다.

은행과 결제 시스템 업체도 생체 인증에 관심을 보인다. JP모건은 자사 아이폰 앱에 터치 ID를 통합하고, 마스터카드는 온라인 구매 확인 과정에서 “셀프 카메라 사진으로 결제하기” 기능 도입을 시도했다. 인텔의 어센티케이트(Authenticate) 최신 버전은 지문 확인과 함께 블루투스로 본인 소유의 스마트폰을 소지하고 있는지를 확인한다.

사용자의 잘못은 아니다
본인 인증 관련 신생업체 오씨(Authy) CEO 마크 보로디츠키는 디지털 인생의 안전을 확보하기 위해 고군분투해야 하는 현재 상황에는 일반 사용자들의 잘못이 없다고 말한다. 그보다는 오히려 진정한 보안 대안을 개발하고 육성하는 데 실패한 앱, 웹 사이트, IT 업체들의 탓이라는 의견이다. 보로디츠키는 “앱이나 서비스는 이미 사용자의 모든 온라인 경험 영역에 책임이 있다. 웹 사이트가 강력한 보안 방식을 채택해 비밀번호가 단순하고 알아내기 쉽다고 해도 공격자로부터 지켜낼 수 있어야 한다. 비밀번호 취약성으로 사용자를 탓하는 것은 그만둬야 한다”고 밝혔다.

그럼에도 위험하고 허술한 비밀번호는 조금이라도 더 개선하는 것이 좋다. 복잡하고 불편한 과정이지만 적어도 나중에 후회할 일은 줄어들게 될 것이다. editor@itworld.co.kr 


2016.02.05

IDG 블로그 | 허술한 비밀번호를 바꿔 디지털 인생을 지켜내는 몇 가지 방법

Jonathan Keane | PCWorld
지금 사용하는 비밀번호를 다른 사람에게 말할 수 있는가? 아마도 그럴 사람은 없을 것이다. 그러나 다른 사람의 비밀번호를 추측할 수 있는 확률은 상당히 높다. 스플래시데이터가 발표한 2015년 최악의 비밀번호는 여전히 ‘123456’과 ‘password’였다.

사이버 범죄자들이 비밀번호를 해킹하는 것이 얼마나 쉬운지 일반 사용자들이 안다면 아마 깜짝 놀랄 것이다. 물론 모두가 너무나 간절하게 안전한 대안을 원하고 있다. 그러나 지금으로서는 일반 사용자들이 택할 수 있는 옵션은 두 가지뿐이다. 보안에 취약한 비밀번호를 모두 조금이라도 어렵게 만드는 것, 그리고 온라인에서 시작되고 있는 대안 비밀번호에 관심을 가져보는 것이다.

단어가 아니라 문장으로 만들자
조금 더 안전한 비밀번호를 위한 제 1원칙은 단순한 단어나 숫자 나열을 피하는 것이다. CIO 출신 보안 전문가 에드워드 스노든도 지난해 존 올리버와의 인터뷰에서 이 점을 지적했다.

이를 위해서는 단어가 아닌 문장으로 비밀번호를 만들어야 하고, 사전에서 흔히 찾을 수 있는 쉽고 간단한 단어는 피해야 한다. 예를 들어 올리버의 비밀번호인 “admiralalongzogostpenis420YOLO”는 우스꽝스럽기 그지없지만, 이 문장을 생각해 낸 당사자는 좀처럼 비밀번호를 잊지 않는다. 또 “admiral1”같은 단순한 단어보다 훨씬 알아내기 어렵다. 물론 사용자는 위의 두 가지 예는 참고만 하고 자기만의 독특한 비밀번호를 생각해야 할 것이다.

또한, 비밀번호는 8자 이상으로 만들되 스스로에 대한 정보를 되도록 드러내지 말아야 한다. 어머니의 결혼 전 성 등 알려고 하면 누구나 알 수 있는 정보는 더 이상 적절하지 않다.

대다수 사용자들이 똑같은 비밀번호를 계속 재활용하는 실수를 저지르고 있다. 그 어느 때보다도 많은 웹 사이트와 소셜 미디어가 등장하고 있는 지금, 어느 정도 현실에 안주해버리기가 쉽다. 그러나 다른 곳과 똑같은 비밀번호를 절대로 사용해서는 안 되는 곳을 하나 꼽으라면 바로 이메일이다. 한 번 이메일 계정이 뚫리면 엄청난 피해를 입게 된다.

