DATA@KU 구독자 여러분, 안녕하세요. 정보인프라팀 김진영입니다.
모든 것들이 네트워크로 연결된 요즘 우리가 본인임을 인증하는 가장 보편적인 수단인 비밀번호는 언제나 공격자들이 노리는 가장 매력적인 먹잇감 중 하나입니다.
감춰진 보안 취약점이나 우회로를 찾는 것보다 사용자의 비밀번호를 노리는 편이 손쉽고, 성공 시 피싱, 정보 탈취와 같이 파생되는 2차 공격의 성공률 역시 비약적으로 높아지기 때문입니다.
바꿔 말하면 개인의 비밀번호만 잘 관리해도 친구, 가족, 소속된 기관의 보안 위험을 상당히 낮출 수 있다는 이야기지만 안타깝게도 많은 분이 귀찮고 불편하다는 이유로 이를 외면하다 큰 피해를 보는 경우가 자주 발생하고 있습니다.
오늘은 흔히 발생하는 비밀번호의 잘못된 관리 사례와 올바른 관리 방법에 대해 알아보겠습니다.
[잘못된 비밀번호 관리 사례]
1. 알기 쉬운 비밀번호를 사용하는 경우
아이디, 메일 주소, 전화번호, 생일과 같이 공개된 정보나 유추하기 쉬운 단어(password, admin, qwerty 등)를 그대로 또는 변경하여 사용하는 경우입니다. 1q2w3e4r 역시 국가기밀이라는 우스갯소리가 있을 정도로 사용 빈도가 높습니다. 이런 비밀번호는 단순 유추되는 정보로 입력해보거나 단어 모음집을 이용한 무차별 대입 공격(Brute-force)만으로도 로그인을 허용할 우려가 있습니다.
2. 하나의 비밀번호로 통일하거나 변경하지 않고 오랫동안 사용하는 경우
사용하는 모든 계정의 비밀번호를 하나로 통일하거나, 몇 년이고 똑같은 비밀번호를 사용한다면 제아무리 복잡한 비밀번호라도 안전을 장담할 수 없습니다. 방치된 취약한 홈페이지 하나만 공격이 성공해도 우리가 이용하는 모든 시스템의 마스터키를 도둑에게 쥐여준 것과 같은 피해를 유발할 수 있습니다.
3. 노출된 곳에 비밀번호를 방치하는 경우
비밀번호를 기억하기 어렵다고 모니터에 포스트잇으로 붙여두거나, 수첩에 적어놓거나, 바탕화면 메모장 등에 적어두는 경우입니다. 열쇠를 집 앞 화분 아래나 우편함 구석에 숨겨둔다고 안전하다고 할 수 없는 것처럼 비밀번호 역시 다른 사람이 마음대로 접근할 수 없도록 관리하여야 합니다.
[안전한 비밀번호 관리 방법]
1. 충분한 복잡도와 길이의 비밀번호 만들기
문자, 숫자, 특수문자 중 2종류-8자 이상 또는 3종류-10자 이상 권장
2. 정보서비스마다 다른 비밀번호 설정하기
3. 주기적으로 비밀번호 변경하기
4. 계정 보안 설정 적극 활용하기
2차 인증, 해외 IP로그인 차단, 로그인 알람 기능 등
바쁜 일상으로 인해 잠깐 비밀번호 관리에 소홀하셨다면 여러분의 안전한 정보 생활을 위해 잠시 시간을 내어 보시는 건 어떨까요?
정보인프라팀 김진영(security@korea.ac.kr)