한국일보 애틀랜타
경동나비
첫광고
엘리트 학원

‘복잡한 패스워드·잦은 변경’…오히려 해킹에 취약

미국뉴스 | 기획·특집 | 2024-10-07 09:17:16

복잡한 패스워드·잦은 변경,해킹에 취약

구양숙 부동산표정원 융자누가 스킨 케어

연방정부, 패스워드 새 지침

띄어쓰기, 유니코드 사용 허용

문장 형태 패스워드 사용 가능

‘ 패스키·패스워드 관리 앱’병용

 현행 패스워드 규정이 오히려 해킹에 취약하다는 지적에 연방정부가 새 지침을 마련했다. 새 지침에 따르면 문장 형태 패스워드 사용도 가능해질 전망이다. [로이터]
 현행 패스워드 규정이 오히려 해킹에 취약하다는 지적에 연방정부가 새 지침을 마련했다. 새 지침에 따르면 문장 형태 패스워드 사용도 가능해질 전망이다. [로이터]

 

패스워드 홍수 속에 살아가고 있다. 웹사이트와 앱을 사용하려면 ID와 함께 패스워드를 입력해야 한다. 그런데 사용하는 웹사이트와 앱이 하도 많다 보니 패스워드를 정하는 작업이 여간 번거로운 일이 아니다. 패스워드 하나로 ‘돌려막기’를 하자니 해킹에 한번 뚫리면 다른 웹사이트도 피해가 걱정된다. 또 각기 다른 패스워드를 사용하다 보면 입력할 때마다 잊어버리기 일쑤다. 복잡한 패스워드 규정을 적용하는 웹사이트는 패스워드를 기억하기 더 어렵고 정기적으로 패스워드 변경을 요구할 때마다 번거롭다. 이 같은 비효율적인 패스워드 규정을 개선하기 위해 최근 정부 기관이 새 패스워드 지침을 공개했다.

 

■너무 복잡한 패스워드 오히려 취약

여러 웹사이트와 앱이 안전한 패스워드 사용을 위한 규정을 적용한다. 일정 숫자 이상의 문자, 특수 문자, 정기적인 변경 등을 요구하는 패스워드 작성 규정을 쉽게 접할 수 있다. 연방정부에서 이 같은 패스워드 규정이 득보다 실이 많기 때문에 적절한 수정이 필요하다고 지적했다.

‘국립표준기술연구소’(NIST·The National Institute of Standards and Technology)는 갈수록 범람하는 신분 도용 피해로부터 인터넷 사용자들을 보호하기 위한 새 패스워드 지침을 공개했다. 지침은 현재 널리 사용되는 패스워드 규정이 시대에 처진, 비효율적인 규정이라는 사이버 보안 업계의 지속적인 지적 끝에 마련됐다. 지침에는 ‘%’, ‘$’와 같은 특수문자 사용과 어린 시절 친구 이름, 생애 첫 반려동물과 같은 보안 질문을 요구하지 않는 내용 등이 포함됐다.

NIST는 새 지침은 인터넷 사용자들이 큰 도움이 되지 않는 규정에 시간 낭비를 줄이고 더 안전한 패스워드를 선택하도록 유도하기 위해 마련했다고 밝혔다. 시장 조사 기관 포레스터에 따르면 회사 직원들이 패스워드를 기억하거나 새 패스워드로 변경하는데 연평균 11시간을 허비하는 것으로 조사됐다. 사이버 보안 업계에 따르면 특수 문자 사용과 같은 규정이 패스워드를 더 안전하게 작성하는 효과는 미미하다. NIST는 “쉽게 기억하기 힘들 정도로 매우 복잡한 패스워드는 종이에 적거나 안전하지 않은 파일 형태 저장되는 경우가 많아 범죄에 오히려 취약하다”라고 지적했다.

 

■새 지침, ‘띄어쓰기·유니코드’ 허용

새 지침이 시행되면 인터넷 업체, 정부 기관, 기타 온라인 서비스 업체는 정기적으로 패스워드를 변경하는 규정을 중단해야 한다. 마이크로소프트는 패스워드 변경 규정이 별 효과가 없다고 판단해 이미 2019년 관련 규정을 중단한 바 있다. 패스워드 관리 업체 대시래인의 한스 라지 쿠마 디렉터는 “잦은 패스워드 변경 규정은 결과적으로 덜 안전한 패스워드를 사용하도록 유도한다”라고 지적했다.

