이러한 패스워드는 절대 금물

최소 6개월 간격으로 변경해야, 특수문자 등 삽입 도움

인터넷을 기반으로 하는 각종 업무나 이용에서 아이디와 패스워드는 일상이 돼 버린지 오래다. 그러나 많은 이용자들은 패스워드에 대한 인식이 아직도 부족해 설정 후 한번도 변경하지 않기 일쑤다. 그렇다면 패스워드는 어떻게 관리해야 안전한 것일까. 한국정보보호진흥원(KISA)은 최소 6개월 주기로 변경하고 특수문자 삽입 등을 골자로 한 ‘패스워드 선택 및 이용가이드’를 제작했다.

사용자의 패스워드가 노출되면 사용자의 개인 메일 정보, 금융정보 등이 타인에게 유출될 수 있다. 따라서 사용자는 안전한 패스워드를 설정하고 이용해야 하며 안전하게 관리해야 한다. 안전한 패스워드는 제3자가 쉽게 추측할 수 없고 시스템에 저장돼 있는 정보 또는 인터넷을 통해 전송되는 정보를 해킹해 사용자의 패스워드를 알아낼 수 없거나 알아낸다 하더라도 많은 시간이 요구되는 패스워드를 말한다.

이러한 패스워드는 절대 금물

대부분의 이용자들이 패스워드를 기억하기 쉽도록 자신의 주변에 밀접한 사물이나 이름, 생일 등을 기입하는 경우가 많은데 이는 범죄의 표적이 될 수 있다. 특히 7자리 이하나 두가지 종류 이하의 문자구성으로 8자리 이하 패스워드, 특정 패턴을 갖는 패스워드(aaabbb,  123123), 키보드 상에서 연속한 위치에 존재하는 문자들의 집합(qwerty, asdfgh), 숫자가 제일 앞이나 제일 뒤에 오는 구성의 패스워드(security1, 1security) 등은 피하는 것이 좋다.

또 제3자가 쉽게 알 수 있는 개인정보를 바탕으로 구성된 가족이름, 생일, 주소, 휴대전화번호 등을 포함하는 패스워드와 사용자 ID를 이용한 패스워드(ID가‘KDHong’인 경우, 패스워드를‘KDHong12’ 또는 ‘HongKD’로 설정), 한글·영어 등을 포함한 사전적 단어로 구성된 패스워드(바다나라, 천사10, love12), 숫자와 영문자를 비슷한 문자로 치환한 형태를 포함한 구성의 패스워드 등도 조심해야 할 유형이다.

특정명칭이나 가공은 필수

안전한 패스워드를 생성하기 위해서는 조금 귀찮더라도 여러 가지 조합을 설정하는 것이 바람직하다. 특정명칭을 선택해 예측이 어렵도록 가공하거나 명칭의 홀·짝수 번째의 문자를 구분, 국내 사용자는 한글 자판을 기준으로 특정명칭을 선택, 가공하는 방법이 있다. 예를 들어 한국정보보호진흥원의 경우 홀수 번째 ‘한정보진원’이 ‘gkswjdqhwlsdnjs’로, 짝수 번째 ‘국보호흥’이 ‘rnrqhghgmd’로 사용될 수 있다.

노래 제목이나 명언, 속담, 가훈 등을 이용·가공, 영문자(대·소문자), 숫자, 특수문자들을 혼합한 구성(10H+20Min, I!Can&9it), 패스워드의 길이를 증가시키기 위해서는 알파벳 문자 앞뒤가 아닌 위치에 특수문자 및 숫자 등을 삽입(‘Security1’이 아니라 ‘Securi2t&&y’와 같은 형태)도 좋은 방법이다. 이밖에 사이트별 상이한 패스워드 설정을 위해서는 자신의 기본 패스워드 문자열을 설정하고 사이트별로 특정 규칙을 적용하는 것이 좋다. 패스워드 문자열을‘486*+’로 설정했다면 사이트 이름의 짝수 번째 문자 추가를 규칙으로 yahoo.com은 ‘486*+ao.o’, google.co.kr는 ‘486*+ogec.r’ 등으로 활용하면 된다.

패스워드 보안 지침

1.사용자는 안전한 패스워드를 설정해 사용

2.초기 패스워드가 시스템에 의해 할당되는 경우 사용자는 빠른 시간 내에 해당 패스워드를 새로운 패스워드로 변경

3.사용자는 패스워드를 주기적으로 변경해야 하며 권장하는 패스워드 변경주기는 6개월이다.

4.패스워드 변경 시 이전에 사용하지 않은 새로운 패스워드를 사용하고 변경된 패스워드는 이전 패스워드와 연관성이 없어야 한다.

5.자신의 패스워드가 제3자에게 노출되지 않도록 한다.

6.패스워드를 메모지 등에 기록할 경우 메모지는 항상 자신이 소유하고 있거나 안전한 장소에 보관함으로써 외부로 노출되지 않도록 한다.

7.제3자에게 자신의 패스워드와 관련된 정보 및 힌트를 제공하지 않아야 한다.

8.자신의 패스워드가 제3자에게 노출되었을 경우 즉시 새로운 패스워드로 변경한다.

[배군득 기자]

<저작권자: 보안뉴스 무단전재-재배포금지>