"어차피 뒷자리만 바꾸는데…" '비번 재설정' 효과 있나요?

홍효진 기자 2022. 12. 21. 07:00
자동요약 기사 제목과 주요 문장을 기반으로 자동요약한 결과입니다.
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.

그렇다면 비밀번호 재설정은 개인정보 보호에 얼마나 효과적일까.

보안업계에선 '경우의 수'를 늘릴 수 있는 것만으로도 정보보호 효과를 강화할 수 있다는 입장이다.

한 국내 보안업계 관계자는 "비밀번호를 주기적으로 변경하면 (해커들이) 찾아낼 확률을 낮출 수 있는 건 맞다"며 "뒷자리만 일부 변경한다 해도 기존 비밀번호를 쓰는 것보다 경우의 수를 많이 만들 수 있다. 'abcd1'을 'abcd9'로 바꾸면 1~9까지 다 입력해봐야 해킹이 가능하기 때문"이라고 말했다.

닫기
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기

/사진=독자 제공

/사진=독자 제공
#직장인 A씨(30)는 최근 들어 웹사이트 로그인 도중 애를 먹곤 한다. 접속 시 자동 로그인되도록 웹에 암호를 저장해뒀는데, 사용한 지 6개월이 지난 요즘 자꾸만 재설정 알림창이 뜨기 때문이다. A씨는 주기적으로 암호를 바꾸긴 하지만 기존 암호에 특수문자를 하나 더 추가하거나 맨 끝자리 숫자만 바꾸는 등 크게 차이가 없다. 휴대전화 메모장에 따로 암호 목록을 적어둔다고 해도 재설정 후엔 메모를 잊어버리기도 한다. 자주 접속하지 않는 웹사이트 암호는 특히 쉽게 까먹기 일쑤다.
"비밀번호 너무 오래 쓰셨어요" 뒷자리만 바꾸는데…효과는?
웹사이트 접속 시 6~12개월 주기로 '비밀번호를 재설정하라'는 공지를 흔히 볼 수 있다. 그러나 이렇게 비밀번호를 변경한다 해도 A씨 사례처럼 기존 암호와 바뀐 암호 간 큰 차이가 없는 경우가 대부분이다. 보안기업 익스프레스VPN 설문조사 결과에 따르면 응답자 중 절반이 비밀번호 변경 시 기존에 쓰던 비밀번호와 비슷하게 바꾸는 것으로 드러났다. 전체 응답자의 38%는 "원래 암호에서 약간만 변경할 뿐"이라고 답했고 "다른 계정 비밀번호를 재사용한다"고 답한 비율은 12%였다. 암호를 다시 만들어도 기존과 큰 차이가 없다는 것이다.

그렇다면 비밀번호 재설정은 개인정보 보호에 얼마나 효과적일까. 보안업계에선 '경우의 수'를 늘릴 수 있는 것만으로도 정보보호 효과를 강화할 수 있다는 입장이다. 한 국내 보안업계 관계자는 "비밀번호를 주기적으로 변경하면 (해커들이) 찾아낼 확률을 낮출 수 있는 건 맞다"며 "뒷자리만 일부 변경한다 해도 기존 비밀번호를 쓰는 것보다 경우의 수를 많이 만들 수 있다. 'abcd1'을 'abcd9'로 바꾸면 1~9까지 다 입력해봐야 해킹이 가능하기 때문"이라고 말했다.

또 다른 업계 관계자는 "기존에 쓰던 암호가 얼마나 복잡하게 조합돼 있는지가 중요하다"며 "이미 복잡하게 만들어진 비밀번호라면 이를 살짝만 바꾼다고 해도 해커들의 공격을 어느 정도 방어할 수 있다"고 설명했다.

웹브라우저의 암호 저장 기능 사용은 지양해야 한다는 게 업계 중론이다. 박태환 안랩 사이버시큐리티센터(ACSC) 대응팀장은 "최근 많이 발견되는 인포스틸러 악성코드는 운영체제나 프로그램에 저장된 계정과 정보를 타깃해, 자동 로그인 기능 사용 시 정보가 유출될 수 있다"며 "공격자가 저장된 정보를 모두 훔쳐 갈 수 있어 다른 사이트 암호나 앞으로 사용할 암호 예상도 가능해진다"고 말했다.
"비번 복잡성 높여야…나만의 고유 패턴 필요"

/사진=게티이미지뱅크

/사진=게티이미지뱅크
이미 비밀번호 해킹이 일반화된 만큼 암호를 변경할 때는 수준을 높일 필요가 있다고 전문가들은 말한다. 하나의 공간에서 유출된 정보를 다른 서비스에 무작위로 대입해 로그인하는 공격 방식인 '크리덴셜 스터핑'(Credential stuffing)의 타깃이 될 수 있어서다.

문종현 이스트시큐리티 시큐리티대응센터(ESRC) 센터장은 "여러 웹사이트에서 공통으로 쓰는 암호는 공격자들이 쉽게 대입할 위험이 있다"며 "불특정 다수의 암호를 수집한다 해도 공격자들은 이 암호를 여러 사이트에 자동 로그인하는 프로그램을 이미 갖고 있어, 하나만 유출돼도 큰 피해를 볼 수 있다"고 지적했다.

암호 설정 시 웹사이트별로 본인만의 고유 패턴을 만드는 것도 방법이 될 수 있다. 예컨대 네이버(NAVER) 암호를 만든다면 다섯 글자(NAVER)인 것에 착안해 숫자 5를 뒤에 덧붙이거나, 키보드 자판 '5'에 붙은 '%'를 특수문자로 붙이는 방식이다. 문 센터장은 "암호를 휴대전화 등에 기록할 경우 해킹 위험이 있다"며 "자신만의 패턴을 만들면 복잡하게 조합해도 쉽게 기억할 수 있다"고 말했다.

최근엔 암호 자체가 없는 '패스워드리스'(Passwordless)가 도입되고 있다. 애플·구글·마이크로소프트(MS) 등 글로벌 빅테크 3사는 지난 5월 '암호 없는 로그인' 방식을 지원하겠다고 밝힌 바 있다. 국내 가상자산거래소 업비트도 지난달 생체인식과 PIN을 활용하는 패스워드리스 방식으로 로그인 방식을 변경하기도 했다.

다만, 아직 패스워드 리스 도입이 적은 수준인 만큼 사용률이 높아지면 이를 노린 해킹도 늘어날 우려가 있다. 한 보안업계 관계자는 "특히 생체인증을 이용할 경우 사용자 편의성이 증가하고 사회공학적인 해킹이 어렵다는 강점이 있다"면서도 "해킹은 트렌드이기 때문에 이런 방식을 뚫을 수 있는 새로운 수법은 충분히 나올 수 있다. 이를 보완할 수 있는 장치 개발은 필수"라고 말했다.

홍효진 기자 hyost@mt.co.kr

<저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지>

Copyright © 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지

이 기사에 대해 어떻게 생각하시나요?
머니투데이에서 직접 확인하세요. 해당 언론사로 이동합니다.