국내 주요 싸이트에 대한 비밀번호를 변경해 보았습니다.

요즘 네이트닷컴이 개인정보를 해킹당해 큰 이슈가 되고 있습니다. 무려 3,500만명이라는 엄청난 건수인데요. 많건 적건 인터넷을 사용하는 사람들이라면 거의 대부분 가입하여 이용하고 있는 서비스이기 때문에 개인정보 유출에 따른 파급효과가 어마어마할 것으로 예상됩니다. 이들 정보가 넘어갔다면 당장 네이트닷컴과 동일한 아이디와 비밀번호를 사용하는 개인들에게는 2차, 3차의 또다른 피해가 발생할 수 있기 때문입니다.

덕분에 여태까지 큰 규모의 개인정보 유출사건이 발생했을 때도 꿋꿋이(!) 털리지 않았던 라스모르의 개인정보도 이번에는 피해가지 못하고 정보가 넘어가버리고 말았습니다. 어흑...

어쨋든...

많은 사람들이 많은 사이트에 가입하기 때문에 사이트별 아이디와 비밀번호를 동일하게 가져가는 경우가 많습니다. 저는 그나마 아이디와 비밀번호를 다르게 사용하거나 또는 같은 아이디라도 비밀번호를 다르게 사용한 사이트들이 많은데요. 덕분에 비밀번호를 매번 까먹어서 비밀번호를 다시 설정한 경우가 빈번하게 있습니다.

그래서 왠만한 이름있는 사이트들은 한 번 이상은 비밀번호를 재설정한 경험이 있습니다. 근데 사이트마다 비밀번호에 대한 기준이 달라 어떤 사이트들은 제가 사용하려는 비밀번호를 아예 허용하지 않은 경우가 있더군요.

가장 흔한 경우가 바로 특수문자를 허용하지 않는 경우입니다. 특수문자를 허용하지 않는다면 가능한 조합은 무엇일까요? 바로 영문 대소문자와 숫자로만 구성된 조합이지요. 아시다시피 영문자와 숫자의 조합으로 설정한 비밀번호는 해독하기가 매우 쉽습니다.

하지만 국내 유명한 사이트에서조차 어떤(!) 이유로해서 비밀번호를 설정할 때 특수문자를 사용할 수 없도록 만든 경우가 적지 않습니다.

'정보통신망 이용촉진 및 정보보호 등에 관한 법류 제28조  제1항과 같은 법 시행령 제15조 제6항에 근거한 개인정보의 기술적 관리적 보호조치 기준'에 따르면 말이죠. (어렵지 않은거지만 그래도 개인정보관리사 자격증을 딸 때 공부한게 이런 때나 도움이 되긴 하는군요.. ^^ )

비밀번호 설정에 관한 개인정보의 기술적 관리적 보호조치 기준의 권고사항

비밀번호는 26개의 영문 대문자, 26개의 영문 소문자, 10개의 숫자, 32개의 특수문자 중 2가지 이상의 조합을 섞어서 설정하도록 허용할 경우에는 최소 10자리 이상으로 설정해야 하고 3가지 이상의 조합을 허용할 경우에는 최소 8자리 이상으로 설정해야 합니다.

만일 2가지 조합만을 사용한다면 상대적으로 3가지 조합을 섞어 사용하는 것보다 보안에 취약하므로 10자리 이상의 긴 비밀번호를 사용하도록 해야한다는 얘기이고 3가지 이상의 조합을 사용한다는 것은 그만큼 경우의 수가 많아지는 것이니까 상대적으로 보안에 덜 취약하다라고 보는 겁니다. (사실 보안에 덜 취약하다기보다는 같은 비밀번호 해킹 프로그램을 돌렸을 때 2가지 조합만을 사용한 비밀번호보다는 3가지 이상의 조합을 사용한 비밀번호가 알아내는데 훨씬 더 오랜 시간이 걸린다는 얘기겠죠)

어쨌든~!

비밀번호를 'admin'이나 '1234'와 같이 영문자나 숫자로만 구성한다면 가장 취약한 경우에 속합니다. 혹시 주요 사이트에서 이런 비밀번호를 사용하고 계시다면 반드시 변경하셔야 하며 이런 비밀번호를 계속 사용하시면 '상당히 좋지 않은 결과'를 가져올 수 있습니다.

Tip : http://howsecureismypassword.net/ 사이트를 가셔서 현재 사용하고 계시는 비밀번호를 입력해보시면 내 비밀번호가 얼마만에 뚤리는지를 알려줍니다. 신빙성여부를 떠나서 특수문자가 들어가고 안들어감에 따라 결과가 많이 달라지는걸 알 수 있습니다.

