인터넷으로 거의 모든 일을 해결할 수 있는 세상이 됐다. 인터넷만 있으면 세상을 편리하게 살아갈 수 있다. 하지만 단점도 있다. 이용하는 서비스마다 아이디와 비밀번호를 설정해야 한다는 번거로움이다. 개인이 주의하고 기업이 보안의 의무를 다하지 않으면 계정 정보가 탈탈 털려 엄청난 손해가 발생할 수 있다. 개인정보를 담고 있는 아이디와 비밀번호 관리의 중요성은 아무리 강조해도 지나치지 않다.

길고 복잡할수록 안전한 비밀번호

개인이 이용하는 인터넷 서비스는 매우 다양하다. 문제는 이용하는 서비스가 늘어나는 만큼 관리해야 할 계정 정보 역시 많아진다는 것이다. 이 수많은  아이디와 비밀번호를 모두 기억하는 것은 쉽지 않은 일이다. 그래서 동일한 아이디와 비밀번호를 여러 사이트에서 사용하는 사람들이 많다. 비밀번호도 외우기 쉽도록 단순하게 정하는 사례를 쉽게 찾아볼 수 있다.

비밀번호를 간단하게 조합해 쓰면 위험하다는 경고는 인터넷이 대중화된 2000년대 초반부터 있어 왔다. 현재 우리가 통상적으로 비밀번호를 8자 이상, 영어의 대소문자, 숫자, 특수 문자의 조합으로 만들어야 한다고 알고 있는 상식은 2003년에 만들어졌다.

미국 국립 표준 기술연구소의 암호 전문가 빌 버(Bill Burr)가 만든 비밀번호 생성 규칙에 따르면 최소 8자 이상으로 구성하며 영문 대소문자, 숫자, 특수 문자를 포함해야 한다. 또한 개인정보 보안을 위해 90일을 주기로 비밀번호를 변경해야 한다.

빌 버의 비밀번호 생성 규칙은 오늘날 많은 인터넷 서비스에 적용되어 있다. 하지만 이 규칙으로 비밀번호를 생성하도록 규칙을 만들어도 여전히 많은 웹사이트에서 사용자의 계정 정보가 유출되고 있다. 여기에는 많은 이유가 있겠지만 사용자들이 비밀번호를 설정할 때 복잡하지 않고 외우기 쉬운 단순한 구성으로 조합한다는 것도 이유 중 하나로 꼽힌다. 이는 해커들이 쉽게 유추할 수 있음을 뜻한다.

미국 사이버 보안 기업 하이브시스템의 보고서에 따르면 비밀번호와 숫자로만 구성된 4~11자리 비밀번호는 해독기를 통해 바로 해독할 수 있는 것으로 나타났다. 비밀번호 길이가 12자리는 2초, 13자리는 19초가 소요됐다.

비밀번호가 길어질수록 해독에 걸리는 시간은 더 폭으로 늘어난다. 14자리 비밀번호는 3분이면 풀리지만 15자리는 32분으로 10배 이상 걸린다. 16자리는 5시간, 17자리는 이틀, 18자리는 약 3주가 걸렸는데, 한 자리 수가 늘어날수록 해독 시간은 9~10배 증가하는 것을 알 수 있다.

여기에 영어 알파벳 대소문자를 섞거나 특수 문자를 더하면 비밀번호 해독 시간은 더욱 크게 늘어난다. 알파벳 대소문자를 구분할 경우 9자리 비밀번호는 해독에 1시간이 걸렸으며 10자리는 3일, 11자리는 5개월이 걸렸다.  하이브시스템은 알파벳 대소문자, 숫자, 특수 문자까지 조합할 경우 11자리 비밀번호 해독에 무려 34시간이 걸리고, 12자리는 3천년이 걸린다고 밝혔다.

하지만 비밀번호 관리 솔루션 기업 노드패스가 지난해 30개국을 대상으로 연구를 진행한 결과 취약한 비밀번호가 여전히 쓰이고 있음을 알 수 있다. 여전히 'password'나 '123456' 또는 '123456789'로 나열한 단순한 조합을 사용하거나 'guest'를 비밀번호로 쓰는 사람도 많았다. 좋아하는 축구팀 이름, 선호하는 자동차 브랜드를 넣은 비밀번호 역시 흔했다.

자주 사용되는 해킹 수법

해커들은 계정 정보를 탈취할 때 무작위로 비밀번호를 대입하는 방법을 자주 사용한다. 공개된 소셜 미디어 등을 통해 이메일 계정을 확보하고 여기에 무작위로 비밀번호를 대입하는 방식으로 계정을 탈취하는 것이다. 해커들이 이러한 수법으로 주로 인터넷 상거래 사이트를 노린다. 사용자의 결제 정보가 저장되어 있는 경우가 많아 돈을 갈취하기 쉽기 때문이다.

