보안

글로벌 칼럼 | 비밀번호 변경의 악순환을 끝내는 방법

Susan Bradley | Computerworld 2022.03.08
매년 이맘때면 필자는 회사의 사이버 보험 신청 양식을 채운다. 그리고 보험회사는 매년 우리 회사가 강력한 비밀번호를 사용하고 자주 변경할 것을 권장하는지를 묻는다. 이 질문은 필자를 상당히 괴롭히는데, 사실 비밀번호를 그렇게 자주 바꾸지는 않기 때문이다. 대신에 위험도에 적절하게 맞는 인증 프로세스를 사용한다. 비밀번호를 사용하는 것은 제일 마지막에 기대는 것이 좋다.
 
ⓒ Getty Images Bank

무엇보다도 웹 사이트에 담겨 있는 정보와 데이터를 생각해야 한다. 가장 잘 보호하고자 하는 사이트가 가장 취약할 때도 있다. 할 수 있다면, 사이트 액세스에 항상 이중인증을 추가한다. 모든 다중인증이 기술이 다 똑같은 것은 아니지만, 어떤 것이라도 없는 것보다는 낫다. 만약 이중인증 때문에 공격자가 다른 사이트로 발길을 돌린다면, 성공한 것이다.

은행이나 금융기관이 종종 인증 소프트웨어를 더디게 적용하는 경우가 있는데, 이때문에라도 사용자 이름과 비밀번호, 그리고 이중인증 툴로 보완해야만 한다. 보통은 스마트폰으로 전송되는 텍스트를 이용한다. 물론 스마트폰 SIM 칩도 복제할 수 있고, 공격자가 사용자의 폰인 것처럼 위장해 텍스트를 가로챌 수도 있다. 그래도 대다수 사용자는 이 프로세스를 이용해 훨씬 더 안전해진다. 사용자 이름과 비밀번호만 사용해 은행에 액세스하는 것은 계정을 위험에 빠트리는 일이다.

솔직히 말해, 비밀번호라고 다 같은 것은 아니다. 만약 한 비밀번호를 다른 웹 사이트, 다른 은행 계정에 재사용한다면, 훨씬 더 위험해진다. 공격자는 흔히 해킹된 비밀번호를 훔치거나 사들여 이를 다른 사이트에 액세스하는 데 재사용하려 들기 때문이다. 비밀번호를 재설정하라는 알림을 받았다면, 그리고 해당 계정에 로그인하려 한 적이 없다면, 그건 아마도 공격자가 비밀번호 스터핑 공격을 시도하는 것이다. 그러니 같은 비밀번호는 어디에서도 쓰지 말아야 한다.

온라인 서비스 사용자는 오랫동안 사용자 이름과 비밀번호를 다양하게 사용하라는 권고를 들었다. 어떤 사이트는 사용자의 정보를 다른 곳에 팔아먹는다는 것이다. 지금은 비밀번호를 고를 때도 비슷한 종류의 권고를 듣는다. 사람들이 비밀번호를 고를 때 사용하는 방법을 꼬집은 아주 재미있는 동영상이 있다. 사용자는 우선 아무 비밀번호를 하나 고르는 것으로 시작한다. 이 비밀번호를 모든 곳에 사용한다. 어떤 사이트가 비밀번호가 충분하지 않다고 다른 문자를 추가할 것으로 요구하면, 특수 문자 하나를 추가한다. 사실 사람의 뇌는 그렇게 많은 정보를 유지하지 못할 뿐이다. 그래서 같은 비밀번호를, 그 비밀번호의 변형판을 여러 사이트에서 재사용하는 것이다.

마이크로소프트는 종종 비밀번호 대신 PIN 사용을 권장한다. PIN은 특정 디바이스에만 적용되기 때문에 공격자가 이를 훔쳐도 다른 데서 사용할 수 없다는 것이다. 여기에 문제가 하나 있는데, 필자는 PIN을 요구하는 디바이스가 여러 대이고, 그래서 같은 PIN을 여러 디바이스에 걸쳐 사용하지 않을 수 없다는 점이다. PIN도 비밀번호만큼이나 외우기 어렵다. 

물론 PIN의 장점도 있다. 마이크로소프트에 따르면, PIN은 일단 생성되면 ID 제공업체와 신뢰 관계를 구축하고 인증에 사용하는 비대칭 키 쌍을 생성한다. PIN은 컴퓨터의 TPM 칩이 뒷받침한다. 필요없을 때는 삭제할 수 있다. 

중소기업이라면, 이중인증을 자신이 사용하는 PC에 추가해 보안을 강화할 수 있다. 예를 들어, Duo.com은 사용자 10명 이하인 조직에 스마트폰을 이용한 이중인증 서비스를 무료로 제공한다. 필자의 사무실도 이를 이용하고 있는데, 누구라도 사무실 밖에서 회사에 액세스하려면 스마트폰의 이중인증 요청에 응답해야 액세스 권한을 얻을 수 있다. 사용하기 편리하면서도 원격 액세스의 안전을 보장할 수 있고, 특히 잦은 비밀번호 변경을 피할 수 있다.

소프트웨어 솔루션 업체나 사이버 보험사에 부탁하고 싶다. 이제 비밀번호를 바꾸라는 말은 그만하자. 그보다는 이중인증 애플리케이션을 설치하라고 권고하자. 대부분 사용자에게 보안을 개선하는 가장 빠르고 쉬운 길이 될 것이다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.