패스워드 홍수 속에 살아가고 있다. 웹사이트와 앱을 사용하려면 ID와 함께 패스워드를 입력해야 한다. 그런데 사용하는 웹사이트와 앱이 하도 많다 보니 패스워드를 정하는 작업이 여간 번거로운 일이 아니다. 패스워드 하나로 ‘돌려막기’를 하자니 해킹에 한번 뚫리면 다른 웹사이트도 피해가 걱정된다. 또 각기 다른 패스워드를 사용하다 보면 입력할 때마다 잊어버리기 일쑤다. 복잡한 패스워드 규정을 적용하는 웹사이트는 패스워드를 기억하기 더 어렵고 정기적으로 패스워드 변경을 요구할 때마다 번거롭다. 이 같은 비효율적인 패스워드 규정을 개선하기 위해 최근 정부 기관이 새 패스워드 지침을 공개했다.

■너무 복잡한 패스워드 오히려 취약

여러 웹사이트와 앱이 안전한 패스워드 사용을 위한 규정을 적용한다. 일정 숫자 이상의 문자, 특수 문자, 정기적인 변경 등을 요구하는 패스워드 작성 규정을 쉽게 접할 수 있다. 연방정부에서 이 같은 패스워드 규정이 득보다 실이 많기 때문에 적절한 수정이 필요하다고 지적했다.

‘국립표준기술연구소’(NIST·The National Institute of Standards and Technology)는 갈수록 범람하는 신분 도용 피해로부터 인터넷 사용자들을 보호하기 위한 새 패스워드 지침을 공개했다. 지침은 현재 널리 사용되는 패스워드 규정이 시대에 처진, 비효율적인 규정이라는 사이버 보안 업계의 지속적인 지적 끝에 마련됐다. 지침에는 ‘%’, ‘$’와 같은 특수문자 사용과 어린 시절 친구 이름, 생애 첫 반려동물과 같은 보안 질문을 요구하지 않는 내용 등이 포함됐다.

NIST는 새 지침은 인터넷 사용자들이 큰 도움이 되지 않는 규정에 시간 낭비를 줄이고 더 안전한 패스워드를 선택하도록 유도하기 위해 마련했다고 밝혔다. 시장 조사 기관 포레스터에 따르면 회사 직원들이 패스워드를 기억하거나 새 패스워드로 변경하는데 연평균 11시간을 허비하는 것으로 조사됐다. 사이버 보안 업계에 따르면 특수 문자 사용과 같은 규정이 패스워드를 더 안전하게 작성하는 효과는 미미하다. NIST는 “쉽게 기억하기 힘들 정도로 매우 복잡한 패스워드는 종이에 적거나 안전하지 않은 파일 형태 저장되는 경우가 많아 범죄에 오히려 취약하다”라고 지적했다.

■새 지침, ‘띄어쓰기·유니코드’ 허용

새 지침이 시행되면 인터넷 업체, 정부 기관, 기타 온라인 서비스 업체는 정기적으로 패스워드를 변경하는 규정을 중단해야 한다. 마이크로소프트는 패스워드 변경 규정이 별 효과가 없다고 판단해 이미 2019년 관련 규정을 중단한 바 있다. 패스워드 관리 업체 대시래인의 한스 라지 쿠마 디렉터는 “잦은 패스워드 변경 규정은 결과적으로 덜 안전한 패스워드를 사용하도록 유도한다”라고 지적했다.

NITS의 새 지침은 특수 문자 사용을 금지하고 대신 뛰어 쓰기와 ‘유니코드’(Unicode) 사용 등을 허용한다. 따라서 새 지침이 시행되면 ‘비 오는 날 연못에서 수영’(A Swim in the Pond in the Rain) 또는 ‘이렇게 기분 좋은 시절이 없었다.’(Good times never felt so good.)처럼 문장 형태의 패스워드 사용도 가능하다.

