00518260701_20141118

기사

초기 설정 그대로 쓰는 디지털 ‘귀차니즘’…범죄 표적 떠올라

2014.11.18
최근 한 해커가 인터넷에 연결된 전세계 폐회로텔레비전(CCTV) 영상 가운데 초기 비밀번호를 바꾸지 않고 그대로 쓰는 영상들을 모아 공개하면서 파장이 일었다. 이렇게 모든 인터넷 사용자에게 공개된 7만여개 폐회로텔레비전 영상 가운데 국내 한 어린이집의 모습을 지난 12일 오후 저장한 사진. 인터넷 갈무리

[사람과 디지털]
비밀번호 노출된 6500곳 CCTV 왜?
ICBM 미니트맨 발사 암호 00000000
대학생 10% ‘1234’ ‘0000’ 비번으로
인터넷에 비번 노출된 식당 가보니
“5년 전 CCTV 설치 뒤 비번 손 안대”

냉전 시대 초강대국 미국과 소련이 으르렁대며 벌였던 핵전쟁의 위협은 인류를 멸망의 불안으로 떨게 만들었다. 핵전쟁을 다룬 많은 영화가 만들어낸 이미지 때문에 보통 핵무기의 발사명령 코드는 복잡하리라고 예상한다. 하지만 당시 핵무기를 실은 대륙간탄도미사일(ICBM) ‘미니트맨’을 관리했던 한 장교가 이후에야 밝힌 8자리 코드번호는 아찔할 만큼 허무했다. ‘00000000’. 이는 현재 미국 프린스턴대학교의 핵무기 관련 전문가 브루스 블레어 박사가 2004년 처음 폭로했다. 미국 외교 전문지 <포린 폴리시>는 미 국방부가 이를 부인했지만 진실은 알 수 없다고 올해 초 보도한 바 있다.

디지털 시대 우리는 무수히 많은 비밀번호를 끌어안고 산다. 금융 계정에서부터 포털, 전자우편, 사회관계망서비스(SNS), 그밖에 헤아릴 수 없는 전자세계의 각종 서비스들을 이용하기 위한 열쇠들이다. 인류의 존망을 결정할 정도의 비밀은 아닐지라도 뚫리면 개인의 안전과 재산에 심각한 피해를 끼칠 수 있는 것들이다. 하지만 00000000과 같은 어리석은 비밀번호를 쓰는 관행은 냉전 시대부터 지금까지 거의 달라지지 않았다.

지난 9일 전세계 7만여개의 폐회로텔레비전(CCTV)의 보안이 뚫려 누구나 볼 수 있는 인터넷 사이트(insecam.com)에 공개되면서 적잖은 파장이 일었다. 당시 공개된 우리나라의 폐회로텔레비전은 6500여개로 미국(1만1000여개)에 이은 2위였는데, 인구 비율을 고려하면 압도적 1위다. 이를 이용해 원한다면 누구나 어린이집의 아이들, 가정집의 일상, 수영장 이용객, 식당의 밥 먹는 모습들을 실시간으로 관찰할 수 있었다. 문제는 비밀번호였다. 영상을 원거리에서 확인하고자 폐회로텔레비전을 인터넷에 연결하면서 설정된 초기 비밀번호를 바꾸지 않은 카메라들이 그토록 많았음이 확인된 것이다. 123456 같은 비밀번호들은 기기별로 공개되어 있기 때문에 누구나 접근할 수 있다. 이번 일로 인터넷에 비밀번호가 공개된 서울 강남구의 한 음식점을 지난 16일 방문했다. 식당 쪽은 뉴스로 보도된 공개 사실조차 까맣게 모르고 있었다. 음식점 매니저는 “5년 전 시시티브이를 설치했는데 이후 비밀번호 변경은 없었다”고 말했다.

