[도청도설] 비밀번호 설정 완화

얼마 전 한동안 사용하지 않던 쇼핑몰에 로그인을 하려는 데 비밀번호가 생각나지 않았다. 평소 자주 사용하는 비밀번호를 입력했으나 ‘로그인 정보가 일치하지 않는다’는 문구와 함께 오류 횟수가 5회 이상이면 이용이 제한된다는 안내가 떴다. 이처럼 비밀번호를 잊어버려 재설정하는 경험을 하는 이들이 많다.

현관문부터 노트북, 쇼핑몰, 금융거래용 공인인증서 등 외워야 하는 비밀번호가 많아 스트레스다. 금융기관은 물론 각종 온라인사이트에서 ‘대문자, 숫자, 특수기호’가 포함된 비밀번호 조합을 요구하다 보니 이용자들의 혼선이 커진다. 대문자가 필요하다거나 특수문자를 넣으라는 등 사이트마다 비밀번호 세트를 따로 만들어야 한다. 쉽게 기억하려고 대문자가 필요한 경우 비밀번호 첫 글자를 대문자로 바꾸는 사람이 대부분이다. 또 특수문자를 넣어야 할 땐 ‘!’ 또는 ‘@’ 등을 넣는 사례가 흔하다. 그만큼 보안은 취약해진다.

전 세계에서 가장 많이 쓰이는 비밀번호는 ‘123456’이라고 한다. 2016년 엑스 계정이 털렸을 때 4000만 개 계정 중 12만 개 계정이 이 번호를 쓴 것으로 드러났다. 영문 자판 왼쪽 위부터 순서대로 누르면 되는 ‘qwerty’도 자주 쓰는 비밀번호다. 비밀번호를 요구하는 곳이 많다 보니 기억하기 쉬운 숫자나 문자를 나열하기 때문이다. ‘90일이 지났다’며 비밀번호를 변경하라는 규칙도 사용자를 귀찮게 한다. 사이트 운영자가 비밀번호를 복잡하게 설정하거나 기간을 정하는 이유는 해킹을 차단하기 위해서다.

이런 까다로운 비밀번호 규칙은 2007년 미국 상무부 산하 국립표준기술연구소(NIST)가 만들었다. 세계 각국과 기업은 자체 비밀번호를 만들 때 NIST 규칙을 따른다. NIST가 최근 영문 대·소문자 숫자 기호를 섞고 90일마다 번호를 바꾸라고 하니 오히려 쉬운 조합을 쓰는 사례가 잦다고 지적했다. 의도와 달리 보안이 허술해진 만큼 기존 비밀번호 설정 기준을 폐기하기로 했다.

대신 NIST는 비밀번호를 길게 만들 것을 권고했다. ‘밥을 먹다’처럼 기억하기 쉽지만 긴 암호가 보안 측면에서 효과적이라는 것이다. 복잡함이 아니라 길이가 중요하다는 뜻이다. 최소 8자 이상, 익숙한 문장을 암호로 만들면 기억하기 쉽다. 이용자가 비밀번호를 제대로 관리하는 일은 기본이다. 하지만 이보다 기업이 사이트 안전도를 높이도록 하거나 개인정보 유출 사고가 생기면 강한 처벌을 받도록 하는 게 우선이지 않을까.

이은정 논설위원