복잡한 비밀번호를 사용하고 주기적 재설정 해도 사이버 공격에 여전히 노출

9월 9일과 10일 양일간 열린 ‘FIDO 얼라이언스 서울 버추얼 세미나’에 참가한 170여 명의 인터넷 관련 전문가, 연구원, 대학생을 대상으로 실시한 설문조사에서 참석자의 42%가 자신의 온라인 계정이 탈취당한 경험을 가진 것으로 파악됐다.

흥미로운 사실은 설문조사 참가자 중 81%가 자신이 사용하는 온라인 비밀번호가 해킹이나 추측이 불가능한 정도로 복잡한 것으로 생각한다는 것이다. 이들은 2~3가지 종류 이상의 문자 구성으로 8자리 이상의 길이로 구성된 문자열을 사용하거나 알파벳 대소문자, 특수문자, 숫자 중 몇 가지를 혼합해서 웹사이트에서 요구하는 몇 자 이상으로 자신들의 비밀번호를 구성해서 사용한다고 밝혔다.

설문조사 참석자 71%는 단일 비밀번호를 사용하지 않고 최소 2~5개 비밀번호를 계정에 따라서 다르게 적용하고 있었으며, 24%는 2~3개월에 한 번씩 자신의 비밀번호를 변경하고 있는 것으로 조사됐다.

이러한 노력에도 불구하고 이들 중 40% 이상이 여전히 온라인 계정이 탈취되는 경험을 한 이유는 설문조사 내에서 그 답이 유추될 수 있다.

설문조사 참가자들이 보유하고 있는 온라인 계정의 숫자를 살펴보면 50개 이상 보유한 참가자가 18%였으며 36%가 30여 개, 5%가 40여 개 온라인 계정을 보유하고 있는 것으로 나타났다. 결국 자신이 기억해야 하는 계정별 복잡한 비밀번호가 수십 개가 넘어서면 이 모든 비밀번호를 기억한다는 것은 불가능에 가깝다.

결국 불가피하지만 설문조사 참가자 중 37%는 종이나 컴퓨터 파일 등에 자신의 비밀번호를 써넣고 관리하고 있다고 하니, 계정 유출 사고 위험성이 더 높아질 수밖에 없다.

이번 조사에 참여한 인터넷 보안 전문가는 “사용 중인 웹사이트에 비슷한 비밀번호를 적용해 오다가 해킹으로 탈취돼 비밀번호를 변경했으나, 나 자신 조차도 변경한 비밀번호를 기억하지 못하고 있다”고 말했다. 이어 “특수문자를 포함하라는 기준이 생겼지만, 기존에 수많은 곳에 적용한 비밀번호와 다르고, 가입하는 웹사이트마다 허용하는 특수문자의 제한이 있어서 이에 대한 기억을 일일이 하지 못한다. 자신이 변경한 비밀번호를 기억 못해 해당 비밀번호 재설정에 시간과 비용 낭비를 빈번하게 경험하고 있다”고 비밀번호 기반 로그인 기능 사용의 불편함을 토로했다.

미국립표준기술연구소(NIST)가 최근 발표한 패스워드 가이드라인에 따르면 주기적으로 비밀번호를 변경하는 것이 온라인 해킹 침해를 결코 막지 못한다고 한다. 주기적인 비밀번호 변경은 약한 비밀번호를 생성시킬 가능성이 높을 뿐만 아니라 사용자는 수십 개의 비밀번호를 기억하지 못해서 결국 어디엔 가는 써 놓게 된다는 것이다. NIST는 패스워드 가이드라인 개정을 통해 비밀번호를 특수문자를 포함한 여러 문자로 조합하고 일정 기간마다 바꾸도록 하라는 강제요건을 삭제했다.


출처 URL

https://www.boannews.com/media/view.asp?idx=91111&page=1&mkind=1&kind=3