광범위한 국내 공공 및 민간 온라인서비스의 패스워드 작성규칙을 좌우했던 정부 안내서가 발간 10년만에 개정된다.
6일 KISA 정보보호산업본부 보안인증지원단 박해룡 암호기술팀장은 '암호기술 이용활성화' 사업 일환으로 최근 10여년간 암호기술 관련 안내서 14종을 발간한 이력을 소개하며 발간한지 오래 된 일부 문서에 대해 "개정이 필요하다"고 언급했다. 특히 2008년 발간된 '패스워드 선택 및 이용 안내서(이하 안내서)'를 "연내 개정할 것"이라고 밝혔다.
박 팀장은 "(해당 안내서 개정판은) 2017년 나온 미국 국립표준기술연구소(NIST) 디지털아이덴티티 가이드라인(Digital Identity Guidelines)의 정책을 준용하면서 그걸 국내 환경에 맞게끔 (변형한 내용을) 반영할 것"이라고 말했다. 또 "최초 안내서는 이용자 관점으로만 다뤄졌는데, 앞으로 관리자 관점에 해당되는 내용도 추가할 계획"이라고 덧붙였다.
10년 된 KISA의 안내서는 이용자에게 '안전한 패스워드' 설정을 쓰도록 권고한다. 여기서 안전한 패스워드는 "세가지 종류 이상의 문자구성으로 8자리 이상의 길이로 구성된 문자열" 또는 "두가지 종류 이상의 문자구성으로 10자리 이상의 길이로 구성된 문자열"이다. 문자구성의 종류는 로마자 알파벳 대문자와 소문자, 특수문자, 숫자, 4가지 범주를 조합하라는 설명이다.
이는 국내 인터넷 이용자들에게 매우 익숙한 요구다. 현재 수많은 민간 기업과 공공기관의 온라인 서비스에서 이런 패스워드를 써야 한다. 웹사이트 가입시 회원가입시 알파벳 대소문자, 특수문자, 숫자 중 몇 가지를 혼합해 몇 자 이상으로 만들라는 요구를 받는다. 그리고 이런 패스워드를 '90일' 또는 최소 몇 달 이내에 한 번씩 바꿔야 한다. 전자서명에 필요한 공인인증서 패스워드를 쓸 때도 마찬가지다.
■ "알파벳 대·소문자, 숫자, 특수문자 조합한 패스워드 90일에 한 번씩 바꿔라"의 시작
이런 패스워드 문자 조합과 정기적인 변경 요구는 미국 NIST가 과거 발간한 '전자인증 가이드라인(Electronic Authentication Guideline)' 문서에 담겼던 규칙이다. 이 가이드라인은 서비스 관리자가 이 효과를 높이기 위해 나쁜 패스워드를 금지하고 일정 길이 이상으로 여러 문자를 조합하는 규칙(composition rules)을 강제할 수 있다는 내용을 포함했다.
가이드라인이 이런 요구를 하는 이유는 뭘까. 이용자의 계정탈취를 목적으로 패스워드 추정을 시도하는 공격자의 존재를 가정하고 있어서다. 이용자가 패스워드를 직접 선택시 단순하고 일반적인 문자 조합을 쓰는 '나쁜' 패스워드를 피하고 일정기간마다 새 패스워드를 써야 그걸 추정하는 공격에서 상대적으로 안전하다는 논리다.
NIST 전자인증 가이드라인의 논리는 10년전 KISA의 안내서에 반영됐고, 이는 또 국내 각 부처가 관할하는 조직이나 산업분야 대상 보안규정, 지침, 고시 등 기준에서 일종의 모범사례로 제시됐다. 이런 해석은 행정안전부 고시가 공공기관 웹사이트에, 금융감독원 가이드라인이 금융산업 전산환경에, KISA의 정보보호관리체계(ISMS) 인증기준이 그 인증을 받는 대형 민간 정보통신사업자 환경에 반영됐다.