이런 문제는 디지털에 익숙지 않은 장년층에서 많이 나타난다는 게 통념이지만 젊다고 예외는 아니다. 문숙경 목원대 교수(정보컨설팅학)가 2011년 한 대학교 학생 375명을 표본조사해 발표한 ‘네 자리 숫자 비밀번호 사용형태 분석 연구’ 논문을 보면 가장 많이 사용하는 비밀번호는 ‘1234’로 6.7%였다. 다음은 ‘0000’(3.2%), ‘2580’(2.1%), ‘1111’(1.6%) 등의 차례였다. 익명의 한 중견기업 보안관리자는 “비밀번호를 재설정하면서 아이디와 같게 해달라거나 심지어 관리자에게 정해달라고 하는 사람들도 있다”고 말했다. 보편적인 경향이다.

우리는 왜 바뀌지 않을까? 1990년대 디지털 환경이 점차 일상으로 들어오면서부터 비밀번호 설정에 대한 문제 제기와 교육·홍보는 숱하게 반복되었다. 하지만 비슷한 문제가 여전하다면 질문은 반대가 되어야 하지 않을까. 비밀번호라는 시스템은 왜 바뀌지 않는가?

비밀번호란 기계가 사람을 인증하는 방식이다. 이몽룡이 기계에게 자신이 이몽룡임을 주장하는 경우 기계가 이 사람이 방자가 아닌 이몽룡임을 어떻게 알 수 있는가 하는 문제다. 정보보안론에서 언급하는 보편적 방법은 세 가지다. 그 사람이 알고 있는 어떤 것, 가지고 있는 어떤 것, 본인 자체의 어떤 것을 기계가 검증하는 것이다. 비밀번호가 첫째 예다. 둘째로는 은행 인터넷 거래 등에서 쓰이는 일회용 비밀번호(OTP) 생성기, 셋째로는 안구 인식과 같은 생체 인식이 있다. 보안성은 후자들이 더 우수한데, 그럼에도 첫째가 쓰이는 주된 이유는 비용이다. 기업체 등 인증을 해야 하는 입장에서 생체 인식 장비를 도입하기보다는 사용자가 비밀번호를 쓰도록 하는 게 관리비가 훨씬 저렴하기 때문이다. 또 생체정보와 같은 개인이 바꿀 수 없는 정보를 인증 수단으로 도입하자면 개인정보 보안이 훨씬 강화되어야 한다.

하지만 전문가들은 고도의 디지털 사회에서 비밀번호 방식은 유지하기 어렵다고 지적한다. 정보기술 전문지 <와이어드>의 칼럼니스트 맷 호넌은 ‘비밀번호를 죽여라’라는 글에서 “자신의 삶을 망칠 수도 있는 비밀을 간직하며 사는” 방식이 더 이상 통할 수 없다고 지적했다. 보안 전문가들이 권고하는 수준의 복잡한 비밀번호를 기억하기에는 기억해야 할 서비스들이 개인이 감당할 수준을 넘어섰다는 점과 인터넷에 공유하는 정보가 너무 많아졌기 때문에 해커들이 비밀번호를 예측하기가 점점 쉬워지고 있다는 점 등이 그 이유다. 비밀번호 기억의 고통을 호소하는 ‘패스워드 증후군’이라는 단어도 유행했다. 익명을 요구한 한 전산 전문가는 “홈 시스템이나 컴퓨터가 운전하는 자동차 시스템 등이 도입되는 사물인터넷(IoT) 시대에는 비밀번호의 위험을 감당하기 어려울 것”이라고 말했다. 애플이 최근 지문 인증을 결제에 이용하는 ‘애플페이’를 내놓은 것이나 구글이 지메일 인증에 비밀번호와 휴대전화 전송 코드라는 2단계 인증을 도입하는 등 다양한 시도를 하는 배경이기도 하다.

하지만 새 기술들이 비밀번호를 대체하기에는 아직 상당한 시간이 걸릴 전망이다. 안전한 패스워드 설정의 팁들은 그때까지는 유효한 셈이다. 문자·숫자·특수문자 세 가지를 조합할 것, 주기적으로 바꿔줄 것, 주변 정보로 예측할 수 없도록 할 것이 오랜 교훈이다.

 

권오성 기자 sage5th@hani.co.kr