■잦은 변경 오히려 취약

별다른 문제나 피해가 없었다면 현재 패스워드를 그대로 유지하는 것도 괜찮다. 사이버 보안 전문가들에 따르면 잦은 패스워드 변경은 오히려 디지털 범죄 피해에 취약하게 할 수 있다. NIST는 정보 유출 등의 피해가 없었다면 패스워드를 바꿀 필요가 없다고 권고한다.

해킹으로 인한 정보 유출이 발생하면 해당 업체는 이메일이나 우편으로 사용자의 정보 유출 사실을 통보해야 한다. 만약 이 같은 통보를 받았다면 건강, 금융, 소셜 미디어 등 민감한 개인정보가 담긴 인터넷 계정의 비밀번호를 즉시 변경한다. 그런 다음 에퀴팩스, 익스페리언, 트랜스유니언 등 3대 신용 평가 기관에 연락해 신용 동결을 요청해야 한다.

■반드시 8개 이상, 최소 15개 문자

‘단어123’과 같이 추측이 쉬운 패스워드를 사용하는 사람은 이제 없다. 최소 이보다 복잡한 조합의 패스워드를 사용해야 해킹 피해를 방지할 수 있다. NIST에 따르면 패스워드에 반드시 8개가 넘는 문자가 사용되어야 하고 최소 15개 이상의 문자를 사용하면 더 안전하다. 추측이 가능한 웹사이트 이름이나 사용자 이름을 사용하는 것도 피해야 한다.

예를 들어 사용자의 생활과 관련된 자녀의 이름, 반려동물 이름 등을 사용하면 해킹 피해를 보기 쉽다. 사이버 범죄자들은 각종 소셜 미디어에 접속해 개인 정보를 최대한 파악한 뒤 해킹에 나선다.

또 사전에서 임의의 단어를 골라 패스워드에 사용하는 것도 위험한 방법이다. 사이버 범죄자들은 ‘크리덴셜 스터핑’(Credential Stuffing) 기법으로 패스워드를 알아내기 위해 끊임없이 노력한다. 크리덴셜 스터핑은 불법으로 유통되는 계정 정보를 다른 웹사이트에 무작위로 대입해 이용자의 정보를 빼내는 자동화 해킹 수법이다. 문장이나 특수문자와 숫자가 포함된 패스워드를 사용하면 크리덴셜 스터핑 공격에 보다 안전한다.

■패스워드 관리 앱 사용

여러 패스워드를 종이에 적어 보관하는 것은 물론 스프레드시트, 노트패드 등에 저장하는 것도 안전하지 않다. 이들 프로그램은 패스워드와 같은 중요한 정보를 해킹으로부터 보호하는 기능이 없기 때문이다. 적어 놓은 종이를 잃어버리거나 저장 파일을 실수로 삭제하는 경우도 낭패다. 패스워드 관리 앱은 사용자의 패스워드를 안전하게 저장하고 각 사이트에 로그인할 때 자동으로 입력하는 서비스를 제공하고 일부 서비스는 암호화를 통해 직원들의 접속을 차단한다.

패스워드 관리 앱을 사용하면 복잡한 패스워드를 매번 기억해야 하는 불편함 없이 안전하게 사용할 수 있다. ‘대시레인’(Dashlane)과 ‘1패스워드’(1Password) 등의 패스워드 관리 앱은 안전한 패스워드를 자동으로 생성해 주고 각 계정에 로그인할 때 입력을 돕는다. 애플과 구글도 자체 운영시스템을 통해 무료 패스워드 관리 프로그램을 제공한다.

■패스키 사용

패스키는 패스워드의 간편한 버전으로 보면 된다. 패스키를 한 번 설정하면 이후부터 자동으로 로그인된다. 패스워드 등 개인 정보를 입력하는 대신, 패스키는 기기를 잠금 해제할 때 사용하는 것처럼 안면 인식이나 지문 스캔 등이 필요하다. 패스키는 암호화를 통해 사용자가 본인임을 증명하는 방식으로 작동된다. 구글, 마이크로소프트 등 주요 IT업체들이 패스키를 지원하며, 패스워드 앱을 통해 패스키를 다른 비밀번호와 함께 저장할 수 있다.