`동일한 패스워드는 안돼요…개인정보 빼내 범죄 악용`

해킹 대란… 안전한 비밀번호는?

최근 잇따르는 해킹으로 인해 주로 사용하던 비밀번호를 바꾼 강수진(29'대구시 수성구 만촌동) 씨. 하지만 바꾼 비밀번호를 기억하지 못해 번번이 원하는 사이트에 로그인을 하지 못하는 경우가 잦아졌다. 강 씨는 "워낙 비밀번호를 사용하는 사이트가 많다보니 어떤 사이트를 아직 바꾸지 않았는지 헷갈릴 뿐 아니라, 새로운 비밀번호를 고심해 입력해놓고 나면 돌아서서 곧장 까먹기 일쑤여서 벌써 몇 번이나 '비밀번호 찾기'를 시도했는지 모르겠다"며 한숨을 내쉬었다.

인터넷 문화 발달로 늘어나는 비밀번호. 구글이나 네이버 등의 포털사이트를 비롯해 인터넷 쇼핑, 회사 인트라넷 등 인터넷 사이트 어디를 이용하려고 하든 비밀번호를 입력하지 않고서는 이용이 불가능하다. 하지만 해킹이 증가하면서 비밀번호 관리에도 비상이 걸렸다. 전문가들은 해킹 피해를 방지하기 위해서는 사이트마다 각각 다른 비밀번호를 입력하고, 대문자와 소문자 숫자 조합을 이용하라고 조언하지만 이 많은 비밀번호를 모조리 외우는 데는 한계가 있다.

◆늘어나는 해킹, 개인정보 불법 사용 급증

지난 7월 3천500만 명에 달하는 인터넷 이용자의 이메일과 주민등록번호, 연락처 등을 한꺼번에 해킹당한 '네이트 사고' 이후 '패스워드 대란'이 발생했다. 대부분 인터넷 이용자들이 기억하기 쉽게 사이트마다 아이디와 비밀번호를 동일하게 사용하는 사례가 많다 보니 수십 개에 달하는 사이트의 비밀번호를 모조리 바꿔야 할 상황이 된 것이다.

일단 해킹으로 유출된 비밀번호는 피해를 다양하게 확산시키고 있다. 해커들이 한 사이트에서 빼낸 비밀번호를 다른 사이트 로그인에 사용하는 경우가 많기 때문이다. 한국인터넷진흥원에 따르면 "해커들은 추가 정보를 빼내거나 악용하기 위해 빼낸 비밀번호를 사용해 다른 사이트에 로그인하는 경우가 많다"고 밝혔다. 인터넷 업계에서는 한 사람의 인터넷 아이디와 비밀번호를 하나만 알아도 그 사람이 가입한 전체 사이트의 70%가량에 로그인할 수 있다고 추정하고 있다.

얼마 전에는 해킹으로 빼낸 타인의 정보를 이용해 카드를 불법으로 발급받으려는 시도가 드러나 금융기관들이 일제히 비밀번호 변경을 요청하기도 했다. 지난달 26일 금융감독원과 카드업계에 따르면, 해커들이 네이트에서 빼낸 것으로 보이는 정보로 카드사에서 타인 명의의 신용카드를 발급받은 사실이 드러난 것. 외환카드 관계자는 "신용카드 추가 발급 시도가 19일에 있었다"며 "다른 카드사에도 유사 사례가 있는 것으로 알고 있다"고 말했다.

해커들이 카드를 추가로 발급받은 통로는 신용카드 콜센터였다. 해킹한 정보를 활용해 콜센터의 본인확인 절차를 거친 뒤 추가 발급 신청을 하는 방법을 사용한 것이다. 해커들은 네이트의 이메일 계정으로 들어오는 카드 이용명세서에서 추가 발급에 필요한 세부 정보를 얻은 것으로 전해졌다. 외환카드는 카드 부당 발급자와 정보 확인을 거친 뒤 발급을 즉각 취소했고 다른 두 곳의 카드사는 카드 발급 과정에서 신청이 거부됐다.

카드사들의 본인확인 절차는 비교적 간단했던 것으로 전해졌다. 콜센터에서는 집 전화번호 뒷자리나 아파트 동'호수 등의 질문을 임의로 3개 정도 물어봤다. 금감원은 "콜센터에서 확인하는 정보들은 일반적으로도 알 수 있는 것"이라며 "카드 신규 발급 시에는 3단계에 걸쳐 본인 확인을 하지만 추가 발급을 받을 때는 전화로만 가능하다는 점도 문제"라고 지적했다. 이에 따라 금감원은 카드사 콜센터의 본인 확인 절차를 강화할 방침이다.

◆비밀번호는 계륵(鷄肋)

네이트 해킹 사건 이후 사이트마다 고객들에게 비밀번호를 바꾸라고 종용하고 있다. 국내 주요 금융사들이 자사 홈페이지에서 고객들에게 홈페이지 비밀번호를 변경하라고 공지했으며, 포털사이트와 게임사이트 등에서도 비밀번호를 바꾸라고 아우성이다.

하지만 이런 요청과 현실로 확인되고 있는 해킹 피해상황에도 불구하고 많은 사람들이 비밀번호를 바꾸지 않고 있다. 새로 조합을 만들어 바꾸는 것도 번거롭지만 가입된 사이트마다 비밀번호를 바꾸면 이를 기억하는 것도 쉽지 않기 때문이다.

