패스워드를 제대로 관리하는 방법

전문가 칼럼입력 :2014/07/16 09:10    수정: 2015/10/19 11:41

김호광 gameworker@gmail.com

인터넷과 스마트폰이 대중화되면서 우리는 패스워드 공해에 직면하게 되었다. 전국민의 비밀번호가 중국으로 무단 수출되었다는 의혹도 있지만, 패스워드의 범람은 현대 사회를 살아가는 우리에게 또다른 스트레스로 다가오고 있다.

패스워드를 만들고 관리하는 방법은 많이 있지만 기억하기 쉽고 간단하며 강력한 방법을 소개한다.

구분하기

패스워드 만들기에 앞서 먼저할 것은 자신이 가입한 사이트를 정리하고 목적에 맞게 구분하는 것이다.

1. 금융권 사이트/SNS/포털/쇼핑/기타 사이트를 나눈다.

2. 노출되면 안되는 사이트와 유출되도 큰 타격이 없는 사이트 비밀 번호를 다르게 한다. 기타 유출되도 되는 사이트 비밀번호의 경우 필자는 암기할 필요도 없는 비밀 번호를 사용한다.

3. 중용한 사이트 비밀 번호는 포털/쇼핑/기타 사이트에서 한 번이라도 쓰지 않는 비밀 번호로 한다.

스토리를 덧붙여라

비밀 번호가 복잡하면 복잡할수록 기억하기 힘든 것이 단점이다. 최근 들어 비밀 번호에 보안을 강화하기 위해서 대소문자와 특수문자(!@#$%^&*)를 넣으라는 사이트가 점점 늘어나고 있다. 기술적으로 4자리 숫자로된 비밀 번호는 조합할 경우 1만번 입력하면 되기 때문에 아무리 느린 컴퓨터라도 5분 이내 4자리 숫자의 비밀 번호를 뚫을 수 있다.

야구 마니아인 필자의 친구는 자신이 선호하는 야구 구단과 선수 이름, 등번호 등을 조합하여 비밀 번호를 만들고 있다. 자신만의 스토리가 있어야 인간의 뇌는 리듬감 있게 패스워드를 기억할 수 있다. 중국 모 게임 포털에서 일하는 보안 담당자의 경우 자신의 집 서재에 있는 책 제목과 개인만이 알 수 있는 정보를 인덱스로 사용해서 200 여대의 서버의 패스워드를 만들고 관리한다고 한다.

필자의 경우 패스워드를 만들 때 althsu!rlaxogml80*))과 같은 패스워드를 만들어 기억한다. 이런 스토리텔링은 패스워드를 다시 기억하고 관리할 때 강력한 힌트가 된다.

차이두기

작은 허리케인이 다른 두 개의 기상 전선과 충돌해서 대형 폭풍이 발생한 것을 퍼펙트스톰(Perfect Storm)이라고 한다. 2008년 미국 글로벌 경제 위기와 달러 가치 하락, 유가와 국제 곡물 가격의 상승이 발생하자, 이 용어는 경제 용어로 자리 잡았다.

몇 년 전, 모 게임 아이템 거래 사이트가 해킹 당함에 따라 아이템 거래 사이트에 계정을 둔 온라인 게임 계정 A부터 Z까지 모두 털리는 사태가 게임 포털측에서 발견되었다. 필자는 이 역시 사이버 보안의 퍼펙트 스톰이라고 본다.

이런 연쇄적인 계정 도용 사건이 나타나는 이유는 유저가 같은 패스워드를 장기간 사용하기 때문이다.

그래서 금융권 사이트와 현금화가 가능한 아이템이 있는 게임 사이트의 경우 패스워드를 조금 다르게 관리한다. 필자는 이런 스타일을 둔다. 이름하여 꼬리 달기다.

·대한은행: althsu!gksdPtmf81*!eogks (해석: 미소녀!한예슬81*!대한)

·민국은행: althsu!gksdPtmf81*!alsrnr(해설: 미소녀!한예슬81*!민국)

한 번 더 강조할 것은 웹하드 혹은 야동 사이트, 금융 사이트 아이디와 비번을 동일하게 사용하는 실수를 범하지 말아야 한다는 것이다.