NITS의 새 지침은 특수 문자 사용을 금지하고 대신 뛰어 쓰기와 ‘유니코드’(Unicode) 사용 등을 허용한다. 따라서 새 지침이 시행되면 ‘비 오는 날 연못에서 수영’(A Swim in the Pond in the Rain) 또는 ‘이렇게 기분 좋은 시절이 없었다.’(Good times never felt so good.)처럼 문장 형태의 패스워드 사용도 가능하다.

 

■잦은 변경 오히려 취약

별다른 문제나 피해가 없었다면 현재 패스워드를 그대로 유지하는 것도 괜찮다. 사이버 보안 전문가들에 따르면 잦은 패스워드 변경은 오히려 디지털 범죄 피해에 취약하게 할 수 있다. NIST는 정보 유출 등의 피해가 없었다면 패스워드를 바꿀 필요가 없다고 권고한다.

해킹으로 인한 정보 유출이 발생하면 해당 업체는 이메일이나 우편으로 사용자의 정보 유출 사실을 통보해야 한다. 만약 이 같은 통보를 받았다면 건강, 금융, 소셜 미디어 등 민감한 개인정보가 담긴 인터넷 계정의 비밀번호를 즉시 변경한다. 그런 다음 에퀴팩스, 익스페리언, 트랜스유니언 등 3대 신용 평가 기관에 연락해 신용 동결을 요청해야 한다.

 

■반드시 8개 이상, 최소 15개 문자

‘단어123’과 같이 추측이 쉬운 패스워드를 사용하는 사람은 이제 없다. 최소 이보다 복잡한 조합의 패스워드를 사용해야 해킹 피해를 방지할 수 있다. NIST에 따르면 패스워드에 반드시 8개가 넘는 문자가 사용되어야 하고 최소 15개 이상의 문자를 사용하면 더 안전하다. 추측이 가능한 웹사이트 이름이나 사용자 이름을 사용하는 것도 피해야 한다.

예를 들어 사용자의 생활과 관련된 자녀의 이름, 반려동물 이름 등을 사용하면 해킹 피해를 보기 쉽다. 사이버 범죄자들은 각종 소셜 미디어에 접속해 개인 정보를 최대한 파악한 뒤 해킹에 나선다.

또 사전에서 임의의 단어를 골라 패스워드에 사용하는 것도 위험한 방법이다. 사이버 범죄자들은 ‘크리덴셜 스터핑’(Credential Stuffing) 기법으로 패스워드를 알아내기 위해 끊임없이 노력한다. 크리덴셜 스터핑은 불법으로 유통되는 계정 정보를 다른 웹사이트에 무작위로 대입해 이용자의 정보를 빼내는 자동화 해킹 수법이다. 문장이나 특수문자와 숫자가 포함된 패스워드를 사용하면 크리덴셜 스터핑 공격에 보다 안전한다.

 

■패스워드 관리 앱 사용

여러 패스워드를 종이에 적어 보관하는 것은 물론 스프레드시트, 노트패드 등에 저장하는 것도 안전하지 않다. 이들 프로그램은 패스워드와 같은 중요한 정보를 해킹으로부터 보호하는 기능이 없기 때문이다. 적어 놓은 종이를 잃어버리거나 저장 파일을 실수로 삭제하는 경우도 낭패다. 패스워드 관리 앱은 사용자의 패스워드를 안전하게 저장하고 각 사이트에 로그인할 때 자동으로 입력하는 서비스를 제공하고 일부 서비스는 암호화를 통해 직원들의 접속을 차단한다.

패스워드 관리 앱을 사용하면 복잡한 패스워드를 매번 기억해야 하는 불편함 없이 안전하게 사용할 수 있다. ‘대시레인’(Dashlane)과 ‘1패스워드’(1Password) 등의 패스워드 관리 앱은 안전한 패스워드를 자동으로 생성해 주고 각 계정에 로그인할 때 입력을 돕는다. 애플과 구글도 자체 운영시스템을 통해 무료 패스워드 관리 프로그램을 제공한다.

 

■패스키 사용

패스키는 패스워드의 간편한 버전으로 보면 된다. 패스키를 한 번 설정하면 이후부터 자동으로 로그인된다. 패스워드 등 개인 정보를 입력하는 대신, 패스키는 기기를 잠금 해제할 때 사용하는 것처럼 안면 인식이나 지문 스캔 등이 필요하다. 패스키는 암호화를 통해 사용자가 본인임을 증명하는 방식으로 작동된다. 구글, 마이크로소프트 등 주요 IT업체들이 패스키를 지원하며, 패스워드 앱을 통해 패스키를 다른 비밀번호와 함께 저장할 수 있다.

