해킹되기 쉬운 비밀번호? 강력한 비밀번호!

2022.05.19 11:54:57

슬기로운 컴퓨터ㆍ손말틀(휴대전화) 쓰기를 위한 귀띔

[우리문화신문=김영조 기자]  비밀번호를 최신 상태로 유지하는 것은 보안 강화를 위해 필수다. 그러나 많은 이들이 비밀번호 바꾸는 걸 귀찮아하는 탓에 '나중에 하기’를 누르게 된다. 심지어 가장 많이 사용되는 비밀번호가 123456, 11111, 00000이라고 하니 역설적인 일이 아닐 수 없다. 전 세계에서 가장 많이 해킹당하는 비밀번호 으뜸 10을 살펴보고, 해커들도 맞출 수 없는 강력한 비밀번호를 만들 방법을 소개한다.

 

 

올해 5월 5일은 어린이 날이자 ‘세계 비밀번호의 날(World Password day)’이었다. 세계 비밀번호의 날은 인텔이 각종 디지털 서비스와 기기를 보호하는 데 있어 비밀번호의 중요성을 강조하기 위해 지난 2013년에 제정한 날(해마다 5월 첫 번째 목요일)이다.

 

세계 비밀번호의 날이 올해 10년째를 맞았는데 비밀번호에 대한 경각심은 얼마나 높아졌을까? 비밀번호 관리 앱을 만드는 비트와든(Bitwarden)은 5월 5일 세계 비밀번호의 날을 맞아 글로벌 비밀번호 관리 설문조사 결과를 발표했는데 흥미로운 결과가 있어 소개한다.

 

 

이 설문조사에 따르면 전체 응답자 가운데 미국인의 85%는 여러 누리집에서 같은 비밀번호를 사용하고, 49%는 비밀번호 관리 없이 기억력에 의존하며(지구촌 수치는 55%), 24%는 매일 또는 일주일에 여러 번 비밀번호를 변경하고 있고, 60%는 비밀번호의 평균 글자 수가 9~15글자(안전한 비밀번호는 최소 14자 이상부터)를 사용한다는 것이다. 이 수치는 미국인들의 경우에만 해당하며 컴퓨터 사용률이 더 낮은 지구촌 수치는 더 낮을 것으로 예측된다.

 

 

해킹되기 쉬운 비밀번호들

 

2021년에 이어 올해 가장 많이 유출된 비밀번호 으뜸 4는 123456, 123456789, qwerty, password 순이라고 한다. BBC 등 외신은 영국 국립사이버보안센터(NCSC)가 해킹당한 적이 있는 비밀번호를 분석한 결과, 1위는 2,320만 개 이상의 계정이 비밀번호로 등록한 '123456'이었다. 123456에 3개의 숫자를 덧붙인 '123456789'는 770만 개 이상으로 그 뒤를 이었다. 키보드 맨 위의 문자를 순서대로 나열한 'qwerty'와 비밀번호를 뜻하는 영어 단어 'password'는 300만 개 이상의 계정에서 사용됐다.

 

이어 111111, 12345678, abc123, 1234567, password1, 12345가 5~10위를 차지했다. 비밀번호에 가장 많이 사용되는 이름은 애슐리(Ashely)와 마이클(Michael)이었고, 잉글랜드 프리미어리그 축구팀 이름인 리버풀(Liverpool), 첼시(Chelsea), 아스널(Arsenal), 맨체스터 유나이티드(Manutd)도 자주 쓰였다.

 

 

강력한 비밀번호 만드는 법

 

미국의 비영리 소비자단체 컨슈머 리포트(Consumer Reports)에 따르면 강력한 비밀번호에는 대문자와 소문자, 기호가 있어야 하며 둘 이상의 누리집에 쓰여서는 안 된다. 또 비밀번호가 너무 많으면 모두 기억하기 어려울 수 있으므로 비밀번호 관리자를 사용하는 것이 유용할 수 있다. 다단계 인증 방법도 도움이 된다.

 

해커들은 보통 ‘딕셔너리’라는 패스워드 모음집을 가지고 있는데, 사람들이 심리적으로 잘 사용하는 비밀번호를 간추려놓은 데이터베이스라고 한다. 해커들은 이를 포털에 로그인할 때 하나씩 대입해서 로그인을 시도한다. 내가 쉽게 떠올리는 암호는 남들도 쉽게 유추할 수 있다는 사실을 기억해야 한다.

