보안

“이젠 비밀번호가 아닌 ‘비밀문장’의 시대”

James E. Gaskin | Network World 2008.07.25

지난 6 25 IT 컨퍼런스인 ITEC에서 이제 패스워드를 사용하는 시대는 지났다는 주장이 제기된 바 있다. 애플리케이션 개발 및 컨설팅업체 핀스트라이프의 CEO인 댄 콜비(Dan Colby)는 문자 및 단어의 단순 조합만으로 구성된 기존의 패스워드가 문장 및 문구로 이루어진 ‘패스프레이즈(Passphrase)로 대체될 것이라고 말했다. 이와 관련한 자세한 설명을 댄 콜비에게 들어봤다.

댄 콜비는 패스프레이즈가 그 동안 패스워드로 보안이 유지되어온 데스크톱, 노트북 컴퓨터 등 모든 사용자 기기에 새로운 대안을 제시했다고 보았다. 패스프레이즈의 개념은 다음과 같이 간단히 설명될 수 있다. !PS12Na#’와 같이 문자, 숫자 및 기호로 된 복잡한 암호보다는 ‘Let the force be with you’ 등의 특정 문구가 외우기도 더 쉬우며 보안유지에도 더 도움이 된다는 것이다. 또한 문구의 길이가 길면 길수록 보안성이 높아진다고 전했다.

댄 콜비는 ‘사용자 기기’ 라는 명칭을 사용했지만, 이러한 패스프레이즈의 활용이 데스크톱 및 노트북 컴퓨터처럼 일정 수준 이상의 키보드를 갖춘 기기에만 해당된다는 의견도 제기되고 있다. 물론 스마트폰도 키보드를 갖추고 있는 경우가 있겠지만, 회사의 보안유지를 위해 직원들의 조그마한 휴대용 기기에까지 패스워드 사용을 요구할만한 업체는 예상하기 힘든 것이 사실이며, 패스프레이즈가 여기에 사용될 가능성은 더더욱 희박해 보이기 때문이다.

보안전문가 역시 패스프레이즈의 유용성에 대해서는 댄 콜비와 같은 생각이다. , 암호문구가 길면 길수록 이를 해킹하는 데에는 더 많은 시간과 컴퓨터의 전력이 소요된다는 설명이다. 대개 기업들은 암호의 보안수준을 높이기 위해 ‘‘!PS12Na#’와 같은 난해한 문자조합을 요구한다. 하지만 실제 현실은 댄 콜비가 지적하듯 사무실 직원들이 패스워드가 적힌 포스트잇 메모지를 컴퓨터 모니터에 부착해 업무를 보고 있는 것이 실정이다.

좀 더 나은 경우의 예를 들자면, 컴퓨터 모니터에 부착한 포스트잇을 떼어 키보드 밑에 보관하기도 한다. 하지만 어느 쪽이던 그리 안전한 보안유지 방법은 아니다.

패스프레이즈를 활용하려면 기업의 관리자들이 먼저 긴 암호문구를 수용할 수 있는 보안 애플리케이션을 개발해야 한다. 현재는 암호 설정 시 알파벳 대소문자, 적어도 1개의 숫자 및 1개의 기호를 넣어야 하기 때문에, 댄 콜비가 예로 든 ‘!PS12Na#’과 같이 외우기조차 힘든 패스워드가 실제로 쓰이는 이유가 여기에 있다.
 

우선 사내 컴퓨터, 서버, 온라인 시스템 등 패스워드가 필요한 모든 애플리케이션 및 운영체제를 점검해야 한다. 예를 들어, 4개 컴퓨터 중 3개만 패스프레이즈를 지원해도 안 된다. , 패스프레이즈를 시스템 전반에 다 적용하든지, 하지 않든지 둘 중 하나를 선택해야 하는 것이다.

일부 보안전문가들은 암호 입력필드를 최소 15개에서 최대128개 문자로 설정해야 한다고 지적한다. 최소 15개 문자라는 조건은 기존 패스워드의 형태를 패스프레이즈로 전환할 수 있는 여건을 마련해준다. 마이로소프트의 경우 자사의 네트워크 자원 관리 솔루션인 액티브디렉토리의 암호 입력필드를 127개 문자로 제한하고 있는데, 127개 문자라면 어떤 종류의 패스프레이즈를 설정하는 데에도 부족함이 없다.

한편, 보안유지를 위해서는 지속적인 암호 변경이 요구되는데, 이 때문에 기존의 패스워드를 사용하면 매번 새로운 패스워드를 설정해야 하는 문제에 부딪치게 된다. 하지만 댄 콜비에 의하면 패스프레이즈를 사용할 경우, 암 변경 작업도 더 수월해진다.

