Pixabay 제공
‘안전한 비밀번호-효과적 기억’ 방법
○ 대문자, 특수문자, 숫자까지 넣으면 얼마나 안전해질까?
요즘 비밀번호를 정할 땐 10자 이상, 알파벳 대소문자 혼용, 숫자·특수문자 사용, 개인정보 관련 숫자 사용 금지 등의 조건을 건다. 이렇게 하면 정말 더 안전할까?
광고 로드중
간단한 로그 방정식에 사용 가능한 문자의 수(숫자는 0∼9 10가지, 소문자는 a∼z 26가지 등)와 비밀번호 자리마다 달라지는 무작위 정도를 대입하면, 비밀번호로 사용하기 알맞은 문자의 길이를 계산할 수 있다. 미국표준기술연구소(NIST) 발표에 따르면 8∼12자 사이다. 머피 교수는 이 범위 안에서 해커의 공격을 견디는 시간을 측정했다.
단어는 무작위 조합을 사용했다. ‘a와 @’같이 연상되는 특수문자도 배제했다. 대문자, 특수문자, 숫자도 예측 불가능한 위치에 넣었다. 그 결과 사용하는 문자 종류가 많아져 비밀번호가 길고 복잡해질수록 내 정보를 지킬 수 있는 시간도 늘었다. 8자 비밀번호가 모두 소문자라면(예:dongaabc) 해독하는 데 208초, 10자 비밀번호가 소문자 6개, 대문자 1개, 특수문자 1개, 숫자 2개 조합이면(예: D@ngaabc11) 1707년이 걸렸다. 머피 교수는 “세상 모든 언어 사전에 나오는 단어 조합, 전화번호나 가족의 생일 등 개인정보 관련 숫자, ‘a와 @’같이 누구나 연상할 수 있는 치환, 유명한 유행가 가사, 대사 인용은 피하라”고 조언했다.
○ 복잡한 비밀번호 잊지 않는 방법은?
비밀번호는 길고, 복잡하고, 참신하게 만들면 비교적 안전하다. 그런데 이렇게 만들고 나면 기억하기 어려워 정작 비밀번호 주인만 골탕 먹게 된다.
미국 IBM 최고기술책임자(CTO) 브루스 슈나이어는 일회용 비밀번호 제작 프로그램으로 무작위 비밀번호(예: *P_x$)%v@E6g)를 생성하여 안전하게 별도로 기록해 두는 방법을 추천했다. 별도로 기록한 비밀번호 문서 역시 비밀번호를 넣고 보관해야 하는데, 이때는 생체인식과 같은 안전성 높은 방식을 사용하라고 권했다. 앨릭스 핼더먼 미국 미시간주립대 컴퓨터과학과 교수는 “전문가들은 해커의 다양한 시나리오를 모두 고려해 보안 프로그램을 만들기 때문에 비밀번호 생성 및 보관용으로 제작된 소프트웨어를 사용하는 게 좋다”고 설명했다.
광고 로드중
최진영 고려대 정보보호학부 사이버국방학과 교수는 “사람들이 주로 기억을 돕기 위해 비밀번호 일부에 한글 단어를 그대로(예: 바나나는 qksksk로) 사용하는데, 국내 사이트를 이용할 때는 위험하다”며 “확률적으로 한글 단어보다는 같은 알파벳을 대소문자를 섞어 길게(예: qQqQqQQQQQqqqqQQ) 사용하는 편이 낫다”고 말했다. 미국 노스캐롤라이나대 연구팀은 사용자가 비밀번호를 자주 바꿔도 예측 가능한 변형이라면 위험은 거의 줄지 않는다고 주장했다.
염지현 동아사이언스 기자 ginny@donga.com