한국일보 애틀랜타 전자신문

2024년 10월 18일 (금요일) 특집 A4 ■너무복잡한패스워드오히려취약 여러 웹사이트와 앱이 안전한 패 스워드사용을위한규정을적용한 다. 일정숫자이상의문자, 특수문 자, 정기적인 변경 등을 요구하는 패스워드작성규정을쉽게접할수 있다. 연방정부에서 이 같은 패스워 드 규정이 득보다 실이 많기 때문 에 적절한 수정이 필요하다고 지 적했다.‘국립표준기술연구소’ (NIST·The National Institute of Standards and Technology)는 갈 수록범람하는신분도용피해로부 터인터넷사용자들을보호하기위 한새패스워드지침을공개했다. 지침은현재널리사용되는패스 워드규정이시대에처진,비효율적 인규정이라는사이버보안업계의 지속적인지적끝에마련됐다. 지침에는‘%’ ‘$’와같은특수문 자사용과어린시절친구이름, 생 애 첫 반려동물과 같은 보안 질문 을요구하지않는내용등이포함됐 다. NIST는새지침은인터넷사용자 들이 큰 도움이 되지 않는 규정에 시간낭비를줄이고더안전한패스 워드를 선택하도록 유도하기 위해 마련했다고밝혔다.시장조사기관 포레스터에따르면회사직원들이 패스워드를 기억하거나 새 패스워 드로변경하는데연평균11시간을 허비하는것으로조사됐다. 보안업계에따르면특수문자사 용과같은규정이패스워드를더안 전하게작성하는효과는미미하다. NIST는“쉽게기억하기힘들정도 로매우복잡한패스워드는종이에 적거나안전하지않은파일형태저 장되는경우가많아범죄에오히려 취약하다”라고지적했다. ■새지침,‘띄어쓰기·유니코드’허용 새지침이시행되면인터넷업체, 정부 기관, 기타 온라인 서비스 업 체는 정기적으로 패스워드를 변경 하는규정을중단해야한다. 마이크로소프트는 패스워드 변 경 규정이 별 효과가 없다고 판단 해이미 2019년관련규정을중단 한바있다.패스워드관리업체는“ 잦은패스워드변경규정은결과적 으로덜안전한패스워드를사용하 도록유도한다”라고지적했다. NITS의 새 지침은 특수 문자 사 용을 금지하고 대신 띄어쓰기와‘ 유니코드’(Unicode) 사용등을허 용한다. 따라서 새 지침이 시행되 면‘비 오는 날 연못에서 수영’(A Swim in the Pond in the Rain) 또 는‘이렇게 기분 좋은 시절이 없 었다.’(Good times never felt so good.)처럼 문장 형태의 패스워드 사용도가능하다. ■잦은변경오히려취약 별다른 문제나 피해가 없었다면 현재패스워드를그대로유지하는 것도 괜찮다. 사이버 보안 전문가 들에따르면잦은패스워드변경은 오히려디지털범죄피해에취약하 게할수있다.NIST는정보유출등 의피해가없었다면패스워드를바 꿀필요가없다고권고한다. 해킹으로인한정보유출이발생 하면해당업체는이메일이나우편 으로 사용자의 정보 유출 사실을 통보해야한다. 만약이같은통보를받았다면건 강, 금융, 소셜미디어등민감한개 인정보가담긴인터넷계정의비밀 번호를 즉시 변경한다. 그런 다음 에퀴팩스, 익스페리언, 트랜스유니 언등3대신용평가기관에연락해 신용동결을요청해야한다. ■반드시8개이상,최소15개문자 ‘단어123’과 같이 추측이 쉬운 패스워드를사용하는사람은이제 없다. 