실제로 KISA 가이드에 담긴 내용이 정부부처의 여러 보안 및 정보보호 관련 기준에 어떻게 적용되고 있느냐고 묻자, 박 팀장은 "방송통신위원회의 개인정보보호 관련 고시에서 본 가이드를 참조하고 있다"며 "행정안전부, 포털사이트 등에서도 참고한다고 알고 있다"고 언급했다. 국내 공공과 민간을 가리지 않고 대다수 온라인서비스가 패스워드 조합 규칙과 일정기간마다 패스워드 변경 요구하게 된 배경이다.
■ 패스워드 선택 및 이용 안내서의 '안전한 패스워드'는 실제로 안전한가
하지만 이용자 입장에서 회원가입한 여러 사이트가 패스워드에 여러 종류 문자를 조합하고 일정 기간 변경하도록 강제하면, 기억하기가 어려워진다. 여러 사이트에 비슷하거나 동일한 패스워드 조합이나 패턴을 반복적으로 쓰게 된다. 이는 그 중 특정 사이트의 서버가 해킹당해 이용자 계정정보가 유출됐을 때, 해커에게 다른 사이트 로그인을 허용하는 위험을 유발한다.
보안컨설팅회사 플라이하이의 김기영 대표는 "패스워드의 효과는 중간자(MITM)공격으로 한번 가로채이면 끝인데, 유독 패스워드에 의미를 부여하고 어떻게 쓰라 제한하는 게 적절한지 의문"이라며 "정 규칙을 적용하려면 패스워드 문자열의 길이를 가능한 길게 지원하고, 입력 실패시 재시도 회수 제한을 거는 정도가 낫고, 그마저 유효하려면 통신채널과 서비스 운영시스템부터 더 잘 보호돼야 한다"고 지적했다.
미국 NIST에서도 이런 문제를 인정하고 지난해 전자인증 가이드라인에서 이용자를 성가시게 했던 패스워드 관련 내용을 삭제했다. 패스워드 문자를 여러 문자로 조합하고 일정 기간마다 바꾸도록 하라는 강제 요건이 빠졌다는 얘기다. 개정된 문서는 '전자인증 가이드라인' 대신 '디지털 아이덴티티 가이드라인'이라는 제목을 쓰게 됐다. KISA가 10년만에 안내서를 개정하며 참고하겠다는 바로 그 문서다.
관련기사
- KISA "양자컴퓨팅 시대, 양자내성암호로 대응해야"2018.11.06
- 미래 전자서명기술은?..."편의-보안 두 토끼 잡아야"2018.11.06
- 최악 비밀번호…올해도 '123456'2018.11.06
- "안전한 비번 만드는 비법, 보안에 도움 안된다"2018.11.06
하지만 KISA가 '패스워드 선택 및 이용 안내서'를 개정하면서 패스워드 조합 규칙과 같은 기준을 삭제할지는 미지수다. 박 팀장은 "우리는 온라인 서비스 제공자들이 중요 (개인)정보를 보유하고 있는데, 해외 서비스는 허위정보만 입력해도 가입할 수 있어 보호해야 할 내용이 별로 없다"며 "한국과 해외 사정이 다르기 때문에 (패스워드 조합 규칙 삭제는) 우리 환경을 더 따져봐야 한다"고 말했다.
미국 NIST는 이용자 보호 측면에 실익이 없다고 판단, 운영시 더 나은 기법을 강구하라는 차원에서 패스워드 조합 규칙을 삭제한 것으로 보인다. NIST와 달리 KISA 측은 여전히 이용자 환경에서 패스워드 조합 규칙에 실질적인 보안 효과가 있다는 입장이다. KISA는 가이드 개정 과정에 일반 이용자 의견 수렴을 계획하진 않았지만, 보안전문가 자문과 민간업계 의견수렴을 거칠 예정이라고 밝혔다.