쓸데없이 복잡한 ‘비밀번호’, 보안에 별 도움 안 된다?
해킹당하고 싶지 않으면 대문자, 소문자, 숫자, 특수문자를 써서 패스워드 만들어라.
라고 말한 사람이 있습니다.
빌 버, 이런 패스워드 생성규칙을 만든 사람이죠.
그가 2003년 미국 국립표준기술연구소에서 일하던 당시 만든 보고서가 있는데 계정을 보호하기 위해 지켜야 할 패스워드 생성규칙을 담고 있습니다.
이 문서는 미국 정부, 대기업 등 곳곳에 퍼져 패스워드 가이드라인으로 자리 잡았고 우리나라도 대부분 이를 따르고 있죠.
다들 자주 사용하는 패스워드를 떠올려보세요.
대문자, 소문자, 숫자나 특수문자 포함되어있죠?
그러나 이것을 만든 빌 버의 충격 고백,
[빌 버/월스트리트저널 인터뷰(2017.8.7) : 제가 한 일을 많이 후회하고 있습니다…]
후회…?
규칙 만든 것을 후회하고 있다니, 어떻게 된 거죠?
그가 만든 규칙들이 보안 수준을 높이는 데 별 도움이 안 되는 것으로 밝혀졌기 때문이죠.
특수문자나 숫자를 섞어 쓰라고 한 것은 암호를 복잡하게 만들어 해커들이 해킹하기 어렵게 하려는 목적이었는데, 예상과 달리 사람들은 특수문자를 섞기는 섞는데 매우 단순한 방식으로 패스워드를 만들더라는 거죠, 뭐 끝에 느낌표나 물음표를 추가하는 식으로요.
심지어 특수문자를 사용하는 것 자체만으로는 보안이 강화되는 것도 아니였습니다.
90일마다 패스워드를 바꾸는 것 역시 대부분 끝자리 하나만 바꾸는 등, 큰 변화 없이 이뤄져 효과가 없었습니다.
해킹 시도의 흔적을 발견했을 때, 패스워드를 바꾸는 것만으로도 충분하다는 말이죠.
그렇게 빌 버가 만든 규칙은 보안에 별 도움이 안 되는 데다가 괜히 기억하기만 어렵고 입력하기도 불편하다는 평가도 받았고 결국, 10여 년 만에 싹 바뀌게 되었습니다.
한국인터넷진흥원 역시 작년에 패스워드 생성 가이드라인을 수정했습니다.
3종류 이상의 문자를 섞어서 8자리 이상의 패스워드를 만드는 것에서 2종류 이상의 문자만 섞는 것으로 또, 10자리 이상의 패스워드를 만들 경우에는 문자를 섞지 않아도 된다는 내용으로 바뀐 거죠.
사용자 입장에서는 훨씬 더 편해진 것인데, 혹시 빌 버의 규칙대로 암호를 치느라 허비한 시간이 아깝게 느껴지시나요?