[충무로에서]바보야, 문제는 패스워드야

문송천 KAIST 테크노경영대학원 교수

개인정보 유출은 어제오늘의 일이 아니다. '세상에는 공짜가 없다'는 진리가 잘 알려져 있음에도 불구하고 그렇다. 개인정보 유출의 주범은 세 가지다. 첫째는 경품 응모다. 경품 당첨 100%가 보장된다고 할 때 어느 알뜰한 살림꾼이 과연 그냥 지나갈 수 있겠는가. 이렇듯 참새가 방앗간 그냥 지나가겠는가 하는 심리를 이용하는 것이 이른바 마케팅 전략의 기본이다. 둘째는 경품 못지않게 만만치 않은 것이 포인트 누적의 유혹이다. 예를 들면 1000원 사용액당 항공 마일리지 5마일을 제공한다면 개인정보 유출에 민감한 지식인이라고 해도 그냥 지나치기는 결코 쉽지 않은 일이다. 곰곰이 돌이켜 생각해보면 누구나 최근에도 한두 번 정도는 포인트 유혹에 넘어갔던 일을 어렵지 않게 기억해낼 것이다. 셋째는 사용자 자신이 패스워드 관리를 허술하게 한다. 숫자 여덟 자 '12345678'이나 영문자 여덟 자 'PASSWORD'를 애용하다 보니 해커의 먹잇감이 되기 십상이다.

사정이 이러니 "아니 거기서 내 전화번호를 어떻게 알고 내게 이런 전화가 오지"하고 세태를 개탄해본들 소용이 없다. 더욱이 우리나라에는 다른 선진국들에서 쓰지도 않는 주민번호라는 것이 있어서 개인정보가 한번이라도 유출되고 나면 세상 떠날 때까지 돌이킬 수 없는 신분도용 허용에 들어가게 되기 때문이다. 문제는 유출이 이미 위험수위를 넘어섰고 설상가상으로 패스워드 관리가 허술해 이러한 두 가지 현실적 한계를 극대로 이용하려면 누구든지 얼마든 활용할 수 있게끔 됐다는 데 있다. 그러면 개인정보 유출을 놓고 아예 포기 상태에 들어갈 것인가. 아니다. 설령 개인정보가 유출됐다 하더라도 패스워드 관리로 개인정보 보호가 상당 부분 가능하기 때문이다.

예를 들어 자신의 이메일 계정이 해킹되었다고 하더라도 패스워드만 수시로 바꿔놓으면 해커가 이메일 계정을 함부로 주인과 공유하는 일은 불가능해지는 점에 눈떠야 한다. 만약 패스워드를 수시로 변경해놓지 않는다면 자신이 받은 편지함과 보낸 편지함을 해커가 마음대로 출입하면서 자유자재로 볼 수 있을 뿐만 아니라 이메일을 해커가 마음대로 새로 작성해 주인의 지인에게 자유자재로 전송할 수 있는 것이다. 말하자면 도둑에게 대문 열쇠를 하나 복사해서 친절하게 넘겨주는 꼴이 된다. 본의 아니게 해커와 정보 공유하게 되는 불쾌한 일을 당하지 않으려면 방법은 비교적 간단하다.

결론적으로 패스워드를 닷새에 한 번씩 바꾸기만 하면 웬만한 공격에는 충분히 효과적으로 대응할 수 있다. 해커 행태 분석에 의하면 해커가 개인정보를 입수한 후 피싱용 바이러스 유포 실시에 들어가기까지는 평균 5~6일 정도 걸린다는 결과가 있다. 패스워드 변경하는 데 걸리는 시간은 길어야 대략 5분 정도다. 적어도 1주일에 한번 패스워드를 바꾸는 연습을 하면 정신 건강에도 좋다.

만약 패스워드를 여러 개 사용할 수밖에 없는 사정이라면 패스워드를 15자리로 하는 것이 좋다. 대다수 국가 국방부의 권고사항이 그렇다. 더욱이 #, %, * 등의 특수 기호가 들어가도록 만들면 해킹 가능성이 크게 줄어든다는 점을 숙지할 필요가 있다. 해커는 금요일, 토요일에 가장 활동적이라는 점도 알아둘 필요가 있다. 그래서 매주 목요일마다 바꿔주면 해커는 헛발질할 가능성이 높아진다. 피싱의 생리상 범죄자가 피싱에 성공하려면 피싱 1회전으로 성공할 리는 만무하다. 보통 3회전 정도 거쳐야 한다. 그 기간 동안에 패스워드를 변경했다면 피싱은 완전히 무위로 돌아간다. 이렇게 보면 피싱을 원천 봉쇄는 못하더라도 피해나갈 방법은 얼마든지 있다는 이야기다. 특히 목요일마다 패스워드 바꾸기를 밥먹듯 일상화해야 한다는 점을 유념해야 한다.

문송천 카이스트 테크노경영대학원 교수