본문 바로가기
IT/IT월드

비밀번호를 정기적으로 강제로 바꾸는 것이 오히려 보안에 더 취약하다

by 썬도그 2016. 5. 2.
반응형

미리 미리는  한국에서는 천대 받는 단어입니다. 미리해야 한다고 하면 쓰잘덱 없는데 신경 쓰고 돈 쓰지 말라고 핀잔을 합니다.  그러다 일이 크게 터집니다. 부랴 부랴는 한국에서 인기 단어입니다. 항상 일이 터지고 나서 부랴 부랴 사태를 수습하고 관련 법을 만들고 제도를 만듭니다.


IT 강국이라는 말이 무색하게 보안 사고가 너무 많이 일어났습니다. 옥션, 네이트 등의 대형 인터넷 사이트는 물론 신용카드의 내부자 해킹까지 엄청난 해킹 사고가 많았습니다. 이후 한국은 비밀번호를 수시로 바꾸는 시스템으로 변경 되었습니다. 장기간 비밀번호를 바꾸지 않으면 바꾸라고 권장하고 있고 어떤 곳은 안 바꾸면 접속을 못하게 하는 곳도 있습니다.

또한, 비밀번호도 초기에는 숫자로만 된 4자리도 인정하다가 이후에 숫자 알파벳 포함 6자리 이상으로 바뀌더니 지금은 숫자 알파벳 특수기호 포함 10자리 이상으로 바뀌고 있습니다. 이렇게 복잡한 암호를 요구하는 것이 보안에 도움이 되는 것은 맞습니다. 복잡하고 길수록 암호 해독하기 힘들죠. 문제는 많은 인터넷 사이트들이 주기적으로 변경하게 하는 시스템은 결코 좋아 보이지 않네요

왜냐하면 6개월 또는 3개월에 한 번씩 강제로 비밀 번호를 바꾸라고 하면 결국 예전에 쓰던 비밀번호를 다시 사용하게 되는 경우가 많습니다. 사람이 비밀번호 제조기도 아니고 계속 새로운 비밀번호 요구하면 결국 예전에 쓰던 비밀번호를 다시 쓰죠. 이게 보안에 도움이 될까요?






출처 https://www.cesg.gov.uk/articles/problems-forcing-regular-password-expiry 

영국 정보 통신 본부는 국가정보보증 기술국 CESG가 2015년에 발표한 비밀번호 운용 지침에서 정기적으로 비밀번호를 변경하는 것에 대해서 명백하게 반대를 하고 있다고 소개를 하면서  인터넷 계정의 암호를 주기적으로 바꾸는 것이 오히려 보안에 악영향을 준다는 발표를 했습니다. 그 이유는 이렇습니다

비밀번호 유출에 대비하여 인터넷 웹사이트들이 사용자에게 정기적으로 강제로 비밀번호를 바꾸게 하면 오히려 서비스의 편리성이 떨어지게 됩니다. 또한, 대부분의 인터넷 웹서비스에서 보안을 강화 시키기 위해서 가능한 긴 암호와 특수문자까지 넣은 암호를 요구합니다. 길이가 10자라면 어느 정도 기억하겠지만 그 이상은 기억하기가 쉽지 않습니다. 

이런 10자 이상 특수문자까지 요구하는 웹 사이트가 늘어날수록 오히려 암호를 외우지 못하는 불상사가 발생합니다. 
결국 이렇게 복잡한 암호를 주기적으로 변경하라고 요구하면 사용자는 예전에 사용했던 암호를 다시 사용해서 돌려막기를 합니다. 아마 많은 사람들이 몇 개의 암호를 돌려 쓰고 있을걸요. 여기에 10자 이상의 암호를 만들라고 하면 외우기 쉬운 의미 있는 문자열로 암호를 만들어서 해커가 해킹하기가 더 쉬워집니다. 

해커들은 바보가 아닙니다. 이런 인간들의 특징을 잘 알고 있습니다. 해커들은 이런 사용자들의 암호 생성 고충을 잘 알고 있기에 좀 더 진득하게 지켜보면 암호를 다 알아낼 수 있습니다. 또한, 암호가 복잡해지자 그 암호를 PC 근처에 적어놓는 사람들도 늘어나고 있습니다. 

아마 이 글을 읽는 분 중에 키보드 밑에 인터넷 비밀번호 적어 놓은 분이나 포스트잇에 비밀번호 적어서 구석에 붙여 놓은 분들 꽤 많을걸요.  문제는 이뿐이 아닙니다. 암호를 주기적으로 강제로 변경하라고 하면 사용자의 생산성이 떨어집니다. 이는 인터넷 웹서비스를 하는 쪽도 마찬가지입니다. 

국가정보보증 기술국 CESG는 사용자가 정기적으로 비밀번호를 변경하도록 강요하는 것은 암호 변경에 따른 취약성을 더 증가시키고 있다고 말했습니다. 이에 기업과 사용자들에게 암호를 변경하지 말고 장기적으로 사용하라고 권하고 있습니다. 



CESG는 시스템 관리자에게 제 3자에 의한 계정에 대한 접속을 방지하는 효과적인 시스템이 암호 변경만 맹신하지 말고 다른 방법도 있다면서 대안도 제시했습니다. 예를 들어 시스템 모니터링 도구를 사용하여 마지막으로 로그인 한 사용자의 정보를 표시하면 로그인 실패의 원인이 사용자 자신 또는 공격자인지를 알 수 있습니다.  

이는 티스토리의 로그인 기록과 같은 방법으로 아주 효과적입니다. 단, 수시로 봐야 한다는 단점이 있죠. 
매일 아침 어제 누가 접속시도 하다가 실패했나 지켜보면 누가 해킹 시도를 하고 있구나를 알 수 있고 그때 비번을 바꾸거나 그 IP를 차단하면 됩니다. 

인터넷 웹사이트의 비밀번호를 자주 바꾸는 것이 보안에 도움이 될 것처럼 보이지만 좀 더 길고 깊게 생각해보면 오히려 그렇게 자주 바꾸는 것이 보안에 약해질 수 있다는 내용이 참 공감이 가네요. 

반응형