▎ⓒted.com |
|
패스워드 유머 1.한 회사에서 사내 정보시스템을 검사하다가 어떤 직원이 다음과 같은 패스워드를 쓰고 있다는 사실을 발견했다.‘MickeyMinniePlutoHueyLouieDeweyDonaldGoofy London’. 왜 이렇게 긴 패스워드를 쓰는지 물어보자, 그 직원은 (어이없다는 듯) 눈동자를 굴리며 말했다.“이봐요, 패스워드에는 적어도 8개 캐릭터(Character)에 최소 하나의 수도(Capital)가 포함돼야 한다고요.”패스워드 유머 2.“3개월이 경과되었기 때문에 새로운 패스워드를 등록하시기 바랍니다.” - roses“죄송합니다. 너무 짧습니다.” - pretty roses“죄송합니다. 최소 1개 이상 숫자가 들어가야 합니다.” - 1 pretty rose“죄송합니다. 공백이 있어서는 안 됩니다.” - 1prettyrose“죄송합니다. 최소 10개 이상의 다른 문자가 들어가야 합니다.” - 1fuckingprettyrose“죄송합니다. 최소 1개 이상 대문자가 있어야 합니다.” - 1FUCKINGprettyrose“죄송합니다. 대문자가 연속으로 나와서는 안 됩니다.” - 1FuckingPrettyRose“죄송합니다. 최소 20자 이상이어야 합니다.” - 1FuckingPrettyRoseGiveMeAccessRightFuckingNow“죄송합니다. 이미 사용중인 패스워드입니다.”(※패스워드를 만드는 고충을 생생히 표현하기 위해 영어 속어표현을 그대로 옮겼음을 양해해 주시길)현대인이라면 누구나 ‘패스워드 증후군(password syndrome)’을 앓고 있다. 인터넷·스마트폰이 대중화되면서 여러 사이트에 등록한 비밀번호를 기억하지 못해 혼란에 빠지는 증상이다. 처음에는 4자리면 충분했는데, 해킹과 개인정보 유출이 빈번해지면서 이제 점점 더 길고 복잡한 생성조합을 요구한다. 주기적으로 변경하라고까지 하니 더더욱 골치다. 그렇다고 종이에 적어 책상이나 컴퓨터에 턱~하니 붙여 놓을 수도 없는 노릇이고.
정보화 시대의 골칫거리, 패스워드
▎임종룡 금융위원장(오른쪽)과 함영주 KEB하나은행장이 지난해 12월 ‘핀테크 1년, 금융개혁 현장점검 회의’에서 본인 인증을 하는 비접촉 지문인식을 시연하고 있다. / 사진:뉴시스 |
|
카네기멜론대 컴퓨터공학과 교수인 로리 패이스 크래너(Lorrie Faith Cranor)는 사람들이 자주 사용하는 패스워드의 패턴과 안전성에 대해 연구한다. 2009년 말, 카네기멜론대에서는 새로운 학내 비밀번호 방침을 발표했다. 현재 거의 모든 사이트에서 요구하는 것처럼 최소한 8자 이상이어야 하고 대문자·소문자·숫자·기호가 들어가야 했다. 똑같은 문자를 세 번 이상 연속해서 쓸 수 없고, 사전에 나와 있는 단어를 써도 안 됐다. 비밀번호에 불확실성을 높여 보안 강도를 높이기 위한 조치였다.그녀는 카네기멜론대 교내를 돌아다니면서 약 470명의 학생·교수·직원들에게 새로운 비밀번호 방침에 대한 의향을 물었다. 새로운 방침이 정말 귀찮기는 하지만, 보안 강화에는 도움이 될 거라고 수긍하는 견해가 대부분이었다. 문제는 비밀번호를 매번 기억하고 또 주기적으로 갱신해야 한다는 게 성가시다는 점이었다. 그 결과 응답자의 13%는 비밀번호를 어딘가에 적어 놓고 있었고, 80%의 사람들은 같은 비밀번호를 변경하지 않고 계속해서 사용하고 있었다. 비밀번호에 기호를 사용하게 하는 것은 사실상 보안에는 별 도움이 되지 않는다는 사실도 밝혀졌다. 왜냐면 대부분의 사람들은 키보다 자판 왼쪽 위에 있는 느낌표(!)와 골뱅이(@)만을 사용하고 있었으니까.크래너 교수는 한걸음 더 나아가 응답자들에게 50센트를 주고 비밀번호 하나씩을 만들라고 요구해서 총 5000개의 샘플을 모았다(아무리 연구 목적이라고 해도 개인이 실제 사용 중인 비밀번호에 접근하는 것은 문제의 소지가 있다. 그렇다면 크래너 교수처럼 비록 소액이지만 돈을 주고 비밀번호를 사는 수밖에 없다). 그녀의 목적은 이렇게 수집된 비밀번호들의 보안 강도를 알아보는 거였다. 그녀는 해커들을 흉내 내서 실제 암호해독 프로그램을 돌려 개인들의 비밀번호를 알아 맞추는 데 걸리는 시간을 쟀다. 해독 시간이 오래 걸릴수록 보안 강도가 강한 것이다.
