안전한 비밀번호를 사용하고 있나요?

안전한 비밀번호를 사용하고 있나요?

- AhnLab 보안정보  2015년 9월 9일 -

사람들이 바꾸지 않고 쓰고 있는 익숙한 비밀번호는 우리가 간과하기 쉬운 보안취약점 중의 하나다. 

과연 내가 쓰는 비밀번호는 안전할까? 

또 어떤 비밀번호가 안전하고 어떤 비밀번호가 보안에 취약할까?

지난해 한 보안업체에서 62만 5천 개의 비밀번호 해시(비밀번호가 암호화되어 저장되는 형식)를 수집해 비밀번호 해킹을 시도한 적이 있었다. 그런데 그 결과가 놀라웠다. 전체의 절반 이상인 54%의 비밀번호가 시도 2분 만에 뚫리고만 것이다. 단순한 비밀번호 유추 기술만으로 말이다. 전체 비밀번호의 92%를 알아내는 데는 1달 밖에 걸리지 않았다. 사람들이 얼마나 안전하지 않은 비밀번호를 사용하고 있는지를 알려주는 단적인 사례다. 

많은 사람들은 예전부터 써오던 익숙한 비밀번호를 여러 사이트에서 바꾸지 않고 사용하고 있다. 새로운 비밀번호를 설정했다가 깜박하기라도 하면 몇 단계의 인증을 거치는 불편함을 겪어야 하기 때문이다. 바꾸는 게 귀찮을 것일 수도 있고, 아예 바꿀 생각이 없을 수도 있다. 이것이 바로 해커들이 노리는 보안취약점이다. 과연 내가 쓰는 비밀번호는 안전할까? 또 어떤 비밀번호가 안전하고 어떤 비밀번호가 보안에 취약할까?

<연재 목차>

1. 비밀번호를 바꾸지 않는 그대를 위한 변명 (시큐리티레터 588호)

2. 안전한 비밀번호를 사용하고 있나요?​ (이번 호)

3. 기억하기 쉬운 안전한 비밀번호를 설정하는 법​ 

123456, Password1, Hello123 설마 이런 비밀번호를?

설마 아직도 이런 비밀번호를 사용하는 사람이 있을까 싶지만 놀랍게도 매우 많은 모양이다. 2014년 가장 많이 유출된 비밀번호 1위는 ‘123456’이었다. ‘Password’(2위), ‘12345’(3위),  ‘12345678’(4위)이 차례로 뒤를 이었다. 이후의 순위도 비슷한 패턴의 비밀번호였다. 이것들보다 한 단계 나아간 것으로는 보이나 ‘Password1’, ‘Hello123’ 등도 최악의 비밀번호로 꼽힌다. 키보드에서 왼쪽 위에 자리한 문자열을 차례로 누르는 ‘qwerty’ 또한 매우 취약한 비밀번호다. 이 비밀번호를 쓰고 있다면 개인정보가 유출됐을 때 비밀번호가 뚫릴 확률은 100%다. 그것도 즉시 말이다. 이처럼 다른 사람이 유추하기 쉬운 비밀번호를 사용하는 것은 보안상 매우 위험하다. 

'baseball’, ‘dragon’, ‘football’, ‘monkey’, ‘mustang’, ‘master’, ‘superman’, ‘batman’ 등의 단어도 타인이 유추하기 쉽다는 점에서 좋지 않은 비밀번호다. 자신이나 배우자 또는 아이의 이름, 주민등록번호 전화번호 생년월일 등도 비밀번호에서는 사용하지 않아야 함을 명심하자.

대/소문자, 숫자, 특수문자 조합했다고 모두 안전하지는 않아

사이트에서는 비밀번호를 설정할 때 자신이 만든 비밀번호가 안전한지 여부를 표시해 알려주는 서비스가 있다. 하지만 사이트에서 안전하다고 분류하는 비밀번호 중에도 실제로는 안전하지 않은 경우가 있다. 대표적인 예가 ‘Password1!’이다. ‘Password1!’는 대/소문자, 숫자, 특수문자를 모두 사용하고 있음에도 보안에 취약하다. 사이트의 비밀번호 안전성 판단 기능은 사용자가 대/소문자, 숫자, 특수문자를 모두 사용하는 경우 공격자가 해킹을 할 때 시도해야 하는 문자의 조합이 늘어나기 때문에 비밀번호가 안전하다고 인식한다. 하지만 ‘Password1!’는 공격자가 아주 쉽게 생각할 수 있는 비밀번호다. 대/소문자, 숫자, 특수문자를 조합했다고 결코 안전한 비밀번호는 아니라는 말이다.

