보안과 해킹은 함께 발전했습니다. 비밀을 안전하게 지키기 위해 강력한 암호 기법을 만들면 그보다 더 뛰어난 해킹기법이 나타나 이를 무력화시키죠. 최근에도 대형 포털이 해킹을 당해 3천만명 이상의 사용자 정보를 통째로 유출당했습니다. 해킹으로부터 안전하면서도 사용하기 쉬운 비밀번호를 사용하여 2차 피해를 막아보도록 해야겠습니다.
안전한 보안 기법을 사용하더라도 결국 뚫리는 이유는 해커들이 보안 자체를 공격하기보다는 이를 우회하는 방법을 쓰기 때문입니다. 사실 비밀번호를 알아내는 가장 손쉬운 방법은 직접 물어보는 것입니다. 실제로 거리를 지나가는 사람들에게 연구 조사에 필요하다며 비밀번호를 알려달라고 요청했을 때 많은 사람이 별 거부감 없이 이에 응했다는 사례도 있을 정도니까요.
해커들도 비슷한 방법을 씁니다. 대형 포털이 해킹을 당한 것은 회사 직원들의 PC를 통해서였습니다. 포털이 서버의 안전을 위해서 이중삼중의 보안장치를 마련해 놓고 있었지만 정작 서버에 접근 가능한 직원의 PC에 대한 보안은 허술했던 것이죠. 해커들은 공격 대상 업체 직원들의 PC를 해킹한 다음 이를 경유하여 서버에 접근했습니다.
<설마 나한테 무슨 일이 생기겠나 하는 생각으로 여러 사이트의 회원 아이디와 비밀번호를 동일하게 사용하는 경우가 많다. 특정 사이트가 해킹을 당하더라도 각 사이트마다 비밀번호를 달리하면 피해를 최소화할 수 있다.>
포털 등 허술한 보안관리로 믿기 어려워
오랜 시간에 걸쳐 서버의 정보를 빼갔는데도 해킹을 당한 직원은 물론 회사 전체에서 아무도 눈치를 채지 못했습니다. 사건이 터지고 나서 회사가 수습에 나서고 사과까지 했지만 어떤 정보가 얼마만큼 빠져나갔는지 또 피해 규모는 얼마나 되는지 정확하게 파악조차하지 못하고 있는 실정입니다.
허술한 보안관리 때문에 많은 업체가 해킹을 당했습니다. 해커들은 이를 통해 얻은 정보를 교차 체크함으로써 완벽한 한국인 전체 개인 정보 데이터베이스를 확보하게 되었습니다. 중국 사이트에서 주민등록번호를 포함한 개인정보를 손쉽게 얻을 수 있는 것이 이 때문입니다.
대형 인터넷 쇼핑몰과 포털을 통해 3천만명 이상의 개인정보가 유출되었을 뿐만 아니라 수많은 중소 사이트까지 해킹을 당했기 때문에 이제 그 누구도 안심할 수 없는 상태입니다. 이런 사건이 일상적으로 일어나는 바람에 이젠 웬만한 해킹 사고는 신경도 쓰지 않을 정도로 둔감해져 있습니다.
사실 실명제로 인해 사이트에 가입하기 위해서는 주민번호부터 전화번호에 주소까지 다 알려주어야 하는 현실이 이런 보안 위험을 만들어 온 주요한 원인입니다. 이런 환경에 길들여진 한국의 사용자들은 별 거부감 없이 민감한 정보까지 다 알려주고 있습니다.
<안전한 비밀번호 만들기 규칙>
설마 나한테 무슨 일이 생기겠나 하는 안일한 생각으로 대개의 사용자들은 여러 사이트의 회원 아이디와 비밀번호를 동일하게 사용하고 있습니다. 때문에 한 군데만 해킹을 성공해도 여러 사이트에 피해를 줄 수 있습니다. 이런 식의 비밀번호 관리는 대단히 심각한 결과를 초래할 수 있기 때문에 대책을 세울 필요가 있습니다.
대개 비밀번호는 단 방향 암호화 기법을 사용하여 보관합니다. 암호화된 데이터로 비밀번호를 찾아낼 수 없습니다. 단지 사용자가 입력한 비밀번호를 다시 암호화하여 이 값과 비교함으로써 비밀번호가 맞는지만을 확인하는 용도로 쓸 수 있을 뿐입니다. 때문에 해커들이 암호화된 비밀번호 데이터를 가져가더라도 비밀번호를 알아낼 수는 없습니다.
