보안업체의 권고사항과 네이버, 다음, 네이트의 비밀번호 변경방식 비교.

최근 네이트와 싸이월드 가입자 3500만 명의 개인정보가 유출된 사건으로 인해 해킹이나 악성코드 유포, 개인 비밀번호 유출 등과 같은 사이버 범죄에 대한 우려가 그 어느 때보다도 높다. 관계 기관들은 해당 사건에 대한 직접 조사는 물론이고, 주민번호를 사용하지 않고 본인을 확인하는 수단인 '아이핀' 인증절차를 간소화하며 주요 웹사이트의 네트워크 모니터링을 강화하는 등 각종 대책을 내놓고 있다.

 

그 중에서도 눈에 띄는 게 해킹 방지를 위한 비밀번호 변경 캠페인인데, 이 참에 어떻게 하면 우리가 좀 더 안전한 비밀번호를 설정할 수 있는지를 확실히 알아보도록 하자.

 

[네이트의 개인정보 유출 피해예방 센터 화면 캡쳐]

언제나 마찬가지이지만, '다른 이들이 뭘 어떻게 해주겠지'하며 가만히 있는 것보다는 각 개인이 스스로 할 수 있는 일은 다 해놓는 게 낫다. 어차피 점점 더 사회의 보안의식 수준은 전체적으로 높아지고 관련 대책들은 계속 많이 나올 테지만, 우리들 각자가 지금 당장 할 수 있는 자구책을 강구하는 것 자체가 어떤 식이 되었든 조금이라도 피해를 줄일 수 있는 방법이기 때문이다.

 

그래서 주요 사이트를 중심으로 안전하게 비밀번호를 설정하는 방법을 한 번 따라가보고, 비밀번호 변경 시에 실제로 어떻게 표시가 되는지도 살펴보자. 개인적으로도 직접 이런 식으로 비밀번호를 변경했고, 그 과정을 지금부터 그대로 보여주겠다.

 

[안철수연구소(http://www.ahnlab.com) 보안정보 발췌]

본격적으로 얘기를 시작하기 전에, 인터넷 웹사이트의 비밀번호를 설정하는 데 있어서 우리가 꼭 알고 있어야 할 점들에 대해 명확히 짚고 넘어가고자 한다. 위의 표는 우리가 일반적으로 사용하는 패스워드의 조합을 해독하기 위해 필요한 시간을 나타낸 것이다. 보면 알겠지만, 사람들이 주로 사용하는 7자 이하의 비밀번호는 8자 이상의 비밀번호보다 훨씬 빨리 해킹할 수 있으며, 특히 영문소문자로만 입력하거나 거기에 숫자를 더해서 설정한 패스워드는 영문대문자를 조합하거나 특수문자까지 입력한 패스워드에 비해 그 보안성이 상당히 취약한 것으로 나온다. 아마 일반적으로 가장 많은 이들이 사용하는 패스워드가 영문소문자와 숫자의 조합일 텐데, 이 경우 8자로 비밀번호를 설정해도 최장 13일이면 패스워드를 해킹할 수 있는 것이다.

 

 

그 아래에는 안철수연구소가 제시한 '안전한 패스워드를 만드는 방법'인데, 이를 보면 우리는 비밀번호를 (길면 길수록 더 안전하긴 하겠지만, 이는 현실적으로 어려우니) 최소한 8자 이상으로 설정해야 하며, 영문대문자나 특수문자 등 다양한 조합의 비밀번호를 만들어야 하고, 개인의 신상명세를 통해 유추가 가능한 정보를 사용해서는 안 된다는 걸 알 수 있다. 또한 기본적으로 각 사이트의 패스워드는 달라야 하며, 주기적인 변경도 필수이다. 일단, 일반론은 (마지막에 다시 정리할 테니) 여기에서 멈추고, 실제로 각 사이트에서는 어떻게 비밀번호를 설정하는지 서로 비교하면서 알아보자.

- 네이버 (https://nid.naver.com/user/help.nhn?todo=pwinquiry)

 


Naver는 영문과 숫자, 특수문자를 혼용해서 6자~16자의 비밀번호를 설정할 수 있다.
[한국의 가장 대표적인 포털사이트이고 점유율과 매출액이 제일 높은 것으로 알고 있지만, 여타 사이트와 비교해 어떤 특별함도 보이지 않는다. 비밀번호 자릿수도 가장 짧다]



새로운 비밀번호를 입력하면 오른쪽에 '비밀번호 안전도'가 출력되고, 자릿수나 조합이 적절하면 안전도가 높아지면서 예측하기 힘든 비밀번호라고 표시된다. 그러니 비밀번호 안전도가 반드시 '높음'이 되도록 새로운 비밀번호를 설정하자.

- 다음 (https://user.daum.net/finduser/findpw.do?t__nil_loginbox=password)

 


Daum은 영문 대/소문자, 숫자, 특수문자를 혼합해서 6자~32자의 비밀번호를 설정할 수 있다.
[그나마 3대 포털 중에는 자릿수가 가장 길고, 안내도 직관적으로 되어 있는 편이다]


새로운 비밀번호를 입력하면 오른쪽에 '보안등급'이 출력되고, 이를 참고해서 안전한 비밀번호로 변경하라는 안내가 적혀있다. 패스워드의 자릿수와 조합을 적절하게 설정하면 보안등급이 변하니, 반드시 '강력'으로 표시되는 비밀번호를 입력하도록 하자.

