스마트 돋보기

잦은 암호 변경 요구가 오히려 보안 취약 부른다

2016.11.1

오래전 회원으로 가입한 사이트에 접속해 서비스를 이용하려다가 또 상당한 시간을 허비했다. 비밀번호가 기억나지 않아서다. 몇달 전 접속할 때 보안을 위해서 6개월마다 비밀번호를 바꿔야 한다고 요구해 바꿨는데 어떻게 바꿨는지 도무지 생각나지 않았다. 자주 찾는 사이트가 아니다 보니 몇자리의 비밀번호였는지 기억해내기도 어려웠다. 처음 가입했을 때는 네 자리를 적었던 것 같은데, 나중에 영문을 섞은 여섯 자리 이상으로 바꾸라더니, 다시 특수문자, 알파벳, 숫자를 1개 이상씩 포함시킨 열두 자리 이상으로 변경할 것을 요구했다.

최근 들어서는 알파벳 중 대문자와 소문자를 병행할 것을 요구하는 곳도 있다. 해당 사이트 한 곳만 이용하는 것도 아닌데, 복잡한 조건의 비밀번호를 만들고 기억하느라 적잖은 신경을 써야 하는 상황이다. 해당 사이트에 접속하기 위해 결국 번거로운 휴대전화 인증을 받고, 비밀번호를 초기화한 뒤 임시 비밀번호를 받아 접속하고 다시 조건에 맞는 비밀번호로 재설정해야 했다. 문제는 이처럼 비밀번호를 변경하도록 요구하는 경우가 특정 사이트 한두곳이 아니라, 대부분의 회원제 서비스가 유사한 형편이라는 점이다. 한가지 비밀번호를 계속 사용하면 보안에 취약하기 때문에 6개월에 한번씩 바꾸라고 강요하는 사이트가 많다.

비밀번호 변경과 기억에 들어가는 노력과 시간은 별개로 하더라도, 비밀번호를 자주 바꾸면 과연 보안이 강화될까? 영국 사이버보안센터(NCSC)는 사용자로 하여금 정기적으로 비밀번호를 바꾸도록 강요하는 것은 오히려 보안 취약성을 증가시킨다고 지적했다. 비밀번호를 자주 바꾸게 하면 사용자가 기억할 수 없게 되어 비밀번호 변경 규칙을 만들거나 어딘가에 메모를 하게 만들기 때문에 결과적으로 더욱 보안에 취약해진다는 설명이다.

미국의 온라인서점 아마존닷컴은 대조적이다. 나는 십수년 전 아마존닷컴에 가입할 때 만든 비밀번호를 계속 써왔다. 그런데 최근 아마존닷컴은 내 비밀번호가 바뀌었다는 메일을 보내왔다. 내가 써온 이메일과 비밀번호가 인터넷에서 발견되었기 때문에 보안을 위해서 강제로 변경했으니 절차를 밟으라는 안내였다. 이용자 불편을 최소화하면서도 실질적으로 보안을 강화하는 방법은, 주기적으로 비밀번호를 바꾸라고 강요하는 게 아니라 기업이 스스로 보안 능력을 강화하는 것이다.

구본권 사람과디지털연구소장 starry9@hani.co.kr