['비밀번호' 스트레스] [소문자 대문자에 특수문자? 이젠 안녕!] ....

['비밀번호' 스트레스 ]

[소문자 대문자에 특수문자? 복잡한 비밀번호, 이젠 안녕!]

[비밀번호]

[공인인증서]

 

 

 

'비밀번호' 스트레스 

 

‘알리바바와 40인의 도적’에 나오는 “열려라 참깨’는 비밀번호의 조상 격이라 할 수 있다. 나무꾼 알리바바는 도둑들이 보물을 숨겨 둔 동굴을 여는 주문을 엿들어 부자가 된다. 알리바바의 형이 그걸 알고 동굴에 몰래 들어갔다가 비밀번호를 잊어버린다. 도둑들에게 붙잡힌 형은 사지가 절단된 채 죽음을 맞는다. 왜 하필 ‘참깨’였을까. 중세 아랍어 참깨(simsim)에는 ‘문(門)’이란 뜻도 있다고 하는데, 정설은 아니다.

 

▶1940년대 미국의 원자폭탄 개발 프로젝트를 지휘한 미 육군 장군이 부임 첫날, 극비 문서를 보관할 금고를 보고 ‘당장 가장 튼튼한 금고로 바꾸라’고 호통을 쳤다. 그런데 1주일도 안 돼 비밀번호를 잊었다. 금고 업체 기사를 불렀더니 20분 만에 문을 열었다. 금고를 만들 때 기본 세팅된 비밀번호를 그대로 썼던 것이다. 현장에서 지켜보던 천재 물리학자 리처드 파인먼 박사가 “그런데 왜 20분이나 걸렸느냐”고 물었더니 “출장비를 받으려 적당히 시간을 때웠다”고 했다.

 

▶냉전 시절 미국 지하 격납고에 저장된 핵미사일의 발사 비밀번호가 ‘00000000′ 상태로 15년간 사용됐다는 사실이 뒤늦게 밝혀졌다. 1962년 국무장관이던 로버트 맥너마라가 사임한 뒤 비밀번호 때문에 미사일 발사가 늦어질까 걱정한 방공전략사령관이 비밀번호를 이렇게 바꿨기 때문이다. 글로벌 보안업체가 선정한 ‘최악의 비밀번호’ 1위는 ‘12345′이다. 그런데 민간 해킹 단체 어나니머스가 시리아 독재자 알 아사드 대통령의 이메일을 해킹한 결과 ‘12345′를 비밀번호로 쓰고 있었다.

 

▶휴대폰, 이메일, 금융 거래, 쇼핑 등 현대인의 일상과 비밀번호는 불가분의 관계지만, 큰 스트레스 요인이다. 주기적으로 새로 설정해야 하는데, 많게는 20~30개씩 되다 보니 쉽게 까먹고 관리가 너무 어렵다. 어떤 사람이 휴대전화 메모장에 비밀번호를 계속 업데이트해 왔는데, 메모장을 여는 비밀번호를 잊어버려 패닉에 빠지는 모습도 봤다.

 

▶비밀번호 스트레스가 싫은 사람에게 반가운 소식이 전해졌다. 미국 국립표준기술연구소(NIST)가 2007년에 만든 ‘영문 대소문자, 숫자, 특수문자 1개 이상 포함’, ‘90일마다 변경’ 같은 비밀번호 설정 기준을 폐기했다. NIST는 대신 ‘GoodbyePasswordForever’(잘 가라 비밀번호)같이 기억하기 쉬운 문장형 비밀번호를 쓰라고 권고했다. 이렇게 길어도 22개 글자인데, 한동훈 국민의힘 대표의 휴대전화 비밀번호는 24자리라는데, 과연 무엇일까 궁금해진다.

 

-김홍수 논설위원, 조선일보(24-10-05)-

______________

 

 

소문자 대문자에 특수문자? 복잡한 비밀번호, 이젠 안녕!

 

다양한 인증방식 나와 

 

‘대문자와 소문자를 결합하고, 반드시 특수문자를 넣으세요.’

 

웹사이트 로그인을 위해 아이디와 비밀번호를 만들면서 위와 같은 안내 문구를 본 적이 있을 것이다. 비밀번호가 복잡하고 어려워야 해킹이 쉽지 않다는 이유다. 하지만 이렇게 복잡한 비밀번호를 기억하기 위해 사용자들은 대부분 사이트의 비밀번호를 같거나 비슷하게 만든다. 수첩에 적거나 기기·구글 계정에 비밀번호를 저장해둔다. 문제는 이렇게 만든 아이디·비밀번호 한 쌍이 유출되면, 다른 웹사이트 비밀번호까지 줄줄이 새어나갈 위협에 놓인다는 것이다. 지난 22일엔 앱·웹사이트 아이디 보안 관리 기업인 미국 옥타 서버가 해킹을 당하면서 하루 만에 시가총액 20억달러(약 2조6000억원)가 증발하는 일도 있었다.