댄 콜비는 “지금은 이번 달에 ‘!PS12Na#’라는 암호설정을 하고 외워야 했다면, 다음달에는 ‘90dc$U@’와 같은 또 다른 복잡한 암호를 설정 해야만 한다라며, “매달 반복되는 이러한 번거로움은 짜증 그 자체가 아닐 수 없다라고 지적했다. 하지만 암호를 ‘내가 좋아하는 프로야구팀은 양키스’와 같은 문장으로 설정한다면, 다음달에 ‘내가 좋아하는 미식축구팀은 팬서스’와 같은 식으로 바꿀 수 있어 매우 쉽다라고 주장했다.

설사 다소 시류에 뒤처진 시스템 및 보안관리자를 고수하는 업체여서, 패스워드 사용이 불가피한 경우라 할지라도 최소한 시스템 사용자의 재량만 있다면 패스프레이즈의 응용도 가능하다. ‘내가 좋아하는 프로야구팀은 양키스(My favorite baseball team is the Yankees)’ 라는 문구는 알파벳 대소문자를 활용해 단어 첫 글자를 모아보면 ‘MfbtitY’ 와 같은 식으로 압축시킬 수도 있기 때문이다. 만일 숫자도 넣어야 한다면 암호 중간 또는 마지막에 넣으면 된다. 즉 ‘밤에 들르기 전에 전화해(Call b4 you come over tonight)’ 및 ‘내가 좋아하는 록그룹은 유투(My favorite rock group is U2)’ 와 같은 식으로 말이다.

브라우저 기반의 이메일 클라이언트와 같은 웹 애플리케이션에 원격 접속을 지원하는 업체라면, 지원되는 모든 브라우저에 대해 고객들의 로그인이 제대로 되는지 면밀히 테스트해 볼 필요가 있다. 어떤 브라우저와 웹은 기기와 연결됐을 때 기호 및 빈칸과 같은 일부 유니코드문자를 차단하거나 수정해버리는 경우가 있는데, 이 같은 일이 벌어지면 이 업체는 웹에 로그인 할 수 없게 된 고객들로부터 걸려오는 성난 항의전화를 피할 수 없을 것이기 때문이다.

기업이 아닌 일반 개인고객의 경우에는 굳이 패스워드 길이를 늘려 패스프레이즈를 채택하도록 유도할 필요는 없다. 일반 사용자들은 대부분 자신들이 이용하는 여러 웹사이트에 대해 별 의미 없는 하나의 패스워드를 사용하기 때문. 사실 100개의 각 사이트마다 그에 대한 개별 패스워드를 기억할 수 있는 사람은 없다. 그러나 ‘2-Stupid’ 와 같이 특이하고도 외우기 쉬운 패스워드라면 이것 하나로 그 100개의 사이트에 대해 모두 사용해도 큰 문제는 없을 것이다.

물론 사용자마다 특성이 있기 때문에 완벽한 방책이란 존재하지 않는다. 일례로 시스템을 잠그기 전 패스워드 입력회수를 세 번으로 제한한다면, 한 번의 타이핑 실수만으로도 문제가 발생할 수 있다. 재미있는 것은 키보드 타이핑을 할 때 실수가 잦은 사람일수록 사용하는 암호의 길이가 긴 경향이 있는데, 이러한 행태는 타이핑 시 더듬는 실수를 하거나 도중에 어디까지 타이핑을 했는지 잊어버리는 실수의 빈도를 높여, 암호를 다 지운 뒤 다시 타이핑을 하도록 만든다. 따라서 단순히 패스워드를 패스프레이즈로 바꾼다고 해서 고객들의 도움 및 문의요청이 사라질 것이라고 기대할 수는 없다.

하지만 그렇다 해도 ‘패스워드는 어리석다’와 같은 아주 단순한 패스프레이즈 만으로도 사용자의 실수를 줄일 수 있을 뿐 아니라, 보안수준 또한 높일 수 있음을 직시할 필요가 있다. 8자리 암호조차 기억을 못하던 사람들이 자신이 고른 비틀즈의 노래 가사인 ‘누군가 도와줘요! 아무나 필요한 것은 아닌 누군가의 도움이 필요해요 (Help! I need somebody, Help! Not just anybody)’ 와 같은 무려 45개 단어로 이루어진 문구는 기억한다는 사실은 새삼 우리를 놀랍게 한다. 이와 같이 패스프레이즈는 일단 채택만 하면 그 길이와 관계없이 쉽게 기억할 수 있기 때문에 그저 보안유지를 위해 사용자들에게 외우기 쉬운 이 노래가사 패스프레이즈를 평소에 자신도 모르게 흥얼거리지 않도록 주의만 주면 더 이상 문제될 것은 없는 것이다.

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.