가장 좋은 비밀번호는 위의 4가지 조합을 골고루 섞어서 사용하는 것입니다. 가령 'xmDls#$37'과 같이 영문 대소문자와 특수문자, 숫자를 모두 조합하여 쓰는 것이죠. 라스모르도 많은 사이트에서 이런 유형의 비밀번호를 사용하고 있습니다. 물론 외우기 힘들어서 자주 까먹다 보니 다시 재설정하는 경우가 많습니다.  

특수문자까지 조합한 비밀번호는 아주 좋아요!

요즘 사이트에서 비밀번호를 변경해보셨나요?

요즘은 내가 변경하려고 입력한 비밀번호가 보안에 취약한 비밀번호인지 아닌지 여부를 사전에 판별해 줍니다. 위의 화면에서처럼 트위터만 해도 '너무 짧아요!', '너무 쉬워요!', '좋아요!', '아주 좋아요!' 등의 표현으로 내가 설정한 비밀번호가 보안측면에서 어느 정도 우수한 비밀번호인지를 알려줍니다. 숫자나 문자로만 구성한다면 '너무 쉬어요'나 '좋아요' 정도가 나오구요. 특수문자까지 조합해서 쓰면 화면에서처럼 '아주 좋아요'가 나오는 것을 확인할 수 있습니다.

어쨋든 제가 자주 까먹는 바람에 비밀번호를 변경하려다보니 일부 사이트들은 비밀번호에 특수문자를 사용할 수 없게 만들어놓은 경우가 있었습니다. 또 어떤 사이트는 오로지 영문 소문자와 숫자만 사용할 수 있게 한 경우도 있습니다. 비밀번호를 아예 8자리 이하로만 제한한 사이트도 비일비재하구요.

비밀번호를 암호화해서 저장하는지는 간접적인 방법 외에는 확인할 수 없으니 일단 비밀번호를 안전하게 설정하는것이 개인으로서 할 수 있는 최우선의 방법입니다. 만일 비밀번호를 암호화하지 않는 사이트라면 아예 사이트에서 개인정보를 삭제하고 탈퇴할 것을 권장해드립니다.

가입했더니 가입축하메일에 '당신의 비밀번호는 XXX 입니다.'라는 메시지를 보내는 사이트라면 당장 탈퇴하시길 권합니다. 이런 사이트는 비밀번호를 암호화하지도 않은 채로 관리하고 있는 겁니다. 비밀번호를 잃어버려 변경하려 할 때 핸드폰번호나 I-PIN, 공인인증서 등 다른 수단을 통해 인증을 받은 후 '랜덤하게 만들어진 임시 비밀번호를 발급받아 정해진 기간안에 반드시 변경'하도록 하는 프로세스를 가진 사이트가 정상적으로 개인정보를 관리하는 사이트라고 할 수 있습니다.

일단 자주 사용하는 꽤 유명한 사이트를 대상으로 비밀번호를 변경해보았습니다.

1. 오케이캐쉬백(http://www.okcashbag.com/)

영문대소문자, 숫자, 일부 특수문자의 조합으로 설정가능

SK 핸드폰 사용안해본 사람이 없으니 온 국민이 하나씩은 가지고 있을 오케이캐쉬백 사이트입니다. 일단 영문 대소문자와 숫자, 특수문자까지는 모두 지원하네요. 근데 결론만 말하면 이 사이트에서 제가 사용하는 비밀번호를 사용할 수 없었습니다. 왜냐~? 이 사이트는 32개의 모든 특수문자 아닌 단 7개의 특수문자만 비밀번호로 쓸 수 있도록 하고 있는데 제가 사용하는 비밀번호에는 여기서 지원하지 않는 '#'이 있었기 때문입니다. 왜 이렇게 한정된 특수문자만 허용할까요? 암튼 그렇습니다.

2. 네이버(http://www.naver.com/)

네이버는 비밀번호의 안전도를 안내해줍니다.

트위터와 마찬가지로 네이버는 비밀번호를 입력하면 비밀번호 안전도를 보여줍니다. 화면에서처럼 네이버도 특수문자를 사용할 것을 권고하고 있네요.

3. 다음(http://www.daum.net/)

다음 역시 설정하려고 하는 비밀번호의 보안등급을 알려줍니다.

최근에 블로그를 하면서 자주 사용하게 되는 다음입니다. 다음역시 비밀번호를 설정할 때 설정한 비밀번호가 안전한지를 보안등급으로 코치해 주네요. 네이버와 달리 특수문자에도 제한을 두고 있지 않아보입니다. 

4. 드림위즈(http://www.dreamwiz.com/)

드림위즈는 비밀번호를 최대 8자리로 제한하고 있습니다.

