요즘 지문을 기존의 텍스트 암호를 대처하는 모습이 많아지고 있습니다. 그러나 지문 암호는 지문 정보가 유출 당하면 지문 정보를 변경할 수 없어서 텍스트 암호보다 더 위험할 수 있습니다. 따라서 텍스트 암호는 영원히 사라지지 않을 것입니다.
문제는 이 텍스트 암호를 너무 쉽게 만드는 사람들이 꽤 많습니다. 예를 들어 암호를 123456으로 만드는 사람들이 있습니다. 이런 쉬운 암호는 해킹해주세요!라고 외치는 것과 비슷하죠. 비밀번호 관리 응용 프로그램인 <Keeper>가 웹상에 유출 된 1000만 건의 암호를 조사한 결과 2016년 가장 많이 사용된 비밀번호 TOP25를 발표했습니다.
2016년 가장 많이 사용하는 비밀번호 TOP25
예상했던 순위이지만 비밀번호 관리자 입장에서는 당혹스러운 순위입니다.
2016년에도 1위는 123456이네요. 가장 간단한 암호이자 암호가 아닌 그냥 공공재 같은 암호입니다. 2위는 좀 더 복잡하지만 같은 계열인 123456789입니다. 3위가 좀 복잡해 보이죠. 그러나 이 qwerty는 키보드 왼쪽 상단 키보드 배열입니다. 그냥 키보드 왼쪽 상단을 연속으로 누른 것입니다.
가장 많이 사용하는 암호 15가지 중에 7개가 6자 이하의 암호입니다. 6자리 이하의 암호는 무차별 대입 공격으로 몇 초 만에 암호를 알아낼 수 있습니다. 무차별 대입 공격이란 잘 알려진 단어나 숫자를 111111, 111112, 111113식으로 순차적으로 넣어서 푸는 가장 원시적인 암호 해킹법인데 이 공격으로 풀릴 수 있습니다.
17위에 있는 1q2w3e4r이나 22위에 있는 1q2w3e4r5t나 24위에 있는 zxcvbnm은 꽤 복잡한 암호 같지만 키보드에서 보면 지그재그로 연속으로 친 단어입니다. 이런 암호들도 이미 무차별 대입 공격 해킹 툴에 입력된 패턴이라서 아주 쉽게 암호가 풀릴 수 있습니다.
그런데 이것으로도 해석이 안되는 복잡한 암호도 있습니다. 15위에 있는 18atcskd2w나 20위에 있는 3ris1la7qe는 상당히 복잡해 보입니다. 이에 보안 전문가 Graham Cluley씨는 이 암호는 봇이 스팸 전송을 위한 가까 계정을 만들기 위해서 반복 입력한 비밀 번호입니다. 즉, 여러 개의 계정을 만들고 그 계정의 암호를 동일하게 만든 것이죠. 복잡하지만 스팸 계정의 공통 암호라서 높은 순위에 올랐네요. 따라서 이런 복잡하지만 비슷한 암호가 많다면 스팸 계정으로 판단할 수 있습니다. 이메일 제공 업체들은 계정은 다 다르지만 비밀번호가 동일한 계정을 유심히 보다가 다 스팸 계정으로 판단하고 삭제하는데 큰 도움이 될 것입니다.
해킹된 암호 1000만 개 중에 TOP25에 오른 암호가 무려 절반 이상입니다.
안전한 비밀번호 만드는 법
1. 숫자, 대문자, 소문자, 특수 문자를 섞어라
안전한 암호 만드는 법은 생각보다 간단합니다. 숫자, 대문자, 소문자, 특수 문자를 섞은 암호를 만들면 됩니다. 문제는 복잡한 암호를 만들면 만든 본인도 잘 까먹는다는 것입니다. 하지만 잘 만들어 놓으면 무차별 대입 공격을 확실히 피할 수 있습니다.
2. 사전 공격에 오른 비밀번호는 사용하지 마라
가장 간단한 해킹 공격은 무차별 대입 공격과 함께 사전 공격입니다. 사전 공격은 우리가 많이 쓰는 단어나 인식이 가능한 단어는 사전에 다 들어가 있죠. 그래서 무차별 대입 공격의 노가다를 줄이기 위해서 익숙한 단어, 많이 쓰는 단어나 많이 쓰는 암호를 입력해서 그 등록된 단어부터 대입해서 암호를 풉니다. 따라서 많이 쓰는 TOP25 암호는 절대로 쓰지 말아야 합니다.
3. 암호 관리 프로그램을 사용하라
쉬운 암호 보다는 강력한 암호가 좋죠. 문제는 강력한 암호는 복잡해서 외우기도 쉽지 않습니다. 이에 Keeper같은 암호 관리 프로그램을 써야 한다고 말합니다. 이건 이 회사 홍보 문구네요. 그럼에도 암호 관리 프로그램을 사용하는 것도 고려해 볼만 합니다.