[동아일보]
Pixabay 제공
《 ‘이 사이트 비번(비밀번호), 뭐였지?’ 이것저것 다 입력해 봐도 ‘비밀번호가 올바르지 않습니다’라는 경고만 뜬다. 개인정보 유출 사고가 있을 때마다 불안해서 비밀번호를 바꾼 탓이다. 이제 몇 가지 유형의 비밀번호를 돌려쓰던 시대는 끝났다. 우스갯소리로 ‘이미 다 털렸다’고 체념하지만, 계속 신경이 쓰인다.》
‘안전한 비밀번호-효과적 기억’ 방법
○ 대문자, 특수문자, 숫자까지 넣으면 얼마나 안전해질까?
요즘 비밀번호를 정할 땐 10자 이상, 알파벳 대소문자 혼용, 숫자·특수문자 사용, 개인정보 관련 숫자 사용 금지 등의 조건을 건다. 이렇게 하면 정말 더 안전할까?
비밀번호는 조합이 가능한 경우의 수를 모두 입력하면 언젠가는 알 수 있다. ‘0000’과 같이 중복 사용 가능한 숫자로 이뤄진 4자리 비밀번호는 10⁴, 1만 번 이내에 비밀번호를 알 수 있다. 라이언 머피 미국 컬럼비아칼리지 컴퓨터 수학과 교수는 달라지는 조건에 따라 해커가 비밀번호를 알아내는 데 걸리는 시간을 계산했다.
간단한 로그 방정식에 사용 가능한 문자의 수(숫자는 0∼9 10가지, 소문자는 a∼z 26가지 등)와 비밀번호 자리마다 달라지는 무작위 정도를 대입하면, 비밀번호로 사용하기 알맞은 문자의 길이를 계산할 수 있다. 미국표준기술연구소(NIST) 발표에 따르면 8∼12자 사이다. 머피 교수는 이 범위 안에서 해커의 공격을 견디는 시간을 측정했다.
단어는 무작위 조합을 사용했다. ‘a와 @’같이 연상되는 특수문자도 배제했다. 대문자, 특수문자, 숫자도 예측 불가능한 위치에 넣었다. 그 결과 사용하는 문자 종류가 많아져 비밀번호가 길고 복잡해질수록 내 정보를 지킬 수 있는 시간도 늘었다. 8자 비밀번호가 모두 소문자라면(예:dongaabc) 해독하는 데 208초, 10자 비밀번호가 소문자 6개, 대문자 1개, 특수문자 1개, 숫자 2개 조합이면(예: D@ngaabc11) 1707년이 걸렸다. 머피 교수는 “세상 모든 언어 사전에 나오는 단어 조합, 전화번호나 가족의 생일 등 개인정보 관련 숫자, ‘a와 @’같이 누구나 연상할 수 있는 치환, 유명한 유행가 가사, 대사 인용은 피하라”고 조언했다.
○ 복잡한 비밀번호 잊지 않는 방법은?
비밀번호는 길고, 복잡하고, 참신하게 만들면 비교적 안전하다. 그런데 이렇게 만들고 나면 기억하기 어려워 정작 비밀번호 주인만 골탕 먹게 된다.
미국 IBM 최고기술책임자(CTO) 브루스 슈나이어는 일회용 비밀번호 제작 프로그램으로 무작위 비밀번호(예: *P_x$)%v@E6g)를 생성하여 안전하게 별도로 기록해 두는 방법을 추천했다. 별도로 기록한 비밀번호 문서 역시 비밀번호를 넣고 보관해야 하는데, 이때는 생체인식과 같은 안전성 높은 방식을 사용하라고 권했다. 앨릭스 핼더먼 미국 미시간주립대 컴퓨터과학과 교수는 “전문가들은 해커의 다양한 시나리오를 모두 고려해 보안 프로그램을 만들기 때문에 비밀번호 생성 및 보관용으로 제작된 소프트웨어를 사용하는 게 좋다”고 설명했다.
그렇지만 이 방식은 한 번에 모든 걸 잃을 수 있다는 게 단점이다. 이를 방지하려면 ‘연상 기억법’을 추천한다. 예를 들어 블락비의 노래 ‘예스터데이’ 중 ‘What did you do yesterday’라는 가사의 첫 글자를 본떠 ‘Wdydy’를 비밀번호로 쓰는 것이다. 여기에 자신이 좋아하는 숫자 2∼4자리를 더하거나, 알파벳 사이에 특수문자를 더하면(예: W^d^y^d^y7850) 보안은 강력해진다. 전문가들은 사이트마다 다른 비밀번호를 사용하기를 권장하므로 여기에 각 사이트 로고에 보이는 색을 뜻하는 단어의 일부를 더하면(예: W^d^y^d^y7850_r. _r은 빨간색을 뜻하는 red에서 가져옴) 비밀번호는 더 완벽해진다.
최진영 고려대 정보보호학부 사이버국방학과 교수는 “사람들이 주로 기억을 돕기 위해 비밀번호 일부에 한글 단어를 그대로(예: 바나나는 qksksk로) 사용하는데, 국내 사이트를 이용할 때는 위험하다”며 “확률적으로 한글 단어보다는 같은 알파벳을 대소문자를 섞어 길게(예: qQqQqQQQQQqqqqQQ) 사용하는 편이 낫다”고 말했다. 미국 노스캐롤라이나대 연구팀은 사용자가 비밀번호를 자주 바꿔도 예측 가능한 변형이라면 위험은 거의 줄지 않는다고 주장했다.
염지현 동아사이언스 기자 ginny@donga.com
출처: 동아일보
![[우리의 명절과 기념일] 5.4 청년절의 유래와 의의](/data_cache/cache_thumb/e955494741469e6c62387ab502c6c2aa_cut_108x68.png "[우리의 명절과 기념일] 5.4 청년절의 유래와 의의")