최근에는 불법 콘텐츠 유통 사이트를 통해 개인정보를 수집하는 수법도 유행하고 있다. 영화, 드라마, 만화와 같은 콘텐츠를 불법 복제해 제공하면서 사용자의 개인정보를 수집하고, 이를 악용해 다른 인터넷 서비스에 접근하는 방식이다. 불법 사이트의 위험성과 개인정보 유출로 인한 피해 사례가 전파되고 있어도 여전히 많은 사람들이 유료 콘텐츠를 공짜로 이용하기 위해 쉽게 본인의 개인정보를 넘기고 있다.

이처럼 생각 없이 넘긴 개인정보 금융 서비스 등에 악용되면 큰 피해로 이어질 수 있다. 따라서 불법 사이트는 절대 이용하지 않는 것이 좋으며, 설령 이용하더라도 개인정보 입력은 하지 않아야 한다. 푼돈 아끼려다가 더큰 피해를 입을 수 있다.

비밀번호 위험성을 극복하는 기술 

비밀번호는 개인이 아무리 조심해도 늘 해커의 공격 대상이 될 수 있다. 수많은 사이트의 비밀번호를 개인이 수시로 바꾸며 정보를 지키기란 사실상 불가능하다. 따라서 IT 업계는 비밀번호를 대체할 기술 개발에 박차를 가하고 있다.

비밀번호를 대체할 가장 좋은 기술은 개인의 생체 정보를 인식하는 것이다. 로그인할 때 홍채, 얼굴, 지문 등으로 개인을 인증하는 기술이 실용화되고 있다. 구글, 아마존, 애플 등 글로벌 IT 기업들은 패스키 기능을 도입하고 있다. 패스키는 비밀번호가 없더라도 얼굴, 지문 등 생체 정보와 개인 식별 번호(PIN)로 로그인을 할 수 있다.

사용법은 간단하다. 안드로이드 스마트폰은 지문 인증이나 PIN 입력하면 로그인할 수 있다. 컴퓨터로 접속할 때는 화면에 나오는 QR코드를 스마트폰으로 촬영해 지문 인증을 하면 된다. 비밀번호를 일일이 입력할 때는 오류가 발생해 로그인이 완료될 때까지 시간이 걸릴 때도 있다. 반면 패스키는 인증 과정이 간편하고 시간도 짧게 소요된다.

국내 기업도 고객의 비밀번호를 지키기 위해 안간힘을 쓰고 있다. 올해 9월부터 '개인정보 보호법' 시행령이 개정되면서 과징금 규제가 강화됐기 때문이다. 개인정보 처리자도 과징금 규제 대상이 됐으며, 과징금 상한액 산정 기준도 높아졌다. 인터넷 상거래 업계는 고객 계정을 해킹하는 시도를 원천 차단하는 방식으로 대응하고 있다. 틀린 비밀번호로 여러 번의 로그인 시도가 발생하면 잘못된 시도로 감지하고, 사용자에게 '비밀번호 변경 대상자'라고 알리는 서비스를 제공하고 있다. 

로그인이 실패했을 때 화면에 출력된 숫자나 글자를 입력하는 '캡차(CAPTCHA)' 방식은 이미 널리 쓰이고 있다. 캡차는 컴퓨터 해킹 프로그램이 아닌, 이용자 본인이 로그인을 시도하는지 확인하기 위한 방법으로 알려져 있다. 이외에도 PC에서 로그인을 하면 스마트폰 앱으로 알려주는 서비스가 있으며 로그인 기록을 보는 기능도 있다. 

정부도 고객의 아이디와 비밀번호 관리에 소홀한 업체를 적발하고 있다. 개인정보 주무 기관인 개인정보보호위원회는 개인정보 보호법을 위반하거나 개인정보가 유출된 기업 및 기관 등을 대상을 적발해 과징금 및 과태료 처분을 하고 시정 명령을 내리고 있다.

어떤 비밀번호가 안전할까

해킹이 의심된다면 결제 시스템과 연결된 홈페이지의 비밀번호는 모두 해커가 추정하기 어려운 것으로 바꾸는 것이 좋다. 한국인터넷진흥원이 공개한 '패스워드 선택 및 이용 안내서'에 따르면 동일한 문자를 반복하거나 키보드에서 연속된 위치에 있는 문자 조합, 숫자가 제일 앞이나 뒤에 오는 패턴의 비밀번호는 위험하다.

가족 이름, 생일, 주소, 연락처, 핸드폰 번호 등을 포함하거나 아이디를 응용한 비밀번호도 지양해야 한다. 널리 알려진 유명인의 이름, 기업, 단어를 쓰는 것도 위험하다. 

상대적으로 안전한 비밀 번호는 한글 자판을 기준으로 특정 명칭에서 추출한 문자로 된 비밀번호, 노랫말이나 명언 등과 기호를 가공한 조합 등이 있다. 영어 소문자와 대문자, 숫자와 특수 문자를 혼합한 비밀번호도 추천한다. 

개인정보가 유출되면 가장 큰 피해를 보는 것은 사용자 본인이다. 쉬운 비밀번호는 언제든 해커들의 먹잇감이 될 수 있으니 항상 비밀번호 해킹 가능성에 대한 경각심을 갖고 대비해야 한다.

오현지 기자 다른기사 보기