복잡한 비밀번호, 오히려 보안 취약하다? [임주형의 테크토크]
현재 전 세계 홈페이지에서 보편적으로 쓰이고 있는 비밀번호 설정 가이드라인은 사실 지난 2003년 미국 국립표준기술연구소(NIST)에서 만들어진 방침입니다. 당시 NIST에서 매니저로 근무했던 미국인 연구원 빌 버 씨가 제작한 것으로, 이 가이드라인은 이후 전 세계 모든 온라인 계정 비밀번호 설정 규정의 기준이 됐습니다.
당시 버 씨가 제안했던 안전한 비밀번호 설정 규정은 ▲알파벳 대소문자, 숫자, 특수문자를 혼합해 패턴을 읽을 수 없는 비밀번호를 설정하라 ▲주기적으로 비밀번호를 바꾸라 등이 있습니다. 현재 우리에게는 매우 친숙한 문항들입니다.
하지만 이 규정이 지난 2017년 6월 부분적으로 폐기됐다는 사실을 아시나요? 당시 NIST는 특수문자 입력, 비빌번호 만료 기한 설정 권고를 지침에서 삭제했습니다. 이런 규정이 실제 계정 보안에 큰 도움을 주지 못했다는 이유에서였습니다.
같은 해 8월 버 씨는 미 매체 ‘월스트리트저널(WSJ)'과 인터뷰에서 이 같은 지침을 삭제한 이유를 밝혔습니다. 당시 그는 자신이 2003년 만든 권고안에 대해 “보안 관점에서 좋지 않은 방식이었다”고 고백했습니다.
재밌는 기사가 있네요.
이 규정을 제창한 버씨는 여러숫자, 문자를 조합한 비번이 자신도 기억하기 힘들어서 한번 만들고 나면 여려 계정에 돌려쓰는 경향이 있었고, 만료기한을 설정하면, 숫자 1개만 살짝 바꾸고 말았다고 합니다.
이 때문에 해커가 특정 계정의 비번 패턴을 파악하기 더 쉬워져서 한개의 비번만 알아내도 여러계정이 털릴수 있어 계정보안이 더 취약해졌다고.
그러면서 버씨는 “당신이 기억하기 쉬운 단어, 문장 등으로 구성된 긴 암호가 더 나을 수 있다”고 밝혔습니다.
복잡한 비번보다는 긴 비번을 추천했습니다.
요즘 공격 기법은 다양한 문자를 병렬작업 기능을 이용해 1초에 최대 수천번이상 대입하는 방식으로 진행되는데,
가장 효육적인 방어수단은 비밀번호의 경우의 수 자체를 늘리는 것이고,
NIST권고에 따르면 15자 이상 문장형 암호를 이용하면 최신장비에서도 장시간 버틴다고 합니다.
역시 이상과 현실은 몇광년씩 떨어져있는거 같네요.