웹사이트나 모바일 앱을 사용하다보면 몇개월 간격으로 패스워드를 바꾸라는 안내창을 보게 됩니다. 거기에 패스워드 규칙도 문자,숫자,기호까지 섞어 만들라고 요구해 굉장히 짜증이 나는 경우가 있기도 합니다. ITWorld의 ‘글로벌 칼럼 | 암호 보안에 ‘독’이 되는 구닥다리 규제’에서는 이 규칙이 틀렸다고 합니다. 정말일까요?
일반적으로 요구되는 패스워드 규칙은 아래와 같습니다.
- 암호는 최소 8~12글자일 것. 길면 길수록 좋다.
- 암호는 최대한 복잡하게 설정할 것. 세 가지 이상의 글자 종류를 포함할 것이 권장 된다(대문자, 소문자, 숫자, 기호 등).
- 90일에 한번, 또는 그보다 자주 번호를 바꿀 것
- 비밀번호 입력 오류(5회 이하)시 접속이 제한되도록 설정해 둘 것
ITWorld의 컬럼에서 이런 일반적 패스워드 규칙이 틀렸다라고 하면서 새로운 규칙으로 이야기하는 것은 NIST(미국 표준기술연구소)의 ‘디지털 아이덴티티 가이드라인’입니다. 이 문서에서 권장하는 패스워드관련 규칙은 다음과 같습니다.
- 가능하면 이중 인증 기능을 사용하라. 암호도 나쁘지 않지만, 이중 인증이 PW보다 훨씬 낫다.
- 암호는 최소 8글자 이상이 권장되지만, 지나치게 길 필요는 없다.
- 복잡한 비밀번호 설정은 더 이상 필수는 아니지만, 한다고 손해 볼 것도 없다.
- 너무 흔하거나 쉽게 생각할 수 있는 암호는 위험하다(예컨대 당신의 이름이나, 암호123같은 암호들).
- 암호가 유출되었다고 믿을만한 합리적인 근거가 없는 상황에서 굳이 암호를 새롭게 바꿀 필요는 없다.
- 하나의 암호를 다수의 웹사이트에서 사용하는 행동은 지양해야 한다.
- 개발자의 경우, 유저의 행동 양상이나 위치, 사용 기기 등의 변화가 부가적인 인증 확인을 유발할 경우 동적 인증(dynamic authentication) 방식의 사용도 고려해 볼만 하다.
솔직하게 이야기하면 거창한 제목으로 시작한 기사에서 제시한 새로운 규칙은 패스워드보다는 이중 인증을 사용해야한다라는 것을 제외하면 현재 사용하는 규칙과 별차이가 없습니다. 다만, 현재 필수로 요구되는 것들이 선택으로 바뀐 정도인데 제 생각에는 현재의 해킹 기술을 고려한다면 패스워드를 복잡하게 만들고 주기적으로 바꾼다고 해서 보안 레벨이 올라가는 것을 기대하기 힘들기 때문이지 않을까합니다. 패스워드보다는 이중 인증을 권장하는 것도 이런 이유 때문이겠죠.
무언가 대단한 내용이 있을 것으로 기대해 좀 실망스럽지만 패스워드 규칙에 대해서는 저도 NIST의 권장안에 동의합니다. 특히 몇개월 단위로 패스워드를 바꾸는 것은 정말 불필요한 조치라고 생각합니다. 어차피 사용자가 만드는 새로운 패스워드의 보안 레벨은 이전 패스워드와 차이가 없습니다. 패스워드가 유출된 것도 아닌데 주기적으로 패스워드를 바꾸게 하는 것은 정부나 기업에게는 보안에 대해 할만큼 했다라는 자기위안(?)을 주고 사용자에게는 짜증을 주는 일이라고 생각합니다.
===
Project just4fun : http://www.just4fun.kr/