"비밀번호를 만들 시에는
대문자, 소문자, 숫자, 특수문자를 섞고
90일마다 변경해야 한다"
우리에게도 익숙한
이 패스워드 생성 규칙은
2003년, 빌 버(Bill Burr)에 의해
만들어졌습니다.
그런데 2년 전, 이런 규칙들이
사실 보안에 별 도움이
안 되는 것으로 밝혀졌습니다.
우리가 몰랐던 비밀번호의 비밀,
스브스뉴스가 알아봤습니다.
“해킹당하고 싶지 않으면
대문자, 소문자, 숫자, 특수문자를 써서
패스워드 만들어라”
라고 말한 사람이 있습니다.
바로 빌 버Bill Burr입니다.
그가 2003년,
미국 국립표준기술연구소에서
일하던 당시 만든 보고서에는
계정을 보호하기 위해 지켜야 할
패스워드 생성 규칙이 담겨있습니다.
이 문서는 미국 정부, 대기업 등
곳곳에 퍼져
패스워드 가이드라인으로 자리 잡았고
우리나라도 대부분
이를 따르고 있습니다.
다들 자주 사용하는
패스워드를 떠올려보세요.
대문자, 소문자, 숫자나
특수문자. 포함돼 있지 않나요?
그런데… 이걸 만든 빌버의 충격 고백.
규칙 만든 걸 후회하고 있다니,
어떻게 된 걸까요?
그가 만든 규칙들이
보안 수준을 높이는 데
별 도움이 안 되는 것으로
밝혀졌기 때문입니다.
특수문자나 숫자를 섞어 쓰라고 한 건
암호를 복잡하게 만들어
해커들이 해킹하기
어렵게 하려는 목적이었는데
예상과 달리 사람들은
특수 문자를 섞긴 섞는데
매우 ‘단순한 방식’으로
패스워드를 만들더라는 거죠.
심지어 특수문자를 사용하는 것만으로는
보안이 강화되는 것도 아니었습니다.
90일마다 패스워드를 바꾸는 것 역시,
대부분 끝자리 하나만 바꾸는 등
큰 변화 없이 이뤄져 효과가 없었습니다.
해킹 시도 흔적을 발견했을 때
패스워드를 바꿔도
충분하다는 말입니다.
그렇게 빌버가 만든 규칙은
보안에 별 도움이 안 되는 데다가
괜히 기억하기만 어렵고,
입력하기도 불편했다는 평가를 받았고,
결국 그가 만든 규칙은
십여 년 만에 싹 바뀌게 됐습니다.
한국 인터넷 진흥원 역시
패스워드 생성 가이드라인을
수정했습니다.
세 종류 이상의 문자를 섞어서
8자리 이상의 패스워드를 만드는 것에서
두 종류 이상의 문자만 섞는 것으로,
10자리 이상의 패스워드를 만들 경우엔
문자를 섞지 않아도 된다는 내용으로
바뀐 것입니다.
사용자 입장에서는
훨씬 간편해졌습니다.
(IP보기클릭)221.168.***.***