비밀번호 자주 바꾸면 '정보 보호'될까? 사실은 이렇습니다 [소셜 코리아]
한국의 공론장은 다이내믹합니다. 매체도 많고, 의제도 다양하며 논의가 이뤄지는 속도도 빠릅니다. 하지만 많은 논의가 대안 모색 없이 종결됩니다. 소셜 코리아(https://socialkorea.org)는 이런 상황을 바꿔 '대안 담론'을 주류화하고자 합니다. 구체적으로는 ▲근거에 기반한 문제 지적과 분석 ▲문제를 다루는 현 정책에 대한 날카로운 비판을 거쳐 ▲실현 가능한 정의로운 대안을 제시하고자 합니다. 소셜 코리아는 재단법인 공공상생연대기금이 상생과 연대의 담론을 확산하고자 당대의 지성과 시민들이 함께 만들어가는 열린 플랫폼입니다. 기사에 대한 의견 또는 기고 제안은 social.corea@gmail.com으로 보내주시기 바랍니다. <기자말>
[조현재]
|
|
| ▲ 비밀번호는 자주 바꾸는 게 답일까? |
| ⓒ 위키미디어 공용 |
지난 6월, 미국의 보안 전문 매체 <사이버뉴스>는 애플, 구글, 페이스북, 텔레그램 등 주요 플랫폼의 아이디(ID)와 비밀번호를 포함해 총 160억 건의 로그인 정보가 유출되어 온라인에서 유통 중이라는 보고서를 발표했다. 이렇게 유출된 정보는 신원 도용, 계정 탈취, 피싱 등 범죄에 악용될 수 있다. '사이버뉴스'는 이번 사건이 '대규모 공격의 청사진'일 수 있다는 경고도 덧붙였다.
이에 대한 반론도 나온다. 미국의 보안 전문 매체 <블리핑컴퓨터>는 이번 유출이 새로운 침해가 아니며, 기존에 유포되고 있던 데이터를 수집해 재포장한 것이라고 분석했다. 하지만 새로운 침해가 아니더라도 우리가 일상적으로 쓰는 아이디와 비밀번호가 온라인에서 거래되고 있다는 점은 분명하다. 전문가들은 비밀번호 변경과 함께 다중 인증(MFA, 사용자에게 암호 이외 추가 정보를 입력하도록 요구하는 다중 단계 계정 로그인 과정), 비밀번호 관리 도구, 패스키(Passkey) 등을 사용할 것을 권고한다.
|
|
| ▲ 유영상 SK텔레콤 대표이사가 정부의 해킹 사태 관련 최종 조사 결과가 발표된 지난 4일 서울 중구 SKT타워에서 열린 해킹 사태 관련 입장 및 향후 계획 발표 기자회견에서 고개 숙여 사과하고 있다. |
| ⓒ 연합뉴스 |
정보 보호의 1차 책임은 당연히 정보를 보유한 기업과 기관에 있다. 그러나 피해를 줄이기 위해서는 사용자 차원의 대응도 필요하다. 대표적인 예가 비밀번호를 주기적으로 바꾸는 것이다. 한국의 기업과 공공기관 다수는 지금도 3~6개월 주기의 비밀번호 변경을 요구하고 있다. 사용자에게 불편함을 준다는 지적이 있지만, 보안을 위해 감수해야 한다는 목소리가 작지 않다. 그런데 이런 정책이 실제로 보안을 강화하는 데 효과가 있을까?
비밀번호 변경 요청이 만든 역효과
이와 관련해 부정적 효과를 강조하는 연구들이 적잖다. 미국 노스캐롤라이나대학교 연구팀이 대학 구성원들의 비밀번호 변경 이력을 분석한 결과, 다수가 기존 비밀번호에서 숫자를 증가시키거나 특수문자를 덧붙이는 등 단순 변형하는 경향을 보였다. 노스캐롤라이나대학교는 구성원들에게 3개월마다 비밀번호를 바꿀 것을 요구하고 있었다.
이 같은 패턴은 예측이 쉬워 오히려 보안을 약화시키는 결과로 이어졌다. 실제로 연구팀은 해당 방식으로 바뀐 비밀번호를 추론해 실제 계정에 침입하는 데 성공했다. 이는 사용자의 경험과 행동을 고려하지 못한 정책이 예상치 못한 문제를 야기할 수 있음을 보여준다.
