'90일마다 비밀번호 변경' 사라진다..."보안에 오히려 취약"

[ 김주미 기자 ]

shutterstock

인터넷 사이트에서 요구하던 까다로운 비밀번호 변경 조건이 완화된다. 또 '90일이 지났으니 비밀번호를 변경해달라' 같은 주기적인 비밀번호 변경 요청도 금지될 전망이다.

세계 각국이 참조하는 미국의 비밀번호(패스워드) 가이드라인에 '사용자에게 특수문자, 숫자 등 다양한 문자를 섞어 쓰도록 강요하거나 주기적으로 비밀번호를 바꾸도록 요구하는 행위'를 금지하는 조항이 마련됐기 때문이다.

3일 외신 등에 따르면 미국 국립표준기술연구소(NIST)는 '디지털 신원 지침(가이드라인)' 개정안에 이런 조항을 추가했다.

NIST는 이번 개정안에서 '여러 문자유형을 혼합해 사용하도록 요구하는 등 사용자에게 추가적인 비밀번호 규칙을 부과하는 행위', '정기적으로 비밀번호 변경을 요구하는 행위'를 금지 의무 항목으로 정했다.

NIST는 복잡한 비밀번호 규칙이나 정기적인 비밀번호 변경 탓에 사용자가 오히려 기억하기 쉬운 단순한 비밀번호를 설정해 보안이 취약해진다는 점을 고려해 내린 결정이라고 밝혔다.

NIST는 "유출된 비밀번호 데이터베이스를 분석한 결과, 숫자·문자·기호를 혼합해 구성한 비밀번호를 선택하는 규칙의 이점이 당초 예상보다 크지 않았다"며 "사용성과 기억력에 미치는 영향이 심각한 것으로 나타났다"고 설명했다.

예를 들어 비밀번호를 'qwe1234!'나 '1q2w3e4r!' 등 자판 입력과 암기가 쉬운 것을 번갈아가며 설정해 보안이 약해진다는 것이다.

NIST는 '비밀번호를 8자 이상으로 설정하도록 요구하라', '모든 유니코드 문자를' 비밀번호 1자'로 취급하라', '비밀번호 탈취 흔적이 있다면 사용자에게 변경을 요구하라', '비밀번호 최소 길이를 15자 이상으로 요구하고 64자 이상의 비밀번호도 설정할 수 있도록 허용하라' 등은 의무 조항으로 유지했다.

또 NIST는 보안을 위해서 차라리 비밀번호를 길게 만들 것을 권장했다. 'B@#9$6'처럼 복잡하고 짧은 비밀번호보다는 'CleanTheHouse'(집을 청소하다)'처럼 길지만 기억하기 쉬운 암호가 보안에 더 낫다는 것이다.

NIST가 정한 '금지의무'는 반드시 따라야 하고 위반해서는 안 되는 행위다. 인터넷 신원인증서비스제공자(CSP)와 검증기관(Verifier)이 지침 적용 대상이다.

한편 우리나라 인터넷 사이트에서 흔히 볼 수 있는 '최소 8자 이상', '영문 대소문자·숫자·특수문자 1개 이상 포함', '90일 주기 변경' 등은 NIST가 2007년 발표한 디지털 신원 지침에서 비롯된 규칙이다.

김주미 키즈맘 기자 mikim@kizmom.com

ⓒ KIZMOM. All rights reserved. 무단 전재 및 재배포 금지