오히려 타인이 유추할 수 없는 다른 사람의 이름이나 특정 장소, 애완동물의 이름 등 그 사람의 개인정보를 이용해 8자 이상의 문자열로 설정하는 것이 숫자와 특수문자를 섞어 만든 쉬운 비밀번호보다 낫다. 물론 유추하기 어려운 단어와 함께 숫자와 특수문자를 함께 쓰면 보안 안전성은 높아진다. 하지만 1!, 2@, 3#, 4$처럼 숫자와 동일한 키를 사용하는 특수문자를 함께 쓰는 것보다는 숫자와 다른 특수문자를 사용하는 게 좋다.

사이트마다 같은 비밀번호는 치명적 보안 약점

사람들은 서너 개의 비밀번호를 서로 다른 사이트에서 돌려쓰는 경우가 많다. 하지만 이런 경우 특정 사이트가 해킹되어 비밀번호가 유출될 경우 같은 비밀번호를 사용하는 사이트마저 안전하지 않게 된다. 공격자는 해킹에 성공한 비밀번호를 이용해 다른 사이트의 로그인을 시도할 가능성이 높기 때문이다. 같은 비밀번호를 쓰고 있는 사이트는 비밀번호가 뚫린 사이트만큼 보안에 취약해지는 것이다. 

어떻게 그 많은 사이트의 비밀번호를 모두 외우냐고 항변할 수도 있으나 이 부분은 사이트의 문자열 일부를 비밀번호에 넣는 등의 방식으로 비밀번호를 만들고 그 규칙만 기억하고 있다면 사이트마다 다른 비밀번호를 설정할 수 있다(자세한 내용은 시큐리티레터 590호에서 다를 예정이다). 비밀번호를 만드는 규칙만 기억하면 사이트마다 다른 비밀번호를 설정하는 것이 가능해지는 것이다. 

오랫동안 바꾸지 않은 비밀번호도 좋지 않아

지난해 발표된 한 보고서에 따르면 스마트폰을 사용하고 있는 사람 중 절반 이상이 5년 간 계정의 비밀번호를 바꾼 적이 없는 것으로 조사됐다. 일년 동안 비밀번호를 변경하지 않은 사람은 무려 80%에 달했다. 10년 간 같은 비밀번호르 쓰고 있는 사람도 21%로 나타났다. 비밀번호의 주기적인 변경은 항상 강조되는 보안수칙이지만 실제로 주기적으로 비밀번호를 바꾸고 있는 사람은 많지 않은 게 현실이다. 

그렇다면 지금 내가 사용하는 온라인 계정과 컴퓨터 파일의 비밀번호가 안전한지 미리 알아보는 방법은 없을까? 인터넷진흥원(KISA)은 사용자의 비밀번호가 안전한지를 검사해 알려주는 소프트웨어를 아래의 사이트에서 제공하고 있다. 또 마이크로소프트(MS)에서도 비밀번호의 강도를 테스트해 볼 수 있는 암호 검사 기능 제공하고 있다. 단, 이들 암호 검사기가 보안성을 보장하지는 않으니 참고로만 사용하는 것이 좋다.

- KISA 패스워드 안전성 검증 : ☞ http://seed.kisa.or.kr/iwt/ko/sup/EgovSafePwdLb.do

- MS 암호 검사기 : ☞ https://www.microsoft.com/ko-kr/security/pc-security/password-checker.aspx

위에서 설명한 취약한 비밀번호의 조건에 하나라도 해당된다면 지금 당장 비밀번호를 바꿔야 한다. 핵심은 안전한 비밀번호를 사용하는 이용자의 습관이다. 무엇보다 중요한 것은 타인이 유추할 수 없는 비밀번호를 만드는 것이다. 비밀번호의 길이를 늘리는 것도 좋고, 복잡한 비밀번호를 만드는 것도 방법이다. 서너개의 비밀번호를 돌려쓰는 귀찮음에서 벗어나 사이트마다 다른 비밀번호를 설정해야 하고, 비밀번호를 변경하라는 메시지도 무시하지 않고 주기적으로 교체해야 한다. 확실한 것은 기억하기 쉬운 비밀번호는 공격자가 노리기도 쉽다는 것이다.

- AhnLab  콘텐츠기획팀 김수정 -

<출처 : http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=24038&dir_group_dist=0>