마지막으로, 어려운 일이겠지만 비밀번호는 정기적으로 변경해야 한다. 웹 사이트가 해킹을 당하면 로그인 디테일을 변경하는 것과 마찬가지로, 정기적으로 비밀번호를 변경해야 데이터의 안전을 확보할 수 있다.

이상적으로는 이 모든 일들을 사용자 본인이 아닌 다른 사람이 대신 해 줄 수가 있다. 비밀번호 매니저 서비스가 바로 이런 일을 한다. 인텔 보안 분야 트루 키 부회장 마크 호킹은 “오늘날 사용자에게 가장 유용한 점은 복잡한 비밀번호를 생성 및 기억해 사용자의 부담을 덜어주는 비밀번호 관리 프로그램을 사용하는 것이다. 사용자 본인임을 확인하는 마스터 비밀번호 하나에만 의지하고 다른 모든 로그인 기록의 보안을 지킬 수 있다”고 권한다.

그러나 여느 소프트웨어처럼 비밀번호 관리 프로그램도 완벽하지는 않다. 트렌드 마이크로의 안티바이러스 프로그램은 비밀번호 관리자를 내장하고 있는데, 최근 구글 보안 전문가는 이 프로그램이 소프트웨어에 저장된 사용자의 비밀번호를 빼내는 원격 코드에 취약하다는 점을 발견했다. 유명 비밀번호 관리 프로그램인 라스트패스 역시 다른 모든 계정 정보와 연결되는 마스터 비밀번호를 유출할 수 있는 피싱 공격의 희생양이 된 적이 있다.

미래의 대안 : 다단계 인증, 생체 인증
2단계 인증은 많은 보안 전문가들이 기본적으로 권하는 표준이 되었다. 로그인에 2단계 과정이 필요하고 온라인 계정과 동기화된 휴대폰 등 다른 기기를 사용하는 방식이다. 이론적으로는 사용자만이 계정 접근 권한을 가질 수 있는 시스템이다.

생체 인증 방식도 조금 느리지만 꾸준히 확산되고 있다. 새로운 인증 단계를 소개한다. 애플 터치 ID와 삼성 지문 스캐너가 일찍 시장에 뛰어들었다. 마이크로소프트는 윈도우 10에서 얼굴 인식 기술 헬로를 선보였고, 드롭박스는 헬로를 로그인 옵션에 포함하기도 했다.

은행과 결제 시스템 업체도 생체 인증에 관심을 보인다. JP모건은 자사 아이폰 앱에 터치 ID를 통합하고, 마스터카드는 온라인 구매 확인 과정에서 “셀프 카메라 사진으로 결제하기” 기능 도입을 시도했다. 인텔의 어센티케이트(Authenticate) 최신 버전은 지문 확인과 함께 블루투스로 본인 소유의 스마트폰을 소지하고 있는지를 확인한다.

사용자의 잘못은 아니다
본인 인증 관련 신생업체 오씨(Authy) CEO 마크 보로디츠키는 디지털 인생의 안전을 확보하기 위해 고군분투해야 하는 현재 상황에는 일반 사용자들의 잘못이 없다고 말한다. 그보다는 오히려 진정한 보안 대안을 개발하고 육성하는 데 실패한 앱, 웹 사이트, IT 업체들의 탓이라는 의견이다. 보로디츠키는 “앱이나 서비스는 이미 사용자의 모든 온라인 경험 영역에 책임이 있다. 웹 사이트가 강력한 보안 방식을 채택해 비밀번호가 단순하고 알아내기 쉽다고 해도 공격자로부터 지켜낼 수 있어야 한다. 비밀번호 취약성으로 사용자를 탓하는 것은 그만둬야 한다”고 밝혔다.

그럼에도 위험하고 허술한 비밀번호는 조금이라도 더 개선하는 것이 좋다. 복잡하고 불편한 과정이지만 적어도 나중에 후회할 일은 줄어들게 될 것이다. editor@itworld.co.kr 


X