제가 아직까지도 잘쓰는 드림위즈 역시 몇 개의 미리 정해놓은 특수문자를 포함해서 비밀번호를 설정할 수 있는데요. 트위터나 네이버처럼 비밀번호의 안전성에 대해서는 얘기해주지 않습니다. 게다가 비밀번호를 4자리에서 최대 8자리 까지로만 제한하고 있는 점은 문제가 있습니다. 

5. G마켓(http://www.gmarket.co.kr)

G마켓은 아예 특수문자를 사용할 수 없습니다.

G마켓은 특수문자 자체를 비밀번호로 사용할 수 없도록 하고 있습니다. 오로지 영문자와 숫자의 조합으로만 비밀번호를 사용할 수 있도록 제한해놨습니다. 이러한 제한은 권고기준에 미치지 못하는 보안수준입니다. 그래서 G마켓에서는 제가 사용하고픈 비밀번호를 사용할 수가 없었습니다.

6. 11번가(http://www.11st.co.kr)

네이버와 마찬가지로 일부 특수문자를 사용할 수 있습니다.

11번가 역시 일부 특수문자를 포함하여 4가지 조합을 모두 사용할 수 있도록 하고 있습니다. 숫자로만 입력은 불가하며 비교적 깐깐하게 체크하는 것을 볼 수 있습니다. 그러나 여기도 비밀번호에 '#'을 사용할 순 없네요. 참고로 11번가는 주민번호를 아이핀(I-PIN)으로 전환이 가능합니다.

7. 옥션(http://www.auction.co.kr)

다음처럼 설정한 비밀번호의 보안등급을 보여줍니다.

예전에 이미 개인정보 유출문제가 발생했던 곳이긴 하지만 현재 다음처럼 비밀번호에 대한 보안등급을 알려주고 있고 특수문자 사용이 가능합니다.  옥션도 11번가와 마찬가지로 주민번호를 아이핀으로 전환함으로써 개인정보에서 자신의 주민번호를 제거할 수 있습니다.

아 이러단 끝이 없겠네요. 머 일단 제가 자주 사용하는 사이트 위주로 살펴보았는데요. 정리하자면 다음과 같습니다.

- 비밀번호로 특수문자를 포함해서 영문 대/소문자, 숫자, 특수문자의 4가지 조합을 모두 사용할 수 있는 사이트가 개인정보 보안에 덜 취약하다. 적어도 영문자와 숫자만 허용하는 사이트는 비밀번호 설정시 주의할 필요가 있다. 비밀번호 설정시 해당 비밀번호가 안전한지 코칭해주는 사이트가 대부분 비밀번호 보안에 신경을 많이 쓰는 사이트라고 볼 수 있다.
- 비밀번호를 암호화하여 저장하는 사이트가 보안에 덜 취약하다. 최악의 경우 해킹이 되더라도 암호화된 비밀번호는 보호받을 수 있다. 그러므로 내가 가입한 비밀번호를 그대로 알려주는 사이트는 암호화하지 않는 사이트이므로 탈퇴하는 것이 좋다.
- 사이트DB에 내 주민등록번호를 보관하기를 원치않는다면 아이핀(I-PIN) 전환을 통해 아이핀으로 전환하자. 단, 아이핀 전환시 사이트에 따라 일부 서비스에 제한을 받을 수 있다.
- 비밀번호를 잃어버렸을 때 어떤 방법으로든 내가 잃어버렸던 비밀번호를 알려주는 사이트 역시 내 비밀번호를 암호화하지 않고 관리하는 사이트다.

머 이 정도가 되겠습니다. 예전에 개인정보를 다루는 일을 하다보니 가입 프로세스나 비밀번호를 잃어버렸을 때 비밀번호를 재설정하는 프로세스만 봐도 내 비밀번호를 어떻게 다루는지 파악이 가능합니다. 단, 암호화를 했는지, 했다면 복호화가 가능한 수준으로 했는지 등은 일반 사용자가 알기에는 한계가 있으므로 현재 수준에서 할 수 있는 최선의 방법이라면 비밀번호 암호화 수준을 강력하게 설정하고 주민번호는 아이핀으로 전환하는 방법 정도가 될 것 같습니다. 

서비스 업체의 입장에서는 최악의 경우 해킹이 되어 DB가 통채로 넘어가는 상황을 가정했을 때 주민번호나 비밀번호를 단방향 암호화했다면 그나마 나은 상황을 기대할 수 있기에 많은 업체들이 이미 암호화된 채로 개인정보를 관리하고 있는 실정입니다.

이상 비밀번호 얘기가 나와서 얘기해봤습니다.