 

그렇다면 강력하고 쉬운 비밀번호는 어떻게 만들까? 안랩 시큐리티레터 815호 "강력하고 기억하기 쉬운 비밀번호 만들기"에서도 비밀번호 만드는 법을 제시하긴 했는데 이번엔 쉬운 단어 2개와 4자리 숫자, 특수기호 2개를 조합하는 비밀번호를 권장한다. 강력한 비밀번호 만들기에 정답은 없다. 개인이 취향껏 고르면 된다.

 

먼저 단어를 떠올려보자. 빛깔 가운데서 본인이 좋아하는 두 빛깔을 고른다. 예를 들어 파랑(Blue)과 노랑(Yellow)을 떠올렸다면 여기서 4글자씩 뽑아낸다. BlueYell이다. 대문자와 소문자를 섞는 게 좋다. 다음으로 4자리 숫자인데 연속되는 숫자는 피한다. 예를 들어 본인의 손말틀(휴드폰) 번호가 010-1234-5678이면 가운데에서 4자리인 34-56(가운데 들어가는 하이픈/-도 넣어준다)을 뽑아낸다. 마지막으로 특수기호 2개는 손말틀 번호 마지막 두 개를 Shift를 누른 상태에서 그대로 입력하면 &*가 된다. 이렇게 하면 최종적으로 BlueYell34-56&*이라는 강력한 비밀번호가 만들어진다.

 

 

비밀번호 인증 없이도 로그인?

 

한편 일부 보안업계에서는 비밀번호가 더는 안전하지 않아 이를 대신할 수 있는 다른 인증수단을 마련해야 한다고 강조한다. 피싱 번개글(이메일)이나 정보유출 악성코드 등을 활용해 비밀번호를 알아내기도 하고 사용자번호(ID)와 비밀번호를 무작위로 입력하는 무차별 대입공격, 미리 만들어둔 문자열을 순차적으로 입력하는 사전 대입공격 등 해킹기법이 자동화되고 있기 때문이라는 까닭에서다.

 

이런 상황에 복잡한 비밀번호를 더는 외우지 않아도 되는 기술이 개발됐다. 애플, 구글, 마이크로소프트 등은 최근 FIDO(생체인식 기술을 활용하여 더욱 편리하고 안전하게 개인 인증을 수행하는 기술) 동맹(얼라이언스)이 정립한 비밀번호 없는 로그인 기술 표준에 대한 확대 지원을 발표했다. 이러한 기술을 통해 사용자는 길고 복잡한 비밀번호를 단 한 번만 입력하고, 이후 인증 앱 등을 이용해 비밀번호를 추가로 입력하기 쉽게 로그인할 수 있다는 것이다. 가령, 로그인 시 앱을 실행해 컴퓨터 화면에 나타난 정보(QR)코드를 사진 찍거나, 로그인 시 앱에 지문을 인식하는 방식으로 간편하게 로그인할 수 있다.

 

이번 3사의 협력을 통해 향후 기기, 플랫폼, 웹 브라우저와 관계없이 앱과 서비스에 로그인할 수 있다. 예를 들어 아이폰에 설치된 인증 앱을 통해 윈도 운영체제에서 실행 중인 구글 크롬 브라우저에 로그인하는 것이 가능하다. 이 기술이 보편화되면 사용자들은 비밀번호 없이도 지문, 얼굴인식 PIN 등을 사용해 슬기말틀(스마트폰)이나 노트북 등의 기기에서 온라인 서비스에 로그인할 수 있게 될 것으로 기대된다. 이 기능은 내년부터 애플, 구글, MS의 플랫폼에 도입될 전망이다.

 

                                                                                             AhnLab 콘텐츠기획팀 제공

 

 

김영조 기자 pine9969@hanmail.net
Copyright @2013 우리문화신문 Corp. All rights reserved.

서울시 영등포구 영신로 32. 그린오피스텔 306호 | 대표전화 : 02-733-5027 | 팩스 : 02-733-5028 발행·편집인 : 김영조 | 언론사 등록번호 : 서울 아03923 등록일자 : 2015년 | 사업자등록번호 : 163-10-00275 Copyright © 2013 우리문화신문. All rights reserved. mail to pine9969@hanmail.net