이런 사례는 우리 주변에서도 어렵지 않게 발견할 수 있다. 비밀번호 변경을 요구받고 새 비밀번호로 바꾼 뒤 다시 예전 비밀번호로 되돌리는 사례도 발견된다. 최악의 경우는 비밀번호를 메모지에 적어 모니터에 붙여두는 것이다. 실제로 2018년 하와이 미사일 경보 오보 사건 당시, 기관장의 언론 보도에 비밀번호가 담긴 포스트잇이 노출되어 큰 비판을 받았다.
비밀번호의 주기적 변경은 2010년대 후반까지만 하더라도 국제 표준에 가까웠다. 미국 국립표준기술연구소(NIST)는 2003년 인증보안기술 가이드라인 부속서를 통해 패스워드 설정 규칙을 수립한 이후, 2007년 '디지털 신원 지침서'를 통해 8자 이상, 영문 대소문자와 숫자·특수문자 조합, 90일 주기 변경 등을 권고했다.
한국인터넷진흥원(KISA)도 2008년 발간한 '패스워드 선택 및 이용 안내서'를 통해 유사한 기준을 제시했다. 당시 비밀번호의 주기적 변경이 권장되었던 것은 비밀번호 유출 탐지가 어려웠던 상황에서, 비밀번호가 유출되는 경우에도 공격자가 이를 악용할 수 있는 기간을 줄이기 위한 목적이 컸다.
|
|
| ▲ 한국인터넷진흥원(KISA)은 2019년 ‘패스워드 선택 및 이용 안내서’에서 비밀번호의 주기적 변경 항목을 삭제했다. |
| ⓒ KISA 누리집에서 갈무리 |
이에 따라 마이크로소프트는 2018년부터 관련 정책을 폐기했고, 미국 국립표준기술연구소(NIST)는 2017년 개정에서 주기적 변경 요구를 금지 권고(SHOULD NOT) 항목으로 전환하였다. 나아가 2024년 개정(안)에는 이를 아예 금지 의무(SHALL NOT)로 격상하는 내용까지 포함되었다.
한국도 큰 틀에서는 이 흐름을 따르고 있다. 한국인터넷진흥원(KISA)은 2019년 '패스워드 선택 및 이용 안내서'에서 비밀번호의 주기적 변경 항목을 삭제했고, 개인정보보호위원회는 2023년 주기적 변경 의무를 공식적으로 폐지했다. 지금은 변경 주기를 명시한 법령이나 지침은 거의 사라진 상태다.
아쉬운 점은 이러한 변화가 단순히 불편함 해소를 위한 규제 혁신으로만 여겨지고 있다는 것이다. 보안을 앞세워 편리함을 포기하지 않아도 된다. 보안과 편리함은 제로섬이 아니기 때문이다. 앞서 살펴본 것처럼 주기적 변경 요구 폐지는 단순히 불편함을 줄이기 위한 조치가 아니라, 오히려 보안을 강화할 수 있는 근거 있는 정책 변화다.
한편, 일부 금융기관, 온라인 커뮤니티, 학교 등에서는 여전히 주기적인 비밀번호 변경을 요구하고 있다. 오랜 기간 통용되었던 표준이자 관행이었던 만큼, 새 표준이 일선까지 적용되는 데에는 상당한 시간과 노력이 필요할 것이다. 특히 민간 기업의 보안 부서가 목소리를 내는 데 한계가 있는 만큼, 정부 차원의 적극적인 가이드라인 확산과 지원이 요구된다.
|
|
| ▲ 조현재 |
| ⓒ 본인 제공 |
덧붙이는 글 | 이 글은 <소셜 코리아>(https://socialkorea.org)에도 게재됐습니다. <소셜 코리아> 연재 글과 다양한 소식을 매주 받아보시려면 뉴스레터를 신청해주세요. 구독신청 : https://socialkorea.stibee.com/subscribe
Copyright © 오마이뉴스. 무단전재 및 재배포 금지.
- 구치소에서 버티는 윤석열...이럴 때 판례는?
- '삼부토건 조남욱 호텔' 6층과 23층에 초대받았나요?
- 영국에서 구직 시 첫 번째 조건은 급여 아니라 '이것'이었다
- 또다시 시험대에 선 지귀연
- [박순찬의 장도리 카툰] 최후의 기각부대
- "전자발찌 채우는 일도 했다"라고 말하면 나오는 반응
- 이 대통령 부산서 세 번째 타운홀... 시민 200명 신청 받는다
- 안규백 "'문민통제 확립' 통해 국민 신뢰 회복하겠다"
- "가마솥 같은 열기에 용접복까지... 33도 이상 10분 휴식은 부족하다"
- 이 대통령 "대형 참사 희생자 모욕 언행, 무관용 원칙으로 엄정 대응"