아마추어 팀블로그

개인보안의 첫 걸음, 비밀번호 관리 꿀팁 본문

IT/IT 일반

개인보안의 첫 걸음, 비밀번호 관리 꿀팁

탓치 2016. 2. 4. 23:54

 

요즘은 IT 기술로 정말 많은 일을 할 수 있습니다. 인터넷 뱅킹으로 자산조회, 송금 등의 업무를 처리하고, 팩스도 앱으로 보내니 큰 팩스 기기도 필요없어졌을 뿐더러, 배달의민족이나 요기요 같은 배달서비스는 전화해서 주문하는 걸 부끄러워하는 소심이들에게 큰 사랑을 받고 있죠. 소개팅도 더 이상 지인에게 조를 필요없이 니즈가 있는 사람들이 모여있는 소개앱을 열어 조건에 맞는 사람을 찾으면 된다고 하니, 엄청난 변화의 한 가운데에 서있는 건 분명해보입니다.

얼마 전 애플을 제치고 시가총액 1위로 우뚝선 알파벳은 구글의 지주회사입니다. 알파벳은 정말 안 하는 사업이 없는 것 같네요. 전통적인 검색과 모바일 광고 사업 말고도 안드로이드 OS, 구글플러스, 구글 사진 서비스, 유튜브, 구글맵, 구글드라이브, G메일, 사물인터넷, 무인자동차, 유명하진 않지만 구글 헬스 등의 헬스케어 관련해서도 손을 뻗쳐둔 상태입니다.

구글의 이 모든 서비스를 구글 아이디 하나로 이용할 수 있습니다. 편하죠. 하지만 편한만큼 구글 계정 탈취로 인한 피해는 상상이상으로 커질 수 있습니다. 여러분이 사용하시던 메일들, 자동 업로드 중이던 사진들, 개인적인 유튜브 영상들, 구글드라이브의 문서들이 악의적인 공격자에게 넘어간다고 상상해보세요. 이러한 IT 자산들을 탈취하여 대가를 요구하고, 민감한 정보를 공개하겠다며 협박해오는 사람들이 있다면 얼마나 곤란하겠습니까.

사실 편의성과 보안은 반비례합니다. 공인인증서 비밀번호 입력하기 귀찮아서 여섯 자리 핀넘버로 결제를 끝내버리는 눈 돌아가는 세상에서 이렇게 개인 보안의 중요성을 외쳐도 많은 분들은 그저 귀찮다는 이유로 보안을 소홀히 합니다. 정말 안타깝고, 한편으론 소름끼치는 현실이지요.

기업들의 보안은 네트워크 보안 장비를 도입하고, 보안담당자를 임명하여 관리를 맡기고, 가끔씩 컨설팅을 받아 보안 홀이 없는지 점검해보는 등 많은 시간과 노력, 그리고 무엇보다 돈이 요구됩니다. 만일 개인정보보호법이 발효되지 않았다면 아직도 많은 기업들이 보안을 소홀히 여기고 그냥 서버 하나 서버실에 설치해둔 채 맘놓고 서비스를 했을지도 모르죠. 반면에 개인보안은 약간의 귀찮음만 덜어내면 지켜내기 정말 쉽습니다. 그 첫걸음이 바로 비밀번호에 대한 관리입니다. 오늘은 이 비밀번호 관리를 어떻게 해야되는지 한 번 얘기해볼까 합니다. 당연한 얘기가 많습니다만 그만큼 지켜지지 않는 원칙이기도 합니다. 한 번 훑어보시고 꼭 지켜주세요.

 

1. 알파벳 대소문자, 특수문자, 숫자를 꼭 섞어쓰자.

참 다행스러운 게 요즘은 웬만한 웹서비스들은 비밀번호 생성 원칙을 정해서 취약한 비밀번호의 경우 아예 생성자체를 금지시킵니다. 예전에는 미국에서 제일 많이 쓰는 비밀번호에 password, qwerty, 123456 등이 포함되어 있었다는 자료도 있을만큼 취약한 상태였는데 말이죠.

다음 사이트에서 여러분의 비밀번호를 뚫는데 얼마나 시간이 소요될지 검사해볼 수 있습니다. (공용 PC에선 사용하지 마세요.) 비밀번호에 특수문자를 한 개씩 추가할 때마다 비밀번호의 보안성이 엄청나게 증가하는 것을 두 눈으로 직접 확인할 수 있습니다.

