[디지털데일리 이종현기자] 소문자·대문자·숫자·특수문자 사용, 주기적인 변경 등. 대부분의 사이트에서 복잡한 패스워드를 사용하라고 권고한다. 이런 권고안이 지나치게 까다로워 오히려 비효율적이라는 지적이 나온다. 비밀번호의 보안성과 사용자의 편의성이 부딪히는 상황이다.
해커들은 ▲패스워드로 가능한 모든 조합을 시도하는 ‘무차별 공격’ ▲패스워드로 사용할 만한 사전을 만들어 두고 하나씩 대입하는 ‘사전 공격’ ▲사용자 이름과 패스워드 조합을 대입하는 ‘추측 공격’ 등의 방법으로 패스워드를 크래킹한다.
패스워드 무차별 공격을 막기 위해 가장 쉬운 방법은 조합 가능한 경우의 수를 늘리는 것이다. ‘패스워드에 활용할 문자의 갯수^패스워드 길이’가 된다. 알파뱃의 소문자 26자로 8자리 패스워드를 구성할 경우 26^8, 약 2088억개다. 같은 8자리 패스워드에 대소문자와 숫자를 섞을 경우의 조합 수는 62^8, 약 218조개가 된다.
2088억개 조합의 패스워드를 최신컴퓨터로 무차별 대입할 경우 이틀가량 걸리지만 여러 디바이스를 봇으로 만들어 사용하는 큰 봇넷의 경우 1.8초면 해독할 수 있는 수준이다. 218조개부터는 최신컴퓨터로 6년가량, 동일한 봇넷으로 31분이 걸린다. 여기에 패스워드 길이를 10자리로, ‘!@#$%^&*()’의 특수문자를 추가한다면 가능한 조합 수(72^10)는 약 374경개, 봇넷을 이용하더라도 연 단위의 시간이 필요하게 된다.
이처럼 대소문자, 숫자, 특수문자에 비밀번호 길이를 길게 할수록 보안성은 높아진다. 하지만 긴 패스워드가 반드시 안전하다고 단정 짓기는 어렵다. 10자리 패스워드라 하더라도 해커의 사전에 등록돼 있는 패스워드라면 금세 뚫릴 수 있다.
매해 ‘최악의 비밀번호 순위’를 발표하는 미국 보안기업 ‘스플래시데이터’는 2019년 최악의 비밀번호로 ‘123456’, ‘123456789’, ‘qwerty’ 등을 꼽았다. 또 ‘111111’, ‘iloveyou’, ‘dragon’, ‘lovely’, ‘welcome’ 등도 안 좋은 비밀번호 25위 안에 들었다. 반복 글자나 사전 단어, 사람 이름, 널리 알려진 단어의 조합 등을 활용할 경우 조합의 수가 많더라도 사전 공격에 취약하다.
최종적으로 패스워드 보안성은 길수록, 다양한 문자를 사용할수록, 불규칙할수록 높아진다.
하지만 ‘피싱’이나 메모해뒀던 비밀번호 유출 등의 사고가 발생할 경우 이런 조치는 무의미하다. 해커가 최종 패스워드가 유출된 것이기 때문에 8자리든, 100자리든 중요치 않다.
길게 만들어야 하다 보니 되려 규칙성이 생겨 보안성이 낮아진다는 부작용도 있다. 대소문자, 숫자 사용이 의무화되는 경우 ‘Password1’ 같은 단순한 형태의 패스워드를 사용한다는 것이다.
또한 너무 복잡한 패스워드 사용이 의무화되면서 로그인 편의성이 떨어진다는 점도 지적되고 있다.
이에 최근에는 사용자 편의성을 높이는 방향으로 변하는 중이다. 한국인터넷진흥원(KISA)는 올해 6월 ‘패스워드 선택 및 이용 안내서’를 개정했다. 기존 ‘세 종류 이상 8자리’, ‘두 종류 이상 10자리’ 패스워드서 ‘두 종류 이상 문자구성과 8자리 이상 길이로 구성된 패스워드’ 혹은 ‘10자리 이상의 길이로 구성된 패스워드’를 사용하는 것으로 완화했다.
은행 및 공공기관에서 공인인증서 대신 새로운 인증방식을 도입하는 것도 같은 맥락이다. 복잡한 비밀번호 없이 숫자 4~6자리나 지문이나 홍채인식, 정맥인식 등의 생채정보를 인식하는 간편인증이 대표적인 예다.
간편인증 솔루션은 암호화 기술이나 멀티팩터 인증 등을 활용해 사용자 편의성을 극대화한다. 가령 스마트폰에서 은행 애플리케이션(앱)을 이용할 경우 이용자가 4자리 암호만 입력해 이용할 경우 해당 스마트폰의 맥 주소와 4자리 비밀번호의 멀티팩터 인증을 하는 등의 방식이다.
보안업계 관계자는 “기존에는 패스워드 보호를 사용자가 잘 관리하도록 하는 데 중점을 두고 관련 기술은 크게 관심받지 못했다”며 “최근 편의성과 보안성 둘 다 갖춘 기술이 요구되는 만큼 다양한 패스워드 보호 기술이 대두될 것”이라고 말했다.