 

복잡한 비밀번호도, 보안 전문 기업의 서버도 안전하지 않다 보니 글로벌 빅테크 기업들은 비번 관련 새로운 보안 기술을 속속 내놓고 있다. 구글과 아마존·애플 모두 최근 비밀번호가 없어도 얼굴·지문과 같은 생체 정보와 개인 식별 번호(PIN)만으로 로그인이 가능한 ‘패스키’ 기능을 전면 도입했다. 월스트리트저널은 “수십년간 이어져 온 비밀번호가 사라지고 있다”며 “혼란은 있겠지만, 장기적으로 비밀번호를 없애는 것이 더 안전하다”고 했다.

 

◇지문 인증 2초면 끝, 열쇠는 오로지 내 폰에

 

패스키는 비밀번호를 기억하고 입력할 필요가 없다. 실제 구글에서 패스키를 설정하면, 안드로이드 스마트폰의 경우 지문 인증이나 PIN번호 입력 한 번에 로그인이 끝난다. PC에서 로그인할 때도 화면에 QR코드가 뜨고, 이걸 스마트폰으로 촬영해 지문을 인증하면 된다. 실제 해보니 비밀번호 오타로 다시 입력할 일이 없었고, 이 과정은 1~2초 정도만 걸렸다.

 

패스키는 높은 보안성을 자랑한다. 패스키는 내 스마트폰이나 기기에 ‘나만의 보안 열쇠’가 심어지는 방식이다. 예컨대 패스키가 열쇠라고 가정하면, 구글·아마존 등 플랫폼 기업들은 사용자와 열쇠 구멍만 공유한다. 이 열쇠구멍은 오로지 내 보안 열쇠로만 열 수 있는데, 열쇠는 내 기기에만 암호화돼 보관된다. 기업의 서버가 해킹을 당한다 해도 열쇠 구멍에 대한 정보뿐이고, 열쇠는 내 스마트폰에 있어 안전하다. 패스키(열쇠)가 있는 휴대폰을 물리적으로 탈취하지 않는 한, 해킹은 불가능하다. 승차공유 플랫폼 우버, 문서서명 서비스 도큐사인, 코딩 플랫폼 깃헙과 같은 IT 서비스들이 패스키를 이용한 로그인 기능을 속속 도입하는 것도 이러한 이유다.

 

◇“그래도 방심은 금물”

 

패스키 외에도 다양한 보안 소프트웨어가 등장하고 있다. 대표적인 것이 원패스워드(1Password)와 대시레인이다. 이 두 앱은 일종의 암호 관리 소프트웨어다. 여러 사이트·앱 비밀번호를 다시 암호화해 기기에 저장하고, 필요한 사이트의 비밀번호를 마스터키를 이용해 꺼내 쓰는 방식이다. 열쇠를 이중으로 두는 방식이라 수첩에 적거나 웹브라우저에 암호를 저장하는 방식보다 훨씬 안전하다. 기업처럼 여러 사람이 비밀번호를 공유해야 할 때 쓰기 편하다.

테크 업계에선 새로운 비밀번호 보안 기술이 널리 통용되려면 시간이 필요할 것으로 본다. 소비자들이 신기술을 받아들이는 데 시간이 걸리기 때문이다. 월스트리트저널은 “새로운 보안 기술이 완전히 비밀번호를 대체할 때까지, 비밀번호를 너무 짧거나 쉽게 만들면 해킹당할 수 있다”며 “아직 방심은 금물”이라고 했다.

 

-임경업 기자, 조선일보(23-10-26)-

_____________

 

 

비밀번호 

 

고대 그리스의 역사가 폴리비오스는 저서 ‘히스토리아’에 “로마군은 불침번 교대를 하면서 비밀 글자가 쓰인 나무판을 주고받아 아군임을 확인했다”고 썼다. 이것이 기록으로 남아 있는 최초의 비밀번호다. 로마와의 전쟁에 참전했던 폴리비오스는 정사각형에 25개의 칸을 만든 뒤 알파벳과 숫자를 넣어 암호를 만드는 방법을 고안했다. 폴리비오스 암호로 불리는 이 방식은 제1차 세계대전까지 쓰였다.

 

▶군에서 주로 사용되던 비밀번호가 대중화된 것은 컴퓨터 때문이다. 1961년 미국 MIT는 학내 컴퓨터 시스템을 구축하면서 비밀번호로 접속하는 ‘로그인’을 도입했다. 학생이나 연구원들에게 공평하게 사용 시간을 배분하기 위한 수단이었다. 이듬해 앨런 셰어라는 학생이 모든 사용자의 비밀번호를 통째로 훔쳐 사용했다. 역사상 첫 암호 해킹범인 셰어는 훗날 IBM 수석과학자가 됐다.

 

▶현재 암거래 사이트인 다크웹에서 판매되는 ID와 비밀번호 세트는 246억개에 이른다. 유출의 가장 큰 원인은 사람들의 방심이다. 전 세계에서 가장 많이 사용되는 비밀번호는 ‘123456′, 비밀번호를 뜻하는 ‘password’, 키보드 왼쪽 위 알파벳 나열인 ‘qwerty’ 등이다. 2013년에는 미국 핵미사일 발사 비밀번호가 20년간 ‘00000000′이었다는 것이 밝혀지기도 했다. 

