비번 지침 만드는 美연구소 “특수문자 추가·주기적 변경 그만”
그래픽=박상훈
‘90일이 지났습니다. 비밀번호를 변경해주세요’, ‘대소문자와 특수문자를 꼭 포함해서 설정해주세요’
그동안 인터넷 서비스 이용자들을 속 터지게 만들었던 까다로운 ‘비밀번호 규칙’이 완화될 전망이다. 세계 각국과 기업들이 자체 비밀번호 규칙을 만들 때 표준으로 삼는 미국 국립표준기술연구소(NIST)가 17년 만에 위와 같은 비밀번호 관련 요구 사항을 더 이상 쓰지 말라는 새 지침을 만들었기 때문이다.
보안성과 해킹 방지 등을 이유로 인터넷 사이트들이 요구하는 복잡한 비밀번호는 노인 등에게 가장 큰 ‘디지털 장벽’ 중 하나였다. 현재 인터넷 업체 대부분이 쓰고 있는 ‘영문 대소문자·숫자·특수문자 1개 이상 포함’ ‘90일 이후 비밀번호 변경’ 같은 규정은 NIST가 2007년 내놓은 지침에 근거하고 있다. 하지만 개인이 이용하는 IT 기기와 인터넷 서비스가 기하급수적으로 늘어나면서 문제가 생겼다. 비밀번호를 잊지 않기 위해 기존 번호에 !나 @ 같은 추측하기 쉬운 특수문자를 돌려쓰거나, 아예 수첩이나 다른 곳에 적어두는 경우가 빈번하다. 복잡한 비밀번호가 오히려 보안성을 취약하게 만들고 있는 것이다.
◇”비번 끝에 !,@ 넣어봤자 소용없어”
미국 NIST는 지난달 공개한 ‘디지털 신원 지침(가이드라인)’ 개정안에서 ‘여러 문자유형을 섞어 쓰도록 하는 등 사용자에게 추가적인 비밀번호 규칙을 부과하는 행위’ ‘정기적으로 비밀번호 변경을 요구하는 행위’를 금기 사안으로 정했다.
NIST는 20년 가까이 인터넷 보안의 표준이 됐던 지침을 바꾼 이유에 대해 “인간은 복잡한 비밀을 기억하는 능력이 제한돼 있기 때문에 쉽게 추측할 수 있는 암호를 설정하는 경우가 많다”며 “이를 보완하기 위해 여러 유형의 문자를 섞는 방식을 도입했지만, 유용하지 않고 기억을 못 해 발생하는 일이 심각하다는 사실을 알게 됐다”고 했다.
당초 IT 업계가 기대한 복잡한 비밀번호 유형은 ‘Vi@o^$90&54*’ 같은 난수형이었다. 하지만 정작 사람들은 기억하기 쉽게 영어 자판 왼손 위쪽에 있는 ‘qwer1234!’ ‘Qwer1234!@’ 등을 돌려 쓴다는 것이다. 또 비밀번호를 60~90일처럼 짧은 주기마다 변경하도록 하면 오히려 사람들이 기억하기 쉽도록 더 단순하고 누구나 유추하기 쉬운 비밀번호로 설정한다는 결론도 나왔다. NIST는 “비밀번호가 유출되지만 않았다면, 굳이 주기적으로 바꿀 필요가 없다”고 설명했다.
대신 NIST는 비밀번호를 길게 만들 것을 권고했다. ‘B^$9t&5′처럼 복잡하지만 짧은 것보다는 ‘ReadTheNewspaper(신문을 읽다)’처럼 기억하기 쉽지만 긴 암호가 보안 측면에서 더 효과적이라는 것이다. NIST는 각 인터넷 사업자들에게 최소 8자, 최대 64자까지 암호를 허용할 것을 권장했다. 이외에도 모바일 인증번호, 생체인증 등을 활용한 2차 인증과 비밀번호 관리자 기능을 사용할 것을 권고했다.
◇”기억 대신 기기를 믿어라”
글로벌 빅테크들은 ‘비밀번호도 안전하지 않다’는 생각에 새로운 보안 시스템을 도입하고 있다. 최근엔 지문, 얼굴인식과 같은 생체인증으로 온라인 서비스에 로그인을 하는 방식이 활용되고 있다. 현재는 스마트폰의 ‘잠금’을 풀 때 주로 활용되는데, 이를 로그인 때도 적용하는 것이다. 대표적인 것이 구글·애플·삼성 등 빅테크가 뭉쳐 만든 ‘패스키’ 방식이다. 이용자가 스마트폰에서 이메일·은행 앱을 열고 지문이나 얼굴로 인식을 하는 것이다. 이용자는 복잡한 비밀번호를 외우지 않아도 되고, 온라인에서 비밀번호가 해킹으로 유출될 가능성도 없다.
이용자마다 서비스 계정 수가 많아지고, 로그인 방식이 복잡해지면서 비밀번호를 관리하는 기능도 속속 나오고 있다. 애플은 최근에 ‘암호 앱’을 새로 만들었다. 내가 가진 앱과 웹페이지, 와이파이 등 각종 비밀번호와 유출 여부를 한 앱 안에서 관리할 수 있다. 구글도 비밀번호 관리자 기능을 통해 유출 여부를 이용자에게 전해주고 있다.
☞패스키
비밀번호를 대체하는 암호 방식이다. 비밀번호 대신 이용자가 갖고 있는 IT기기를 인증 수단으로 삼는 방식이다. 지문·얼굴 인식이나 핀번호 등으로 자신의 IT 기기에 접속하면, 비밀번호 입력 없이도 이메일·은행 등 각종 사이트에 접속할 수 있다. IT 기기를 도난당하지 않는 한, 해킹의 위험이 없다.
https://n.news.naver.com/article/023/0003862111?cds=news_media_pc