- 네이트 (http://helpdesk.nate.com/userinfo/exMemberInfo.asp?pgcode=search)

 


이번에 사고가 난 Nate는 영문과 숫자, 한정된 특수문자 몇 개를 조합해서 6자~20자의 비밀번호를 설정할 수 있다.
[사건의 당사자인데도 불구하고, 아직까지도 그다지 우수한 비밀번호 변경 정책을 보여주지 못하고 있음이 확인된다]



새로운 비밀번호를 입력하면, 그 수준에 따라 오른쪽에 짧은 안내문구가 출력되는 것을 볼 수 있다. 반드시 '안전함'으로 표시되는 패스워드로 설정하자.

그러면 다시 돌아와서, 해킹으로부터 안전한 비밀번호를 설정하는 방법에 대해 구체적으로 알아보도록 하자. 한국의 3대 포털사이트의 비밀번호를 직접 변경해보니, 보통 12자 내외로 영문 대/소문자와 숫자, 특수문자를 조합해서 입력하면, 실제로 모두가 '높음', '강력', '안전함'으로 표시된다는 것을 알 수 있었다. 그러니 기본적으로, 포털사이트의 새 비밀번호 가이드라인에서 오른쪽에 표시되는 단어(높음, 강력, 안전함)를 확인하며 최상의 수준만 맞춰도, 보안업체의 제시 수준은 충족된다.
[다만 네이버, 다음, 네이트 공히 비밀번호를 6자부터 설정할 수 있도록 되어 있는데, 이것은 최소 8자 이상으로만 가능하도록 하루빨리 변경되어야 할 것으로 보인다]

여기서 중요한 게, 영문대문자와 특수문자의 사용인 것 같다. 보통은 귀찮아서 영문소문자와 숫자만을 설정하는 경우가 많을 텐데, 위의 표를 봐서 알겠지만 이렇게만 조합하는 것과 영문대문자, 특수문자를 함께 입력하는 것은 정말 엄청난 차이가 있다. 보안업체의 안내도 그렇고 각 포털의 안내 문구에서도 볼 수 있듯이, 특수문자를 섞어서 사용하면 도용의 위험이 크게 줄어든다고 하니, 꼭 영문대문자와 특수문자를 비밀번호 안에 포함시키도록 하자. 그럼 이쯤에서 일반론으로, 안철수연구소가 전하는 패스워드를 요령 있게 관리하는 법을 그대로 옮겨보겠다.

 

 

 * 나만의 규칙을 만들어라
: 패스워드를 만들 때 내가 기억하도록 쉽게 하기 위해 특정 규칙을 적용해 보자. 예를 들어 특정 단어의 홀•짝수 번째 문자만 추출해 만든다. AhnLabHongGilDong의 경우 홀수 문자만 추출한다면 Ana@HnGlog이란 패스워드가 만들어진다.
 
* 중요도에 따라 사이트를 구분하라
: 모든 사이트의 계정을 철저하게 관리하기란 쉽지 않은 일이다. 금융기관과 같은 중요한 웹 사이트와 그렇지 않은 사이트의 패스워드를 다르게 설정하여 사용자 입장에서 효율적인 관리가 이루어지도록 한다.
 
* 각 인터넷 서비스에 따라 조금씩 변화를 주자
: 포털과 커뮤니티 사이트와 같이 일반적인 인터넷 서비스를 이용하는 사이트의 패스워드라면 해당 사이트의 이름을 넣어서 만들면 기억하기 훨씬 편하다. 예를 들어 ‘NAV*HnGlog’, Yah@HnGlog’, ‘955@HnGlog’와 같이 변형된 패스워드를 만드는 것이다.
 
* 기억하기 힘든 패스워드는 암호를 적용한 파일에 보관하라
: 기억하기 힘든 중요한 계정은 아이디와 패스워드를 각각 분리하여 별도 파일로 보관한다. 이 파일은 하드디스크에 보관하기 보다는USB 등에 보관하기 것이 더 안전하다. 특히, 엑셀이나 워드에서는 문서 암호화 기능을 지원하므로 반드시 암호를 적용해 문서를 저장하는 것이 좋다. (워드 및 엑셀 파일 암호 설정 방법: Office 단추-준비-문서 암호화 선택-암호 입력-저장)

 

[안철수연구소(http://www.ahnlab.com) 보안이슈 발췌]

마지막으로, 이번 포스트에서 다룬 내용을 간단하게 정리해 보도록 하자.

- 해킹으로부터 안전하게 비밀번호를 설정하는 방법
1. 비밀번호는 최소 8자 이상, 되도록이면 10자가 넘게 설정하고, 영문 대/소문자와 숫자, 특수문자를 모두 조합해서 사용한다.
2. 중요도에 따라 각 사이트를 구분하고, 해당 사이트의 이름과 관련된 자신만의 특정한 규칙을 만들어서 패스워드를 변화시키면 편리하다.
3. 비밀번호는 주기적으로 변경한다.


지금 바로 각 사이트의 비밀번호를 변경하길.. Right now~!

 

신고
The Story of ART

Posted by Arthur Jung

댓글을 달아 주세요

  1. soo 쑤 2011.08.06 05:32 신고  댓글주소  수정/삭제  댓글쓰기

    좋은 정보 감사드려요.

  2. 나이트세이버즈 2011.08.25 19:17 신고  댓글주소  수정/삭제  댓글쓰기

    대체로 아는 내용이지만 문제는 귀차니즘인 것 같네요. 어렵게 해놓으면 기억하기도 쉽지 않고... 이래저래 난감합니다. 잘 읽고 갑니다.

    • Arthur Jung 2011.08.25 19:40 신고  댓글주소  수정/삭제

      네~ 그렇죠..
      비밀번호를 바꾸고 나서도 익숙해지기까지 시간도 좀 필요하구요 >.<
      중요도에 따라 사이트를 구별해서, 간단한 비밀번호와 복잡한 비밀번호를 나눠서 사용하는 것도 필요할 것 같습니다~
      댓글 남겨주셔서 감사합니다^^

  3. 2015.07.19 21:45  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다