변경하기

패스워드는 정기적인 변경이 중요하다. 일반적으로 만들어진 사이트의 경우 3개월 정도가 되면 패스워드를 변경하라는 메시지를 띄운다. 패스워드가 3개월에 1회 변경이라는 원칙은 과거 386급 컴퓨터가 8자리 이상의 패스워드를 풀기 위해서 걸리는 시간이 대략 100일 정도였던 통계에서 나온 것이다. 컴퓨터 성능과 클라우드가 발전한 현 시대에는 위험할 수 있는 변경 기간이다.

필자가 권장하는 패스워드 변경은 매달 하거나 그것이 번거롭다면, 홀수 달이나 짝수 달의 첫 날 혹은 첫 주말에 변경하는 것이다.

1. 패스워드 변경은 되도록 집에서 한다.

2. 공공 인터넷이나 무료 인터넷은 피한다.

3. 같은 날 모든 패스워드는 변경한다.

4. 패스워드 재활용은 하지 않는다.

여기서 가장 주의할 점은 한 번 사용한 패스워드는 영구 폐기해야지 재활용하면 안된다는 것이다.

유출된 사이트 찾기

보안 스캐닝을 하거나 해킹 당한 사이트를 살펴보다보면 의외로 오래된 사이트가 보안이 허술한 경우를 볼 때가 많다. 특히 고객의 민감한 정보를 제대로 암호화하지 않거나 너무 과도한 정보를 저장했다가 해킹 툴에 의해서 털리는 경우가 많다. 심지어 털린줄도 모르는 경우도 있다.

필자가 십여년간 쓰고 있는 방법이였지만, 미국의 영화배우가 써서 절친과 가십을 찌라시에 팔아 먹는 가짜 친구를 구분한 방법을 소개하겠다.

킴 카사디안은 출산 후 자기 절친 6명에게 아기 사진을 보냈다고 한다. 그 중 한장이 파파라치에게 팔렸다고 한다. 놀라운 반전은 킴 카사디안은 6명의 친구들에게 각각 다른 사진을 보냈다고 한다. 자신의 가십을 팔아 살아가던 가짜 친구를 찾아낸 것이다.

한국의 경우 사이트 가입에 있어서 ‘성적 취향’을 제외하고 사돈의 팔촌까지 물어볼 정도로 쓸모 없는 정보를 물어본다. 쇼핑몰 마케팅이나 사행성 게임, 대출 중계 업체들이 노리는 고객 정보들은 이런 부가 정보에 가득 담겨 있다.

필자가 아는 분은 결혼 기념일은 1월 1일부터 12월 25일까지 각각 다르게 입력하고 학력이나 취미 활동을 사이트 별로 겹치지 않게 입력해서 개인 정보가 유출된 사이트를 추적했다. 참고로 필자가 해외 사이트 주소지로 기입하는 주소는 워싱턴D.C 16000번지(미국 백악관 주소)나 샌프란시스코 94105 번지(구글 본사 주소)이다.

■탈퇴를 하기 위한 정보 비틀기

필자의 경우 자주 들어가지 않지만 가끔 들어가는 사이트의 경우 개인 정보 일체를 갱신하지 않는다. 필요에 따라 1년에 한 번정도 정기적으로 자주 찾지 않는 사이트는 탈퇴를 원칙으로 한다.

탈퇴를 할 때의 원칙은 다음과 같다.

1. 개인 정보는 임의로 변경한다.

2. DM 및 SMS 받기는 해지한다.

3. 거의 쓸모가 없다면, 이메일 주소와 전화 번호를 변경한다.

관련기사

이렇게 개인 정보를 변경하고 탈퇴하는 것은 몇몇 사이트의 특성상 탈퇴한 고객이라도 짧게는 3개월 길게는 6개월 이상 개인 정보를 보유하기 때문이다. 심각하게는 사이트 관리자가 개인 정보 삭제를 잊어서 그대로 DB에 두는 경우도 있다.

앞으로 과학이 더 발전하여 생체 인식과 같은 절대적인 패스워드가 등장하게 될 것이다. 그렇더라도 개발 비용의 문제나 여러 이유로 텍스트를 입력하는 패스워드의 중요성은 감소하지 않을 것이다.

*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.