'비밀번호 돌려막기' 이제 끝?…"자주 바꾸면 되레 보안취약"

美 패스워드 지침 개정안
비밀번호 복잡한 규칙, 잦은 변경 등 되레 보안 악화
특수문자 강요, 주기적 변경 요구 전면 금지 예고
KISA "국내 문자 혼합, 변경주기 의무규정 없어"

/사진=게티이미지뱅크

세계 각국이 참조하는 미국의 비밀번호(패스워드) 지침에 '사용자에게 특수문자 등을 혼용하도록 강요하거나 주기적으로 비밀번호를 변경하도록 요구하지 말라'는 금지조항이 담길 전망이다.

3일 정보보호업계와 외신 등에 따르면 미국 국립표준기술연구소(NIST)는 지난달 공개한 '디지털 신원 지침(가이드라인)' 개정안에 이 같은 조항을 삽입했다. 개정안에 대해선 오는 7일까지 의견을 수렴한다.

NIST는 이번 개정안의 비밀번호 요건에서 △여러 문자유형을 혼합하도록 요구하는 등 사용자에게 추가적인 비밀번호 규칙을 부과하는 행위 △정기적으로 비밀번호 변경을 요구하는 행위를 금지의무(SHALL NOT) 항목으로 격상했다. 두 행위는 2017년 지침에서 금지권고(SHOULD NOT) 항목이었다.

복잡한 비밀번호 규칙이나 정기적인 비밀번호 변경을 요구할 경우 오히려 사용자가 비밀번호 분실을 우려하며 예측하기 쉬운 비밀번호를 설정해 보안을 취약하게 만든다는 판단에서 나온 결정이다. 비밀번호를 '1q2w3e4r!'·'qwer1234!'로 설정하거나 비밀번호 변경주기마다 특수문자만 바꾸는 사례가 대표적이다.

NIST는 "유출된 비밀번호 데이터베이스를 분석한 결과 숫자·문자·기호를 혼합해 구성한 비밀번호를 선택하는 규칙의 이점이 당초 생각보다 크지 않고, 사용성과 기억력에 미치는 영향이 심각한 것으로 나타났다"며 "이 때문에 비밀번호 길이를 바탕으로 좀 더 간단한 접근방식을 제시했다"고 밝혔다.

NIST는 2017년에 이어 이번 개정안에서도 △비밀번호를 8자 이상으로 설정하도록 요구하라 △모든 유니코드 문자를 '비밀번호 1자'로 취급하라 △비밀번호가 탈취된 흔적이 있다면 사용자에게 변경을 요구하라는 조항을 의무(SHALL) 항목으로 유지했다.

이 밖에 △비밀번호 최소 길이를 15자 이상으로 요구하고 64자 이상의 비밀번호도 설정할 수 있도록 허용하라 △알파벳·숫자 외 모든 유니코드 글자를 비밀번호로 입력할 수 있도록 허용하라는 조항은 2017년에 이어 이번 개정안에서도 권고(SHOULD) 항목으로 이름을 올렸다.

NIST는 '의무'·'금지의무'를 반드시 따라야 하고 위반을 허용하지 않는 행위, '권고'를 적합하다고 권장하는 행위, '금지권고'를 권장하지 않지만 금지도 하지 않는 행위로 규정했다. 지침의 적용대상은 웹사이트 등 인터넷 신원인증서비스제공자(CSP)와 검증기관(Verifier) 등이다.

한국 인터넷에서 흔히 찾을 수 있는 비밀번호 설정규정인 △최소 8자 이상 △영문 대소문자·숫자·특수문자 1개 이상 포함 △90일 주기 변경 등은 NIST가 2007년 발간한 디지털 신원 지침에서 비롯됐다. 이들 조건은 과거 비밀번호를 'password'·'apple' 등 사전적 단어로 설정해 각종 침해사고가 속출하자 마련된 것으로 전해진다.

NIST가 10여년 뒤 이 같은 조건들을 금지 항목으로 전환하면서 세계 각국은 비밀번호 설정기준을 완화하고 비밀번호를 보완할 '2FA(2단계 인증)' 등 추가 인증수단과 암호화 기술을 법제화하고 있다. 국내에서 '패스워드 선택 및 이용 안내서'를 발간하는 한국인터넷진흥원(KISA)은 2019년 '안전한 비밀번호'의 기준을 '두 종류 이상 문자로 구성된 8자리 이상의 문자열' 혹은 '10자리 이상 문자열'로 완화하고 비밀번호 변경주기를 삭제한 상태다.

한 당국자는 국내 상당수 웹사이트에서 유지 중인 문자·숫자·특수문자 혼합과 비밀번호 변경주기 규칙에 대해 "명시적 의무규정이 없다"고 말했다.

성시호 기자 shsung@mt.co.kr