 

생체인식 기술의 발전으로 몸이 곧 비밀번호인 시대가 왔다.

 

▶구글과 애플이 잇따라 비밀번호를 없애겠다고 선언했다. 고객들에게 복잡한 비밀번호를 만들게 하고, 계속 바꾸라고 요구하는 것보다 사람의 생체 인식으로 간편하고 안전하게 로그인하는 시스템을 도입하겠다고 했다. 얼굴, 지문, 홍채, 정맥, 목소리는 전 세계 80억 인간이 모두 다르다. 이 생체 정보를 비밀번호 대신 사용하겠다는 것이다. 거창하고 비싼 기술 같지만 스마트폰에 탑재되는 지문 인식 센서 가격은 5달러도 되지 않는다.

 

▶구글 등의 구상이 실현되면 사람들은 비밀번호를 갖고 태어나는 게 된다. 물론 우려도 있다. 피곤하면 얼굴이 붓는 것처럼 사람의 몸은 시시각각 변한다. 이 때문에 생체 인식은 정확도를 95~99% 정도로 설정한다. 오작동 가능성이 있다는 것이다. 서버에 저장된 생체 정보의 대량 유출을 경고하는 사람도 있다. 얼굴이나 지문을 비밀번호처럼 마음대로 바꿀 수도 없는 노릇이니 문제가 현실화되면 치명적이다. 세상은 점점 편리해지고 있지만 동시에 피곤해지고 있다. 사이버 보안 업계의 경구가 있다. ‘해킹과 정보 유출의 위협에서 완벽히 벗어나는 방법은 컴퓨터와 스마트폰을 아예 쓰지 않는 것뿐이다.’

 

-박건형 기자, 조선일보(22-06-18)-

______________

 

 

공인인증서

 

인터넷이 생활 필수가 되면서 수많은 아이디와 비밀번호를 관리하는 게 큰일이 됐다. 특히 금융기관이나 관공서 같은 곳은 비밀번호 조합을 까다롭게 요구한다. '영문 대문자와 소문자, 숫자와 특수문자를 포함한 10자 이상'의 비밀번호를 어떻게 외우겠나. 코레일과 SRT는 약속이나 한 듯 아이디 대신 열 자리 숫자로 회원번호를 부여한다. 적어놓는 수밖에 없다. 해외 직구가 흔해지면서 개인통관고유부호라는 것도 생겼다. 영문과 숫자 합쳐 무려 13자다.

▶비밀번호 한번 바꾸려면 희미하게 써놓은 보안 코드를 옮겨 쓰기도 하고 '아래 사진 중 자동차가 있는 사진을 모두 고르시오' 같은 문제도 풀어야 한다. 그렇게 고생하고 짜증 내며 마지막 단계에 이르렀을 때 만나는 절벽이 바로 공인인증서다. 공인인증서가 없으면 인터넷 뱅킹도 안 되고 주민등록등본도 주민센터에 가야만 뗄 수 있다. 특히 해외 유학생이나 교포들은 공인인증서 한번 발급받으려다가 혈압 올라 죽을 뻔했다는 얘기를 많이 한다.

 

▶인터넷으로 가족관계증명서를 떼려고 대법원 사이트에 들어갔다. 공인인증서가 자동으로 뜬 것까지는 좋았는데 비밀번호가 틀렸다고 한다. 3회 연속 틀리면 공인인증서를 다시 띄워야 한다. 그럴 리가 없어 10분을 낑낑거리다가 인터넷 검색을 했더니 "크롬 대신 익스플로러로 접속하세요"라는 도움말이 있었다. 나중에 보니 비밀번호가 틀린 게 아니라 익스플로러를 쓰지 않은 것이 잘못이었다.

▶공인인증서는 1999년 전자서명법 발효와 함께 생겨났다. 금융거래나 민원서류 발급, 세금 관련 업무에 주로 쓰인다. 유효기간이 1년으로 너무 짧고 만료 한 달 전에 갱신하지 않으면 재발급받아야 한다. 한번 재발급받으면 공인인증서가 필요한 모든 사이트를 찾아가 일일이 재등록해야 한다. 또 정체를 알 수 없는 보안 프로그램을 컴퓨터나 스마트폰에 끝없이 깔게 하는 것도 큰 불만이다. 예전에 중국인들이 한국 인기 드라마를 보고 "주인공이 입고 나온 코트를 사겠다"며 한국 쇼핑몰에 접속했다가 공인인증서가 없어 못 샀다고 했을 정도다.

▶공인인증서의 최대 맹점은 금융 사고의 책임을 전적으로 사용자에게 전가한다는 것이다. 해킹당한 공인인증서로 남의 돈을 빼가도 은행은 아무런 책임을 지지 않는다. 이런 공인인증서의 독점적 지위를 없애도록 전자서명법이 바뀐다고 한다. 앞으로는 지문이나 홍채를 이용한 생체 인식 서명이 훨씬 많이 사용될 것으로 보인다. 어르신들이 인터넷 쓰기도 조금은 쉬워질 것 같다.

-한현우 논설위원, 조선일보(20-05-20)-

 

 

==========================