한국일보 애틀랜타 전자신문

2024년 10월 11일(금) ~ 10월 17일(목) A4 ■너무 복잡한 패스워드 오히려 취약 여러 웹사이트와 앱이 안전한 패스워드 사용을 위한 규정을 적용한다. 일정 숫자 이상의 문 자, 특수문자, 정기적인변경등 을 요구하는 패스워드 작성 규 정을 쉽게 접할 수 있다. 연방정 부에서 이 같은 패스워드 규정 이 득보다 실이 많기 때문에 적 절한수정이필요하다고지적했 다. ‘ 국 립 표 준 기 술 연 구 소’ (NIST·The National Institute of Standards and Technol- ogy)는 갈수록 범람하는 신분 도용 피해로부터 인터넷 사용 자들을 보호하기 위한 새 패스 워드 지침을 공개했다. 지침은 현재 널리 사용되는 패스워드 규정이 시대에 처진, 비효율적 인 규정이라는 사이버 보안 업 계의 지속적인 지적 끝에 마련 됐다. 지침에는‘%’,‘$’와 같 은 특수문자 사용과 어린 시절 친구 이름, 생애 첫 반려동물과 같은 보안 질문을 요구하지 않 는내용등이포함됐다. NIST는 새 지침은 인터넷 사 용자들이 큰 도움이 되지 않는 규정에 시간 낭비를 줄이고 더 안전한 패스워드를 선택하도록 유도하기 위해 마련했다고 밝 혔다. 시장 조사 기관 포레스터 에 따르면 회사 직원들이 패스 워드를 기억하거나 새 패스워드 로 변경하는데 연평균 11시간 을 허비하는 것으로 조사됐다. 사이버 보안 업계에 따르면 특 수 문자 사용과 같은 규정이 패 스워드를더안전하게작성하는 효과는 미미하다. NIST는“쉽 게 기억하기 힘들 정도로 매우 복잡한패스워드는종이에적거 나 안전하지 않은 파일 형태 저 장되는 경우가 많아 범죄에 오 히려취약하다”라고지적했다. ■새 지침, ‘띄어쓰기·유니코드’ 허용 새 지침이 시행되면 인터넷 업 체, 정부기관, 기타온라인서비 스업체는정기적으로패스워드 를 변경하는 규정을 중단해야 한다. 마이크로소프트는 패스 워드 변경 규정이 별 효과가 없 다고 판단해 이미 2019년 관련 규정을 중단한 바 있다. 패스워 드 관리 업체 대시래인의 한스 라지 쿠마 디렉터는“잦은 패스 워드 변경 규정은 결과적으로 덜안전한패스워드를사용하도 록유도한다”라고지적했다. NITS의 새 지침은 특수 문자 사용을 금지하고 대신 뛰어 쓰 기와‘유니코드’(Unicode) 사 용등을허용한다. 따라서새지 침이 시행되면‘비 오는 날 연 못에서 수영’(A Swim in the Pond in the Rain) 또는‘이렇 게 기분 좋은 시절이 없었다.’ (Good times never felt so good.)처럼문장형태의패스워 드사용도가능하다. ■잦은변경오히려취약 별다른 문제나 피해가 없었다 면 현재 패스워드를 그대로 유 지하는 것도 괜찮다. 사이버 보 안 전문가들에 따르면 잦은 패 스워드 변경은 오히려 디지털 범죄 피해에 취약하게 할 수 있 다. NIST는 정보 유출 등의 피 해가없었다면패스워드를바꿀 필요가없다고권고한다. 해킹으로인한정보유출이발 생하면 해당 업체는 이메일이나 우편으로 사용자의 정보 유출 사실을 통보해야 한다. 만약 이 같은 통보를 받았다면 건강, 금 융, 소셜 미디어 등 민감한 개인 정보가 담긴 인터넷 계정의 비 밀번호를 즉시 변경한다. 그런 다음 에퀴팩스, 익스페리언, 트 랜스유니언 등 3대 신용 평가 기관에 연락해 신용 동결을 요 청해야한다. ■반드시 8개 이상, 최소 15개 문자 ‘단어123’과 같이 추측이 쉬 운 패스워드를 사용하는 사람 은 이제 없다. 