하지만 마냥 안심할 일은 아닙니다. 해커들이 1234, abcd 등 비밀번호로 쓸 수 있는 값들을 미리 암호화한 후 결과값을 데이터베이스화시켰기 때문이죠. 해킹으로 얻은 포털의 암호화된 비밀번호 데이터와 이 데이터베이스를 비교하면 원래 비밀번호를 알 수 있습니다.
현재 숫자만으로 된 비밀번호는 12자까지 사전이 만들어져 있고 숫자와 소문자, 그리고 대문자를 섞어 쓴 비밀번호는 8자까지 곧바로 알 수 있습니다.
이 때문에 사용자가 입력한 비밀번호를 저장할 때 추가의 문자를 붙이는 방법이 고안되었습니다. 입력 비밀번호가 “1234abcd”라면 여기에 “ggongam1212”를 더해 “1234abcdggongam1212”라고 길게 바꿈으로써 해킹으로부터 안전하게 만드는 것입니다.
하지만 인터넷 업체들이 이렇게 안전한 방법을 적극적으로 사용했는지는 알 수 없습니다. 처리 과정에 시간이 걸리기 때문에 추가 문자를 짧게 하거나 아예 붙이지 않는 경우도 많습니다. 사용자 비밀번호 자체를 10자 이상 쓰지 못하게 하는 곳도 있을 정도입니다. 상황이 이렇기 때문에 업체들이 우리 개인정보를 안전하게 다루어주길 기대하기보다는 스스로 안전한 방법을 강구하는 것이 최선일 것입니다.
비밀번호는 각 사이트마다 모두 다른 것이 좋습니다. 그래야 특정사이트가 해킹을 당하더라도 비밀번호 피해를 최소화할 수 있습니다.
그렇다고 사용하기 불편해서도 안 되겠죠. 각각 다르면서도 쉽게 외울 수 있으려면 비밀번호 생성 규칙을 사용하면 됩니다.
각각 다른 비밀번호를 위해서는 각 사이트의 주소 앞 3자리를 사용하는 방법을 쓸 수 있습니다. 물론 2자리만 쓰거나 뒷자리를 쓰는 등 자신만의 방법을 사용해도 됩니다. 중요한 것은 외우지 않더라도 사이트마다 각기 다른 비밀번호를 자동적으로 알 수 있어야 한다는 점입니다.
사이트마다 비밀번호 다르게, 규칙 만들면 쉬워
두 번째 항목은 사이트가 달라져도 바뀌지 않는 비밀번호 고유값입니다. 세 번째 일련 번호는 비밀번호를 바꾸어야 할 때를 대비해서 삽입한 값입니다. 어떤 사이트에서 비밀번호를 강제로 바꾸라고 한다면 이 값을 1에서 2로 올리면 되겠죠?
네 번째 비밀번호 고유 숫자는 비밀번호를 8자 이상으로 요구하는 등 길이를 조절할 필요가 있을 때를 대비해서 사용하는 값입니다.
비밀번호를 8자까지만 허용하면 “kkoMyp17”이 될 것이고 10자 이상을 요구하면 “kkoMyp1735”가 됩니다.
복잡해 보이지만 규칙 자체는 간단합니다. “사이트명+비밀번호 문자+일련번호+비밀번호 숫자”일 뿐이죠. 사실 비밀번호를 기억하는 것보다 규칙을 기억하는 것이 더 쉽습니다.
해킹이 점점 더 정교해지면서 개인정보를 지키기 어려워지고 있습니다. 대형 포털들조차 무력하게 해킹을 당하는 시대에 안전은 스스로 확보할 수밖에 없습니다. 보안 대책의 첫걸음으로 나만의 비밀번호 규칙을 사용하는 것은 어떨까요?
이 글은 문화체육관광부에서 발행하는 위클리공감에 실렸습니다.
'생활♡정보' 카테고리의 다른 글
| 행안부, 위급한 상황에서 유용하게 쓸 수 있는 앱 개발! (0) | 2012.04.11 |
|---|---|
| 상품비교, 넌 어디서 하니? 난 스마트컨슈머에서 한다! (0) | 2012.04.10 |
| '금융시스템의 위기 "뱅크런" (0) | 2012.04.08 |
| 주식 공매도란? (0) | 2012.04.07 |
| 입사 시 근로계약서는 반드시 보관하라! (0) | 2012.04.06 |