비밀번호를 최신 상태로 유지하는 것은 보안 강화를 위해 필수다. 그러나 많은 이들이 비밀번호 바꾸는 걸 귀찮아 하는 탓에 '나중에 하기’를 누르게 된다. 심지어 가장 많이 사용되는 비밀번호가 123456, 11111, 00000이라고 하니 아이러니한 일이 아닐 수 없다. 전 세계에서 가장 많이 해킹 당하는 비밀번호 TOP 10을 살펴보고, 해커들도 맞출 수 없는 강력한 비밀번호를 만들 수 있는 방법을 소개한다.

올해 5월 5일은 어린이 날이자 ‘세계 비밀번호의 날(World Password day)’이었다. 세계 비밀번호의 날은 인텔이 각종 디지털 서비스와 기기를 보호하는 데 있어 비밀번호의 중요성을 강조하기 위해 지난 2013년에 제정한 날(매년 5월 첫 번째 목요일)이다. 

세계 비밀번호의 날이 올해 10년째를 맞았는데 비밀번호에 대한 경각심은 얼마나 높아졌을까? 비멀번호 관리 앱을 만드는 비트와든(Bitwarden)은  5월 5일 세계 비밀번호의 날을 맞아 글로벌 비밀번호 관리 설문조사 결과를 발표했는데 흥미로운 결과가 있어 소개한다.

(이미지 출처 : 비트와든) 비밀번호를 관리하는 습관

이 설문조사에 따르면 전체 응답자 중 미국인의 85%는 여러 사이트에서 동일한 비밀번호를 사용하고, 49%는 비밀번호 관리 없이 기억력에 의존하며(글로벌 수치는 55%), 24%는 매일 또는 일주일에 여러 번 비밀번호를 변경하고 있고, 60%는 비밀번호의 평균 글자 수가 9~15글자(안전한 비밀번호는 최소 14자 이상부터)를 사용한다는 것이다. 이 수치는 미국인들의 경우에만 해당하며 PC 사용률이 더 낮은 글로벌 수치는 더 낮을 것으로 예측된다. 

해킹되기 쉬운 비밀번호들

2021년에 이어 올해 가장 많이 유출된 비밀번호 TOP 4는 123456, 123456789, qwerty, password 순이라고 한다. BBC 등 외신은 영국 국립사이버보안센터(NCSC)가 해킹당한 적이 있는 비밀번호를 분석한 결과, 1위는 2320만개 이상의 계정이 비밀번호로 등록한 '123456'이었다. 123456에 3개의 숫자를 덧붙인 '123456789'는 770만개 이상으로 그 뒤를 이었다. 키보드 맨 위의 문자를 순서대로 나열한 'qwerty'와 비밀번호를 뜻하는 영단어 'password'는 300만개 이상의 계정에서 사용됐다. 

이어 111111, 12345678, abc123, 1234567, password1, 12345가 5~10위를 차지했다. 비밀번호에 가장 많이 사용되는 이름은 애슐리(Ashely)와 마이클(Michael)이었고, 잉글랜드 프리미어리그 축구팀 이름인 리버풀(Liverpool), 첼시(Chelsea), 아스널(Arsenal), 맨체스터 유나이티드(Manutd)도 자주 사용됐다.

강력한 비밀번호 만드는 법

미국의 비영리 소비자단체 컨슈머 리포트(Consumer Reports)에 의하면 강력한 비밀번호에는 대문자와 소문자, 기호가 있어야 하며 둘 이상의 웹사이트에 사용돼서는 안된다. 또 비밀번호가 너무 많으면 모두 기억하기 어려울 수 있으므로 비밀번호 관리자를 사용하는 것이 유용할 수 있다. 다단계 인증 방법도 도움이 된다.

해커들은 보통 딕셔너리라는 패스워드 모음집을 가지고 있는데, 사람들이 심리적으로 잘 사용하는 비밀번호를 간추려놓은 DB라고 한다. 해커들은 이를 포털에 로그인할 때 하나씩 대입해서 로그인을 시도한다. 내가 쉽게 떠올리는 암호는 남들도 쉽게 유추할 수 있다는 사실을 기억해야 한다.

그렇다면 강력하고 쉬운 비밀번호는 어떻게 만들까? 안랩 시큐리티레터 815호 "강력하고 기억하기 쉬운 비밀번호 만들기"에서도 비밀번호 만드는 법을 제시하긴 했는데 이번엔 쉬운 단어 2개와 4자리 숫자, 특수기호 2개를 조합하는 비밀번호를 권장한다. 강력한 비밀번호 만들기에 정답은 없다. 개인의 취향껏 선택하면 된다.

먼저 단어를 떠올려보자. 컬러 중에서 본인이 좋아하는 두 컬러를 선택한다. 예를 들어 파랑(Blue)과 노랑(Yellow)을 떠올렸다면 여기서 4글자씩 뽑아낸다. BlueYell이다. 대문자와 소문자를 섞는 게 좋다. 다음으로 4자리 숫자인데 연속되는 숫자는 피한다. 예를 들어 본인의 핸드폰 번호가 010-1234-5678이면 가운데에서 4자리인 34-56(가운데 들어가는 하이픈도 넣어준다)을 뽑아낸다. 마지막으로 특수기호 2개는 핸드폰 번호 마지막 두 개를 Shift를 누른 상태에서 그대로 입력하면 &*가 된다. 이렇게 하면 최종적으로 BlueYell34-56&*이라는 강력한 비밀번호가 만들어진다.

비밀번호 인증 없이도 로그인?

한편 일부 보안업계에서는 비밀번호가 더 이상 안전하지 않아 이를 대체할 수 있는 다른 인증수단을 강구해야 한다고 강조한다. 피싱 이메일이나 정보유출 악성코드 등을 활용해 비밀번호를 알아내기도 하고 ID와 비밀번호를 무작위로 입력하는 무차별 대입공격, 미리 만들어둔 문자열을 순차적으로 입력하는 사전 대입공격 등 해킹기법이 자동화되고 있기 때문이라는 이유에서다. 

이런 상황에 복잡한 비밀번호를 더 이상 외우지 않아도 되는 기술이 개발됐다. 애플, 구글, 마이크로소프트 등은 최근 FIDO 얼라이언스가 정립한 비밀번호 없는 로그인 기술 표준에 대한 확대 지원을 발표했다. 이러한 기술을 통해 사용자는 길고 복잡한 비밀번호를 단 한 번만 입력하고, 이후 인증 앱 등을 이용해 비밀번호를 추가로 입력하지 쉽게 로그인할 수 있다는 것이다. 가령, 로그인 시 앱을 실행해 PC 화면에 나타난 QR코드를 촬영하거나, 로그인 시 앱에 지문을 인식하는 방식으로 간편하게 로그인할 수 있다.

이번 3사의 협력을 통해 향후 기기, 플랫폼, 웹 브라우저와 관계없이 앱과 서비스에 로그인할 수 있다. 예를 들어 아이폰에 설치된 인증 앱을 통해 윈도 운영체제에서 실행 중인 구글 크롬 브라우저에 로그인하는 것이 가능하다. 이 기술이 보편화되면 사용자들은 비밀번호 없이도 지문, 얼굴인식 PIN 등을 사용해 스마트폰이나 노트북 등의 기기에서 온라인 서비스에 로그인할 수 있게 될 것으로 기대된다. 이 기능은 내년부터 애플, 구글, MS의 플랫폼에 도입될 전망이다.