불편하고 성가셔도 길고 복잡하게 만들고 각 계정이나 앱마다 달리 사용해야

매년 5월 첫째 목요일은 ‘세계 비밀번호의 날(World Password Day)’이다. 그러나 그날을 축하하려고 케이크를 사거나 카드를 보낼 일은 아니다. 우리 대다수의 비밀번호 사용 관행이 결코 경축할 일이 아니라는 사실을 매년 상기시키려는 의도로 컴퓨터 칩 제조사 인텔이 제안한 날이기 때문이다. 인텔과 컴퓨터 전문가들은 그 날을 계기로 사람들이 너무도 쉬운 비밀번호를 다시는 사용하지 않겠다고 다짐하길 기대한다. 예를 들면 ‘qwerty’(키보드 영어 철자 맨 위 왼쪽 다섯 개의 차례)나 ‘123456’ 같은 비밀번호다. 우습게 들리겠지만 그 두 가지가 지금도 사람들이 가장 많이 사용하는 비밀번호다.

비밀번호의 목적은 정보 접근을 제한하는 것이다. 흔하고 간단한 ‘abcdef’나 ‘letmein’, 또는 심지어 ‘password’나 ‘dragon’ 같은 일상적인 단어를 비밀번호로 사용하면 거의 아무런 보안이 되지 않는다. 한마디로 현관문을 닫았지만 자물쇠를 채우지 않는 것과 같다.

비밀번호 해킹 도구는 그런 창의성 결핍을 이용한다. 해커는 개인정보를 훔치거나 구입할 때 그 안에 비밀번호가 텍스트로서가 아니라 독특한 지문(‘해시’)으로 저장돼 있다는 사실을 잘 안다. 암호화 기술인 해시 함수(임의의 데이터로부터 일종의 짧은 ‘전자 지문’을 만들어내는 방법)는 수학적으로 각 비밀번호를 고정된 크기의 암호화된 행태로 변환시킨다. 같은 비밀번호를 해시화하면 매번 같은 결과가 나오지만 그 역으로 특정 해시에서 일반 문자의 비밀번호를 역추적하기는 거의 불가능하다.

그래서 해킹 소프트웨어는 다수의 가능한 비밀번호에 대한 해시 값을 계산해낸 뒤 그 결과를 훔쳐낸 파일의 해시화된 비밀번호와 비교한다. 그중 하나가 일치하면 그 비밀번호를 사용해 계정에 침투할 수 있다. 따라서 이런 프로그램의 출발점은 사람들이 자주 사용하는 비밀번호의 알려진 해시 값이다.

좀 덜 흔한 비밀번호를 선택하더라도 때론 해커들의 ‘사전 공격(dictionary attack)’ 제물이 될 수 있다. 사전에 있는 단어를 하나씩 차례로 입력해 비밀번호를 알아내거나 암호를 해독하는 데 사용되는 컴퓨터 공격방법을 가리킨다. 비밀번호 해킹 소프트웨어는 영어 사전에 들어 있는 17만1000개 단어 하나하나를 전부 다 시도한 다음 일치하는 것이 없으면 그 다음 단계로 단어의 혼합(예를 들면 ‘qwertypassword’), 단어의 이중 나열(‘qwertyqwerty’), 단어 뒤에 숫자 추가(‘qwerty123’)를 시도한다.

‘사전 공격’이 실패하면 공격자는 어쩔 수 없이 그 다음 단계인 ‘무차별 대입 공격(brute-force attack)’으로 넘어간다. 가능한 모든 숫자와 문자, 부호의 조합을 입력해 일치하는 것을 찾아내는 방법이다.

수학적으로 보면 당연히 길고 복잡한 비밀번호가 짧고 간단한 것보다 추측하기가 더 어렵다. 짧은 비밀번호가 수많은 가능한 문자 조합 중에서 만들어졌다고 해도 그 점은 달라지지 않는다.

예를 들어 미국 표준 키보드의 95개 문자·숫자·부호 중에서 6개를 골라 만든 비밀번호의 가능한 조합 수는 7350억 개다. 엄청나다고 느껴지지만 영어 소문자 26개로만 만들어진 10자리 비밀번호의 가능한 조합 수인 141조 개에 비하면 아무 것도 아니다. 따라서 95개 문자·숫자·부호로 조합된 10자리 비밀번호는 경우의 수가 무려 5900경 개나 되니 무조건 길수록 해킹하기가 더 어렵다는 점이 이해가 갈 것이다.