▎‘패스워드 증후군’ 강연 동영상. |
|
이 실험을 통해 그녀는 다음 사실을 확인할 수 있었다. 첫째, 길수록 강하다(예를 들면 ‘Kimchi0625Roll1218’와 같이 20자 내외). 둘째, 복잡할수록 강하다(예를 들면 ‘uH%e8#nq’처럼 숫자, 문자, 기호가 혼합된 형태). 셋째, 혼자만 아는 문구도 강하다(예를 들면 ‘wintersnowhungryguy‘). 넷째, 별 뜻은 없지만 발음하기 쉬운 문구도 강하다(예를 들면 ‘barabarabarabam’).위 네 가지 다 해커들이 추측하기 쉽지 않다는 점에서 비밀번호로서는 훌륭하다. 하지만 한 가지 더 고려할 점은 이용의 편리성이다. 본인이 외우지 못하거나, 입력하다 실수할 가능성이 크면 별로 좋은 비밀번호라 할 수 없다. 또한 사람 이름, 동물 이름, 왕자, 공주, 천사 같은 단어들도 해커의 먹잇감이 되기 십상이다. 결국 그녀의 결론은 본인만의 즐거운 기억을 떠올리게 하는 걸로 만들되, 다른 사람들은 추측하기 어려워야 한다는 것이다. 또한 까먹을 우려가 없어야 하고, 더불어 입력할 때 오타가 나지 않아야 한다. 흠, 어렵다. 결국 각자도생(各自圖生)하라는 말이다.한 가지 반가운 뉴스가 있다. 성가신 패스워드를 대체할 새로운 인증수단이 나온 것이다. 개개인의 지문·음성·얼굴·홍채 등을 사용하는 ‘생체인증(Biometrics)’이 바로 그것. 이미 생체인증에 관한 국제표준규격인 FIDO(Fast Identity Online)까지 나와 있다. 마스터카드는 영국 내에서 셀카(셀프 카메라)와 지문을 패스워드 대신 활용하는 방식을 도입, 운영하고 있다. 애플과 삼성 등도 자사 결제 시스템인 애플 페이, 삼성 페이, 안드로이드 페이 등의 결제 과정에 패스워드 대신 지문 스캐너 방식을 일부 도입한 상태다. 전자상거래 업체 아마존닷컴은 온라인 결제 시 구매자의 셀카 사진이나 동영상으로 본인을 인증할 수 있는 방식을 특허 출원하기도 했다. 아마존 방식은 사진 2장으로 이용자의 얼굴을 재차 검증하는 2단계 시스템으로 구성된다. 먼저 첫 번째 사진으로 이용자의 신원을 확인한다. 두 번째 사진은 복제 등 혹시 모를 위험에 대비해 미소 짓기, 깜빡거림 같은 제스처를 통해 재확인하는 용도로 활용된다(이제 모니터 앞에서 실실 웃거나 무서운 표정을 짓는 사람을 봐도 이상하게 생각하지 말아야 한다. 2차 인증 중이다).
지문·음성·얼굴·홍채 등 활용생체인증이 본격화되기 전까지는 패스워드를 만들 때 각자 알아서 조심할 수밖에 없다. 열 사람이 도둑 한 명 못 막는다고 사실 우리가 사용하는 패스워드는 해킹에 너무 취약한 것이 사실이다. 패스워드 관리회사인 스플래시데이터는 매년 200만 건 이상의 유출된 패스워드를 검토해서 가장 흔하고, 또 그래서 가장 위험한, 패스워드 순위를 발표한다. 2015년의 1위는 123456이었고, 2위는 password였다. 안심하기는 이르다. 지금 당신이 사용하고 계신 12345678(3위), 12345(5위), 123456789(6위), 1234(8위), 1234567(9위), 1234567890(12위), 111111(14위)도 순위에서 빠지지 않는다. 그 외에도 컴퓨터 자판을 수평, 혹은 수직으로 순서대로 입력한 qwerty(4위), 1qaz2wsx(15위), qwertyuiop(22위)나 스포츠 종목인 Football(7위)과 Baseball(10위), 동물 이름 Dragon(16위), Monkey(18위)도 눈에 띈다. elcome(11위), letmein(19위), login(20위) 등도 독창적이면서 아슬아슬한 패스워드들이다.
박용삼 - KAIST에서 경영공학 박사학위를 취득하고 한국전자 통신연구원(ETRI)을 거쳐 현재 포스코경영연구원 산업연구센터 수석연구원으로 재직 중이다. 주요 연구분야는 신사업 발굴 및 기획, 신기술 투자전략 수립 등이다.