최소 이보다 복잡 한 조합의 패스워드를 사용해 야해킹피해를방지할수있다. NIST에 따르면 패스워드에 반 드시 8개가넘는문자가사용되 어야 하고 최소 15개 이상의 문 자를 사용하면 더 안전하다. 추 측이 가능한 웹사이트 이름이 나 사용자 이름을 사용하는 것 도피해야한다. 예를들어사용자의생활과관 련된 자녀의 이름, 반려동물 이 름 등을 사용하면 해킹 피해를 보기 쉽다. 사이버 범죄자들은 각종 소셜 미디어에 접속해 개 인 정보를 최대한 파악한 뒤 해 킹에나선다. 또 사전에서 임의의 단어를 골라 패스워드에 사용하는 것 도 위험한 방법이다. 사이버 범 죄자들은‘크리덴셜 스터핑’ (Credential Stuffing) 기법으 로 패스워드를 알아내기 위해 끊임없이 노력한다. 크리덴셜 스터핑은 불법으로 유통되는 계정 정보를 다른 웹사이트에 무작위로대입해이용자의정보 를 빼내는 자동화 해킹 수법이 다. 문장이나 특수문자와 숫자 가 포함된 패스워드를 사용하 면 크리덴셜 스터핑 공격에 보 다안전한다. ■패스워드관리앱사용 여러 패스워드를 종이에 적어 보관하는 것은 물론 스프레드 시트, 노트패드 등에 저장하는 것도 안전하지 않다. 이들 프로 그램은패스워드와같은중요한 정보를해킹으로부터보호하는 기능이 없기 때문이다. 적어 놓 은 종이를 잃어버리거나 저장 파일을실수로삭제하는경우도 낭패다. 패스워드 관리 앱은 사 용자의패스워드를안전하게저 장하고 각 사이트에 로그인할 때 자동으로 입력하는 서비스 를 제공하고 일부 서비스는 암 호화를 통해 직원들의 접속을 차단한다. 패스워드 관리 앱을 사용하 면 복잡한 패스워드를 매번 기 억해야 하는 불편함 없이 안전 하게 사용할 수 있다.‘대시레 인’(Dashlane)과‘1패스워드’ (1Password) 등의패스워드관리 앱은 안전한 패스워드를 자동으 로생성해주고각계정에로그인 할 때 입력을 돕는다. 애플과 구 글도자체운영시스템을통해무 료패스워드관리프로그램을제 공한다. ■패스키사용 패스키는패스워드의간편한버 전으로 보면 된다. 패스키를 한 번 설정하면 이후부터 자동으로 로그인된다. 패스워드등개인정 보를입력하는대신, 패스키는기 기를잠금해제할때사용하는것 처럼안면인식이나지문스캔등 이필요하다. 패스키는암호화를 통해 사용자가 본인임을 증명하 는 방식으로 작동된다. 구글, 마 이크로소프트 등 주요 IT업체들 이 패스키를 지원하며, 패스워드 앱을통해패스키를다른비밀번 호와함께저장할수있다. ‘복잡한패스워드·잦은변경 ’…오히려해킹에취약 패스워드 홍수 속에 살아가고 있다. 웹사이트와 앱을 사용하려면 ID와 함께 패스워드를 입력해야 한다. 그 런데 사용하는 웹사이트와 앱이 하도 많다 보니 패스 워드를 정하는 작업이 여간 번거로운 일이 아니다. 패 스워드 하나로‘돌려막기’를 하자니 해킹에 한번 뚫리 면 다른 웹사이트도 피해가 걱정된다. 또 각기 다른 패스워드를 사용하다 보면 입력할 때마다 잊어버리 기 일쑤다. 복잡한 패스워드 규정을 적용하는 웹사이 트는 패스워드를 기억하기 더 어렵고 정기적으로 패 스워드 변경을 요구할 때마다 번거롭다. 이 같은 비효 율적인 패스워드 규정을 개선하기 위해 최근 정부 기 관이 새 패스워드 지침을 공개했다. 현행패스워드규정이오히려해킹에취약하다는지적에연방정부가새지침을마련했다. 새지침에따르면문장형태패 스워드사용도가능해질전망이다. <로이터> 연방정부, 패스워드 새 지침 띄어쓰기, 유니코드 사용 허용 문장 형태 패스워드 사용 가능 ‘패스키·패스워드 관리 앱’병용