박성민(33) 씨는 "많은 비밀번호를 모두 다르게 하면서도 나중에 쉽게 기억할 수 있게 할 아이디어를 짜내는 것도 힘들다"며 "몇 번을 잊어버려 확인 절차를 되풀이하고 나니 이제는 차라리 안 바꾸는 게 낫다 싶은 생각도 든다"고 했다. 이 때문에 네이트 해킹 사태 이후 2주가 지나도록 비밀번호를 변경한 사람은 고작 22%에 불과한 것으로 집계됐다.

비밀번호 변경 요청에도 불구하고 고객들의 반응이 만족스럽지 못하자 비밀번호를 강제로 바꾸는 곳도 있다. SK커뮤니케이션즈 "실제 해킹사실이 알려진 당일 비밀번호를 변경한 사람은 전체 3천500만 명 중 120만 명 수준에 그쳤다"면서 "이후 지난 8일 비밀번호를 바꾸지 않으면 네이트와 싸이월드를 이용하지 못하게 조치하기 전까지 비밀번호를 변경한 사람은 750만 명 수준이었다"고 밝혔다.

아이폰 앱스토어 역시 비밀번호를 강제로 변경하도록 하고 있다. 조수영(42'여) 씨는 "아이폰을 사용한 지 1년이 넘었는데 갑자기 비밀번호를 바꾸라는 화면이 떠서 예전번호를 그대로 사용하려고 했더니 기존 비밀번호는 아예 사용할 수 없도록 해놨더라"며 "무조건 대문자와 소문자, 숫자 조합을 사용하도록 해 놔 기억하기 쉬우면서 새로운 비밀번호를 생각하느라 한참을 고민했다"고 말했다.

◆관리 요령

한국인터넷진흥원(KISA)에 따르면 해커들은 문자로만 구성된 비밀번호 3, 4자리를 푸는데 걸리는 시간은 불과 몇십 초도 걸리지 않는다고 한다. 숫자로만 만들어진 8자짜리 비밀번호는 단 10초면 찾을 수 있다. 영국 보안전문사이트 '록다운'에 따르면 영어 알파벳 대문자와 소문자으로 만든 6자리 비밀번호는 듀얼 코어 프로세서 탑재 PC 1대로 30초 만에 알아낼 수 있으며, 8자리 비밀번호를 푸는데는 5~6시간이면 가능하다고 한다.

이 때문에 한국인터넷진흥원은 될 수 있으면 번거롭더라도 비밀번호는 사이트마다 따로 설정하고 비밀번호는 길게 만드는 것을 권하고 있다. 두 가지 조합으로 비밀번호를 만들 경우 10자리 이상, 세 가지 조합은 8자리 이상으로 비밀번호를 구성해야 비교적 안전하다는 것이다. 이렇게 했을 때는 비밀번호를 푸는데 5~6일 이상 걸리기 때문이다.

하지만 8~10자리 문자와 숫자를 조합한 비밀번호라도 해커들이 쉽게 추측할 수 있는 조합이라면 안전을 장담할 수 없다. 이름이나 직장, 주소, 생일을 활용한 비밀번호는 금물이다. 해커들은 특정인을 공격할 때 그의 신상정보부터 모은 뒤 이를 응용해 비밀번호 해독을 시도하기 때문이다.

한국인터넷진흥원은 자신만의 규칙을 만들어 비밀번호를 만드는 방법을 권하고 있다. 자신이 쉽게 기억하는 노래 제목 또는 장소 등을 영어로 바꾸어 비밀번호를 만들거나 자신이 좋아하는 문구의 홀수 또는 짝수 번째 문자만 추출한 뒤 모음 또는 자음을 대문자로 바꾸는 방법 등이 좋은 예가 될 수 있다. 이렇게 만들어진 비밀번호에 사이트마다 비밀번호를 다르게 설정한다면 네이버는 -nv, 다음은 -dm 등을 약자로 표시하는 식으로 규칙을 둔다면 쉽게 비밀번호를 기억하는데도 도움이 된다.

한윤조기자 cgdream@msnet.co.kr

※개인정보 유출 확인은…

한국인터넷진흥원이 제공하는 주민번호 클린센터(http://clean.kisa.or.kr)를 이용하면 자신의 정보가 도용되었는지를 확인할 수 있다. 주민번호 클린센터에서는 2만여 개 사이트에서 사용된 주민번호 이용 내역을 조회할 수 있기 때문이다. 네이트 개인정보 유출 이후 주민번호 클린센터는 주민번호 도용 여부를 확인하려는 누리꾼들이 한꺼번에 몰리면서 서버가 일시 다운되는 현상도 발생했다.

※안전한 비밀번호, 이렇게…

◆영어 대문자, 소문자, 숫자, 특수기호를 섞어 8~10자리로 만든다.

(예) #3kLfN2x*S1$, 3$La#4dU7Ff%

◆특정 위치의 문자를 대문자로 변경하거나 모음만 대문자로 변경한다.

(예)짝수 번째를 대문자로: gkswjdqhwlsdnjs→gKsWjDqHwLsDnJs

모음만 대문자로: rarihgugedrw→rArlhgUgEdrW

◆특정 단어의 홀'짝수 번째 문자만 추출한다

(예)'한국인터넷진흥원'에서 홀수 번째만 추출(한인넷흥), 영문 자판으로 'gksdlssptgmd'

◆노래 제목이나 명언, 속담, 가훈 등을 변형한다.

(예)'백설공주와 일곱난장이'에서 '백설+7난장'으로 변형, 'QorTjf+7SksWkd'

◆나만의 기본 문자열을 설정하고, 사이트별로 특정 규칙을 적용한다

(예)이름이 '홍길동'인 사람이 기본 비밀번호로 'HkD486#'을 설정했다면 네이버에서는 'nv_HkD486#'으로, G마켓에서는 'gm_HkD486#'으로.