해커도 500년 동안 못뚫는 비밀번호는?

비밀번호 유출 'Tab'이 구멍

[아시아경제 김철현 기자] 최근 잇따라 발생한 개인정보 유출 사고로 내심 불안해진 직장인 A씨는 인터넷 뱅킹 등에서 사용하는 비밀번호를 바꾸기로 마음먹었다. 하지만 복잡하게 만들자니 기억하지 못할까봐 우려됐고 기억하기 쉬운 비밀번호를 쓰자니 쉽게 노출될 수도 있다는 생각이 들었다. 이러지도 저러지도 못하는 A씨가 안전한 비밀번호를 만드는 방법은 무엇일까.

대형 개인정보 유출 사고로 인해 비밀번호 변경에 관심이 집중되고 있다. 정보가 유출된 회사들은 비밀번호가 암호화돼 있어 안전하다고 설명하지만 보안전문가들은 혹시 발생할 수 있는 2차 피해를 막기 위해서는 서둘러 사용자 스스로 비밀번호를 바꾸는 것이 좋다는 데 의견 일치를 보이고 있다.

얼마 전 미국의 한 보안회사가 발표한 지난해 최악의 비밀번호 순위를 보면 개인정보 유출 사고가 가장 잦았던 비밀번호 1위는 '123456'이었다. 이어 'password', '12345678' 등이 뒤를 이었다. 이는 사용자들이 얼마나 안일하게 비밀번호를 만들고 있는지를 보여준다. 또 간단하고 기억하기 쉬운 비밀번호를 사용하면 쉽게 정보가 유출될 수 있다는 사실도 알 수 있다.

보안 업계에 따르면 이 같은 6∼8자리 숫자로 만들어진 비밀번호는 시중에 나온 해킹 프로그램만 이용하면 불과 0.4초 만에 알아낼 수 있다. 사전에 나온 단어를 사용해도 몇 시간 안에 뚫릴 수 있다. 금융보안연구원 관계자는 "해커들은 주로 자주 사용하는 비밀번호나 사전에 있는 단어들을 자동으로 대입해 맞는 것을 찾아내는 방식을 쓴다"고 설명했다.

이 때문에 미국의 한 보안회사는 특정한 상황을 나타내는 문장을 줄여서 사용하면 기억하기 쉽지만 해커가 알아내기는 어렵다고 조언한다. 일례로 '프레드와 윌마는 저녁으로 햄과 계란을 좋아한다(Fred And Wilma Like To Have Ham And Eggs For Dinner)'라는 문장을 줄여 'F&WL2HH&E4D'라고 정하는 것이다. 해킹 프로그램으로 이 비밀번호를 알아내는 데는 495년이 걸린다고 한다. 금융권 관계자는 "단어의 특정 의미가 없고 중간에 특수문자가 많이 들어갈수록 안전한 비밀번호"라고 설명했다.

안전한 비밀번호를 만든 다음에도 주의할 점은 또 있다. 대부분 아이디를 입력한 뒤 키보드의 'TAB' 버튼을 눌러 칸을 이동해 비밀번호를 입력하는 데 이 역시 해커가 비밀번호를 알아내는 방법이다. 키보드의 입력 값을 알아내는 '키로거' 프로그램을 이용하면 TAB 다음에 입력된 문자가 비밀번호라는 것을 쉽게 짐작할 수 있기 때문이다. 따라서 비밀번호를 입력할 때는 마우스로 클릭해 이동하는 것이 좋다.

금융보안연구원 관계자는 "금융거래에 사용되는 비밀번호는 유추하기 쉬운 전화번호, 생년월일, 연속숫자 등의 사용을 자제해야 하고 인터넷 포털 등의 비밀번호와 동일한 것을 써도 위험하다"며 "무엇보다 주기적으로 비밀번호를 변경하는 것이 좋다"고 당부했다. <도움말 : 금융보안연구원>

김철현 기자 kch@asiae.co.kr