[청라언덕] 비밀번호 딜레마

비밀번호 관련 이미지. 게티이미지뱅크

김봄이 디지털국 기자

전 세계적으로 인터넷 사용자들이 가장 많이 사용하는 비밀번호는 '123456' 'password' '123456789'였다. 'qwerty+'처럼 키보드 배열을 이용한 경우도 많다. 놀랍게도 보안이 철저해야 할 주요 국가기관들의 비밀번호 또한 비슷하다. 지난해 말 대한민국 법원이 북한의 해커 조직 '라자루스'에 전산망을 해킹당했던 사실이 드러났는데, 대법원 전산망 관리자 계정의 비밀번호는 '123qwe' 'P@sswOrd' 등 짧고 쉬운 문자열로 구성되어 있었다. 2013년에는 미국 핵미사일 발사 비밀번호가 20년간 '00000000'이었다는 것이 밝혀지기도 했다.

쉬운 비밀번호를 쓰는 것을 막기 위해 현재 인터넷 업체 상당수가 '영문 대소 문자·숫자·특수문자 1개 이상 포함' '90일 이후 비밀번호 변경' 등의 규정을 두고 있다. 비밀번호 조합에 연속된 숫자나 생년월일, 휴대전화 번호가 들어가서도 안 된다. 때마다 비밀번호를 바꾸라는 알림이 뜨면 또 다른 조합을 만들어내야 한다. 어렵게 만들어낸 비밀번호를 기억하지 못하면 낭패, '비밀번호 찾기'라는 복잡한 경로를 통해 다시 접속하는 것은 적잖은 스트레스다. 디지털에 익숙지 않은 시니어들에게는 비밀번호 자체가 일종의 장벽으로 작용하기도 한다.

이 같은 까다로운 비밀번호 규정은 2007년 미국 상무부 산하 국립표준기술연구소(NIST)가 내놓은 지침에 근거한다. 그런데 최근 NIST가 영문 대소 문자·숫자·특수문자를 섞고, 90일마다 번호를 바꾸라는 규정이 오히려 보안을 허술하게 만들었다고 지적했다. 의도와는 달리 가급적 기억하기 쉬운 비밀번호에 일부 특수문자를 돌려 쓰거나, 번호를 다른 곳에 적어두는 등의 사례가 발생했기 때문이다.

이번에 NIST는 비밀번호를 길게 만들 것을 권고했다. 복잡하지만 짧은 것보다 'DrinkCoffeeInTheMorning'(아침에 커피를 마시다) 같은 기억하기 쉽지만 긴 암호가 보안에는 더 효과적이라는 것이다. NIST는 비밀번호 최소 길이를 15자 이상으로 요구하고 64자 이상의 비밀번호도 설정할 수 있도록 권고했다. 또 기존과는 반대로 '대소 문자에 숫자, 특수문자까지 섞어 쓰지 말 것'과 '비밀번호가 노출되지 않았다면 굳이 주기적으로 바꾸지 말라'고도 했다. 20년 가까이 이어져 온 비밀번호 설정 규칙이 바뀔 가능성이 높아진 것이다.

구글, 애플, 마이크로소프트(MS), 삼성 등 글로벌 빅테크들의 경우 비밀번호 대신 더 안전한 보안 시스템을 도입하고 있다. 대표적인 것이 '패스키'(Passkey)다. 생체 인증을 하거나 핀 번호 등으로 간편한 로그인을 지원하는 방식이다. 스마트폰 잠금을 풀 때처럼 비밀번호 없이 얼굴 인식을 하는 것도 그중 하나다. 기기 자체를 도난당하지 않는 이상 온라인상에서 해킹의 우려가 없기 때문에 보안 수준은 올리면서 비밀번호처럼 기억하지 않아도 되니 사용자의 편의성까지 높일 수 있다.

'강력한 비밀번호'를 사용하는 것은 개인정보를 지키는 기본이다. 하지만 보안은 개인의 노력만으로 지켜지기 어렵다. 업체가 손쉬운 방식인 비밀번호를 활용하고, 복잡한 암호를 강요하는 것은 보안에 대한 책임을 이용자 개인에게 떠넘기는 것이다. 그렇지 않아도 기억해야 할 것도 많고 스트레스도 많은 세상, 비밀번호만이라도 사라진다면 스트레스를 조금은 덜 수 있지 않을까.