NIST, “비밀번호 자주 바꾸면 해킹에 더 취약하다”

잦은 비밀번호 변경 요구 때문에 더 쉬운 비밀번호 선택해
NIST, 복잡함 보다 편리함 더 중시해야 해킹 막을 수 있어

[보안뉴스 오다인 기자] 사이버 공격이 아무리 많이 터지든 간에 우리는 여전히 바보 같은 비밀번호를 사용하고 있다. 사용자는 기억하기 쉬운 비밀번호를 선택해서 여러 곳에 로그인한다. 그리고 많은 사이트들이 비밀번호를 자주 변경하라고 요구한다.

[이미지=iclickart]

안타깝게도 비밀번호를 자주 바꾸라는 요구는 사용자를 해킹에 더 취약하게 만드는 것으로 나타났다. 너무 많은 비밀번호가 너무 쉽게 해킹된다. 이는 보안 분야의 가장 큰 골칫거리 중 하나다.

지난 2월 보안 업체 스플래시데이터(SplashData)는 가장 많이 사용되는 비밀번호를 발표했다. 1년 간 유출된 이메일 500만 건을 분석한 결과다. 지금에서야 별로 놀라울 것도 없지만, 영어 단어 ‘password’를 변형한 것과 ‘123456’을 조금 바꾼 비밀번호가 가장 흔한 비밀번호 1, 2위를 차지했다. 흔하게 사용되는 비밀번호 중에는 ‘football’, ‘princess’, ‘welcome’, ‘hottie’, ‘admin’ 등이 있었다.

미국 국립표준기술연구소(NIST)는 최근 권고안에서 이 문제를 정면으로 다뤘다. 이 권고안의 이름은 ‘특별 간행 800-63-3: 디지털 인증 가이드라인’으로 6월 공개됐다. NIST의 권고 사항 가운데 몇 가지 정책을 완화하라는 주제가 눈에 띌 것이다. 그렇다. ‘완화(relax)’라고 말했다. 침해 사고가 증가하고 있는 데 무슨 완화란 말인가 의아할지도 모른다. 필자는 NIST의 권고 사항 중에서 몇 가지를 추려서 아래에 소개한다. 신원과 접근 관리 전문가로서 개인적인 의견도 추가적으로 밝혔다.

주기적인 비밀번호 변경을 요구하지 마라
NIST는 사용자가 스스로 요청할 때나 침해의 증거가 있을 때만 새로운 비밀번호를 만들어야 한다고 권고했다. 이게 도대체 무슨 말일까 궁금할 것이다.

NIST는 주기적으로 비밀번호를 변경하는 것이 침해를 막지 못한다고 판단했다. 그러나 이와 함께 NIST는 비밀번호가 최소 8개의 문자로 구성돼야 한다고 설명했다. 이상적으로 말하자면, 설정하려는 비밀번호가 이전에 침해된 적 있는 비밀번호인지 확인하는 것이 좋다. 즉, 해커의 단어 사전에 이미 포함된 비밀번호인지, 반복적이거나 연속적으로 조합된 문자인지(‘aaaaaa’ 혹은 ‘1234abcd’ 같은 조합), 이용하려는 서비스명이나 사용자명 등 해당 웹사이트에서 파생되는 맥락적인 단어는 아닌지 확인해야 한다.

나는 이런 NIST의 권고에 동의한다. 특히, 엔드유저가 충분히 강력한 비밀번호를 생성한다면 왜 그 비밀번호를 자주 바꾸라고 요청하는 걸까라는 문제 제기에 특히 동의한다. 사실, 주기적인 비밀번호 변경 요청은 덜 안전한 비밀번호를 생성시킬 가능성이 높다. 귀찮은 사용자들이 더 쉬운(즉 덜 안전한) 비밀번호를 선택할 가능성이 높아지기 때문이다. 사용자들은 ‘조금 이따 비밀번호를 바꿔야지’ 생각하면서 이토록 쉬운 비밀번호를 순간마다 선택한다. 여기서 핵심은 비밀번호를 복잡하게 만드는 것이다. 아니면 오랜 기간 불안전한 비밀번호를 가질 위험에 노출될 것이다.

편리함(Usability)은 중요하다
NIST는 인증 시스템의 편리함이야말로 다른 무엇보다 중요하다고 지적했다. 만약 인증이 쉽지 않다면 엔드유저들은 비밀번호를 억지로 복잡하게 만들기 위해 영어 모음에 숫자를 끼워 넣는 식으로 비밀번호를 만들 것이다. 예컨대, ‘password’ 대신에 ‘passw0rd’라고 설정한다는 말이다. 해커는 이런 사실을 이미 빠삭하게 알고 있다. 현행 비밀번호 정책과 전략은 모두 기억하는 것조차 어려울 정도로 복잡하게 만드는 데 초점이 맞춰져 있다. 이는 엔드유저가 복잡한 비밀번호를 만들도록 강제하는 동시에 덜 안전한 비밀번호를 선택하도록 유도하는 일이다.

