그동안 인터넷 서비스 이용자들을 속 터지게 만들었던 까다로운 ‘비밀번호 규칙’이 완화될 전망입니다. 세계 각국과 기업들이 자체 비밀번호 규칙을 만들 때 표준으로 삼는 미국 국립표준기술연구소(NIST)가 새 지침을 만들었기 때문입니다.
보안성과 해킹 방지 등을 이유로 인터넷 사이트들이 요구하는 복잡한 비밀번호는 노인 등에게 가장 큰 ‘디지털 장벽’ 중 하나였습니다.
현재 인터넷 업체 대부분이 쓰고 있는 ‘영문 대소문자·숫자·특수문자 1개 이상 포함’ ‘90일 이후 비밀번호 변경’ 같은 규정은 NIST가 2007년 내놓은 지침에 근거하고 있습니다.
하지만 개인이 이용하는 IT 기기와 인터넷 서비스가 기하급수적으로 늘어나면서 문제가 생겼습니다. 비밀번호를 잊지 않기 위해 기존 번호에 !나 @ 같은 추측하기 쉬운 특수문자를 돌려쓰거나, 아예 수첩이나 다른 곳에 적어두는 경우가 빈번합니다.
복잡한 비밀번호가 오히려 보안성을 취약하게 만들고 있는 것이다.
미국 NIST는 지난달 공개한 ‘디지털 신원 지침(가이드라인)’ 개정안에서 ‘여러 문자유형을 섞어 쓰도록 하는 등 사용자에게 추가적인 비밀번호 규칙을 부과하는 행위’ ‘정기적으로 비밀번호 변경을 요구하는 행위’를 금기 사안으로 정했다고 합니다.
NIST는 20년 가까이 인터넷 보안의 표준이 됐던 지침을 바꾼 이유에 대해 “인간은 복잡한 비밀을 기억하는 능력이 제한돼 있기 때문에 쉽게 추측할 수 있는 암호를 설정하는 경우가 많다”며 “이를 보완하기 위해 여러 유형의 문자를 섞는 방식을 도입했지만, 유용하지 않고 기억을 못 해 발생하는 일이 심각하다는 사실을 알게 됐다”고 했습니다.
당초 IT 업계가 기대한 복잡한 비밀번호 유형은 ‘Vi@o^$90&54*’ 같은 난수형이었습니다. 하지만 정작 사람들은 기억하기 쉽게 영어 자판 왼손 위쪽에 있는 ‘qwer1234!’ ‘Qwer1234!@’ 등을 돌려 쓴다는 것입니다.
또 비밀번호를 60~90일처럼 짧은 주기마다 변경하도록 하면 오히려 사람들이 기억하기 쉽도록 더 단순하고 누구나 유추하기 쉬운 비밀번호로 설정한다는 결론도 나왔습니다. NIST는 “비밀번호가 유출되지만 않았다면, 굳이 주기적으로 바꿀 필요가 없다”고 설명했습니다.
대신 NIST는 비밀번호를 길게 만들 것을 권고했습니다. ‘B^$9t&5′처럼 복잡하지만 짧은 것보다는 ‘ReadTheNewspaper’처럼 기억하기 쉽지만 긴 암호가 보안 측면에서 더 효과적이라는 것입니다. NIST는 각 인터넷 사업자들에게 최소 8자, 최대 64자까지 암호를 허용할 것을 권장했습니다.
이외에도 모바일 인증번호, 생체인증 등을 활용한 2차 인증과 비밀번호 관리자 기능을 사용할 것을 권고했습니다.
글로벌 빅테크들은 ‘비밀번호도 안전하지 않다’는 생각에 새로운 보안 시스템을 도입하고 있습니다. 최근엔 지문, 얼굴인식과 같은 생체인증으로 온라인 서비스에 로그인을 하는 방식이 활용되고 있습니다.
현재는 스마트폰의 ‘잠금’을 풀 때 주로 활용되는데, 이를 로그인 때도 적용하는 것입니다. 대표적인 것이 구글·애플·삼성 등 빅테크가 뭉쳐 만든 ‘패스키’ 방식이다. 이용자가 스마트폰에서 이메일·은행 앱을 열고 지문이나 얼굴로 인식을 하는 것입니다.
출처: Copilot,조선일보,머니투데이