보안 / 퍼스널 컴퓨팅

토픽 브리핑 | 익숙한 만큼 위험한 습관, 비밀번호

허은애 기자 | ITWorld 2022.11.05
아이디와 비밀번호를 입력해 필요한 웹 서비스를 사용하는 과정은 이미 현대 생활의 일부가 되었다. 2020년 인터넷 사용자 1명은 이메일 주소 1개당 평균 200개 이상의 온라인 계정을 연결해 사용하는 것으로 알려졌다. 2년 사이 50%도 넘게 늘어난 규모이고, 온라인 계정이 늘어나면서 관리도 복잡해졌다. 비밀번호 도난 시의 위험이 크다는 것을 잘 알고 있으면서도, 사람들은 만들기 쉽고 기억하기 쉬운 비밀번호를 오래 사용하는 경향이 있다. 원하는 서비스에 제때 접속하지 못하는 불편이 너무나 크기 때문이다.
 
ⓒ ITWorld

라스트패스의 조사에 따르면 모든 계정에 똑같은 비밀번호를 쓰는 사용자는 전체의 59%에 이른다. 좋아하는 비밀번호를 거의 바꾸지 않고, 심지어 데이터 도난 사고가 발생한 후 비밀번호를 그대로 사용하는 비율도 매우 높다. 지난 수년 간 야후, 디즈니+, 페이스북 등 유명 웹 사이트에서 대규모의 비밀번호 유출 사고가 이어졌지만, 수억 명이라는 피해 규모에 놀라기는 쉬워도 손에 익어버린 이메일 비밀번호를 바꾸기는 어렵다. 익숙하고 편리하지만, 그만큼 위험한 습관인 셈이다. 

디즈니+ 해킹 패닉… 비밀번호 관리의 중요성 일깨워
페이스북 사용자 수억 명 비밀번호 내부 직원에게 노출

해킹은 여전히 보안 공격 중 가장 비중이 크다. 버라이즌의 조사에 따르면 해킹은 2020년 전체 보안 침해의 45%를 차지해 맬웨어(17%)나 피싱(22%)을 크게 앞섰다. 한 연구는 유추하기 쉬운 단어, 기업 이름, 유명인 이름 등을 변형해 만든 비밀번호는 이미 공격자의 ‘비밀번호 사전’에 실려 있어 무차별 대입 공격에 매우 취약하다고 발표했다.

“비밀번호 하나로 돌려막는 당신을 노리는” 사전대입공격이란
비밀번호 해독기, '해시캣'이 필요한 이유
해킹 툴킷을 위한 필수 비밀번호 크래커, '존더리퍼'의 작동 방식
저장된 비밀번호를 보호하는 최선의 방법, 해싱의 정의와 작동 방식

여러 인터넷 브라우저가 자체적으로 아이디와 비밀번호를 암호화해 저장하는 기능을 제공하는 것도 이 때문이다 최근에는 단순한 저장을 넘어, 복잡한 문자열을 조합해 강력한 비밀번호를 만들어 제안하고 비밀번호 유출 여부를 감시하는 등 비밀번호 관리 전문 앱의 기능을 대체하려는 추세가 관찰된다. 후발 주자인 마이크로소프트 엣지 브라우저도 최근 비밀번호 자동 생성 및 제안과 모니터링 기능 출시를 예고했다.

“해킹당한 패스워드 즉시 확인” 크롬과 파이어폭스에 기본 기능으로 통합
마이크로소프트 엣지, 비밀번호 자동 생성 지원
엣지 브라우저의 크롬 따라잡기' 비밀번호 자동 생성 기능 등 출시
웹 브라우저 패스워드 관리 기능만으로는 부족한 이유

가장 쉬운 실천은 비밀번호 관리 앱을 사용하는 것이다. 비밀번호 관리 앱 내 저장소에 ID와 비밀번호가 기록되므로 개인이 별도로 비밀번호를 기록하거나 기억할 필요가 없고, 길고 강력한 비밀번호를 만들어도 관리 부담이 훨씬 줄어든다. 무료 요금제에도 큰 기능상 제한이 없어서 리뷰를 잘 읽고 알맞은 앱을 발견하기를 권한다.

리뷰 | 로보폼 에브리웨어, 완성도 높은 비밀번호 관리자 앱
구글 비밀번호 관리자 제대로 활용하기
"계정부터 윈도우까지" 내 책상 위 개인정보 단속하는 5대 보안 수칙

기업 내 IT 부서의 비밀번호 관리나 재설정, 헬프데스크 업무 등에 따르는 비용과 수고는 상당하다. 센트리파이 코퍼레이션이 진행한 연구에 따르면, 암호 재설정 비용은 직원 1명당 연간 70달러이고, 이로 인한 생산성 손실은 1인당 연간 420달러에 이른다. 그러나 ID와 이메일 주소, 비밀번호에 의존하는 방법은 유출, 악성 코드, 비밀번호 재사용 같은 위험 원인을 근본적으로 제거하기 어렵다. 따라서 궁극적으로는 비밀번호라는 형식상 한계를 벗어나야 한다는 주장도 힘을 얻고 있다.

비밀번호 사용을 줄이기 위해 퍼블릭 키 암호화에 기반한 인증체계로 비밀번호의 보완 또는 대체를 제안하는 기업이나 연합도 있다. FIDO 얼라이언스는 하드웨어 업체와 협력해 생체 인증 기능을 보급하고, 인터넷을 통해 로컬 기기와 서비스 간 비밀번호를 인증하는 방식의 위험을 낮추기 위해 로컬 기기나 별도 하드웨어 인증용 프로토콜을 개발했다. 구글과 애플도 FIDO 얼라이언스에 가입해 새로운 온라인 ID 관리 도구를 개발하고, ‘비밀번호 없는 세상’이라는 최종 목표를 실현하기 위해 힘을 보태고 있다.

"비밀번호보다 더 확실한 것" 구글 스마트락, FIDO2 키 지원에 아이폰 포함
애플, FIDO 협회 합류··· 비밀번호 대체 시도에 동참
'비밀번호 없는 인증과 빠른 업데이트'…윈도우 10 2004의 새로운 보안 기능
칼럼ㅣ당신의 ‘목소리’가 새로운 비밀번호인 이유
비밀번호 사용을 줄이기 위한 'FIDO'의 의미와 인증 프로세스
이제는 살펴봐야 할 '패스워드리스' 기술과 표준 5가지 

말장난 같기도 하지만, 전문가가 말하는 가장 안전한 비밀번호 전략은 비밀번호 없이 로그인하는 것이다. 비밀번호로 인한 위험을 없애기 위해 많은 업체나 연합, 연구 기관이 생체 인증 방식을 개선하고, 별도의 보안 토큰을 보급하고, 스마트폰 내 개인 암호키로 사용자 데이터에 서명하는 등 다양한 노력을 진행하고 있다.

하지만 현재의 ID 및 비밀번호 입력 방식을 대체하는 보편적이고 간편한 방법이 자리잡을 때까지는 몸에 익은 편안한 습관을 버리고 조금 불편해지는 것이 나을 것이다. 서비스마다 비밀번호를 각각 달리 정하고, 그 비밀번호를 주기적으로 변경하고, 브라우저나 관리자 앱이 제안하는 강력한 비밀번호를 사용하는 것만으로 개인뿐 아니라 업무용 데이터까지 안전하게 보호할 수 있다면 그 불편함은 충분한 가치가 있다. 
erin_hur@idg.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.