본문 바로가기
IT 동향

단순한 비밀번호 이용자 그들은 누구일까?

by SenseChef 2013. 12. 7.


누구나 아는 공공연한 비밀 !


사회 생활을 하다 보면 공공연한 비밀이라는 얘기를 듣곤 한다. 비밀로 관리되고 있으나 누구나 쉽게 알 수 있는 것을 의미하는 표현이다. 각 지역에 있는 군 부대의 위치가 이런 경우에 해당된다. 중요한 비밀 임에 분명하나 인터넷 검색을 통해 부대 번호나 위치를 알 수 있기 때문이다.


그런데 IT 산업에서는 비밀번호가 공공연한 비밀인 경우가 많다. 아직도 많은 사람들이 단순한 비밀번호 조합을 여전히 사용 중이기 때문이다.


비밀번호 관리의 중요성, 유출 시 위험은 누구나 쉽게 알 수 있고 공감이 가는 것이다. 그렇다면 사람들은 왜 이리 단순한 비밀번호를 계속해서 이용하는 걸까 ? 어떻게 강력한 비밀번호로 바꾸도록 할 수 있을까 ?


비밀번호 관리의 중요성, Source: Office Clip art



매년 반복되는 단순한 비밀번호의 위험성 경고 ! 그러나 여전히 개선되지 않고 있다.


아래에 나와 있는 표는 외국 언론에서 매년 발표한 인기있는 패스워드 목록이다. 그런데 놀랍게도 암호를 의미하는 'password'나 숫자 일련번호인 '123456' 등이 비밀번호로 많이 이용되고 있다.


조사 기관에 따라 매년 순위에 차이가 있지만 많은 사람들이 위험성 경고에도 불구하고 단순한 비밀번호를 계속 이용 중인 것이다.


계정 이름인 Username은 구글 Gmail 등의 이메일 주소를 통해 쉽게 알 수 있다. 이렇게 확보된 계정에 아래의 유명한 비밀번호를 대입해 보면 특정인의 구글 계정에 로그인 할 수도 있다는 의미이다.


   예시: 구글 Gmail 주소가 michael@gmail.com이라면 계정 이름은 '@' 앞의 michael임


그러나 불필요한 접근이라는 오해를 일으킬 수 있기에 테스트 해 보지 않기를 권고 드린다.


매년 발표된 인기 패스워드 현황

(자료 출처: 2011년 Time지, 2012년 Huffington Post, 2013년 Trustwave SpiderLabs)

2011년

2012년

2013년

 password
123456
12345678
qwerty
abc123
monkey
1234567
letmein
trustno1
dragon
baseball
111111
iloveyou
master
sunshine
ashley
bailey
passw0rd
shadow
123123
654321
superman
qazwsx
michael
Football

 password
123456
12345678
abc123
qwerty
monkey
letmein
dragon
111111
baseball
iloveyou
trustno1
1234567
sunshine
master
123123
welcome
shadow
ashley
football
jesus
michael
ninja
mustang
password1

 123456
123456789
1234
password
12345
12345678
admin
123
1
1234567
111111

















단순한 비밀번호 이용자 ! 휴면 계정은 아닐까 ?


상기의 비밀번호 통계 현황을 보면서 드는 의문이 있다. 왜 많은 사람들이 비밀번호를 바꾸지 않는 걸까 ?


구글, 페이스북, 트위터 등의 서비스를 자주 이용하는 사람들은 자신의 계정을 소중하게 생각한다. 그 곳에 자신의 활동 내역과 개인 정보들이 담겨져 있기 때문이다. 따라서 이들은 누가 시키지 않더라도 비밀번호를 자주 바꾸고 관리한다.


그런데 더 이상 서비스를 이용하지 않거나 거의 접속이 없는 휴면 계정이라면 얘기가 달라진다. 단순 비밀번호 조합으로 계정을 만들어 둔 후 접속치 않기에 비밀번호를 바꿀 필요가 없는 것이다.


따라서 단순 비밀번호가 여전히 많다는 것은 IT 서비스에 수많은 휴면 계정이 존재할지도 모른다는 가정을 해 본다. 물론 이러한 가정에 대한 확인은 구글이나 페이스북 등의 서비스 제공 사업자들이 확인해 줄 수 밖에 없다. IT 서비스의 가입자 규모에도 거품이 잔뜩 끼어 있을 가능성이 있는 것이다.



단순한 비밀번호 이용자 ! 나이 드신 어르신들은 아닐까 ?


IT 서비스를 이용하는 고객 분류 군에는 나이가 많으신 노인분들도 있을 것이다. 그분들은 기억력이 감퇴 되어 변화보다는 기존의 익숙하고 단순한 것에 머무르고 싶은 의지가 높을 것이다. 이분들에게 아무리 복잡한 비밀번호로 바꾸라고 권고한들 실질적인 변화를 이끌어 내기는 현실적으로 어렵다.


만약 단순한 비밀번호를 이용하는 사람들이 대부분 높은 연령대의 어르신들이라면 비밀번호 변경 정책에 대한 변화가 필요하다. 문자로 된 비밀번호 이용 방식 대신 휴대폰을 통한 문자 인증, USB 등의 하드웨어 인증 방식을 권해 드리는 것이 좋을 것이다.