최소 이보다 복잡한 조합의 패스워드를 사용해야 해킹 피해를 방지할수있다. NIST에따르면패 스워드에 반드시 8개가 넘는 문자 가 사용되어야 하고 최소 15개 이 상의 문자를 사용하면 더 안전하 다. 추측이 가능한 웹사이트 이름 이나사용자이름을사용하는것도 피해야한다. 예를들어사용자의생활과관련 된자녀의이름, 반려동물이름등 을 사용하면 해킹 피해를 보기 쉽 다. 사이버 범죄자들은 각종 소셜 미디어에접속해개인정보를최대 한파악한뒤해킹에나선다. 또 사전에서 임의의 단어를 골라 패스워드에사용하는것도위험한 방법이다. 사이버 범죄자들은‘크 리덴셜스터핑’(Credential Stuff- ing) 기법으로 패스워드를 알아내 기위해끊임없이노력한다. 크리덴셜 스터핑은 불법으로 유 통되는계정정보를다른웹사이트 에무작위로대입해이용자의정보 를 빼내는 자동화 해킹 수법이다. 문장이나특수문자와숫자가포함 된패스워드를사용하면크리덴셜 스터핑공격에보다안전한다. ■패스워드관리앱사용 여러 패스워드를 종이에 적어 보 관하는 것은 물론 스프레드시트, 노트패드등에저장하는것도안전 하지않다.이들프로그램은패스워 드와같은중요한정보를해킹으로 부터보호하는기능이없기때문이 다.적어놓은종이를잃어버리거나 저장파일을실수로삭제하는경우 도낭패다. 패스워드관리앱은사용자의패 스워드를안전하게저장하고각사 이트에로그인할때자동으로입력 하는서비스를제공하고일부서비 스는암호화를통해직원들의접속 을차단한다. 패스워드관리앱을사용하면복 잡한패스워드를매번기억해야하 는 불편함 없이 안전하게 사용할 수 있다.‘대시레인’(Dashlane)과 ‘1패스워드’(1Password) 등의 패 스워드관리앱은안전한패스워드 를 자동으로 생성해 주고 각 계정 에로그인할때입력을돕는다. 애플과 구글도 자체 운영시스템 을 통해 무료 패스워드 관리 프로 그램을제공한다. ■패스키사용 패스키는 패스워드의 간편한 버 전으로 보면 된다. 패스키를 한 번 설정하면 이후부터 자동으로 로 그인된다. 패스워드 등 개인 정보 를입력하는대신,패스키는기기를 잠금 해제할 때 사용하는 것처럼 안면인식이나지문스캔등이필요 하다. 패스키는 암호화를 통해 사 용자가본인임을증명하는방식으 로작동된다. 구글,마이크로소프트등주요IT 업체들이패스키를지원하며, 패스 워드앱을통해패스키를다른비밀 번호와함께저장할수있다. 패스워드홍수속에살아가고있다. 웹사이트와앱을사용하려면 ID와함께패스 워드를입력해야한다. 그런데사용하는웹사이트와앱이하도많다보니패스워 드를정하는작업이여간번거로운일이아니다. 패스워드하나로‘돌려막기’를 하자니해킹에한번뚫리면다른웹사이트도피해가걱정된다.또각기다른패스 워드를사용하다보면입력할때마다잊어버리기일쑤다.복잡한패스워드규정을 적용하는웹사이트는패스워드를기억하기더어렵고정기적으로패스워드변경 을요구할때마다번거롭다. 이같은비효율적인패스워드규정을개선하기위해 최근정부기관이새패스워드지침을공개했다 현행 패스워 드 규정이 오 히려 해킹에 취약하다는 지적에 연방 정부가 새 지 침을 마련했 다. 새 지침 에 따르면 문 장 형태 패 스워드 사용 도 가 능해 질 전망이다. <로이터> ‘복잡한패스워드·잦은변경’…오히려해킹에취약 연방정부, 패스워드 새 지침 띄어쓰기, 유니코드 사용 허용 문장 형태 패스워드 사용 가능 ‘패스키·패스워드 관리 앱’ 병용