그래서 일부 웹사이트는 비밀번호의 최소한의 자릿수와 숫자, 특수문자 포함 개수를 지정한다. 가장 흔한 ‘사전 공격’과 ‘무차별 대입 공격’을 막기 위해서다. 그러나 충분한 시간과 컴퓨팅 성능만 확보하면 못 알아낼 비밀번호는 없다.

게다가 인간은 길고 예측 불가능하게 이어지는 문자와 숫자를 기억하는 능력이 형편 없다. 우린 때때로 연상 암기법을 사용한다. 흔히 사용되는 문구의 머릿글자를 이용하는 방식도 있다. 아주 복잡해 보이는

‘freQ!9tY!juNC’ 같은 비밀번호를 기억하는데도 그런 방법이 도움이 된다.

그 비밀번호를 세 덩어리(‘freQ!’ ‘9tY!’ ‘juNC’)로 나누면 3개의 발음 가능한 영어 단어(‘freak’ ‘ninety’ ‘junk’)로 기억할 수 있다. 사람들은 덩어리로 나눠지는 비밀번호를 더 잘 기억한다. 각 덩어리의 의미를 기억하거나 연상법을 통해 자신만이 아는 의미를 추가할 수도 있기 때문이다.

이 모든 조언을 받아들여 무작위 문자·숫자·부호로 15자리 이상의 비밀번호를 만들기로 결심했다고 치자. 그 다음 기발한 연상 암기법을 동원해 만든 그 비밀번호 하나를 모든 웹사이트나 앱에서 계속 사용한다고 가정해보자.

그런 방식이 안전해 보일지 모른다. 그러나 비밀번호를 훔치려는 해커는 어디든 있다. 최근 야후, 어도비, 링크드인 같은 대기업의 시스템이 전부 해킹당했다. 그런 사건이 터질 때마다 수억 개 계정의 사용자 이름과 비밀번호가 유출됐다. 해커들은 사람들이 흔히 비밀번호를 재 사용한다는 사실을 안다. 따라서 여러 사이트에서 같은 비밀번호를 사용할 경우 그 비밀번호가 아무리 복잡한 조합으로 만들어졌다고 해도 한 사이트에서 해킹당하면 다른 사이트의 계정도 피해를 입을 가능성이 크다.

따라서 비밀번호를 길고 예측 불가능한 조합으로 만들어야 할 뿐 아니라 방문하는 웹사이트나 앱마다 각각 다른 비밀번호를 사용해야 한다. 실제로 통계에 따르면 일반적인 네티즌이 사용하는 비밀번호 수는 평균 19개다. 그래서 우리는 잊지 않으려고 비밀번호를 적은 쪽지를 키보드나 모니터 곁에 붙여 두기도 한다(그런 행동은 현관문을 잠근 뒤 열쇠를 그대로 꽂아두는 것과 같다). 또 계정에 들어갈 때마다 기억이 나지 않아 ‘비밀번호 찾기’ 링크를 클릭하게 된다.

그런 일을 피하려면 비밀번호 관리 소프트웨어를 이용하면 좋다. 각 웹사이트나 앱마다 달리 사용할 수 있고 해킹하기 어려운 비밀번호를 만들고 기억하는 것을 도와주는 프로그램이다.

때론 이런 프로그램 자체의 취약점이 해커의 공격을 받을 수 있다. 또 일부 웹사이트는 비밀번호 관리 소프트웨어의 작동을 차단한다. 게다가 해커들은 우리가 비밀번호를 입력할 때 키보드를 훔쳐볼 수도 있다.

이런 문제를 해결하기 위해 개발된 것이 다중인증(multi-factor authentication)이다. 휴대전화로 코드를 받아 본인임을 확인거나 지문을 스캔하거나 USB 보안 토큰을 사용하는 방식이다. 그러나 이런 인증이 더 안전하다는 것을 알더라도 사용자가 불편하거나 힘들다는 생각에서 꺼릴 수 있다. 그럴 경우 Authy.com 같은 웹사이트를 이용하면 인기 포털에서 다중인증 과정을 쉽게 거칠 수 있다.

따라서 마음만 먹으면 얼마든지 사이버 세계에서 자신을 지킬 수 있는 길이 있다. 겁 내지 말고 비밀번호를 어려운 것으로 바꿔 사용하자. 기억하기 쉽고 간단한 비밀번호를 없애버리고 관리 소프트웨어나 다중인증 방식을 사용해보자. 그러고 나면 한결 마음이 편해질 것이다.

- 메이건 스콰이어



[필자는 미국 엘론대학 컴퓨터공학 교수다. 이 기사는 온라인 매체 컨버세이션에 먼저 실렸다.]

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지