비밀번호 취약성 점검: http://howsecureismypassword.net

정말 안타까운 점은, 비밀번호에 특수문자를 사용하지 못하거나 비밀번호 길이가 8자 이하로 제한되는 등 비밀번호 보안성이 약하게 설정된 사이트들이 아직도 많다는 사실입니다. 심지어 보안성이 특히 강조되는 은행 사이트들 중 몇몇 곳도 비밀번호에 특수문자를 사용하지 못합니다. 정말 충격적이지 않나요?

 

2. 사이트마다 비밀번호를 달리 운영하자.

이건 정말 지켜지지 않는 원칙 중 하나입니다. 대부분의 사용자들이 모든 사이트들에 대해서 같은 아이디와 같은 비밀번호를 사용하고 있죠. 이 경우, 보안이 취약한 사이트에서 계정을 탈취한 악의적인 사용자가, 다른 모든 사이트들에 대한 권한을 획득하는 문제가 있습니다. 저같은 경우 예전에 이런 방법을 사용했습니다. 예를 들어 제 비밀번호가 'password'라고 해보죠. 그러면 다음과 같이 사이트별로 비밀번호를 설정합니다.

- 네이버: Npassword
- 페이스북: Fpassword
- 구글: Gpassword

즉, 비밀번호 앞에 해당 사이트의 영문 첫 글자를 포함시켜서 사이트마다 비밀번호를 달리 설정하는 것이죠. 이렇게 설정하는 경우, 비밀번호도 사이트마다 다르게 설정할 수 있고, 각 사이트별 비밀번호를 잊어버릴 위험성도 줄어듭니다.

 


3. 주기적으로 비밀번호를 변경하자.

요증믄 포털 사이트들도 3개월에 한 번씩 비밀번호 변경을 강제하더라구요. 주기적인 비밀번호 변경은 의외로 정말 중요합니다. 만약에 제3자가 계정 정보, 즉 아이디와 비밀번호를 탈취했다고 해도 제가 주기적으로 비밀번호를 변경해준다면 추가 피해를 막을 수 있겠죠?



4. 2단계 인증을 사용하자.

2단계 인증으로 정말 쉽게 보안성을 높일 수 있습니다. 2단계 인증이란, ID와 PW(패스워드)로 1단계 인증을 거친 뒤, 추가적인 인증을 거치는 것을 의미합니다. 구글, 페이스북, 네이버 모두 2단계 인증을 제공하고 있습니다. 구글은 계정에 등록해둔 핸드폰으로 보낸 6자리 숫자를 입력해야 하고, 페이스북은 모바일 앱에서 인증 번호를 획득해서 입력해주어야 합니다. 또한 네이버는 모바일 네이버 앱의 인증 코드를 입력해야 로그인이 가능하죠. 이렇게 2단계 인증을 사용한다면, 만일 아이디와 비밀번호가 제3자에게 노출되더라도 로그인을 방지할 수 있습니다. 핸드폰도 훔치지 않는 이상 2단계 인증을 통과할 수 업으니까요.

자세한 내용은 예전에 다음 글들을 참고해주세요.

2015/02/22 - 구글 계정의 2단계 인증 등록하는 방법
2015/02/25 - 네이버 OTP 로그인 설정으로 보안을 강화하는 방법
2015/03/02 - 다음카카오 2단계 인증 설정으로 보안을 강화하는 방법
2015/03/26 - 팀뷰어 계정의 2단계 인증 활성화하는 방법
2015/03/29 - 아이핀에 OTP 추가 인증수단을 추가하는 방법
2015/04/01 - 페이스북 로그인 승인 기능 활성화시키는 방법
2015/04/04 - 변경된 네이버 앱 내의 OTP(One Time Password) 위치는 어디일까?

 


지금까지 개인보안 강화를 위한 비밀번호 관리 방법을 알아보았습니다. 사실 대부분 이미 한 번쯤 들어본 팁이라고 생각해요. 왜 이런 뻔한 얘기를 또 언급하냐고 하실 분들도 계실지 모르겠네요. 하지만 한 때 보안 업계에 종사하던 사람으로서, 주위 지인들이 이렇게 단순한 관리 방법조차 간과하고 있다는 사실에 매번 놀라고 있는 게 사실입니다. 항상 심각한 표정으로 비밀번호 관리가 정말 중요하니, 잠시의 귀찮음은 감수하더라도 보안을 강화하라고 조언하지만 글쎄요, 제 말이 잘 먹혀들고 있는지 모르겠네요. 이런 안타까운 심정으로 이 글을 남깁니다. 여러분들도 개인 정보 보호에 소홀히 하시지 말고, 미리미리 대비하시길 바랄게요. 다 잃은 뒤 열심히 고쳐봤자 소용없는 게 개인정보니까요.

 

 


Comments