 

댓글 0

의견쓰기::상업광고,인신공격,비방,욕설,음담패설등의 코멘트는 예고없이 삭제될수 있습니다. (0/100자를 넘길 수 없습니다.)

“우체국입니다…” USPS 사칭 ‘스미싱’ 사기 기승
“우체국입니다…” USPS 사칭 ‘스미싱’ 사기 기승

“우편물 배달에 문제”무차별적 문자 메시지피해자 클릭하게 현혹개인 금융정보 등 노려 한인이 받은 USPS 사칭 사기 문자. 발신 번호에 필리핀 국가번호(69)가 찍혀 있다. [독자

에너지 절약 효자 단열재… 아무것이나 쓰면 안돼
에너지 절약 효자 단열재… 아무것이나 쓰면 안돼

주택 단열만 잘해도 에너지 비용을 크게 줄일 수 있다. 추운 겨울철 외투와 같은 역할을 하는 단열재는 외부의 찬 공기가 실내로 들어오는 것을 막아준다. 더운 여름철에는 실내 냉방

‘옐프’리뷰 읽으면 내년 홈 디자인 트렌드 보인다
‘옐프’리뷰 읽으면 내년 홈 디자인 트렌드 보인다

맛집을 찾기 위해‘옐프’(YELP)를 검색하는 사용자가 많다. 옐프는 사용자 리뷰와 평가를 기반으로, 지역 비즈니스 및 서비스를 검색하고 평가할 수 있는 온라인 플랫폼이다. 사용자

감각 기능을 유지해야 젊음도 지킬 수 있다
감각 기능을 유지해야 젊음도 지킬 수 있다

청력 저하, 치매 위험 두 배 높이는 위험인자서서히 진행되는 시력 저하, 주기적 검진 필요 나이가 들수록 몸의 전반적인 기능이 떨어지고 시력과 청력, 후각 역시 노화로 인한 변화를

대학 신입생 등록 큰폭 감소… 등록률 낮은 대학 공략 기회
대학 신입생 등록 큰폭 감소… 등록률 낮은 대학 공략 기회

FAFSA 지연이 직접적 원인일자리 늘어 취업 선택 증가어퍼머티브 액션 취소 영향지원 대학 검색 폭 확대 전략 2024학년도 가을 학기 대학 신입생 등록률이 예년에 비해 많이 감소

AI로 심방세동 위험 예측한다
AI로 심방세동 위험 예측한다

심전도 나이, 실제보다 높을수록 발병↑“다른 심장질환 예측에도 활용 기대” 부정맥은 심장 박동이 비정상적으로 빠른 빈맥성 부정맥과 비정상적으로 느린 서맥, 심장이 불규칙하게 뛰는

간헐적 단식보다 낫다? 삼시세끼 꼬박꼬박 챙겼더니…
간헐적 단식보다 낫다? 삼시세끼 꼬박꼬박 챙겼더니…

40~60대 4500여 명 10.6년간 추적조사하루 식사횟수·인슐린 저항성 연관성 분석 공복시간을 최대한 길게 갖는 간헐적 단식이 유행하는 가운데 규칙적으로 하루 세끼를 챙겨먹는

2030 남성 노리는‘강직성 척추염’… 이것만 잘 지켜도 예방
2030 남성 노리는‘강직성 척추염’… 이것만 잘 지켜도 예방

■ 홍석찬 서울아산병원 류마티스내과 교수아침 기상 후 뻣뻣한 느낌… 3개월에 걸쳐 통증 나타나조기 진단해 적절한 치료 받아야 척추 진행 막을 수 있어 <사진=Shutterst

원조 베낀 ‘오레오’… 세계서 가장 잘나가는 과자 된 비결
원조 베낀 ‘오레오’… 세계서 가장 잘나가는 과자 된 비결

오레오와 하이드록스의 엇갈린 운명세계에서 가장 많이 사랑받는 과자는 무엇일까. 독일의 시장조사기관인 스태티스타(Statista)에 따르면 '오레오'다. 2014년부터 세계에서 가장

신종 ‘딥페이크’ 스캠 사기 기승
신종 ‘딥페이크’ 스캠 사기 기승

AI로 지인 목소리·영상감쪽같아 더 속기 쉬워기관 사칭 등 범죄 심화내년 더욱 급증할 전망 노인과 이민자 등을 대상으로 한 사칭 사기와 보이스피싱 등 범죄가 기승을 부리고 있는 가

이상무가 간다 yotube 채널