패스워드의 진화

[백승진]

현재 온라인상에서 주로 사용 되는 패스워드는 숫자와 또는 기호 등을 혼용하여 최소 8자리 이상이 되게끔

요구받고 있다. 하지만 이렇게 만든 패스워드들도 일반적인 공통 문자를 사용할 경우 보안에 취약할 수 있다.

그런데 최근 조사에 의하면 현재 온라인상에서 사용하고 있는 대부분의 패스워드들이 생각보다 훨씬 더

해킹에 취약한 것으로 드러나 충격을 주고 있다. 세계적인 회계 컨설팅업체인 딜로이트(Deloitte) 社가

약 600만명의 사용자를 대상으로 패스워드를 분석한 결과, 그중 98.1퍼센트가 약 1만여 개의 패스워드들로

계정에 접속할 수 있는 것으로 드러난 것이다.

이처럼 비슷한 패스워드들이 많이 사용되는 이유는 사용자들이 암호를 생성할 때 특정 연상단어와

경험상 우러나온 지식을 바탕으로 입력하는 경우가 많기 때문이다. 예를 들면 숫자를 나열할 때는

오름차순으로 입력하는 경우가 많으며, 패스워드의 끝자리를 숫자로 마무리하는 경우도 많은 것으로 나타났다.

그러나 이보다 더 큰 문제는 패스워드를 재사용한다는 점이다. 인터넷 사용자들은 평균 26개의 암호화된

계정을 사용하고 있으나 암호체계는 오직 5가지 종류만 사용하고 있는 것으로 드러난 것이다.

이럴 경우 보안체계가 다소 취약한 게임 사이트나 소셜네트워킹 사이트들의 패스워드가 해커들에게 노출되면

그를 통해 은행 및 주식 등의 금융계좌처럼 보안이 중요한 다른 사이트들의 패스워드들도 유출될 가능성이 높아진다는 게 문제다.

수천 대의 컴퓨터를 활용하는 해킹 기법 등장

또한 패스워드 해제 기기를 이용해 암호를 풀어내는 시도를 했을 때 평균 5시간 30분 정도의 시간을 투자하면

8자리의 패스워드를 풀어낼 수 있는 것으로 나타났다. 특히 최근에는 크라우드 해킹이라 불리는 방식으로

수천 대의 컴퓨터를 동시다발적으로 활용해 암호해제작업을 할 수 있는 해킹기법까지 등장했다.

디도스 공격시 악성 프로그램을 깔아 해커들이 자기 마음대로 좀비PC들을 조종하는 것과 똑같이

수많은 PC와 서버들을 동원해 암호해제작업을 할 경우 수많은 패스워드를 단번에 알아낼 수 있게 되는 것이다.

보안전문가들이 지적하는 가장 취약한 패스워드는 ‘love’나 ‘superman’ 같은 고유명사를 사용하거나

한글 명사를 영문 자판으로 치는 조합이다. 또 1234나 asdf처럼 키보드 자판의 일련 나열도

해커들이 가장 먼저 시도하는 암호이며, 본인의 이름이나 전화번호 같은 개인정보 또는 이들의 조합으로

 이루어진 패스워드도 될 수 있는 한 쓰지 않는 게 좋다.

지정해야 될 온라인상의 패스워드들이 갈수록 늘어나고 있는 상황에서 기존의 비밀번호 방식에서 벗어나

보안성과 편의성이 보다 향상된 새로운 인증시스템은 과연 없는 것일까?

LG경제연구원에서 최근에 발표한 ‘암호가 필요없는 보다 안전한 세상 가능할까?’라는 제목의 보고서에 의하면,

미래 인증시스템은 보다 안전하고 보다 편리한 방식으로 진화할 것으로 예상된다.

그중 보다 안전한 방식의 대표적 사례는 다수의 인증시스템을 결합해 보안을 강화시킨 ‘다중 인증시스템’을

들 수 있다. 예를 들어 비밀번호와 지문인식, 스마트카드와 비밀번호처럼 서로 다른 인증시스템을 사용해

둘 다 인증이 되었을 때 최종승인을 하는 방식이다.

이 같은 다중 인증시스템은 보안이 생명인 금융거래에서 가장 활발하게 이용되고 있는데,

2005년 미국 연방금융기관 검사협의회에서는 전자금융거래에 다중 인증시스템을 채택하기로 규정했다.

또한 최근에는 일반 웹서비스에도 다중 인증시스템이 채택되고 있다.

구글의 경우 2011년 아이디와 비밀번호 방식 이외에 스마트폰 인증 및 사용기기를 지정할 수 있는

이중 인증서비스를 제공하기 시작했으며, 2013년 3월에 대형 해킹사고를 겪은 에버노트도

이증 인증을 도입하겠다고 발표한 바 있다.

사용자의 평소 행동 패턴을 파악해 본인 여부 확인

한편, 매번 비밀번호가 변경되는 OTP(One Time Password)처럼 인증 정보가 밖으로 노출되어도

피해를 줄일 수 있는 방법이 활발히 개발되고 있다. 예를 들면 비밀번호나 아이디, 이름, 이메일 주소 같은

신원정보를 노출시키지 않고도 사용자임을 증명할 수 있는 ‘익명인증기술’이 그것이다.

지난 2008년 한국전자통신연구원은 세계 최초로 ‘익명 인증기관’으로부터 자신을 증명할

 ‘조건부 익명키’를 발급받아 사용하는 익명인증 기술 개발에 성공한 바 있다.

사용자가 인증시스템을 위해 별도의 준비물을 가지고 다닐 필요가 없도록

인증시스템의 편의성을 높이기 위한 시도도 지속적으로 이루어지고 있다.

사용자가 인지하지 못하는 시스템 뒷단에서 행동 패턴을 파악해 본인 여부를

 확인하는 ‘행동 패턴 파악’ 기술이 바로 그것이다.

예를 들면 사용자의 전자 금융거래 정보를 분석해 기존 사용자의 거래 패턴과

다를 경우 그것을 탐지해 알려주는 ‘사기방지 솔루션’의 경우 과거 IP주소와 OS 환경,

거래 시간, 금액 크기, 사용자 세션 정보 등을 바탕으로 이상징후를 포착한다.

실제로 사이버 보안업체인 ‘AuthenWare’는 사용자의 타이핑 리듬, 사용 패턴, 로그인 하는 장소

및 시간 등의 사용 환경을 다차원적으로 분석해 본인 여부를 파악하는 인증시스템을 개발했다.

이 시스템은 사용자가 이상 패턴을 보일 경우 계정을 차단하고 SMS 등을 통해 원 사용자에게

알려주게 되어 있다.

우리가 행하는 모든 디지털 활동 흔적인 디지털 발자국(Digital Footprint)이 빅데이터 기술에 의해

분석되면서 인증시스템에 활용될 것으로 예상했다. 빅데이터 기술을 통해 사용자 패턴을 분석함으로써

단방향의 일회성 인증이 아닌, 시스템과 사용자가 상호작용을 하면서 주위 상황에 기반한

 인증방식이 가능해진다는 것이다.