이러한 방식이 일정 부분 비용 부담이 될 수 있으나 복잡한 비밀번호를 매번 기억하지 못해 낭패를 겪으실 어르신들에게는 최선의 대안이 될 수 있다.



단순한 비밀번호 계정의 접속 차단, 강제적 비밀번호 변경 조치가 필요하다.

일반적인 인터넷 이용자들이라면 단순 비밀번호 조합을 굳이 유지해야 할 필요가 없다. 단순한 비밀번호 이용자들을 줄이려면 기업들이 강제적인 변경 조치를 취하면 된다. 일정 유예 기간 이후에는 단순한 비밀번호 계정에 대해 접속을 차단하는 것이다.


그렇게 된다면 서비스를 자주 이용하는 이용자들은 모두 비밀번호를 복잡하게 바꿀 것이다. 어르신들의 경우 위에서 언급한 예외적 선택 사항을 제공하면 된다.


따라서 매년 반복되는 단순 비밀번호 이용의 위험성에 대한 문제 해법은 단순하다. 서비스 제공 기업들이 적극적으로 나서면 되는 것이다. 일부 이용자들의 반발이 있겠지만 그들 역시 자신의 계정에 대한 보안성을 강화 하려는 정책에 맹목적으로 반대만 하지는 않을 것이다.



새로운 비밀번호 조합 ! 자신과 연관성 없는 것으로 특수 문자를 이용하자 !


만약 비밀번호를 변경 한다면 가장 좋은 방법은 자신과 직접적 관련성 없는 내용으로 비밀번호를 구성하는 것이 좋다. 예를 들어 자신의 생년월일, 전화번호, 학교 졸업연도, 차량번호 등처럼 누구나 쉽게 알 수 있는 번호 조합은 피해야 한다.


문자인 경우 자신이나 가족의 이름, school, doctor 등처럼 널리 알려져 있는 단어를 그대로 사용하면 안 된다. 누군가 쉽게 조합해 비밀번호로 넣어 볼 수 있기 때문이다.


또한 비밀번호를 강력하게 구성하려면 특수문자를 섞어 쓰는 것이 좋다. *, ^, #, !, ~, *, & 등이 있는데 이것을 문자나 숫자와 조합해 사용하면 무작위 입력 방식을 통한 비밀번호 해킹을 효율적으로 방어할 수 있다.


비밀번호의 주기적 변경 역시 골치 아픈 일이다. 매번 복잡하게 비밀번호를 구성해 놓았는데 3개월 또는 6개월마다 이를 바꾸어야 한다면 자신도 기억하기 어려울 수 있다. 이런 경우 기본적인 비밀번호에 숫자로 구성된 영역을 넣어 두고 불규칙하게 증가시키는 방법을 고려할 수 있다. 그러나 비밀번호의 강력함이 사라질 위험이 있으니 장기적인 운영은 곤란하다.


비밀번호를 조합할 수 있는 예시적 사례는 다음과 같다.

의사란 단어에 특수문자와 숫자를 조합: *doctor98^


의사란 단어 중간에 특수 문자 추가하여 구성: doct*or98


의사란 단어를 한글 키보드로 영문 입력하고 중간에 특수문자 추가히여 구성: dml*tk98


의사란 단어 중간에 숫자 넣어두고 3개월마다 변경 시 2씩 숫자 증가 시킴

  - 최초: doct13*or

  - 3개월 뒤: doct15*or

  - 6개월 뒤: doct17*or

  - 9개월 뒤: doct87*or (중간 숫자 변경 또는 단어나 특수문자를 변경하는 것도 좋음)



비밀번호는 정말 비밀이어야 한다. 자신은 스스로 보호하자.
 

비밀번호의 중요성은 백번을 강조해도 부족함이 없다. 위험한 비밀번호이니 변경 하라고 권고한들 당사자가 바꾸지 않는다면 아무 소용이 없다.


그런데 비밀번호를 자주 바꾸지 않거나 단순한 비밀 번호, 약한 비밀번호 조합을 이용하다가 해킹 된다면 누굴 탓하게 될까 ? 누가 손해를 입는 걸까 ? 직접적이고 실질적 피해를 입는 것은 당사자일 수 밖에 없다. 자신의 사적인 내용이 공개 되거나 금융정보가 유출되어 불법 인출 등의 금전적 손해를 입을 수도 있는 것이다.


비밀번호의 보안 유지, 관리는 다른 누구를 위한 것이 아니라 자기 자신을 지키기 위한 것이다. 비밀번호를 바꾸면 기억하기 힘드니 쉬운 비밀번호를 이용 한다는 것은 스스로를 포기하는 것이며, 자신의 지갑을 열어 놓고 다니는 것과 마찬가지이다. 

 

점차 그 강도가 높아지는 해킹, 인터넷 보안 우려 속에서 강력한 비밀번호 조합으로 스스로를 지키자. 모든 것이 네트워크로 연결되는 인터넷 세상에서 믿을 수 있는 최종 방어선은 자기 자신뿐이다. 직접 행동에 나서야만 하는 당신이다.