한 경영자가 내게 들려준 일화가 있다. 그는 밤에 회사를 돌아다니면서 키보드 밑에 얼마나 많은 비밀번호 메모가 붙어있었는지 확인할 수 있었다고 말했다. 포스트잇에 비밀번호를 써두는 방법은 해커의 손아귀에서 벗어날 수 있을지는 몰라도 디지털 문서들은 그럴 수 없다.

이미 침해된 비밀번호인지 확인해야 한다
해커는 일명 ‘사전 공격(dictionary attacks)’을 펼치는 경우가 많다. 지금까지 침해된 비밀번호 목록을 쭉 훑어보면서 어떤 게 먹히는지 확인하는 것이다. 그러므로 변경하려는 비밀번호가 이런 목록에 포함되는지 확인하는 것 역시 추가적으로 권고된다. 만약 비밀번호가 예전에 침해된 적 있다면(‘12345’라든지 ‘StarWars’ 같은 것 말이다) 해커 역시 자신의 사전에 그 단어를 갖고 있다고 봐도 무방하다.

개인적으로 나는 침해된 비밀번호 목록을 살펴보면서 자신의 비밀번호가 있는지 확인해보라고 말하고 싶다. 내가 혹시 흔하게 해킹되는 비밀번호를 사용하고 있진 않은지 확인해보는 것은 해킹을 방지하는 최고의 방법이다.

지식 기반 인증은 끝났다
NIST는 지식 기반 인증(KBA: Knowledge-Based Authentication)이 그만 종료돼야 한다고 말했다. “인증되지 않은 청구인이 접근할 수 있으므로 사용자가 비밀 힌트를 저장하도록 해서는 안 된다. 인증자는 사용자가 비밀 정보를 선택할 때 특정한 유형의 정보를 사용하지 않도록 해야 한다. ‘첫 번째 애완견의 이름은 무엇이었습니까?’ 같은 질문은 이제 금지돼야 한다.”

나는 이런 가이드라인에도 동의한다. 페이스북이나 링크드인 같은 데서 쉽게 찾을 수 있기 때문에 공격자들이 “무슨 고등학교를 다녔나요?” 혹은 “배우자를 어떤 도시에서 만났나요?” 같은 질문에 답을 찾는 건 너무 쉬워졌다. 특히 온갖 정보가 공개돼있는 연예인의 경우는 더 쉽다. 즉, 연예인들은 해킹 공격에 우스울 만큼 쉽게 노출돼있다는 뜻이다. 미국 사용자의 경우, “어머니의 결혼 전 성씨는 무엇인가요?”라는 질문 역시 같은 이유에서 해킹에 매우 취약하다.

KBA 유형의 질문에 답한 적 있다면 다음의 질문들을 스스로에게 묻고 답해보라고 강력히 권고하고 싶다. 첫째, 해당 질문들이 나의 페이스북이나 링크드인 프로필을 보고 답할 수 있는 것들인가? 둘째, 앞서 문제와 관련해 질문을 업데이트했으며 그에 대한 답도 정확하게 처리했는가?

비밀번호, 그리고 그 너머
이 모든 말의 핵심은 바로 NIST가 새로운 가이드라인을 통해 복잡함보다 편리함이 중요하다고 짚었다는 것이다. NIST는 이러한 책임을 시스템 제조업체에 부과하고 있다. 엔드유저에게 복잡한 비밀번호를 기억하라고 떠맡기는 대신 일을 더 잘 하라고 말하는 것이다. 엔드유저들은 워드 문서나 엑셀 시트에 비밀번호를 기록하고 저장하면서 소니 침해 사고나 당해왔다. 소니 사태 당시 해커들은 제목에 ‘비밀번호’가 포함된 문서를 찾아본 것으로 알려졌다. 공격자들은 이런 방법으로 수백 건의 크리덴셜을 확보할 수 있었다.

비밀번호 정책을 개선하는 것 너머 사용자 인증에 대한 올바른 전략이 있다. 그건 바로 사용자가 적응할 수 있으면서 다중의 요소를 포함시키는 전략이다. 인간적인 실수나 정교한 해킹 공격에서 사용자를 보호할 수 있는 그런 인증을 말한다.

얼마나 자주 비밀번호를 바꿔야 하는지에 대해 예전보다 덜 엄격해질 수 있는 날이 오길 고대한다. IT 관계자들이 부디 이 글을 읽기를 바란다.

글 : 잭슨 쇼(Jackson Shaw)
[국제부 오다인 기자(boan2@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)